Cosa significa "harvest now, decrypt later"
Harvest now, decrypt later (HNDL) è una strategia di attacco in cui un avversario registra oggi le comunicazioni cifrate, ne conserva il testo cifrato a tempo indeterminato e lo decifra quando computer quantistici crittograficamente rilevanti saranno in grado di violare lo scambio di chiavi a chiave pubblica che lo proteggeva. L'intercettazione avviene ora; la compromissione avviene anni dopo. Qualsiasi dato la cui segretezza deve durare oltre quell'intervallo è già esposto.
Non è uno scenario allarmistico inventato dai vendor: è un'ipotesi di pianificazione interna agli stessi enti di standardizzazione. Il rapporto di transizione post-quantum del NIST, IR 8547, dichiara che il NIST "prevede di dare priorità alla migrazione verso schemi di key establishment resistenti al quantum" proprio "per proteggere dagli attacchi 'harvest now, decrypt later', in particolare nei protocolli interattivi come TLS e IKE" [2]. Quando l'istituzione che scrive gli standard crittografici organizza la propria migrazione attorno a un attacco, quell'attacco ha smesso di essere ipotetico.
Perché le chiamate registrate sono il bersaglio principale
L'intercettazione massiva del traffico in transito è una pratica documentata e decennale dei servizi di signals intelligence, e l'archiviazione è la parte più economica dell'operazione. Ciò che rende la voce particolarmente esposta è lo scarto tra quanto a lungo una conversazione resta sensibile e quanto a breve termine è stata progettata la sua protezione. Una chiamata su un appalto della difesa, uno scambio diplomatico o una trattativa M&A possono restare dannosi se divulgati dieci, venti o trent'anni dopo. Eppure, nella maggior parte delle implementazioni VoIP, la riservatezza dell'intera chiamata dipende da un'unica chiave di sessione negoziata all'avvio della chiamata con Diffie-Hellman a curve ellittiche classico — esattamente la classe di primitive che l'algoritmo di Shor viola.
La tassonomia di rischio della stessa UE dice lo stesso. La roadmap PQC del Gruppo di cooperazione NIS classifica un caso d'uso come ad alto rischio quando "la compromissione della riservatezza dopo 10 o più anni causerebbe ancora un danno significativo", e aggiunge che ciò "implica in particolare che gli attaccanti abbiano una forte motivazione a catturare e conservare tali informazioni cifrate già oggi, per violarne la cifratura in futuro" [3]. La voce di governi, difesa e consigli di amministrazione rientra in quella definizione quasi per costruzione. E a differenza di una password rubata, una conversazione registrata non può essere ruotata, revocata o ricifrata a posteriori. Il testo cifrato che l'avversario già possiede è definitivo.
La matematica delle scadenze: il teorema di Mosca
Lo strumento standard per ragionare sulla scadenza è la disuguaglianza formulata da Michele Mosca dell'Università di Waterloo. Sia x il numero di anni per cui i dati devono restare riservati, y il numero di anni che richiederà la migrazione e z il numero di anni prima che esista un computer quantistico crittograficamente rilevante. Ogni volta che x + y > z, parte dei dati cifrati oggi sarà leggibile entro la propria vita di segretezza. Nella nota del 2015 in cui espose l'argomento, Mosca stimava "una probabilità di 1/2 di violare RSA-2048 entro il 2031" [1].
Le stime di z variano, ed è per questo che vengono monitorate sistematicamente. Il Quantum Threat Timeline Report pubblicato dal Global Risk Institute con evolutionQ — un'indagine annuale la cui edizione 2024 combina le valutazioni di 32 esperti — ha concluso che la minaccia "potrebbe essere più vicina di quanto si pensasse" [6]. Ma l'osservazione decisiva è quanto poco conti l'incertezza su z per la voce. Con x tra 10 e 25 anni per le conversazioni descritte sopra e y su un realistico orizzonte di 3-5 anni di migrazione aziendale, le chiamate di oggi sono al sicuro solo se z supera circa 15-30 anni. Nessuna stima seria pubblicata offre quel conforto.
Le scadenze sono già scritte
Negli Stati Uniti, il NIST IR 8547 — il piano di transizione pubblicato in bozza pubblica iniziale il 12 novembre 2024 — programma la crittografia a chiave pubblica vulnerabile al quantum, inclusi RSA e gli schemi a curve ellittiche al livello di sicurezza di 112 bit, come deprecata dopo il 2030 e vietata del tutto dopo il 2035, in linea con l'obiettivo del National Security Memorandum 10 di mitigare il rischio quantistico entro il 2035 [2].
Nell'Unione europea, la Raccomandazione della Commissione dell'11 aprile 2024 ha incaricato il Gruppo di cooperazione NIS di una roadmap coordinata. Il suo primo deliverable fissa tre traguardi: tutti gli Stati membri avviano strategie nazionali di transizione PQC e completano i First Steps della roadmap entro la fine del 2026; i casi d'uso ad alto rischio migrano "il prima possibile, non oltre la fine del 2030"; i casi d'uso a rischio medio seguono entro la fine del 2035, con soluzioni ibride classico-più-PQC raccomandate ove possibile [3].
L'ANSSI francese ha pubblicato una transizione in tre fasi: Fase 1 (oggi), in cui il key establishment post-quantum ibrido fornisce defence-in-depth; Fase 2 (non prima del 2025), in cui la resistenza quantistica può essere dichiarata ma l'ibridazione resta obbligatoria; Fase 3 (probabilmente non prima del 2030), in cui la PQC standalone diventa accettabile. L'ANSSI raccomanda esplicitamente di introdurre la defence-in-depth post-quantum il prima possibile per i prodotti destinati a proteggere informazioni oltre il 2030 [4]. Letti insieme, i tre documenti danno un messaggio coerente: 2030 e 2035 sono tetti per la migrazione generale — per i dati con lunga vita di segretezza, la logica stessa dei regolatori colloca la scadenza nel presente.
Cosa richiede davvero una "voce quantum-safe"
Partiamo da ciò che non è rotto. AES-256-GCM, il cifrario simmetrico che protegge il flusso audio nei sistemi voce seri, non è il punto debole. Il miglior attacco quantistico noto ai cifrari simmetrici, l'algoritmo di Grover, al massimo dimezza la lunghezza effettiva della chiave, e il NIST IR 8547 conferma che le primitive simmetriche con almeno 128 bit di sicurezza classica dovrebbero restare adeguate [2]. AES-256 è ben oltre quella soglia. Le affermazioni secondo cui i computer quantistici "romperanno AES" sono marketing, non crittoanalisi.
Il punto debole è lo scambio di chiavi. La chiave di sessione usata da AES-256 viene negoziata, su quasi tutte le piattaforme voce esistenti, con RSA o Diffie-Hellman a curve ellittiche — ed è ciò che l'algoritmo di Shor sconfigge. Una voce quantum-safe richiede quindi una proprietà specifica e verificabile: un KEM post-quantum standardizzato — ML-KEM, standardizzato in FIPS 203 e finalizzato il 13 agosto 2024 [5] — a protezione del key establishment di ogni chiamata, dispiegato adesso e non alla scadenza del 2030, idealmente in combinazione ibrida con uno schema classico, come raccomandano sia la roadmap UE sia l'ANSSI [3][4]. Ogni chiamata completata prima di quel passaggio è un altro testo cifrato classico nell'archivio di qualcuno.
La voce aggiunge una precisazione che le checklist PQC generiche trascurano: un tunnel TLS post-quantum verso il proprio provider SIP non rende la chiamata quantum-safe. Se le chiavi dei media sono generate, derivate o custodite da un server che le ha negoziate con crittografia classica, il traffico raccolto resta violabile a prescindere dal trasporto. Il KEM deve proteggere il percorso end-to-end della chiave dei media.
Una checklist di migrazione per la voce
Prima inventariare e classificare. Mappate ogni percorso in cui la voce attraversa infrastrutture che non controllate — reti degli operatori, cloud di conferencing, trunk SIP, tratte in roaming — e assegnate a ogni flusso una vita di segretezza. Secondo la definizione della roadmap UE, tutto ciò che resta dannoso dopo dieci anni appartiene alla classe ad alto rischio e migra per primo [3].
Poi esigete prove, non roadmap. Una risposta credibile di un vendor a "siete quantum-safe?" nomina il KEM (ML-KEM secondo FIPS 203), dichiara se opera in modalità ibrida, mostra i risultati dei known-answer test contro i vettori di test ufficiali e spiega dove le chiavi dei media vengono generate e conservate. La crypto-agility — la capacità di aggiornare gli algoritmi crittografici di un prodotto senza richiamarlo o sostituirlo — dovrebbe essere un requisito contrattuale; l'ANSSI incoraggia esplicitamente la crypto-agility nei prodotti futuri [4].
Infine, ordinate per vita di segretezza, non per comodità di procurement. Le conversazioni le cui trascrizioni conteranno ancora nel 2040 migrano per prime. Attendere il completamento dei cicli di certificazione prima di aggiungere PQC allo scambio di chiavi è a sua volta una decisione di rischio: ogni mese di ritardo è un altro mese di testo cifrato raccoglibile che nessun audit futuro potrà richiamare indietro.
A che punto è Q-Audion
Questa analisi è la premessa progettuale di Q-Audion, il sistema voce anti-intercettazione cifrato in hardware sviluppato da BCrypto a Torino. Q-Audion implementa ML-KEM-1024 — il set di parametri a più alta sicurezza di FIPS 203 — in un acceleratore crittografico hardware dedicato per il key establishment di ogni chiamata, con AES-256-GCM a protezione del flusso audio. Il suo "DMA Air-Gap" in attesa di brevetto colloca un microfono MEMS dedicato dentro una secure enclave costruita su un TEE ARM TrustZone-M, isolato galvanicamente dal telefono ospite, così che il sistema operativo host non entri mai nel percorso audio; un TinyML on-device analizza l'audio contro i deepfake. Il sistema comprende un auricolare cifrato, app Android, iOS e desktop, un server sovrano e una VPN PQC, funziona accanto a normali telefoni BYOD ed è costruito su una supply chain progettata in Europa. Tre brevetti sono stati depositati presso l'UIBM nel 2026.
Lo stato onesto delle cose: Q-Audion è a TRL 6 — firmware feature-complete, con known-answer test che vincolano ogni build della CI cross-platform — e non possiede ancora certificazioni FIPS 140-3, Common Criteria o di agenzie nazionali. Le organizzazioni che oggi richiedono apparati certificati devono pesarlo apertamente. Ma l'harvest-now-decrypt-later inverte l'ordine consueto: la certificazione protegge nella valutazione di domani, mentre il key establishment post-quantum protegge dalla registrazione di oggi. Per le conversazioni la cui segretezza deve durare oltre un decennio, il secondo orologio è quello già in moto.