Perché ML-KEM-1024 è il nuovo standard per le comunicazioni sicure

Per cinquant'anni la crittografia asimmetrica si è retta su due assunzioni matematiche: la difficoltà di fattorizzare grandi interi e l'intrattabilità del problema del logaritmo discreto su curve ellittiche. RSA, Diffie-Hellman ed ECDH hanno protetto qualsiasi cosa, dagli handshake TLS ai link di comando e controllo militari, con margini di sicurezza cresciuti insieme alla dimensione delle chiavi.

L'algoritmo di Shor, descritto per la prima volta nel 1994, ha infranto questo paradigma sul piano teorico. Un calcolatore quantistico tollerante ai guasti di dimensione sufficiente risolverebbe entrambi i problemi in tempo polinomiale, riducendo RSA a 3072 bit e ECC P-256 a segreti banalmente recuperabili. Ciò che ha mantenuto calma la comunità della sicurezza è stato il divario ingegneristico fra l'algoritmo teorico e la macchina pratica. Quel divario si sta riducendo più rapidamente di quanto la maggior parte dei difensori sia disposta ad ammettere.

I recenti progressi sulla correzione d'errore dei qubit logici, sui codici di superficie e sulla compilazione dinamica dei circuiti hanno spostato le stime più credibili del Q-Day verso una finestra centrata sul prossimo decennio. Per ogni dato che debba restare riservato oltre quella finestra, la minaccia non è ipotetica: è già attuale nella forma del harvest-now decrypt-later, ossia l'archiviazione odierna di traffico cifrato per decifrarlo quando l'hardware sarà disponibile [4][11].

ML-KEM è l'acronimo di Module-Lattice-Based Key-Encapsulation Mechanism. È uno schema di incapsulamento di chiave, non una firma digitale: il suo compito è permettere a due parti di accordarsi su un segreto simmetrico attraverso un canale non fidato. Il problema difficile sottostante è Module-LWE, una variante strutturata di Learning With Errors su anelli polinomiali, per cui oggi non esiste alcun algoritmo quantistico sub-esponenziale noto [5].

La FIPS 203 specifica tre insiemi di parametri [1]. ML-KEM-512 mira alla categoria di sicurezza NIST 1 (all'incirca AES-128). ML-KEM-768 mira alla categoria 3 (AES-192). ML-KEM-1024 mira alla categoria 5 (AES-256). Le differenze stanno nelle dimensioni del reticolo e nei parametri di rumore, non nella struttura algoritmica. Le primitive di incapsulamento, decapsulamento e generazione delle chiavi sono identiche in tutti e tre i casi.

Il costo in termini di dimensioni è moderato ma non trascurabile. Una chiave pubblica ML-KEM-1024 occupa 1568 byte, un ciphertext 1568 byte, una chiave segreta 3168 byte. Rispetto ai 32 byte di una chiave pubblica X25519, si parla di un incremento di circa 49 volte. Per un handshake TLS questo significa qualche kilobyte aggiuntivo per sessione. Per la maggior parte delle applicazioni è irrilevante. Per i link radio vincolati richiede attenzione ingegneristica [6].

La domanda pragmatica per qualsiasi architetto di sistema è quale insieme di parametri adottare. Il NIST accetta ML-KEM-768 come scelta predefinita per gran parte dell'uso federale. La NSA, tramite la direttiva CNSA 2.0, impone ML-KEM-1024 per tutti i National Security Systems e per qualsiasi dato classificato Secret o superiore [4]. La linea guida tecnica TR-02102-1 del BSI tedesco raccomanda analogamente parametri di categoria 5 per qualunque dato con orizzonte di protezione oltre i dieci anni [9].

L'argomento a favore di ML-KEM-1024 non è che ML-KEM-768 sia compromesso. È che il margine di sicurezza contro futuri progressi della crittanalisi è sensibilmente più ampio. La crittanalisi su reticoli è un campo attivo e diversi lavori recenti hanno raffinato i modelli di costo della famiglia di algoritmi di riduzione BKZ. Ogni raffinamento ha eroso di pochi bit il livello di sicurezza congetturato per ML-KEM-768. Nessuno ha invece intaccato il margine di ML-KEM-1024.

Per le comunicazioni sovrane, le applicazioni militari e i segreti industriali di lunga durata, il caso è netto. La differenza prestazionale fra categoria 3 e categoria 5 è dell'ordine del 30-40% in cicli CPU, che per uno scambio di chiave che avviene una volta per sessione è operativamente invisibile. La differenza di banda è analoga. Non esiste una ragione difendibile per scegliere il parametro più piccolo quando si protegge un dato con requisito di riservatezza pluridecennale.

Tutte le linee guida credibili di deployment, dalla NIST SP 800-227 [10] al lavoro ETSI sui meccanismi ibridi al BSI tedesco [9], raccomandano lo stabilimento di chiave ibrido durante la fase di transizione. Uno schema ibrido combina una primitiva classica (tipicamente X25519 o ECDH P-384) con ML-KEM-1024, derivando la chiave di sessione finale dai due segreti condivisi attraverso una KDF come HKDF-SHA384.

Il ragionamento è prudenziale. ML-KEM è giovane. È sopravvissuto a quattro round di analisi pubblica nell'ambito del processo PQC del NIST [3], ma la comunità crittanalitica ha avuto meno di un decennio per studiarne la versione definitiva. Un difetto sottile nella formulazione reticolare, nel campionamento del rumore o nell'implementazione potrebbe in linea di principio ridurne la sicurezza effettiva. La primitiva classica è la rete di sicurezza: finché almeno uno dei due problemi sottostanti resta difficile, la chiave di sessione resta irrecuperabile.

Il costo dell'ibrido è una moltiplicazione scalare aggiuntiva e una chiamata KDF, ossia nulla. Il costo in complessità è reale ed è dove la maggior parte dei progetti inciampa. Gli input della KDF devono essere ordinati correttamente. L'encoding della lunghezza deve essere non ambiguo. Il fallimento di un componente non deve far trapelare informazioni sull'altro. I draft IETF sull'ibrido, in particolare draft-ietf-tls-hybrid-design [7], catturano il consenso su questi dettagli.

ML-KEM è strutturalmente semplice ma operativamente intollerante. La trasformazione di Fujisaki-Okamoto usata per ottenere la sicurezza IND-CCA2 si basa su un controllo di ri-cifratura all'interno del decapsulamento. Implementazioni che diramano sul risultato di tale controllo, o che rilasciano informazione temporale al riguardo, diventano vulnerabili ad attacchi a ciphertext scelto in grado di recuperare la chiave segreta di lungo termine in pochi minuti. L'implementazione constant-time non è una raccomandazione, è un requisito.

L'aritmetica polinomiale sull'anello Z_q[x]/(x^256 + 1) con q = 3329 è tipicamente accelerata tramite Number Theoretic Transform. Implementazioni della NTT che usano riduzioni modulari non constant-time, o che presentano leak di cache timing, sono state violate in attacchi side-channel pubblicati [6]. Le implementazioni hardware su FPGA e acceleratori dedicati hanno dimostrato NTT pienamente constant-time, ma i deployment puramente software su CPU general-purpose richiedono codifica accurata e verifica regolare con strumenti come ctgrind o dudect.

La generazione di numeri casuali per il campionamento del rumore è un altro punto di rottura. L'implementazione di riferimento usa SHAKE-128 seminato da un segreto di 32 byte. Qualunque riduzione dell'entropia di quel seed compromette l'intero schema. L'unica configurazione di produzione accettabile è entropia hardware da TRNG certificato, abbinata a un DRBG conforme a NIST SP 800-90A.

Lo studio di integrazione di ENISA sulla crittografia post-quantistica definisce la base europea per la migrazione [8]. Gli Stati membri lo stanno ora traducendo in mandati nazionali: il BSI tedesco ha allineato il proprio catalogo crittografico attorno a ML-KEM-1024 e ML-DSA-87 [9] e l'ANSSI francese ha emesso posizioni tecniche che richiedono PQC ibrida per i prodotti qualificati.

Per i vendor che vendono nelle infrastrutture critiche europee, nella difesa, nelle telecomunicazioni o nella finanza, l'implicazione operativa è concreta. Qualsiasi prodotto il cui ciclo di vita certificato si estenda oltre il 2030 deve già includere un percorso di migrazione PQC. Qualsiasi prodotto che entri sul mercato dal 2026 in poi, se dichiara di indirizzare casi d'uso a lunga riservatezza, deve essere consegnato con la PQC abilitata di default. I clienti chiederanno sempre più spesso non se Lei supporta la PQC, ma quale insieme di parametri spedisce e come è costruito l'ibrido [7].

Se opera o costruisce sistemi che proteggono dati con una finestra di riservatezza superiore ai cinque anni, ML-KEM-1024 in modalità ibrida è la nuova base di riferimento. Adottare ML-KEM-768 di default per risparmiare qualche kilobyte è una falsa economia: ricostruirà lo stesso sistema fra tre anni sotto pressione regolatoria, a un costo significativamente più alto.

Primi passi pratici: inventariare ogni punto dello stack in cui compaiono RSA, ECDH o DH. Individuare quali fra questi toccano dati con un requisito di lunga riservatezza. Interpellare i propri fornitori di TLS, VPN e HSM sulle roadmap PQC ed esigere ML-KEM-1024 ibrido con X25519. Per i protocolli proprietari, seguire i draft IETF sull'ibrido invece di assemblare composizioni proprie [7].

La transizione non sarà economica, ma l'alternativa è peggiore. Il dato esfiltrato oggi e violato nel 2032 non è un rischio ipotetico: è la tesi operativa esplicita di ogni agenzia statale di signals intelligence del pianeta. ML-KEM-1024 è la risposta prudente, difendibile e allineata al regolatore a quella tesi. È il nuovo standard perché non esiste più alcuna ragione credibile per scegliere qualcosa di più debole [1][4][9].