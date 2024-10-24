I computer quantistici stanno uscendo dalla fase di pura ricerca e stanno diventando strumenti utili. Sono utilizzati in diversi settori e organizzazioni per esplorare le frontiere delle sfide nella sanità e nelle scienze della vita, nella fisica delle alte energie, nello sviluppo dei materiali, nell'ottimizzazione e nella sostenibilità. Tuttavia, con la loro diffusione, saranno anche in grado di risolvere alcuni complessi problemi matematici su cui si basa l'attuale crittografia a chiave pubblica. Un futuro computer quantico crittograficamente rilevante (CRQC) potrebbe violare gli algoritmi di crittografia asimmetrica utilizzati a livello globale che attualmente aiutano a garantire la riservatezza e l'integrità dei dati e l'autenticità degli accessi ai sistemi.
I rischi imposti da un CRQC sono di vasta portata: possibili violazioni dei dati, interruzioni delle infrastrutture digitali e persino manipolazioni globali su larga scala. Questi futuri computer quantistici rappresenteranno uno dei maggiori rischi per l'economia digitale e rappresenteranno un rischio informatico significativo per le aziende.
Oggi c'è già un rischio attivo. I criminali informatici raccolgono oggi dati criptati con l'obiettivo di decrittografarli in un secondo momento, quando avranno a disposizione un CRQC, una minaccia nota come "harvest now, decrypt later". Se hanno accesso a un CRQC, possono decrittografare retroattivamente i dati, ottenendo un accesso non autorizzato a informazioni altamente sensibili.
Fortunatamente, gli algoritmi di crittografia post-quantistica (PQC), capaci di proteggere i sistemi e i dati odierni, sono stati standardizzati. Il National Institute of Standards and Technology (NIST) ha recentemente rilasciato la prima serie di tre standard:
Due degli standard (ML-KEM e ML-DSA) sono stati sviluppati da IBM con collaboratori esterni, mentre il terzo (SLH-DSA) è stato sviluppato congiuntamente da uno scienziato che nel frattempo è entrato a far parte di IBM.
Questi algoritmi saranno adottati da governi e settori in tutto il mondo come parte di protocolli di sicurezza quali "Transport Layer Security" (TLS) e molti altri.
La buona notizia è che questi algoritmi sono a nostra disposizione per proteggerci dal rischio quantistico. La cattiva notizia è che le imprese devono migrare il proprio patrimonio per adottare questi nuovi standard PQC.
I precedenti programmi di migrazione degli algoritmi crittografici richiedevano anni per essere completati. Chiediti come organizzazione: quanto è durato il tuo programma di migrazione da SHA1 a SHA2? Che dire del programma di aggiornamento dell'infrastruttura a chiave pubblica (PKI), in cui hai aumentato la dimensione delle chiavi della catena di trust PKI da 1024 bit a 2048 bit o a 3072 bit o a 4096 bit? Quanto tempo ha richiesto l'implementazione di tutto questo nel tuo complesso ambiente aziendale? Diversi anni?
L'impatto del quantum computing e dell'implementazione degli standard PQC è enorme e copre un insieme completo della sua organizzazione. Il rischio del quantum computing riguarda molti altri sistemi, strumenti e servizi di sicurezza, applicazioni e infrastrutture di rete. La tua organizzazione deve passare immediatamente agli standard PQC per salvaguardare i tuoi asset e dati.
Per proteggere la tua organizzazione dai rischi del tipo "harvest now, decrypt later", ti consigliamo di eseguire un programma di trasformazione quantistico/a sicura. Inizia ad adottare strumenti e servizi che ti consentano di implementare gli standard di crittografia PQC annunciati di recente.
IBM ha sviluppato una metodologia completa di programma quantistico, attualmente utilizzata su dozzine di clienti, distribuiti in settori chiave e dozzine di paesi, compresi i governi nazionali.
Consigliamo ai clienti di adottare un programma che preveda le seguenti fasi chiave:
Nella fase 1 del percorso del programma, concentrati su aree chiave, come la creazione di una campagna di sensibilizzazione in tutta l'organizzazione per istruire gli stakeholder e gli esperti in materia di sicurezza (SME) sul rischio quantistico. Istituisci degli “ambasciatori” o “campioni” della sicurezza quantistica che siano sempre aggiornati sul rischio quantistico e sull’evoluzione della sicurezza quantistica e che fungano da referenti centrali per il programma e contribuiscano a definire la strategia aziendale.
Quindi conduci una valutazione del rischio quantistico rispetto agli asset aziendali crittograficamente rilevanti della tua organizzazione, ovvero qualsiasi risorsa che utilizza o si basa sulla crittografia in generale. * Ad esempio, la tua valutazione del rischio e dell'impatto dovrebbe valutare la rilevanza commerciale dell'asset, la complessità ambientale e la difficoltà di migrazione, tra le altre aree di valutazione. Identifica le vulnerabilità all'interno degli asset, comprese eventuali azioni urgenti e produci un rapporto che evidenzi i risultati per i principali stakeholder, aiutandoli a comprendere la postura di rischio quantistico dell'organizzazione. Questo può anche servire come base per sviluppare l'inventario della crittografia della tua azienda.
Nella fase 2, guida i tuoi stakeholder su come affrontare le aree prioritarie identificate, le potenziali debolezze crittografiche e i rischi quantistici. Quindi, descrivi dettagliatamente le azioni di correzione, ad esempio evidenziando i sistemi che potrebbero non essere in grado di supportare gli algoritmi PQC. Infine, esprimi gli obiettivi del programma di migrazione.
In questa fase, IBM aiuta i clienti a delineare una roadmap per la migrazione sicura alla tecnologia quantistica, che descrive nel dettaglio le iniziative di sicurezza quantistica necessarie affinché la tua organizzazione raggiunga i propri obiettivi.
Come consigliamo ai nostri clienti: considera iniziative critiche nelle tue roadmap, come lo sviluppo di un framework per la crittografia, la priorità a sistemi e dati per la migrazione PQC. Aggiorna le tue pratiche e linee guida per lo sviluppo di software sicuro per utilizzare PQC in fase di progettazione e produrre distinte base crittografiche (CBOM). Collabora con i tuoi fornitori per comprendere le dipendenze di terze parti e gli artefatti crittografici. Aggiorna i tuoi processi di procurement per concentrarti su soluzioni e servizi che supportano PQC per impedire la creazione di nuovi debiti crittografici o di nuove legacy.
Una delle capacità chiave richieste è l'"osservabilità crittografica", un inventario crittografico che consente agli stakeholder di monitorare i progressi nell'adozione del PQC durante tutto il percorso verso la sicurezza quantistica. Tale inventario dovrebbe essere supportato da raccolta automatica dei dati, analisi dei dati e gestione della postura di rischio e conformità.
Nella fase 3, la tua organizzazione esegue il programma di migrazione quantistica implementando iniziative basate su sistemi/rischi/costi prioritari, obiettivi strategici, capacità di distribuzione, ecc. Sviluppa una Strategia quantistica applicata attraverso gli standard e le policy di sicurezza delle informazioni della tua organizzazione.
Esegui la migrazione tecnologica utilizzando architetture di riferimento standardizzate, testate e comprovate e modelli di migrazione, percorsi e blueprint.
Includi l'abilitazione dell'agilità crittografica all'interno delle soluzioni di sviluppo e migrazione e implementa il decoupling crittografico astraendo l'elaborazione locale della crittografia a servizi di piattaforma centralizzati, governati e facilmente adattabili.
Includi nel tuo programma un ciclo di feedback con le lezioni apprese. Consenti l'innovazione e la sperimentazione rapida di nuovi approcci e soluzioni per sostenere il programma di migrazione negli anni a venire.
Molti elementi sono difficili da migrare. Ad esempio, componenti fondamentali dell'infrastruttura Internet, come reti geografiche (WAN), reti locali (LAN), concentratori VPN e collegamenti Site-2-Site, saranno più complessi da migrare. Pertanto, questi elementi richiedono maggiore attenzione rispetto a quelli che hanno un uso limitato all'interno dell'organizzazione. I servizi di crittografia di base come PKI, sistemi di gestione principale, sistemi di pagamento sicuri, applicazioni di crittografia o backend come HSM, codificatori di link e mainframe, sono tutti complessi da migrare. È necessario considerare le dipendenze da diverse applicazioni e hardware, compresi i problemi di interoperabilità tecnologica.
Bisognerebbe anche considerare di testare le prestazioni degli standard PQC rispetto ai sistemi interni e ai workflow dati per garantire la compatibilità e l'accettabilità delle prestazioni e identificare eventuali preoccupazioni. Ad esempio, il PQC a volte richiede dimensioni di chiavi, testo cifrato o firma maggiori rispetto agli algoritmi attualmente utilizzati, che dovranno essere considerati nell'integrazione e nei test delle prestazioni. Alcune tecnologie critiche per l'organizzazione si basano ancora sulla crittografia legacy e potrebbero trovare difficile, o addirittura impossibile, migrare agli standard PQC. Potrebbe essere necessario il refactoring e la riprogettazione delle applicazioni.
Altre sfide includono la mancanza di competenze o di documentazione, che hanno creato lacune di conoscenza all'interno dell'azienda. Le informazioni codificate all'interno di sistemi/file di configurazione/script, ecc., renderanno ancora più complessa la migrazione.
Assicurati che le chiavi di crittografia e i certificati digitali siano tracciati e gestiti con precisione. Una cattiva gestione complicherà ulteriormente la migrazione.
Non tutti i casi d'uso saranno testati da gruppi di lavoro internazionali PQC. Ci saranno molte combinazioni o configurazioni di tecnologie uniche per le organizzazioni, e bisogna testare a fondo i sistemi da una prospettiva di workflow end-to-end.
Ora che il NIST ha pubblicato una prima serie di standard PQC, dobbiamo aspettarci che la regolamentazione al di fuori degli Stati Uniti seguirà rapidamente. Alcuni esempi nel contesto del settore finanziario:
Pertanto, ti consigliamo di concentrarti sullo sviluppo del framework di governance crittografica, che include lo sviluppo di una strategia quantistica sicura per la tua organizzazione. Dovrebbe essere allineato agli obiettivi strategici e alla visione aziendale e alle tempistiche previste. Un centro di eccellenza dovrebbe fornire supporto e consulenza come parte del programma di trasformazione. Il framework di governance dovrebbe concentrarsi su pilastri fondamentali quali la supervisione normativa dell'organizzazione, la garanzia crittografica e la gestione del rischio, lo sviluppo delle capacità di distribuzione e la formazione PQC. Doverebbe supportare l'adozione delle best practice all'interno dello sviluppo dell'applicazione e fornire modelli di architettura di sicurezza e recensioni del progetto tecnico.
Il programma di trasformazione sarà lungo e complesso. Richiede numerosi impegni interdipartimentali e una vasta gamma di competenze. Assicurati di gestire e osservare il morale del team e considera la cultura lavorativa della tua organizzazione e le pratiche di gestione del cambiamento per contribuire a garantire la coesione del programma durante i molti anni di erogazione.
Considera anche lo sviluppo di partnership, poiché molte organizzazioni dipendono da molteplici fornitori specifici per il loro settore ed ecosistema. Collabora con altri operatori del tuo settore per apprendere e condividere idee per affrontare insieme il rischio quantistico e la migrazione PQC attraverso gruppi di lavoro e gruppi di utenti.
Da una prospettiva operativa, assicurati di avere un catalogo di tracciabilità dei principali servizi aziendali e commerciali mappati in base a normative e leggi e inizia a pianificare una tempistica per la transizione riguardo a ciascuno di essi.
* Nota: in molti casi anche l'uso della crittografia simmetrica si baserà su qualche forma di crittografia a chiave pubblica, ad esempio lo scambio di chiavi.
