Le identità macchina sono in rapida crescita e la gestione delle chiavi crittografiche sta diventando sempre più complessa. Per le aziende che si preparano al mondo post-quantistico, è il momento di ripensare il modo in cui gestiscono queste identità e le loro chiavi crittografiche. Si pensa di conoscere sempre esattamente ciò che si possiede nei propri archivi: alcune chiavi SSH, numerosissimi certificati TLS e alcuni secret, come le chiavi API custodite in quello che si ritiene un posto sicuro. Ma quando si analizza la situazione con attenzione, si trovano pile di cifrari dimenticati, certificati scaduti e algoritmi in uso che si ritenevano abbandonati nel 2011. E questo è solo per una singola applicazione. Probabilmente, non ci si ricordava nemmeno di possedere la metà di queste credenziali. Alcune sono obsolete, altre dovevano essere temporanee, ma in qualche modo sono diventate permanenti.
È un vero e proprio disordine crittografico — che equivale a rischio. Ed è realtà, poiché il quantum computing presto farà sembrare il caos un incubo a occhi aperti.
Quando i computer quantistici saranno finalmente maturi, gli algoritmi alla base della nostra economia digitale — RSA, ECC, la PKI aziendale, potrebbero crollare, praticamente da un giorno all’altro. Con il rischio di scoprire cosa si possiede solo quando gli attaccanti lo stanno già sfruttando.
È tempo di riordinare la crittografia – e mettere in ordine le identità macchina.
L’importanza della consapevolezza dell’identità rispetto agli algoritmi
Molte organizzazioni potrebbero pensare che la loro preparazione alla crittografia post-quantistica (PQC) inizi con gli algoritmi: quali saranno quelli vincenti? Come facciamo a sapere che sono sicuri? Cosa ha già standardizzato il NIST?
Possiamo confermare che la preparazione alla crittografia quantistica inizia con la consapevolezza, non con la matematica. Nello specifico, con quella delle identità macchina.
Non si può migrare ciò che non si trova. Non si può proteggere ciò che non si vede. E non ci si può preparare a una minaccia futura se si è ancora alle prese con il debito crittografico di ieri. Il punto migliore da cui iniziare è dove si può costruire un business case immediato, come con i certificati TLS.
Gli attaccanti sponsorizzati da stati ne comprendono già i rischi e probabilmente stanno realizzando attivamente attacchi di tipo “harvest now, decrypt later”, raccogliendo il traffico crittografato oggi, archiviandolo e aspettando che sistemi quantistici sufficientemente potenti siano in grado di decifrarlo domani. Le community di intelligence come CISA, NSA e NIST diffondono avvisi sugli attacchi HNDL perché vedono il problema prima di noi. Il messaggio è chiaro: il tempo per la tecnologia quantistica è già scaduto.
Questo è solo uno dei motivi per cui queste stesse agenzie stanno già esortando i team di procurement a considerare la preparazione quantistica nelle decisioni di acquisto. Il messaggio è chiaro: il tempo stringe.
Come il disordine della crittografia fa crollare l’economia digitale in un mondo quantistico
Sebbene molte preoccupazioni, giustamente fondate, siano concentrate sulla decrittografia dei dati sensibili da parte dei computer quantistici, il rischio maggiore è la dissoluzione dell’identità. Cosa potrebbe succedere se un attaccante potesse assumere la nostra identità? Potrebbe falsificare il nostro cloud o le transazioni, inviare commit di codice falsi, dirottare i terminali di pagamento e persino impersonare i nostri carichi di lavoro in produzione.
Non si tratta solo di una violazione. Il disordine rende il loro lavoro ancora più facile, con ogni certificato non gestito, secret trascurato e PKI obsoleta che rappresenta una porta aperta.
Proprio come una casa disordinata facilita la perdita di oggetti di valore, il disordine crittografico fa sì che sia facile perdere di vista ciò che è positivo o negativo. Una volta che l’autenticazione fallisce, tutto crolla, inclusa la disponibilità aziendale.
Non dovrà accadere per forza, finché prendiamo sul serio le attività di PQC.
Semplificare per prepararsi al post-quantum: un framework di sicurezza in tre fasi
Ho imparato che un framework organizzativo “semplice ma efficace”, reso popolare da Marie Kondo, può essere utilizzato per ripulire la sicurezza delle identità macchina prima che i computer quantistici possano decifrare la crittografia a chiave pubblica. Qui di seguito tre passaggi fondamentali:
1. Scoprire tutte le identità macchina: il primo passo è identificare e catalogare tutte le identità macchina presenti in azienda (certificati, chiavi, token, ecc.), sapere dove si trovano, chi le possiede, quando scadono e a quali sistemi sono collegate. È importante non trascurare la Public Key Infrastructure (PKI), spesso vista solo come un problema crittografico, ma che è in realtà un problema di identità fondamentale per la preparazione quantistica. La visibilità è il primo pilastro.
2. Ordinare le identità macchina secondo sicurezza e compatibilità PQC: il secondo passo consiste nel valutare ogni identità macchina. Tramite il metodo Kondo ci si chiederebbe “mi dà gioia?” In termini di sicurezza, ci chiediamo invece: ispira fiducia rischio? Si devono valutare se le identità sono pronte o possono essere preparate per la migrazione alla crittografia post-quantistica (PQC), chi è responsabile delle modifiche e se le applicazioni saranno compatibili. Le identità che non “danno fiducia” devono essere rimosse. L’intelligence sulle identità macchina è il secondo pilastro, perché non basta sapere che esistono, bisogna sapere come agisce, come si comporta e se può resistere a un mondo post-quantistico.
3. Automatizzare i cicli di vita delle identità macchina per la resilienza quantistica: l’ultimo passo è automatizzare il ciclo di vita delle identità macchina per mantenere ordine e garantire resilienza quantistica. La durata dei certificati TLS sta diminuendo drasticamente – 200 giorni nel 2026, 100 nel 2027 e 47 nel 2029 – con un aumento previsto dei rinnovi da otto a dodici volte, rendendo insostenibile una gestione manuale. L’automazione permette di gestire in modo efficiente e rapido le identità, facilitando la transizione a nuovi standard crittografici senza interruzioni. L’automazione trasforma le scadenze dei certificati da problema a vantaggio di sicurezza, riducendo il rischio di exploit. L’automazione è il terzo pilastro, essenziale per l’agilità e per rendere la preparazione quantistica una routine.
Ecco il cambiamento fondamentale: il decluttering delle identità macchina non è un’operazione una tantum. Come ci ricorda Marie Kondo, riordinare è una maratona, non uno sprint. La preparazione al quantum funziona allo stesso modo – si costruiscono abitudini, creano sistemi, si automatizza e si ripete. Tutto questo mantiene in ordine la “casa” crittografica.
A cura di Kevin Bocek, senior vice president of innovation di CyberArk
