Identità digitale, un settore tutt’altro che noioso
Quando ho iniziato a lavorare nel settore dell’identità digitale, oltre dieci anni fa, questo veniva spesso descritto come un ambito maturo, stabile, persino poco dinamico. Oggi è evidente quanto quella percezione fosse limitata. Il trust management si trova infatti in una fase di profonda evoluzione, guidata da cambiamenti tecnologici, normativi e geopolitici che ne stanno ridefinendo i presupposti fondamentali.
Se è vero che molti dei protocolli alla base dell’identità digitale si basano su standard sviluppati negli anni ’90 (come la famiglia PKCS) e che la crittografia asimmetrica è stata inventata negli anni ’70, il settore del trust management è ora in una fase di grande effervescenza. L’importanza di queste tecnologie come fondamento di qualsiasi sistema di cibersicurezza, la pervasività del concetto di identità digitale e l’effetto moltiplicatore di queste tecnologie sulla crescita economica e sociale di un intero paese hanno certamente suscitato grande interesse e contribuito a processi di innovazione tecnologica che riguarderanno il futuro di tutti noi.
La sfida della crittografia post-quantum: proteggere oggi ciò che verrà domani
Uno dei temi più importanti che emerge nelle discussioni sul futuro del trust management è la transizione a schemi di crittografia in grado di resistere all’attacco di computer quantistici. Per chi fosse interessato ad approfondire il tema, in Namirial ne abbiamo già parlato in questi due articoli:
Verso servizi fiduciari Quantum-Safe: la corsa contro il tempo per prevenire il meltdown quantistico
Potenziare la crypto-agility per affrontare lo slalom gigante delle minacce quantistiche
Ora comincia ad essere chiaro a molti che in futuro avremo un problema importante, perché le tecnologie crittografiche che proteggono oggi potrebbero essere inadatte domani. Ma molti dei documenti e delle transazioni protette oggi potrebbero avere valore anche domani. Ad esempio, un contratto conserva i suoi valori e i suoi effetti anche per molti anni in futuro, quando i computer quantistici potrebbero essere in grado di violare le tecnologie attualmente in uso per la certificazione dell’identità dei soggetti che hanno firmato il contratto.
Perché non possiamo permetterci di aspettare
Anche se il rischio non è ancora concreto, non è nemmeno pensabile aspettare che si manifesti, proprio perché c’è una distanza di anni tra l’oggi in cui si proteggono le informazioni e il domani in cui violarle sarà sia tecnicamente possibile che vantaggioso per un attaccante determinato. I grandi investimenti effettuati dai più grandi soggetti al mondo nel settore dei computer quantistici, spesso parte di programmi quadro nazionali, suggeriscono che tale dinamica potrà concretarsi rapidamente.
Interoperabilità ed effetto rete: la complessità della transizione
Se questo è il problema, quando lo caliamo nel contesto del trust management possiamo evidenziare altre criticità. I sistemi di gestione della fiducia funzionano anche perché presentano elevati livelli di interoperabilità. Un documento digitale firmato da due soggetti rimane comprensibile e verificabile da entrambi (o da chiunque altro autorizzato), anche se le firme sono state emesse tramite i servizi di due diversi fornitori di servizi fiduciari qualificati, poiché entrambi si basano su tecnologie standardizzate. Si tratta del cosiddetto effetto rete, che può contribuire alla diffusione di nuove tecnologie (il fax, agli inizi degli anni ’90, era tanto più utile quanto più i tuoi corrispondenti lo usavano) ma anche ostacolarla, come è il caso della transizione post-quantum del trust management.
Se infatti un operatore di mercato inizia a fornire servizi adeguati alla nuova minaccia, come potranno i suoi clienti beneficiarne se tale avanzamento tecnologico non è interoperabile?
Le roadmap globali verso il post-quantum
Anche per questi motivi, i soggetti regolamentatori a livello globale (come ad esempio il NIST per gli Stati Uniti d’America, e la Commissione Europea per l’Europa) hanno prodotto delle roadmap per la transizione post-quantum. Senza entrare troppo nel merito, è interessante notare che entrambi questi documenti concordano, nella sostanza, su due date. La prima è quella del 2030, entro cui i sistemi ad alto rischio dovranno essere migrati a schemi crittografici post-quantum, mentre la scadenza del 2035 riguarda i sistemi a media sicurezza o i sistemi legacy. Non sappiamo se sanno qualcosa che non sappiamo, certamente dimostrano la necessità di essere prudenti e fattivi.
Quattro anni da oggi, quindi, sono tanti o sono pochi? Sono sufficienti se tutto l’ecosistema del trust management si mette in moto. Occorre intervenire su numerosi attori della filiera, di cui i trust service provider sono solo quelli più evidenti per l’utente finale. Occorre un accordo sugli algoritmi crittografici, sugli standard e sui test di conformità, e trasferirlo in prodotti e soluzioni che scalino in un contesto complesso, dinamico e always-on. Occorre passare da un mondo in cui si usava lo stesso schema crittografico (RSA) per tutto ad uno in cui occorrerà usare schemi diversi per cose diverse. Un mondo in cui la cripto-agilità, ovvero la capacità di adeguare un sistema o un protocollo a nuove tecniche crittografiche, dovrà essere insita nella progettazione, e in cui molti protocolli oggi di largo uso andranno adattati.
La visione strategica di Namirial dal 2020
Dobbiamo allora essere preoccupati? No, dobbiamo essere attenti. Consapevoli degli sviluppi tecnologici e scientifici, della necessità di una strategia industriale di lungo termine e degli investimenti necessari per garantire continuità dei servizi e fiducia nei confronti dei clienti.
In Namirial abbiamo iniziato ad occuparci di questi temi nel 2020, ormai sei anni fa. Per me è stato affascinante poter cominciare a pensare con largo anticipo al tema, quando non ne parlava nessuno, lavorando sulla dimensione strategica dell’innovazione. Il nostro primo crittografo assunto in azienda risale proprio a quel periodo, per la consapevolezza che avevamo e che è sempre stata sostenuta dalla proprietà e dal management, che un giorno saremmo arrivati ad avere necessità di sapere cosa fare.
Abbiamo così coinvolto crittografi, ricercatori di cibersicurezza, sviluppatori di soluzioni di sicurezza, centri di eccellenza ed università. Abbiamo esplorato un settore che all’epoca era quasi sconosciuto, a tratti impervio, raccogliendo informazioni, conducendo analisi ed esperimenti. Abbiamo sviluppato progetti di ricerca, partecipato a conferenze, raccolto pareri e discusso internamente. Siamo così riusciti a costruire una competenza importante sul tema, che oggi vogliamo indirizzare ai nostri clienti, ma che deve anche contribuire al progresso dell’intero mercato di riferimento.
L’identità digitale come frontiera dell’innovazione
Oggi siamo convinti che la migrazione post-quantum possa percorrersi, con impegno ma anche con fiducia negli obiettivi, e che contribuirà a definire la base tecnologica del settore del trust management nei prossimi anni. Pensiamo che i nostri clienti possano sentirsi fiduciosi di un piano che sta già mostrando i suoi effetti e che procederà verso altri obiettivi ambiziosi in futuro (che, però, vi riveleremo sempre tra qualche anno).
Alla luce di tutto questo, l’idea che il settore dell’identità digitale sia poco appassionante appare oggi più distante che mai dalla realtà. Per noi di Namirial, non lo è mai stata.
