Estensione del già noto concetto di Software Bill of Materials (SBOM) delle catene di fornitura software - una sorta di distinta base de
Estensione del già noto concetto di Software Bill of Materials (SBOM) delle catene di fornitura software – una sorta di distinta base del software, un inventario che consente di dettagliare con precisione tutti componenti di codice, la loro discendenza, le librerie e le dipendenze su cui è costruita un’applicazione – il nuovo approccio CBOM (acronimo di Cryptography Bill of Materials) messo a punto dai ricercatori di IBM descrive le risorse crittografiche estendendo al contempo gli strumenti esistenti della supply chain del software.
Ideato e sviluppato per semplificare la creazione e la gestione di un inventario di crittografia tra diversi software, servizi e infrastrutture, l’approccio CBOM consente di aggiungere componenti crittografici complessi a strumenti e processi consolidati per valutare la sicurezza e l’integrità della catena di fornitura del software.Obiettivo, capire come migrare alla crittografia quantistica sicura (più nota come crittografia post-quantistica). L’inventario crittografico messo a punto da IBM, infatti, ha come scopo scoprire la presenza e l’uso della crittografia in sistemi, software o Software as a Service (SaaS), capirne l’efficacia e pianificare eventualmente la migrazione a sistemi più efficaci, come quelli della crittografia post-quantistica.
Perché c’è bisogno della crittografia post-quantistica
Il quantum computing ci aiuterà a risolvere i problemi più complessi della scienza e del business (soprattutto nell’area Finance, dell’Energy e dell’Healthcare), ma ci sono rischi legati alla sicurezza dei dati che non possono essere ignorati e che vanno risolti ora, prima che l’informatica quantistica raggiunga la sua piena maturità.Gli attuali schemi di crittografia, anche quelli più avanzati utilizzati per esempio per proteggere i dati sensibili, i dati e le informazioni finanziarie oppure i dati sanitari, risultano del tutto inadeguati di fronte alle potenzialità dell’informatica quantistica. La crittografia quantistica sicura è la progettazione e l’implementazione di protocolli che si ritiene siano sicuri contro le capacità computazionali aggiuntive dei computer quantistici.
In sostanza, il campo della crittografia quantistica si occupa della creazione di crittografia a chiave pubblica, che può essere implementata su dispositivi standard, in grado di resistere agli attacchi quantistici. Il World Economic Forum ha recentemente stimato che più di 20 miliardi di dispositivi digitali dovranno essere aggiornati o sostituiti nei prossimi 10-20 anni con queste nuove forme di comunicazione crittografata quantistica. Perché se è vero che gli impatti del quantum computing si vedranno in futuro, la minaccia inizia a farsi sentire ora, nel presente. Un presente fatto di velocità con cui i computer quantistici scalano e miglioramenti continui negli algoritmi quantistici o scoperta di nuovi algoritmi, accompagnati dalla difficoltà di aggiungere approcci mitiganti ai sistemi minacciati.
I rischi del quantum computing
Per comprendere le dimensioni della minaccia è utile esaminare l’impatto che potrebbe avere in futuro un uso improprio di una grande macchina quantistica (per la quale – va ricordato – serviranno ancora molti anni di ricerca e sviluppo):
•i dati riservati che sono stati raccolti (ma anche rubati o persi) nel corso degli anni potrebbero essere decrittografati con estrema facilità;
•le risorse su blockchain potrebbero essere trasferite in modo fraudolento;
•le firme digitali utilizzate per convalidare legalmente le transazioni potrebbero essere messe in discussione; i sistemi legacy potrebbero essere presi di mira con aggiornamenti software fraudolenti; le prove digitali potrebbero essere manipolate; L’elenco potrebbe proseguire con molti altri punti.
Il fatto è che si tratta di minacce reali che coinvolgono tutti i dati, i sistemi e le tecnologie che non saranno resi sicuri in chiave quantistica. Il nuovo approccio CBOM deve quindi essere visto come un sistema di gestione del rischio Quantum Safe, che deve considerare il “valore temporale della sicurezza” di sistemi e dati, ossia esaminare e tenere conto del valore di una vulnerabilità nel futuro. I sistemi in cui l’impatto sulla sicurezza di una violazione è elevato per gli anni a venire necessiteranno di azioni di mitigazione molto prima della data di arrivo prevista dei computer quantistici su larga scala.
Fonte: Il Sole 24 ore
