La scorsa settimana, Google ha rivelato un importante passo avanti nella sicurezza informatica con la presentazione della sua prima implementazione della chiave di sicurezza FIDO2 (Fast Identity Online) resistente ai potenziali attacchi quantistici. Questa implementazione innovativa, parte dell’iniziativa OpenSK per le chiavi di sicurezza, si basa sull’hardware open source ed è caratterizzata dall’uso di uno schema di firma ibrido ECC/Dilithium. Questo approccio sfrutta le peculiarità della crittografia ellittica (ECC) per difendersi dagli attacchi convenzionali, combinandole con la resistenza quantistica del Dilithium per affrontare le possibili minacce da parte dei computer quantistici.
Questa importante evoluzione arriva poco dopo l’annuncio di Google riguardo all’intenzione di introdurre il supporto per algoritmi crittografici in grado di resistere agli attacchi quantistici nella versione 116 del browser Chrome.
Negli ultimi dieci anni, matematici e ingegneri hanno lavorato instancabilmente per prevenire potenziali vulnerabilità crittografiche introducendo il concetto di crittografia post-quantistica (PQC). La PQC consiste in tecniche di crittografia progettate appositamente per resistere agli attacchi dei computer quantistici.
L’obiettivo principale di FIDO2 è eliminare la necessità di utilizzare password in contesti online. Questa tecnologia mira a stabilire standard aperti e non soggetti a licenze per l’autenticazione sicura senza password in ambiente Internet. Attraverso l’autenticazione FIDO2, si eliminano i rischi associati all’uso di nome utente e password, sostituendoli con un approccio che offre maggiore sicurezza contro le minacce online.
Una delle implementazioni più note di FIDO2 è la “passkey”, un metodo di autenticazione senza password. Attualmente, le passkey vengono considerate immune da attacchi di phishing. Molteplici siti web e servizi consentono agli utenti di accedere tramite passkey, usando chiavi crittografiche memorizzate all’interno di dispositivi come chiavi di sicurezza e smartphone. Anche grandi aziende come Microsoft e Apple supportano l’uso di chiavi di sicurezza FIDO2.
Sebbene gli attacchi quantistici siano ancora una minaccia futura, l’implementazione di crittografia su vasta scala richiede tempo e preparazione. Google ritiene che l’implementazione della chiave di sicurezza FIDO2 (o simili) possa diventare uno standard all’interno delle specifiche FIDO2, ottenendo supporto dai principali browser web. Questo passo è inteso a difendere le credenziali degli utenti dagli eventuali attacchi provenienti dai computer quantistici.
Gli attacchi informatici quantistici sfruttano le capacità avanzate dei computer quantistici per violare specifici algoritmi crittografici. Questi attacchi sfruttano proprietà della meccanica quantistica, come la sovrapposizione e l’entanglement, per eseguire calcoli complessi che sarebbero difficili o impossibili da realizzare con i computer classici. Alcuni algoritmi specifici utilizzati sono l’algoritmo di Shor e l’algoritmo di Grover, che consentono rispettivamente di scomporre numeri in parti prime e di cercare informazioni in database non ordinati.
Nei prossimi anni, i protocolli crittografici consolidati, come l’ampliamente utilizzato sistema RSA, potrebbero diventare vulnerabili agli attacchi quantistici. Secondo il think tank Hudson Institute, il settore finanziario sarà uno dei principali bersagli di futuri attacchi informatici quantistici, con potenziali perdite economiche stimate a trilioni di dollari.
Il National Institute of Standards and Technology (NIST) sottolinea che una volta superata la “soglia critica”, ovvero il punto in cui i computer quantistici possono vulnerare gli attuali metodi di crittografia, la sicurezza dei dati crittografati sarà compromessa. Questa è la ragione per cui è fondamentale adottare oggi misure di crittografia resistenti ai computer quantistici, al fine di proteggere i dati da eventuali attacchi.
L’approccio attuale di Google si basa sulla minaccia “raccogli ora, decrittografa dopo”, che sfrutta il fatto che le attuali tecnologie potrebbero essere vulnerabili ai futuri progressi tecnologici. In questo scenario, gli aggressori raccolgono dati crittografati in attesa di futuri sviluppi che possano rendere possibile la decrittazione.
Google, con questa implementazione di chiave di sicurezza resistente ai quanti, sembra essere pronta ad affrontare le sfide future legate all’informatica quantistica, dimostrando la sua dedizione al campo della sicurezza informatica avanzata.