Rinnovare un certificato e ora una decisione quantistica

Un responsabile della sicurezza che rinnova un lotto di certificati TLS o firma un'immagine del firmware svolge un compito di routine che ora comporta una scelta dell'era quantistica. Il 9 luglio Cloudflare ha detto chiaramente che non attendera firme post-quantistiche migliori e usera ML-DSA, l'algoritmo standardizzato lo scorso anno. Punta a essere migrata del tutto entro il 2029, prima delle scadenze nazionali comprese tra il 2030 e il 2035.

Il motivo e il calendario, non la preferenza. L'hardware quantistico e il software che lo circonda continuano ad avanzare, e la migrazione stessa impiega anni per raggiungere ogni certificato e dispositivo. Partire tardi, non scegliere l'algoritmo sbagliato, e la vera esposizione.

Il post-quantistico ha una meta facile e una difficile

La maggiore attenzione va alla cifratura e alla minaccia di raccogliere oggi e decifrare domani, dove un nuovo scambio di chiavi chiamato ML-KEM protegge i dati in transito. Quella meta e già ben avviata su browser e server.

Le firme sono la meta più difficile. Autenticano certificati, codice, firmware, documenti e identità, e vivono in catene di certificati, dispositivi integrati e radici di lunga durata che nessuno sostituisce dall'oggi al domani. Le firme ML-DSA sono più grandi di quelle che sostituiscono, e ogni livello - browser, librerie, autorita di certificazione e hardware - deve aggiungere il supporto prima che il passaggio sia reale.

Le firme migliori sono un turno del NIST, non un prodotto

Il NIST ha portato nove candidati di firma aggiuntivi - FAEST, HAWK, MAYO, MQOM, QR-UOV, SDitH, SNOVA, SQIsign e UOV - a un terzo turno di valutazione il 14 maggio 2026, con le ultime modifiche entro il 14 agosto 2026. Diversi sono sulla carta più piccoli o più veloci di ML-DSA.

Quel turno e uno studio di due anni sulla sicurezza dell'implementazione e sugli attacchi fisici. Quando il NIST scelse l'ultima firma, servi comunque circa un anno per redigere lo standard, un altro per pubblicarlo come FIPS 204 e un altro per l'integrazione nei certificati. Una firma migliore e percio un manufatto dal 2029 in poi, non una scelta per il 2026.

Cosa fa un titolare prima del prossimo audit

Parti da un inventario di dove firmi: certificati TLS, firma del codice, catene di aggiornamento del firmware e firme di documenti e identità. In Europa il quadro eIDAS e il futuro portafoglio di identità digitale dell'UE poggiano su questo livello di firma, quindi la superficie e più ampia di quanto molti team suppongano.

Poi adotta ML-DSA dove controlli oggi gli endpoint, chiedi a fornitori e autorita di certificazione una tabella di marcia post-quantistica con date, e tratta l'agilita crittografica - la capacita di cambiare l'algoritmo in seguito - come il risultato atteso. NIS2 e DORA già si attendono la gestione esatta di questo rischio.