Torna al Blog

Q-Day e Quantageddon: la crittografia post-quantum non può aspettare

·8 min lettura
Orologio digitale in un circuito quantistico — rappresentazione del Teorema di Mosca

Per anni il dibattito sul quantum computing è stato raccontato come uno scontro tra due estremi: da una parte l'apocalisse imminente, dall'altra l'idea che non ci sia nulla da fare per almeno un paio di decenni. Entrambe le posizioni sono fuorvianti. Il punto non è prevedere con precisione il giorno in cui un computer quantistico riuscirà a compromettere gli algoritmi oggi più usati. Il punto è capire quando un'organizzazione deve iniziare a muoversi.

Il NIST, nel frattempo, ha già pubblicato i primi standard finali di crittografia post-quantum e invita le organizzazioni ad avviare subito la transizione.

La regola del Q-Day: quando il margine si azzera

Esiste una regola decisionale, formulata dal crittografo Michele Mosca, che traduce il rischio in una disequazione. La sua forma più nota è:

x + y > Q

x = vita utile del segreto — per quanto tempo dati, chiavi o firme devono restare affidabili

y = tempo necessario per completare la migrazione

Q = tempo stimato prima dell'arrivo di una capacità quantistica crittograficamente rilevante

La lettura è semplice: se il tempo per cui i tuoi dati devono restare sicuri, sommato al tempo che ti serve per migrare, supera il tempo residuo prima della minaccia, allora sei già in area di rischio. Non perché il quantum stia rompendo oggi i tuoi sistemi, ma perché il tuo margine operativo si è già consumato.

Questa impostazione è ripresa in numerosi materiali divulgativi e slide tecniche, incluso il formato calendario "anno corrente + Q − x − y" usato per trasformare il ragionamento in una data di avvio della transizione.

Figura 1 — Interpretazione pratica della regola del Q-Day: il rischio emerge quando la vita utile dei segreti (x) sommata al tempo di migrazione (y) supera il tempo residuo prima dell'arrivo di una minaccia quantistica credibile (Q).

OGGI
Q-DAY
x (segreti)
y (migrazione)
⚠ RISCHIO

Dalla previsione alla pianificazione

Il valore di questa regola sta soprattutto qui: sposta la discussione dalla previsione alla pianificazione. Un'organizzazione non deve sapere con certezza quando arriverà il primo computer quantistico capace di rompere RSA o ECC su scala utile. Deve sapere quanto tempo le serve per:

  • censire dove usa crittografia vulnerabile;
  • capire quali dati hanno una lunga shelf-life;
  • sostituire algoritmi, librerie, protocolli, certificati, dispositivi e processi;
  • gestire ambienti legacy che non si aggiornano in pochi mesi.

È questo il punto che molte organizzazioni sottovalutano. La migrazione crittografica non è un semplice aggiornamento software. Coinvolge infrastruttura PKI, gestione delle chiavi, protocolli di rete, sistemi embedded, interfacce con terze parti, compliance e validazione operativa. Per questo il NIST ha pubblicato anche indicazioni specifiche sulla transizione, sottolineando la necessità di roadmap realistiche e coordinate.

Harvest now, decrypt later: il rischio che è già qui

C'è poi un secondo elemento, spesso più concreto del rischio "Q-Day": il modello harvest now, decrypt later. Un attaccante può intercettare oggi dati cifrati e conservarli, aspettando tecnologie future per decifrarli.

Questo significa che i dati con valore a lungo termine non vanno valutati solo in base alla sicurezza attuale, ma anche alla loro esposizione futura. Se l'informazione deve restare riservata per dieci anni, e la migrazione richiede quattro o cinque anni, il conto si accorcia molto rapidamente.

Il punto chiave

I dati intercettati oggi con cifratura classica potranno essere decifrati domani con capacità quantistiche. Il danno non è futuro: l'esposizione è già in corso.

Cosa fare ora: classificare, prioritizzare, progettare

Dal punto di vista operativo, la regola del Q-Day non dice "correte tutti a cambiare tutto domani". Dice qualcosa di più utile: iniziate ora a classificare, prioritizzare e progettare. La transizione post-quantum va affrontata come un programma di trasformazione, non come una reazione d'emergenza.

Il NIST ha già standardizzato ML-KEM, ML-DSA e SLH-DSA come primi riferimenti principali, e sta continuando il lavoro su ulteriori algoritmi, incluso HQC come algoritmo di backup per la cifratura. Questo rende il tema non più teorico, ma concretamente inserito nelle roadmap tecnologiche.

Standard NISTTipoStato
ML-KEM (FIPS 203)Key EncapsulationFinale
ML-DSA (FIPS 204)Digital SignatureFinale
SLH-DSA (FIPS 205)Digital SignatureFinale
HQCKey Encapsulation (backup)In corso

Il Q-Day dentro l'ISMS

La crittografia non è un tema isolato: è un controllo di sicurezza governato all'interno di un Sistema di Gestione della Sicurezza delle Informazioni. Per le organizzazioni certificate — o in percorso verso — la ISO/IEC 27001, la transizione post-quantum si inquadra naturalmente nei processi già previsti dallo standard.

Clausola / ControlloImplicazione per la transizione PQC
A.8.24 — Use of cryptographyLa policy crittografica deve essere aggiornata per includere la valutazione degli algoritmi vulnerabili al quantum e la pianificazione della migrazione verso algoritmi post-quantum.
Clausola 6.1 — Risk assessmentIl rischio "harvest now, decrypt later" deve essere censito nel registro dei rischi, con valutazione dell'impatto sui dati a lunga conservazione.
Clausola 8.1 — Operational planningLa migrazione crittografica è un piano operativo che va governato come qualsiasi altro cambiamento nel perimetro ISMS: risorse, tempistiche, responsabilità.
Clausola 10.1 — Continual improvementLa transizione PQC è un caso concreto di miglioramento continuo guidato dall'evoluzione delle minacce e dalla pubblicazione di nuovi standard.

Attenzione

Un ISMS che non ha ancora censito la propria esposizione crittografica post-quantum ha un gap nel proprio risk assessment. Non si tratta di una minaccia futura: è una lacuna già presente nella valutazione dei rischi.

La transizione PQC non è solo un progetto IT. È un aggiornamento della postura di sicurezza dell'organizzazione, e come tale va trattato all'interno del ciclo di vita dell'ISMS.

Conclusione

Il problema non è indovinare l'anno esatto del Quantageddon. Il problema è arrivare pronti prima che quella svolta renda troppo costoso, troppo lento o troppo tardivo il cambiamento. La regola del Q-Day non predice il futuro, ma impedisce di usarlo come scusa per non pianificare il presente.

Vuoi capire se la tua organizzazione è già in area di rischio?

Possiamo aiutarti a mappare la tua esposizione crittografica e progettare una roadmap di transizione post-quantum.

Contattaci