I computer quantistici sono in grado di rompere completamente e irreversibilmente i metodi a chiave pubblica più comunemente usati oggi. La crittografia post-quantistica può impedirlo. Ma quanto sono sicure le nuove procedure e cosa bisogna considerare quando le si applica?
Ciò che fino a qualche anno fa sembrava ancora fantascienza è ora a portata di mano: computer quantistici che, con una potenza di calcolo senza precedenti, stanno mettendo in pericolo la crittografia odierna - e quindi l'intera infrastruttura digitale.
Computer quantistici: il pericolo che viene dal futuro
Anche se probabilmente ci vorranno alcuni anni prima che venga utilizzato su tutta la linea, è comunque importante che le aziende si preparino per l'era quantistica in termini di sicurezza. Con l'ausilio di metodi di crittografia resistenti ai computer quantistici, è già oggi possibile garantire la riservatezza e la protezione delle informazioni a lungo termine. La cosiddetta crittografia post-quantistica utilizza metodi crittografici sicuri contro gli attacchi con computer quantistici e contro gli attacchi classici.
Algoritmi post-quantistici come nuova crittografia
Nel 2016, il National Institute of Standards and Technology (NIST) degli Stati Uniti ha avviato un processo di standardizzazione volto a testare e standardizzare diversi algoritmi post-quantistici per lo scambio di chiavi e la firma digitale. Sette finalisti sono passati al terzo e ultimo round del processo lo scorso anno. Questi includono CRYSTALS-Kyber, un algoritmo basato su griglia che utilizza la complessità delle griglie e quindi un difficile problema matematico per crittografare le informazioni. Ma quanto è davvero sicuro questo potenziale standard post-quantistico? Gli esperti di sicurezza IT di TÜV Informationstechnik GmbH (TÜViT) si sono posti questa domanda e hanno esaminato più da vicino CRYSTALS-Kyber, ovvero l'oscilloscopio.
Sicurezza post-quantistica usando l'esempio di CRYSTALS-Kyber
Il team del progetto, composto da Hauke Malte Steffen, Lucie Johanna Kogelheide e Timo Bartkewitz, ha esaminato un chip su cui è stato implementato l'algoritmo post-quantistico come previsto dallo sviluppatore. Per testare il chip, hanno utilizzato ciò che è già noto dalla crittografia classica: il fatto che gli attuali metodi crittografici possono essere attaccati utilizzando canali laterali.
"L'attenzione si è concentrata sulla questione se possiamo accedere ai dati effettivamente riservati sul chip nonostante la crittografia quantistica sicura", spiega Hauke Malte Steffen, studente tirocinante nel dipartimento di valutazione hardware di TÜViT. “Per fare ciò, abbiamo misurato la potenza consumata dal chip durante la crittografia dei messaggi nel nostro laboratorio hardware. Lo sfondo è che diverse operazioni portano anche a un diverso consumo energetico, il che a sua volta ci consente di trarre conclusioni sui dati crittografati." Con successo: perché gli esperti di sicurezza IT sono riusciti ad attaccare l'implementazione di riferimento di CRYSTALS-Kyber e i dati di conseguenza sono stati letti fuori.
In una fase successiva, il team del progetto ha quindi considerato come implementare in modo sicuro l'algoritmo basato sulla griglia. All'interno di questo quadro, hanno sviluppato quattro diverse implementazioni, ciascuna con un livello più complesso di contromisure. Questi includono, ad esempio, la creazione di un manichino o la randomizzazione dei bit. Il risultato: la prima fase ha già ridotto significativamente la probabilità di un attacco riuscito, mentre la quarta implementazione lo ha impedito del tutto.
Altro su TUVit.de
Informazioni sulla tecnologia dell'informazione TÜV
TÜV Informationstechnik GmbH si occupa di testare e certificare la sicurezza nella tecnologia dell'informazione. In qualità di fornitore indipendente di servizi di test per la sicurezza IT, TÜV Informationstechnik GmbH è un leader internazionale. Numerosi clienti stanno già beneficiando della comprovata sicurezza dell'azienda. Il portafoglio comprende sicurezza informatica, valutazione di software e hardware, IoT/Industria 4.0, protezione dei dati, ISMS, smart energy, sicurezza mobile, sicurezza automobilistica, eID e servizi fiduciari, nonché test e certificazione dei data center per quanto riguarda la loro fisica sicurezza e alta disponibilità.