La crittografia è già cambiata, ma il tuo browser non te l'ha detto

Apri un terminale, digita openssl s_client verso un sito moderno e leggi l'output: vedrai scritto qualcosa come "Server Temp Key: X25519MLKEM768". Quella seconda parte, MLKEM768, rappresenta una frattura silenziosa nella storia della sicurezza digitale. Per la prima volta in quarantasette anni, il traffico che protegge le tue transazioni bancarie, i tuoi messaggi e i tuoi dati sensibili non si affida più ai numeri primi. Vive invece dentro un reticolo matematico a 768 dimensioni. Il NIST ha pubblicato questo nuovo standard federale il 13 agosto 2024, e il cambiamento è già in corso nei server di mezzo mondo, eppure rimane quasi invisibile.

Cosa è successo

Il nuovo algoritmo si chiama ML-KEM-768 e deriva dalla famiglia CRYSTALS-Kyber. Non è una novità assoluta — i ricercatori lo conoscono da anni — ma il riconoscimento federale americano rappresenta un punto di svolta. Fino a oggi, ogni cifrario a chiave pubblica usato su Internet si basava su uno di tre problemi aritmetici: il logaritmo discreto (Diffie-Hellman, 1976), la fattorizzazione di interi (RSA, 1977), o il logaritmo discreto su curva ellittica (ECC, 1985). Tutti e tre condividono una proprietà: sono difficili per i computer classici, ma vulnerabili agli algoritmi quantistici.

ML-KEM-768 cambia il fondamento stesso. Non lavora con numeri primi o curve ellittiche, ma con strutture geometriche chiamate reticoli. La sicurezza non dipende da operazioni aritmetiche, ma dalla difficoltà di trovare il vettore più corto in uno spazio multidimensionale — un problema che i computer quantistici, almeno per ora, non sanno risolvere più velocemente di quelli classici.

Il rilascio è già diffuso nei sistemi reali. Chrome lo serve di default da agosto 2023. OpenSSH lo usa per gli handshake SSH da settembre 2024. Apple lo ha integrato in iMessage con il livello PQ3 (post-quantum). Signal lo ha aggiunto sopra il suo protocollo Double Ratchet. Non è una promessa futura: è già qui.

Perché è importante

La ragione dietro questo cambio è il rischio quantistico. Nel 1994 Peter Shor pubblicò un algoritmo che dimostra: se un computer quantistico sufficientemente potente esistesse, potrebbe fattorizzare numeri di n bit in tempo O(n³), rompendo RSA, Diffie-Hellman ed ECC simultaneamente. Oggi i computer quantistici più avanzati, come Willow di Google, raggiungono circa 100 qubit stabili. Per violare una chiave RSA da 2048 bit ne servirebbero milioni, privi di errori. Non siamo vicini.

Ma c'è un problema più urgente: l'attacco "Harvest Now, Decrypt Later". Un avversario potrebbe registrare oggi le comunicazioni cifrate con RSA e aspettare che la tecnologia quantistica maturi abbastanza per decifrarle retroattivamente. I dati sensibili di oggi — segreti commerciali, dati medici, comunicazioni diplomatiche — potrebbero diventare leggibili tra dieci o vent'anni. Per questo il NIST ha accelerato l'approvazione di algoritmi resistenti ai computer quantistici.

ML-KEM-768 è la risposta. Non è perfetto — nessun algoritmo lo è — ma offre una proprietà che RSA non ha: anche se un computer quantistico arrivasse domani, non potrebbe decifrare i messaggi protetti da reticoli con la stessa facilità. È una forma di assicurazione crittografica contro un futuro incerto.

Il passaggio è anche una vittoria della ricerca accademica. Gli algoritmi basati su reticoli sono nati in università, non in laboratori governativi. Il NIST ha aperto una competizione pubblica nel 2016, ha valutato decine di proposte, e ha scelto i migliori. Questo processo ha reso il nuovo standard più trasparente e sottoposto a scrutinio rispetto ai precedenti.

Cosa aspettarsi

Il rollout continuerà in modo graduale. I browser e i server moderni lo supporteranno sempre più, ma la migrazione non sarà istantanea. Molti sistemi legacy continueranno a usare RSA per anni. Le aziende dovranno aggiornare i loro certificati SSL/TLS, i loro sistemi di distribuzione delle chiavi, e i loro processi di validazione.

Una domanda aperta rimane: come gestire la transizione senza creare vulnerabilità? Per questo molti sistemi usano un approccio ibrido: X25519MLKEM768 significa che il tuo browser negozia sia la crittografia su curve ellittiche (X25519) sia quella su reticoli (MLKEM768) contemporaneamente. Se uno dei due algoritmi fosse compromesso, l'altro offrirebbe ancora protezione. È una strategia conservativa, ma ragionevole.

Un altro scenario da osservare è l'adozione da parte dei sistemi critici: infrastrutture governative, banche, fornitori di cloud. Questi saranno i primi a migrare completamente, perché hanno più da perdere da un attacco quantistico futuro. Le aziende più piccole seguiranno quando i costi di aggiornamento scenderanno e gli strumenti diventeranno più semplici.

Infine, il NIST ha già iniziato a valutare algoritmi per la firma digitale resistente ai computer quantistici. ML-DSA (basato su reticoli) e SLH-DSA (basato su funzioni hash) sono i candidati principali. Entro i prossimi anni, la firma digitale subirà la stessa transizione della crittografia a chiave pubblica.

Il cambiamento è silenzioso perché non è drammatico per l'utente finale. Non vedrai pop-up, non dovrai fare nulla. Ma ogni volta che apri un sito HTTPS moderno, stai già usando una forma di crittografia che non esisteva negli ultimi cinquant'anni. È il tipo di innovazione che accade dietro le quinte, e che scopri solo se sai dove guardare.