Vai al contenuto principale
QuantumAPI
White Paper Tecnico

Harvest Now, Decrypt Later:
Perche i tuoi segreti hanno bisogno di protezione quantistica oggi

Una guida tecnica per CISO, architetti della sicurezza e leader tecnici sulla minaccia quantistica ai dati crittografati e un percorso pratico di migrazione alla crittografia post-quantistica.

Scarica PDFInizia Gratis

Pubblicato marzo 2026 | QuantumAPI di Kovimatic Limited

1. Sommario Esecutivo

Il problema centrale: Attori statali stanno intercettando e archiviando dati crittografati oggi, in attesa che i computer quantistici rompano la crittografia RSA ed ECC. Quando cio accadra — stimato tra il 2029 e il 2035 — ogni segreto, password, chiave API e comunicazione privata crittografata con algoritmi classici sara esposta retroattivamente.

Questo non e un rischio teorico. Le agenzie di intelligence hanno pubblicamente riconosciuto i programmi harvest-now-decrypt-later (HNDL). I dati che crittografi oggi hanno una data di scadenza — e per molte organizzazioni, quella data e piu vicina di quanto pensino.

Il NIST ha finalizzato tre standard crittografici post-quantistici nel 2024 (FIPS 203, 204, 205). L'UE ha pubblicato la sua roadmap di crittografia post-quantistica a giugno 2025, fissando il 2030 come scadenza per la migrazione delle infrastrutture critiche. La finestra per agire e adesso.

Questo white paper spiega la minaccia, gli standard, il panorama normativo e fornisce un percorso pratico di migrazione con QuantumAPI — la piattaforma europea per identita, segreti e crittografia quantisticamente sicura.

2. La Minaccia Quantistica ai Dati Crittografati

La crittografia moderna si basa su due problemi matematici che i computer classici non possono risolvere in modo efficiente:

  • RSA / Diffie-Hellman: Fattorizzazione di interi e logaritmo discreto
  • ECC (Elliptic Curve): Logaritmo discreto su curva ellittica

Nel 1994, il matematico Peter Shor pubblico un algoritmo che, eseguito su un computer quantistico sufficientemente potente, risolve entrambi i problemi in tempo polinomiale. Questo significa:

Rotto dal Quantistico

  • RSA-2048, RSA-4096
  • ECDSA, ECDH (P-256, P-384)
  • Diffie-Hellman key exchange
  • DSA digital signatures
  • EdDSA (Ed25519, Ed448)

Resistente al Quantistico

  • ML-KEM (CRYSTALS-Kyber) — FIPS 203
  • ML-DSA (CRYSTALS-Dilithium) — FIPS 204
  • SLH-DSA (SPHINCS+) — FIPS 205
  • AES-256-GCM (symmetric, already safe)
  • SHA-3, SHA-256 (hash functions)

Gli algoritmi simmetrici come AES-256 non sono direttamente minacciati dai computer quantistici. L'algoritmo di Grover riduce AES-256 alla sicurezza equivalente di AES-128, che rimane computazionalmente irrealizzabile. La vera vulnerabilita risiede nella crittografia asimmetrica — lo scambio di chiavi, le firme digitali e la crittografia a chiave pubblica che proteggono praticamente ogni connessione internet e segreto archiviato.

3. Tempistica: Quando i computer quantistici romperanno RSA?

La risposta onesta: nessuno lo sa esattamente. Ma le stime convergono:

FonteStimaAnno
Global Risk InstituteProbabilita significativa di rompere RSA-20482029-2035
BSI (German Federal Office)Raccomanda migrazione PQC entro2030
ENISA / EU RoadmapScadenza infrastrutture critiche2030
NSA / CNSA 2.0I sistemi di sicurezza nazionale devono usare PQC2035
IBM Quantum RoadmapSistemi da 100.000+ qubit2033

L'intuizione critica non e l'anno esatto — e la durata di vita dei dati. Se i tuoi dati devono rimanere confidenziali per 10 anni, e i computer quantistici potrebbero rompere RSA in 5-9 anni, allora i tuoi dati sono gia a rischio oggi.

Esempi di Durata dei Dati

  • PII dei clienti: Deve rimanere confidenziale finche la persona e in vita (50+ anni)
  • Cartelle cliniche: Legalmente protette per 30+ anni nella maggior parte delle giurisdizioni UE
  • Segreti commerciali: Vantaggio competitivo perso permanentemente in caso di esposizione
  • Chiavi di crittografia: La compromissione di una chiave root espone tutto cio che e stato crittografato con essa
  • Segreti API e credenziali: Anche se ruotati, i segreti esposti rivelano pattern di accesso storici

4. Harvest Now, Decrypt Later: Il Modello di Attacco

L'attacco Harvest Now, Decrypt Later (HNDL) e ingannevolmente semplice:

  1. IntercettareCatturare traffico crittografato e dati a riposo (tramite intercettazioni di rete, infrastruttura compromessa, accesso interno o attacchi alla supply chain)
  2. ArchiviareArchiviare i dati crittografati. Lo storage e economico — un petabyte costa meno di $20.000/anno
  3. AttendereContinuare a raccogliere fino a quando i computer quantistici saranno disponibili
  4. DecifrareEseguire l'algoritmo di Shor per recuperare le chiavi private, poi decifrare tutto retroattivamente

Questo non e speculativo. Nel 2023, il Comitato ITRE del Parlamento Europeo ha riconosciuto HNDL come una minaccia attiva. L'alleanza di intelligence Five Eyes ha esplicitamente citato questo modello di attacco nei documenti di orientamento.

Il calcolo economico e schiacciante a favore dell'attaccante: il costo dello storage diminuisce ogni anno, mentre il valore dei dati rimane costante o aumenta. Non c'e nessuno svantaggio nell'accumulare dati crittografati se si crede che la decrittazione quantistica sara eventualmente possibile.

5. Cosa non protegge TLS 1.3

Una risposta comune che sentiamo: «TLS 1.3 supporta gia lo scambio di chiavi post-quantistico (X25519Kyber768). Problema risolto, giusto?»

Sbagliato. TLS protegge solo i dati in transito — il momento tra l'invio e la ricezione. Una volta che i tuoi dati arrivano, TLS ha fatto il suo lavoro e la protezione finisce. Considera cosa succede dopo:

Livello di ProtezioneTLS 1.3QuantumAPI
Dati in transito (HTTPS)
Segreti archiviati nei database
Chiavi API e credenziali a riposo
Materiale delle chiavi di crittografia
Firme dei token JWT
Hash delle password (se avvolti con RSA)
Archivi di backup
Integrita dei log di audit

TLS e necessario ma non sufficiente. Il tuo vault di segreti, sistema di gestione delle chiavi e piattaforma di identita devono utilizzare indipendentemente algoritmi post-quantistici per proteggere i dati a riposo e il materiale delle chiavi.

6. Standard Post-Quantistici NIST

Nell'agosto 2024, il NIST ha pubblicato tre standard crittografici post-quantistici dopo un processo di valutazione di 8 anni con contributi di ricercatori di tutto il mondo:

FIPS 203

ML-KEM

Meccanismo di incapsulamento delle chiavi basato su reticoli modulari (precedentemente CRYSTALS-Kyber). Usato per lo scambio di chiavi e la crittografia.

ML-KEM-512 — NIST Level 1

ML-KEM-768 — NIST Level 3 (default)

ML-KEM-1024 — NIST Level 5

FIPS 204

ML-DSA

Algoritmo di firma digitale basato su reticoli modulari (precedentemente CRYSTALS-Dilithium). Usato per firme digitali e autenticazione.

ML-DSA-44 — NIST Level 2

ML-DSA-65 — NIST Level 3 (default)

ML-DSA-87 — NIST Level 5

FIPS 205

SLH-DSA

Algoritmo di firma digitale stateless basato su hash (precedentemente SPHINCS+). Schema di firma alternativo basato su funzioni hash.

SLH-DSA-128s — Small signatures

SLH-DSA-128f — Fast signing

Higher parameter sets available

QuantumAPI implementa tutti e tre gli standard tramite BouncyCastle Cryptography, con ML-KEM-768 come meccanismo di incapsulamento delle chiavi predefinito e ML-DSA-65 come algoritmo di firma digitale predefinito. La crittografia dei dati utilizza AES-256-GCM (simmetrico, gia resistente al quantistico) con chiavi incapsulate tramite ML-KEM.

7. Panorama Normativo dell'UE

L'Unione Europea ha assunto una posizione aggressiva sulla migrazione post-quantistica:

Roadmap PQC dell'UE (giugno 2025)

Pubblicata da ENISA e dalla Commissione Europea. Stabilisce una tempistica chiara: le infrastrutture critiche devono migrare alla crittografia post-quantistica entro il 2030. Tutti gli stati membri dell'UE dovranno adottare piani di transizione nazionali.

Direttiva NIS2

Richiede misure di sicurezza «allo stato dell'arte» per entita essenziali e importanti. Man mano che gli standard PQC vengono adottati, le organizzazioni che utilizzano solo crittografia classica potrebbero scendere sotto la soglia «allo stato dell'arte», creando rischi di conformita.

DORA (Digital Operational Resilience Act)

Si applica alle istituzioni finanziarie. Impone la gestione del rischio ICT inclusi gli standard di crittografia. I regolatori finanziari si aspetteranno sempre piu una protezione resistente al quantistico per i dati finanziari sensibili.

eIDAS 2.0

Il framework dell'EU Digital Identity Wallet. L'agilita crittografica e un requisito di progettazione, il che significa che le implementazioni del wallet devono essere in grado di transitare verso algoritmi PQC.

Le organizzazioni che iniziano la migrazione ora avranno un significativo vantaggio di conformita. Quelle che aspettano fino a quando le normative imporranno PQC dovranno affrontare migrazioni affrettate e costose sotto pressione normativa.

8. QuantumAPI: Architettura per la Protezione Quantistica

QuantumAPI e la piattaforma europea che fornisce protezione quantisticamente sicura su tre livelli:

QuantumID

Piattaforma IAM quantisticamente sicura. Sostituto diretto di Auth0 e Okta.

  • OIDC/OAuth2 con firme di token PQC
  • Federazione SSO (Entra ID, Okta, SAML)
  • MFA con passkey e TOTP
  • Utenti illimitati, nessun prezzo per postazione

QuantumVault

Gestione quantisticamente sicura di segreti e chiavi. Sostituisce 1Password e HashiCorp Vault.

  • Crittografia a busta: ML-KEM-768 + AES-256-GCM
  • Entropia QRNG per la generazione di nonce
  • Politiche di rotazione automatica delle chiavi
  • Monitoraggio delle violazioni e punteggio di sicurezza

QuantumKeys

API REST Encryption-as-a-Service per qualsiasi applicazione.

  • Crittografare, decifrare, firmare, verificare via API
  • Algoritmi ML-KEM e ML-DSA
  • Latenza P99 inferiore a 2ms
  • SDK per TypeScript, Python, .NET, Rust

Architettura di Crittografia

QuantumAPI utilizza un modello di crittografia a busta a due livelli:

  1. Data Encryption Key (DEK): Ogni segreto e crittografato con una chiave AES-256-GCM unica usando un nonce generato da QRNG
  2. Key Encryption Key (KEK): Il DEK e incapsulato usando ML-KEM-768, producendo un testo cifrato quantisticamente sicuro che avvolge la chiave simmetrica

Questo significa: anche se un attaccante ottiene i dati crittografati e il DEK avvolto, non puo recuperare il testo in chiaro senza rompere ML-KEM — progettato per resistere agli attacchi quantistici al NIST Security Level 3.

Generazione di Numeri Casuali Quantistici (QRNG)

La sicurezza crittografica dipende dalla qualita della casualita. I generatori di numeri pseudocasuali classici (PRNG) sono deterministici — data abbastanza output, lo stato interno puo teoricamente essere ricostruito.

QuantumAPI utilizza veri numeri casuali quantistici generati dall'hardware quantistico di Quantum Blockchains situato in Polonia (UE). Questo fornisce vera entropia derivata da fenomeni di meccanica quantistica, garantendo che i nonce e il materiale delle chiavi siano genuinamente imprevedibili.

Sovranita Europea

Tutta l'infrastruttura QuantumAPI funziona su Scaleway (provider cloud francese) nei data center dell'UE. Nessun dato viene elaborato o archiviato al di fuori dell'Unione Europea. Non ci sono dipendenze da provider cloud statunitensi (AWS, Azure, GCP) per l'elaborazione dei dati dei clienti.

9. Guida Pratica alla Migrazione

La migrazione alla crittografia post-quantistica non richiede di sostituire l'intero stack dall'oggi al domani. Ecco un approccio pragmatico e graduale:

1

Verifica il tuo Inventario Crittografico

Identifica ogni punto in cui utilizzi RSA, ECC o Diffie-Hellman: certificati TLS, firma JWT, crittografia database, autenticazione API, archiviazione chiavi. Mappa quali dati hanno i requisiti di riservatezza piu lunghi.

2

Prioritizza per Rischio

Inizia con i dati che hanno la durata piu lunga e la sensibilita piu alta: vault di segreti, chiavi di crittografia, database PII, cartelle cliniche, dati finanziari. Questi sono gli obiettivi HNDL piu preziosi.

3

Migra prima Segreti e Chiavi

Sposta i tuoi segreti su QuantumVault e la gestione delle chiavi su QuantumKeys. Questo fornisce protezione quantisticamente sicura immediata per i dati piu sensibili con modifiche minime all'applicazione — basta cambiare l'endpoint API del vault.

4

Migra l'Identita

Sostituisci Auth0, Okta o Keycloak con QuantumID. La federazione ti permette di migrare incrementalmente — connetti QuantumID come provider OIDC accanto al tuo IAM esistente e migra gli utenti progressivamente.

5

Integra Encryption-as-a-Service

Per esigenze di crittografia personalizzate, usa l'API QuantumKeys. Una singola chiamata API sostituisce centinaia di righe di codice crittografico. SDK disponibili per TypeScript, Python, .NET e Rust.

10. Conclusione e Invito all'Azione

La minaccia harvest-now-decrypt-later e reale, attiva e in crescita. Ogni giorno che passa, piu dati crittografati vengono raccolti da avversari abbastanza pazienti da attendere la decrittazione quantistica.

La buona notizia: la soluzione esiste oggi. Gli standard NIST sono finalizzati. Le normative UE sono chiare. E QuantumAPI fornisce una piattaforma europea completa per migrare la tua identita, segreti e crittografia alla crittografia post-quantistica — senza ricostruire il tuo stack.

Inizia la tua Migrazione Oggi

Il piano gratuito include 500 chiamate API/mese, utenti illimitati e accesso completo a QuantumVault e QuantumID. Nessuna carta di credito richiesta.

Inizia GratisContatta le Vendite

Informazioni su QuantumAPI

QuantumAPI e la piattaforma europea per identita, segreti e crittografia quantisticamente sicura. Sviluppata da Kovimatic Limited (Irlanda), ospitata su Scaleway (Francia/Paesi Bassi). 100% sovrana UE senza dipendenze da cloud statunitensi.

Per domande tecniche o richieste aziendali: it@kovimatic.ie

White Paper: Harvest Now, Decrypt Later | QuantumAPI | QuantumAPI