La crittografia che oggi protegge le comunicazioni tra browser, API e server di origine si basa su algoritmi come RSA e Elliptic Curve Cryptography (ECC), sicuri per il calcolo tradizionale ma vulnerabili allo sviluppo di computer quantistici su larga scala che avranno potenza sufficiente per violarli.
Se il tuo traffico non è protetto con la crittografia post-quantistica, la riservatezza di quelle comunicazioni è già compromessa a lungo termine.
Il problema: Harvest Now, Decrypt Later
Gli attacchi di tipo harvest now, decrypt later (HNDL) non richiedono oggi un computer quantistico. Un attore malevolo può intercettare e memorizzare traffico cifrato—richieste API, token di autenticazione o dati sensibili in transito—e attendere di disporre della capacità computazionale necessaria per decifrarlo. Per dati critici con una lunga durata, come informazioni finanziarie, cartelle cliniche o credenziali di accesso, questa finestra di esposizione è già aperta.
Il National Institute of Standards and Technology (NIST) ha pubblicato nell'agosto 2024 i primi standard di crittografia post-quantistica: ML-KEM per gli accordi di chiave, e ML-DSA e SLH-DSA per le firme digitali. Ha inoltre fissato il 2030 come scadenza per deprecare RSA ed ECC.
La risposta di Transparent Edge
Transparent Edge implementa la crittografia post-quantistica a livello di trasporto per proteggere le comunicazioni tra il browser dell'utente e la tua infrastruttura, senza che tu debba modificare i tuoi server di origine né la tua applicazione.
Il deployment della strategia di protezione include:
- Scambio di chiavi ibrido: Transparent Edge stabilisce l'handshake TLS 1.3 utilizzando ML-KEM in combinazione con l'ECDHE classico. La chiave di sessione viene derivata dall'algoritmo più sicuro supportato dal client, garantendo una connessione sicura senza compromettere la compatibilità con i dispositivi più datati.
- Copertura edge-to-browser: la crittografia PQC viene applicata alla connessione tra il client (browser) e l'edge di Transparent Edge, che è il segmento più esposto alla cattura del traffico.
- Nessuna modifica al server di origine: Transparent Edge agisce come proxy TLS. Il tuo origin non necessita del supporto nativo ML-KEM affinché il traffico client-edge sia protetto.
- Attivazione predefinita: la protezione PQC viene abilitata senza configurazione aggiuntiva, seguendo lo stesso principio che ha guidato l'adozione di TLS nel settore: la sicurezza predefinita è l'unico modo per proteggere l'infrastruttura su larga scala.
- Compatibilità con i principali browser: Chrome, Firefox ed Edge supportano già ML-KEM, il che significa che la percentuale di traffico reale protetto è significativa fin dal primo giorno.
Vantaggi principali
Protezione contro HNDL
Garantisce che i dati intercettati oggi rimangano illeggibili per le future capacità di decrittazione quantistica.
Operatività senza frizioni
Non richiede connettività fisica dedicata tra client e server. PQC funziona sull'infrastruttura di rete esistente senza necessità di hardware specializzato. L'impatto sulle prestazioni è minimo, anche su connessioni TLS di breve durata.
Conformità normativa anticipata
Allineamento con le future linee guida di organismi come il NIST e agenzie governative che già richiedono piani di migrazione quantistica. Adottare ML-KEM ora posiziona la tua infrastruttura all'interno dei requisiti che saranno obbligatori nei prossimi anni.
Cosa offre Perimetrical per adottare la PQC?
I nostri clienti ottengono un livello avanzato di protezione senza impatto sull'operatività dei loro servizi. Delegando la gestione della crittografia alla nostra rete distribuita, i clienti evitano la complessità tecnica di riconfigurare i propri server di origine o aggiornare le librerie crittografiche critiche.
Il vantaggio principale è la garanzia che i tuoi asset digitali e la privacy dei tuoi utenti siano protetti contro l'obsolescenza tecnologica degli attuali sistemi di crittografia.
Come si attiva e quanto costa?
Il supporto per la crittografia post-quantistica è abilitato per impostazione predefinita per tutto il traffico che utilizza TLS 1.3 e browser compatibili (come le versioni recenti di Chrome, Firefox o Edge). Non richiede intervento manuale né configurazioni aggiuntive. Questa funzionalità è integrata come standard di sicurezza in tutti i nostri servizi, quindi non comporta alcun costo aggiuntivo.
Hai bisogno di rafforzare la sicurezza del tuo sito web? Il nostro team tecnico può aiutarti a progettare la strategia di protezione perfetta per il tuo caso d'uso.
Inizia ora