Crypto-agility la migrazione crittografica che il post-quantum

Crypto-agility: la migrazione crittografica che il post-quantum, da solo, non risolve

A cura di:Redazione Ore

La crypto-agility è il vero collo di bottiglia della transizione post-quantum, anche se quasi nessuno la chiama per nome. Gli algoritmi, in fondo, sono pronti da tempo: NIST ha finalizzato i primi tre standard di crittografia post-quantistica nell’agosto 2024 e, nel dicembre 2025, ha pubblicato un documento che sposta l’attenzione dove serve davvero. Eppure la maggior parte delle organizzazioni non è in grado di migrare, e non perché manchi la tecnologia. Manca qualcosa di più banale e più difficile da ottenere: sapere quale crittografia si sta usando, dove, e come sostituirla senza fermare i sistemi.

Il malinteso da sciogliere è proprio questo. Per anni il dibattito sul post-quantum si è concentrato sugli algoritmi, come se il problema fosse scegliere il sostituto giusto di RSA. Ma avere lo standard non significa averlo applicato, e la sostituzione di un algoritmo crittografico, come ricorda NIST, è costosa, lenta, piena di problemi di interoperabilità e capace di interrompere le operazioni. La crypto-agility è la capacità di gestire quella sostituzione come un processo ripetibile, non come un trauma una tantum. Senza, gli standard restano sulla carta.

Gli algoritmi sono pronti, le organizzazioni no

Il quadro normativo e tecnico è ormai definito. I tre standard finalizzati nell’agosto 2024, pubblicati da NIST come FIPS 203, 204 e 205, coprono lo scambio di chiavi e la firma digitale resistenti al calcolo quantistico: ML-KEM per l’incapsulamento delle chiavi, ML-DSA e SLH-DSA per le firme. Un quarto standard, FN-DSA, basato sull’algoritmo FALCON e destinato a diventare FIPS 206, è stato diffuso in bozza (initial public draft) nel settembre 2025, con finalizzazione attesa tra la fine del 2026 e l’inizio del 2027.

Sul calendario, la bozza NIST IR 8547 traccia una traiettoria netta: gli algoritmi a 112 bit di sicurezza, RSA-2048 ed ECC P-256 in testa, vanno deprecati per i nuovi sistemi a partire dal 2030 e non più ammessi, nemmeno per interoperabilità con il passato, dal 2035. Va detto con precisione che IR 8547 è una bozza, l’initial public draft il cui periodo di commento si è chiuso nel gennaio 2025, e non è ancora finalizzata; ma la direzione è inequivocabile e per le agenzie federali statunitensi quella roadmap è già di fatto vincolante.

Il punto è che gli standard rispondono alla domanda sbagliata, o meglio, a una domanda che non è la più difficile. Sapere con cosa sostituire RSA è la parte risolta. La parte aperta è un’altra: dove si trova RSA, in quante applicazioni, dentro quali protocolli, in quali librerie di terze parti, su quali dispositivi che nessuno mappa da anni. La distanza tra disporre di uno standard e averlo adottato è esattamente la distanza che la crypto-agility deve colmare.

L’inventario crittografico: non si migra ciò che non si sa di avere

Il primo ostacolo non è crittografico, è di conoscenza. La crittografia moderna è ovunque e quasi sempre invisibile: incorporata nei protocolli di rete, nelle connessioni TLS, nei certificati, nelle firme del codice, nelle librerie richiamate da altre librerie, nei prodotti acquistati di cui non si controlla l’implementazione. Molte organizzazioni non hanno un elenco di questi usi, e ciò che non si conosce non si può migrare. Questa crittografia sommersa, la shadow cryptography, è il vero motivo per cui la transizione resta lenta.

Lo strumento che il settore sta consolidando per affrontarla è l’inventario crittografico, formalizzato nel concetto di Cryptography Bill of Materials, il CBOM definito da CycloneDX come modello standard per descrivere gli asset crittografici e le loro dipendenze. È l’estensione naturale di una pratica che la comunità della sicurezza conosce già per il software, il Software Bill of Materials: se è ragionevole pretendere la distinta dei componenti di un’applicazione, lo è altrettanto pretendere la distinta degli algoritmi e delle chiavi che la proteggono. Il CBOM censisce cosa si usa, in quale versione, con quali parametri e dove, e diventa la base su cui pianificare la sostituzione.

Costruirlo non è veloce. Per le grandi organizzazioni la sola scoperta del proprio patrimonio crittografico richiede tempi che si misurano in molti mesi, perché significa scavare nel debito tecnico, nei sistemi legacy, nei contratti con i fornitori, in tutto ciò che è stato cifrato e dimenticato. È un lavoro poco gratificante e senza riflettori, ma è il presupposto di qualunque migrazione seria. Chi parte dagli algoritmi senza l’inventario sta mettendo il tetto prima delle fondamenta.

Crypto-agility: progettare per il cambio, non per l’algoritmo del momento

Qui si arriva al cuore del problema, ed è il terreno del documento più rilevante uscito di recente. Il 19 dicembre 2025 NIST ha pubblicato il white paper CSWP 39, dedicato proprio alle strategie per ottenere la crypto-agility. La definizione che ne dà è precisa: la capacità di sostituire e adattare gli algoritmi crittografici in protocolli, applicazioni, software, hardware, firmware e infrastrutture preservando la sicurezza e la continuità operativa. La parola chiave è adattare con continuità, non migrare una volta.

La differenza è sostanziale. Una migrazione tratta il passaggio al post-quantum come un progetto con un inizio e una fine. La crypto-agility lo tratta come una proprietà architetturale permanente: i sistemi vanno progettati perché l’algoritmo sia un parametro sostituibile, non una scelta cementata nel codice. Significa astrarre le funzioni crittografiche dietro interfacce che permettono di cambiare implementazione senza riscrivere l’applicazione, gestire chiavi e certificati con cicli di rotazione governati, ed evitare le scelte che rendono rigido un sistema.

Le dipendenze crittografiche nascoste nel software

La rigidità nasce quasi sempre nello stesso punto: algoritmi e parametri scritti direttamente nel codice, hardcoded, senza alcuno strato di astrazione. Un sistema che richiama una funzione crittografica specifica in mille punti diversi non si può aggiornare se non riscrivendo mille punti.

A questo si aggiungono le dipendenze ereditate: librerie che ne richiamano altre, componenti di terze parti di cui non si controlla l’implementazione, protocolli che negoziano gli algoritmi in modi non sempre configurabili. La crypto-agility affronta queste dipendenze prima che diventino un vincolo, separando la logica applicativa dalla scelta crittografica e privilegiando, dove possibile, approcci ibridi che affiancano un algoritmo classico e uno post-quantum durante la transizione. Non è eleganza accademica: è ciò che determina se la prossima sostituzione costerà settimane o anni.

Perché conta adesso: harvest now, decrypt later e l’orologio che corre

La tentazione di rimandare è forte, perché un computer quantistico capace di rompere RSA non esiste ancora. Ma il calendario della minaccia non coincide con quello della tecnologia. Lo schema noto come harvest now, decrypt later descrive una pratica già in atto: intercettare e archiviare oggi dati cifrati che si potranno decifrare domani, quando la capacità quantistica sarà disponibile. Per qualunque informazione che debba restare riservata per dieci o vent’anni, segreti industriali, dati sanitari, materiale classificato, la decisione di migrare non riguarda il momento in cui arriveranno i computer quantistici, ma il valore residuo del dato in quel momento. Chi aspetta la prova della minaccia ha già perso la finestra.

A questo si somma la pressione delle scadenze. La traiettoria NIST verso il 2030 e il 2035 non è isolata: l’NSA, con la suite CNSA 2.0, ha fissato per i sistemi di sicurezza nazionale statunitensi una transizione obbligata, e fornitori come Google, AWS e Cloudflare hanno già avviato il dispiegamento di crittografia post-quantum nei propri servizi. Per le organizzazioni europee il vettore di pressione è in parte diverso ma converge: la spinta normativa verso la resilienza e la protezione del dato rende la postura crittografica un elemento di conformità, non solo di igiene tecnica. Chi ha già lavorato sulla preparazione al quantum sa che la parte algoritmica è la più semplice da spiegare e la meno onerosa da attuare.

Il vero deliverable non è il post-quantum, è la capacità di cambiare ancora

Conviene chiudere ribaltando la prospettiva con cui molti affrontano il tema. L’obiettivo della migrazione non è arrivare al post-quantum e dichiarare chiuso il capitolo. La storia della crittografia è una sequenza di transizioni, e nulla garantisce che gli algoritmi standardizzati oggi resteranno sicuri per sempre: la ricerca crittanalitica avanza, e una debolezza scoperta tra dieci anni imporrebbe l’ennesimo cambio. Il vero risultato di un programma ben fatto non è aver sostituito RSA con ML-KEM, ma aver costruito l’organizzazione in modo da poterlo rifare la prossima volta in modo ordinato.

È questa la ragione per cui la crypto-agility è un investimento che il post-quantum, da solo, non ripaga. La migrazione agli algoritmi quantum-resistant è l’occasione che rende urgente il problema, ma la capacità che vale la pena costruire è quella permanente: sapere cosa si cifra, dove, con cosa, e poterlo cambiare senza fermare l’azienda. Le organizzazioni che usciranno meglio da questa transizione non saranno quelle che avranno adottato più in fretta i nuovi standard, ma quelle che non dovranno più affrontare un trauma per cambiare un algoritmo. La crittografia post-quantistica è una destinazione. La crypto-agility è la strada, e va costruita una volta sola.

Condividi sui Social Network:

Ultimi Articoli