Una chiavetta FIDO2 (Fast Identity Online 2) è un dispositivo di sicurezza hardware che supporta lo standard FIDO2 per l’autenticazione forte e sicura. Le chiavette FIDO2 sono progettate per migliorare la sicurezza dell’autenticazione online, offrendo un metodo aggiuntivo per verificare l’identità degli utenti al di là delle tradizionali password. Esse sfruttano infatti la crittografia avanzata e tecnologie di autenticazione basate su standard aperti per l’accesso a sistemi, applicazioni e servizi online. Il funzionamento delle chiavette FIDO2 si basa su principi di autenticazione a due fattori (2FA) o multifattore (MFA), ma con un’attenzione particolare sulla sicurezza e sulla facilità d’uso.
Google spiega il perché della prima chiavetta FIDO2 quantum-resilient
Come parte integrante del firmware open source OpenSK, sviluppato da Google, l’azienda di Mountain View ha appena presentato la prima chiavetta FIDO2 quantum-resilient. Essa utilizza un approccio di sicurezza ibrido che poggia sulla crittografia ECC (Elliptic Curve Cryptography) per contrastare gli attacchi standard e su Dilithium per difendere l’utente dagli attacchi quantistici.
Una chiavetta FIDO2 quantum-resilient (o quantum-safe) è una variante moderna progettata per resistere ai potenziali attacchi causati dall’avvento dei computer quantistici. L’informatica quantistica rappresenta una nuova frontiera nel campo della computazione, con il potenziale di risolvere problemi complessi in modo molto più rapido rispetto ai computer tradizionali.
Tuttavia, con i progressi dell’informatica quantistica, emergono anche nuove minacce per la sicurezza delle informazioni, in particolare per i sistemi crittografici che si basano su algoritmi tradizionali. I computer quantistici possono infatti sfruttare specifici algoritmi per rompere i sistemi a crittografia asimmetrica comunemente utilizzati, come RSA ed ECC (Elliptic Curve Cryptography). Il NIST (National Institute of Standards and Technology), per esempio, ha selezionato alcuni algoritmi accreditati di resistere agli attacchi quantistici.
Bisogna però muoversi con i piedi di piombo perché ha già fatto scuola il caso dell’algoritmo post-quantistico sconfitto con un vecchio processore Intel Xeon (ed era uno di quelli selezionati dal NIST…).
Google, da parte sua, conferma che la preparazione all’avvento dei computer quantistici sta diventando una questione più urgente. Il lavoro di standardizzazione svolto dal NIST, tuttavia, ha fornito la strada da seguire.
L’algoritmo crittografico Dilithium: perché ci salverà dagli attacchi quantistici
Presentando la prima chiavetta FIDO2 quantum-resilient, Google ha osservato come l’algoritmo Dilithium offra una soluzione chiara per proteggere le chiavi di sicurezza dagli attacchi quantistici.
Dilithium è un algoritmo crittografico basato sulla firma a chiave pubblica che appartiene alla categoria degli algoritmi post-quantistici. Questi algoritmi, come accennato in precedenza, sono progettati per essere sicuri anche in presenza di potenziali attacchi condotti da computer quantistici, che potrebbero minare la sicurezza degli algoritmi crittografici tradizionali.
Esso ha il vantaggio di assicurare dimensioni delle chiavi relativamente piccole rispetto ad altri algoritmi crittografici, mantenendo allo stesso tempo un elevato livello di sicurezza. Inoltre, si è dimostrato altamente prestazionale, consentendo un’elaborazione rapida delle operazioni crittografiche su una vasta gamma di dispositivi, ed è adatto per essere usato in molteplici campi applicativi (firme digitali, autenticazione, crittografia dei dati e così via).
Ovviamente, Dilithium è stato proposto per l’inclusione nelle raccomandazioni del NIST ai fini della futura adozione di algoritmi crittografici post-quantistici.
Come funziona la chiavetta FIDO2 post-quantistica presentata da Google
I tecnici di Google spiegano che la prima proposta di chiavetta FIDO2 quantum-resilient usa uno schema ibrido che combina l’algoritmo di firma ECDSA di provata efficacia con il moderno algoritmo Dilithium. La chiavetta è stata sviluppata in collaborazione con ETH Zurich al fine di offrire il più elevato livello di sicurezza oggi possibile, prendendo “il meglio” di entrambi i mondi.
Dal punto di vista tecnico, racconta Google, una delle sfide più grandi è stata quella di creare un’implementazione di Dilithium sufficientemente compatta che potesse funzionare sull’hardware piuttosto modesto che contraddistingue le chiavi di sicurezza.
Attraverso un’attenta attività di ottimizzazione, l’azienda fondata da Larry Page e Sergey Brin è riuscita a sviluppare un’implementazione in linguaggio Rust che richiede solo 20 KB di memoria per funzionare.
Nei giorni scorsi Google ha aggiunto a Chrome un meccanismo crittografico ibrido resistente agli attacchi da quantum computing chiamato X25519Kyber768: può essere utilizzato per gestire in sicurezza le connessioni TLS con i server remoti. Si tratta di un ulteriore segnale che manifesta, ancora una volta, il grande interesse per le soluzioni che aiuteranno a proteggere i dati che contano dall’azione dei computer quantistici.
L’immagine in apertura è di Google e ritrae un processore quantistico.