Il grande salto verso la crittografia del futuro: l’agenzia americana National Institute of Standards and Technology (NIST) accelera la standardizzazione degli algoritmi di firma digitale resistenti agli attacchi dei computer quantistici.
Di fatto, il NIST ha compiuto un passo significativo nella corsa alla protezione dei dati nell’era quantistica: nove algoritmi di firma digitale sono stati promossi al terzo round del suo processo di standardizzazione post-crittografia quantistica (PQC). Dopo aver ricevuto 50 proposte in risposta alla call del 2022, l’agenzia aveva accettato 40 candidati al primo round e ristretto il campo a 14 finalisti nel secondo, per arrivare a selezionare i nove algoritmi rimasti in questo mese.
I candidati scelti per proseguire la valutazione sono Faest, Hawk, Mayo, Mqom, QR-Uov, SDitH, Snova, SQIsign e Uov. La fase di terzo round durerà circa due anni e permetterà ai team di sottomissione di aggiornare le specifiche tecniche e le implementazioni software prima che il NIST prenda ulteriori decisioni sulla standardizzazione.
Indice degli argomenti:
Perché la crittografia post-quantum è urgente
È importante evidenziare che le firme digitali sono il cuore pulsante della sicurezza informatica moderna. Vengono utilizzate per: verificare identità; autenticare aggiornamenti software; proteggere transazioni finanziarie; garantire l’integrità dei dati.
Ciò è fondamentale per gestire il rischio che guida l’intero sforzo post-quantistico: un computer quantistico sufficientemente potente potrebbe rompere gran parte dei sistemi di crittografia a chiave pubblica (Public Key Cryptography – PKC) su cui si regge internet e l’infrastruttura globale delle comunicazioni, dalla banca al cloud, dalla difesa alla sanità.
Il NIST ha lanciato il suo processo pubblico di standardizzazione PQC nel 2016, mentre la ricerca sul calcolo quantistico accelerava in laboratori governativi, università e aziende private. Da allora, l’agenzia ha condotto un processo di revisione multi-round in stile competizione per identificare schemi di firma digitale e meccanismi di incapsulamento delle chiavi adatti al dispiegamento federale e commerciale.
I primi standard e la necessità di diversificare
Il NIST aveva già completato cicli precedenti di valutazione che hanno prodotto il suo primo set di standard post-quantistici: il meccanismo di incapsulamento delle chiavi Crystal-Kyber (ora ML-KEM) e gli schemi di firma Crystal-Dilithium (ML-DSA), Falcon (FN-DSA) e Sphincs+ (SLH-DSA).
La maggior parte di quelle selezioni si basava sulla matematica a reticolo strutturato, ovvero, una famiglia di problemi matematici ritenuti resistenti sia ai computer classici sia a quelli quantistici.
È doveroso ricordare che la nuova iniziativa sulle firme digitali aggiuntive è stata progettata in parte per evitare un’eccessiva dipendenza da una singola famiglia di assunzioni matematiche, mentre le proposte non-reticolo dovevano superare SPHINCS+ almeno in un’area rilevante.
Tale strategia riflette il concetto di “agilità crittografica”, ovvero, la capacità di sostituire rapidamente i sistemi di sicurezza qualora venissero scoperte vulnerabilità, senza compromettere infrastrutture critiche.
Inoltre, la valutazione dei candidati del secondo round si è concentrata su tre aree principali:
- sicurezza;
- costi e performance;
- caratteristiche generali degli algoritmi e delle loro implementazioni.
La sicurezza ha rappresentato la priorità assoluta, data la destinazione finale di questi algoritmi ovvero: protocolli Internet, aggiornamenti firmware, sistemi di firma documentale, infrastrutture di certificati digitali.
I nove finalisti: caratteristiche
Di seguito una descrizione delle caratteristiche dei nove finalisti del terzo round
Hawk
Si distingue come schema basato su reticolo che elimina la dipendenza di Falcon dall’aritmetica in virgola mobile, utilizzando esclusivamente operazioni su interi. Il NIST ne ha evidenziato le firme compatte, il profilo di implementazione efficiente e l’idoneità per dispositivi vincolati, incoraggiando ulteriori analisi delle sue assunzioni di sicurezza di base.
SQIsign
È il candidato più peculiare del gruppo. Le sue dimensioni eccezionalmente ridotte di chiave pubblica e firma lo rendono attraente per certificati e aggiornamenti firmware. Raffinamenti architetturali hanno migliorato le performance di firma di circa 20 volte mantenendo la resistenza agli attacchi, e nonostante le preoccupazioni legate alla complessità implementativa e alla resistenza ai side-channel, è avanzato grazie alla sua compattezza e alla crescente maturità.
Faest
Si tratta di uno schema VOLE-in-the-Head che si affida alle primitive crittografiche simmetriche consolidate, come AES. I ricercatori hanno dimostrato nuovi attacchi side-channel e fault-injection contro certe implementazioni, ma il NIST ha concluso che tali rischi sono gestibili.
Mqom
È emerso come uno dei candidati MPC-in-the-Head (MPCitH – i.e. Multiparty Computation protocols) più competitivi, grazie al suo profilo di performance altamente competitivo e alle dimensioni relativamente ridotte di chiave pubblica e firma, basato sulla difficoltà di risolvere equazioni quadratiche multivariate.
SDitH
Si è distinto per le sue assunzioni di sicurezza conservative, basate sul problema della decodifica della sindrome per codici lineari casuali, un problema studiato da lungo tempo. Nonostante i costi computazionali relativamente elevati e l’evoluzione progettuale complessa, il NIST lo ha selezionato per la solidità delle sue fondamenta matematiche.
UOV
È apprezzato per le firme molto compatte e la velocità di verifica,
Mayo
Bilancia dimensioni ridotte di chiave pubblica con performance efficienti,
QR-UOV Si è distinto per aver largamente evitato gli attacchi “wedge” che hanno colpito altri schemi caratteristici-2.
Snova
Si distingue per comprimere aggressivamente le dimensioni della chiave pubblica. Il NIST ha riconosciuto che i recenti attacchi alla crittografia multivariata estenderanno probabilmente i tempi per eventuali future decisioni di standardizzazione in questa categoria.
La parola all’esperto
Come evidenzia Valerio Pastore, CEO di Cyber Grant Italia: “La crittografia post-quantum ormai non è più solo un tema accademico, sta iniziando a diventare qualcosa di concreto anche per aziende e infrastrutture critiche”. E aggiunge: “Secondo me, la cosa più interessante di questo terzo round è proprio la diversificazione: il NIST vuole evitare che in futuro ci si ritrovi a dipendere troppo da una sola famiglia crittografica. La transizione al post-quantum probabilmente sarà uno dei cambiamenti più grossi che vedremo nella cybersicurezza nei prossimi anni. E chi oggi comincia a lavorare su crypto agility e inventario crittografico, ritengo che partirà decisamente avanti rispetto agli altri.”
I prossimi passi
I team di sottomissione potranno apportare limitate revisioni per correggere debolezze, incongruenze o problemi implementativi entro il 14 agosto 2026. Il NIST ha avvertito che riprogettazioni radicali potrebbero indicare una mancanza di maturità per la standardizzazione, anche se alcuni schemi, in particolare i candidati multivariati più recenti, potrebbero richiedere aggiustamenti più ampi.
È prevista inoltre una conferenza internazionale sulla standardizzazione PQC nel 2027, probabilmente nei pressi di Gaithersburg, Maryland, sede dell’agenzia.
Conclusione
La selezione dei nove candidati al terzo round segna la continuazione di un impegno iniziato quasi un decennio fa. Il NIST ha dichiarato che i candidati rimasti saranno sottoposti ad analisi più approfondite su sicurezza, maturità implementativa e performance nel mondo reale, mentre l’agenzia lavora ad espandere e diversificare il suo portafoglio di crittografia post-quantistica.
La posta in gioco è alta: banche, ospedali, infrastrutture critiche, sistemi di difesa e miliardi di dispositivi connessi dipenderanno nei prossimi decenni da algoritmi che oggi sono ancora in fase di valutazione. Pertanto, prepararsi prima che i computer quantistici diventino abbastanza potenti da costituire una minaccia reale non è più una scelta, ma una necessità strategica globale.
