Inhaltsverzeichnis

2.2 Rischio

Analisi del rischio per la minaccia quantistica e misure di protezione.

La minaccia: Harvest Now, Decrypt Later

Scenario:

  1. L'attaccante intercetta oggi comunicazioni cifrate
  2. Le conserva per anni
  3. Le decifra con un futuro computer quantistico

Dati interessati:

Tempistica

timeline title Timeline migrazione quantum section Ora (2024-2025) NIST FIPS 203/204 finali : ML-DSA & ML-KEM standardizzati OpenSSL 3.6 : Algoritmi PQ disponibili Libreria WvdS : Crittografia ibrida pronta per produzione section Transizione (2026-2028) EU NIS2 : Infrastrutture critiche devono agire Raccomandazione BSI : Migrazione PQ per enti pubblici Enterprise : Grandi aziende migrano section Critico (2029-2032) CRQC possibile : Computer quantistico crittograficamente rilevante Legacy insicuro : RSA/ECDSA violati Deadline : Tutti i sistemi devono essere PQ-ready

Fonte Stima (QC crittograficamente rilevante)
BSI1) 10-20 anni
NIST2) „Sconosciuto, potrebbe arrivare prima“
Global Risk Institute3) ~14 anni fino a CRQC (stima mediana)

Punto critico: I dati con esigenza di protezione >10 anni sono gia ora a rischio4).

Matrice di rischio

Tipo di dati Esigenza protezione Rischio senza PQ
Segreti di stato 50+ anni5) Critico
Dati sanitari 30+ anni6) Critico
Contratti finanziari 10-30 anni7) Alto
Segreti aziendali 5-10 anni Medio
Operazioni quotidiane <5 anni Basso

Mitigazione del rischio

La crittografia ibrida offre:

Aspetto Beneficio
A prova di futuro La firma PQ protegge contro attacchi quantistici
Retrocompatibilita I sistemi legacy continuano a funzionare
Zero rischi Sicuro se uno degli algoritmi e sicuro
Pronto all'uso 2 righe di codice per l'attivazione

Costi-benefici

Costi di implementazione:

Costi dell'inazione:

Conclusione: Basso investimento, alto valore di protezione.

Raccomandazione

Iniziare ora, non aspettare.

La migrazione alla crittografia ibrida richiede mesi o anni (a seconda delle dimensioni del sistema). Quando i computer quantistici saranno disponibili, sara troppo tardi per i dati intercettati oggi.

Approfondimenti

Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional

, ,
1)
BSI: „Quantum-Safe Cryptography - Fundamentals, Current Developments and Recommendations“, 2021, Section 4.1: https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/Publications/Brochure/quantum-safe-cryptography.pdf
2)
NIST: „Post-Quantum Cryptography FAQ“, 2024: https://csrc.nist.gov/projects/post-quantum-cryptography/faqs
3)
Global Risk Institute: „Quantum Threat Timeline Report“, Dicembre 2023, S. 4-5: https://globalriskinstitute.org/publication/quantum-threat-timeline-report-2023/
4)
BSI: „Kryptografie quantensicher gestalten - Handlungsempfehlungen des BSI“, Settembre 2024, Sezione 2.3: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Krypto/Post-Quanten-Kryptografie_Handlungsempfehlungen.pdf
5)
BSI VS-Anweisung (VSA): Termini di conservazione per documenti classificati
6)
MBO-A PS 10 Abs. 3: Obbligo conservazione documentazione medica
7)
HGB PS 257: Termini conservazione corrispondenza commerciale