3' di lettura
3' di lettura
La transizione verso la crittografia post quantistica parte da una mappa che imprese e organizzazioni ancora non possiedono. Una ricognizione difficile da realizzare, perché i sistemi crittografici che proteggono i dati non sono localizzati in un unico punto. Sono, piuttosto, inseriti in infrastrutture IT distribuite, stratificati in anni di aggiornamenti, gestiti da fornitori diversi e operativi su singole applicazioni o processi specifici, che spesso coinvolgono funzioni separate.
«Oggi – spiega Stefano Cazzella, Cto di Sopra Steria Italia – nessuna organizzazione ha un inventario centralizzato nel quale siano presenti tutti gli asset crittografici che utilizza. Il primo passo da fare è quindi disegnare questa mappa, indispensabile per poter realizzare un’analisi dei rischi e pianificare per tempo la transizione».
Sopra Steria – gruppo europeo con 51mila dipendenti in 30 Paesi e 5,6 miliardi di ricavi nel 2025 – lavora proprio su questo terreno: trasformare la minaccia post quantum in un percorso governabile. Il punto non è soltanto sostituire parte degli attuali algoritmi di crittografia a chiave pubblica, come RSA, con soluzioni resistenti ad attacchi quantistici, ma innanzitutto capire in quali processi aziendali questi algoritmi sono usati, quali certificati proteggono, quali flussi coinvolgono, dove passano le comunicazioni più sensibili, quali dati devono restare riservati più a lungo. Servono strumenti che analizzino il codice, scanner di rete per rilevare protocolli e traffico, ricognizioni sui server per individuare i certificati e il loro livello di protezione.
Se l’obiettivo è chiaro la strada per raggiungere il risultato non è sempre la più breve. Il percorso si articola in più fasi: si parte dalla definizione del perimetro da analizzare, si passa alla valutazione del rischio, si traccia una roadmap di migrazione. «Solo a questo punto si possono implementare le prime azioni, partendo da servizi prioritari o singole applicazioni e testando le implementazioni dei nuovi algoritmi e la loro compatibilità con i sistemi esistenti», aggiunge Cazzella.
C’è poi un secondo livello su cui opera la transizione verso organizzazioni quantum safe. Oltre al filone della crittografia post quantistica, basata su algoritmi di cifratura a prova di computer quantistici eseguibili su infrastrutture tradizionali, c’è quello delle comunicazioni quantistiche e in particolare della distribuzione quantistica delle chiavi (Quantum key distribution): un metodo di comunicazione sicuro che sfrutta le leggi della fisica quantistica per scambiare una chiave crittografica tra due utenti in modo che sia impossibile da intercettare senza essere scoperti.
