Informatica e Crittografia: Fondamenti della Sicurezza Digitale

Il ruolo della crittografia nell'informatica

La crittografia è uno dei sottocampi fondamentali e critici dell'informatica. Deriva dalle parole greche kryptos (segreto) e graphein (scrivere). La necessità di proteggere le informazioni è un bisogno umano fondamentale fin dall'antichità; tuttavia, la crittografia moderna, nata all'incrocio tra matematica e informatica, è una disciplina completamente diversa. Oggi, ogni transazione bancaria online che effettuiamo, ogni email che inviamo e ogni firma digitale che utilizziamo si basa su algoritmi crittografici.

Il documento del 1949 di Claude Shannon, "Teoria della comunicazione dei sistemi segreti", ha segnato un punto di svolta nel trasformare la crittografia da un'arte speculativa a una scienza matematica. Applicando i concetti della teoria dell'informazione ai sistemi di cifratura, Shannon ha definito il concetto di segretezza perfetta. Ha dimostrato che il metodo del "one-time pad" (blocco di cifratura monouso) raggiunge questa proprietà, ma la sua praticità è limitata a causa dei problemi di distribuzione delle chiavi. Il lavoro di Shannon ha anche introdotto due principi fondamentali della crittografia moderna: confusione e diffusione. La confusione complica la relazione tra la chiave e il testo cifrato, mentre la diffusione disperde i modelli statistici del testo in chiaro in tutto il testo cifrato.

In questo articolo esploreremo le origini storiche della crittografia, affrontando algoritmi di cifratura simmetrica e asimmetrica, funzioni hash, meccanismi di firma digitale, strutture di Public Key Infrastructure (PKI), protocolli TLS/SSL, applicazioni blockchain e approcci di crittografia post-quantistica sviluppati per contrastare le minacce quantistiche.

Prospettiva storica: Da Cesare a Enigma

Uno dei primi esempi noti di crittografia risale alle pratiche di sostituzione di simboli geroglifici nell'antico Egitto intorno al 1900 a.C. Tuttavia, la crittazione sistematica inizia con il cifrario di Cesare, così chiamato in onore di Giulio Cesare. In questo metodo, ogni lettera viene spostata di un numero fisso di posizioni nell'alfabeto. Espressa matematicamente come: E(x) = (x + k) mod 26, dove k è l'ammontare dello spostamento. Il cifrario di Cesare è una cifra di sostituzione monoalfabetica e contiene solo 25 chiavi possibili, rendendolo estremamente vulnerabile agli attacchi di forza bruta.

Nel IX secolo, il matematico arabo Al-Kindi definì la tecnica dell'analisi della frequenza nel suo lavoro Risalah fi Istikhraj al-Mu'amma. Questo metodo si basa sul fatto che ogni lettera di qualsiasi lingua ha una frequenza d'uso specifica. Ad esempio, in turco, le lettere 'a' e 'e' sono tra le più frequenti. L'analisi della frequenza rimane un metodo fondamentale per decifrare i cifrari monoalfabetici ancora oggi.

Nel XV secolo, lo sviluppo della crittografia polialfabetica da parte di Leon Battista Alberti e il successivo cifrario di Vigenère - chiamato così in onore di Blaise de Vigenère - rappresentò un notevole progresso che rese l'analisi della frequenza molto più ardua. Il cifrario di Vigenère applica uno spostamento diverso per ogni lettera utilizzando una parola chiave. Per secoli fu considerato inviolabile; tuttavia, nel 1863, Friedrich Kasiski - e indipendentemente Charles Babbage - svilupparono un metodo per decifrarlo determinando la lunghezza della chiave.

L'episodio di crittografia più drammatico del XX secolo è senza dubbio la storia di Enigma. La macchina Enigma utilizzata dalla Germania nazista produceva un numero astronomico di possibili impostazioni grazie alla combinazione di rotori, riflettore e pannello di connessione, con circa 158 quintilioni (158 x 10^18) diverse configurazioni possibili. Il lavoro pionieristico dei matematici polacchi Marian Rejewski, Jerzy Różycki e Henryk Zygalski, seguito dalla costruzione della macchina Bombe da parte del team di Alan Turing a Bletchley Park, rese possibile lo scardinamento di Enigma. Gli storici stimano che decifrare Enigma accorciò la guerra di circa due anni. Il lavoro di Turing non solo cambiò il corso della guerra, ma gettò anche le basi per l'informatica moderna e la teoria degli algoritmi.

Crittografia simmetrica: stessa chiave per crittografia e decrittografia

La crittografia a chiave simmetrica è un metodo in cui la stessa chiave segreta viene utilizzata sia per la crittografia che per la decrittografia. Grazie al suo vantaggio in termini di velocità, è preferita per la crittografia di grandi volumi di dati. Si divide in due categorie principali: cifrari a blocchi e cifrari a flusso. I cifrari a blocchi operano su blocchi di dati di dimensioni fisse, mentre i cifrari a flusso crittografano i dati a livello di bit o byte. ChaCha20, progettato da Daniel Bernstein, è un moderno cifrario a flusso utilizzato come alternativa all'AES, specialmente sui dispositivi mobili.

Standard di crittografia dei dati (DES) e Triplo standard di crittografia dei dati (3DES)

Data Encryption Standard (DES) fu adottato dal NIST (allora noto come NBS) come standard federale nel 1977. Fu sviluppato dall'algoritmo Lucifer da Horst Feistel presso IBM. DES opera su blocchi di 64 bit utilizzando una chiave di 56 bit e impiega una struttura di rete Feistel a 16 passaggi. In ogni passaggio, il blocco di dati viene diviso in due parti, subisce operazioni di espansione permutata, miscelazione della chiave, sostituzione con scatola S e permutazione. Con l'aumento della potenza dei computer negli anni '90, la lunghezza della chiave di 56 bit divenne insufficiente. Nel 1998, la Electronic Frontier Foundation (EFF) dimostrò l'insicurezza dell'algoritmo rompendo una chiave DES in 56 ore utilizzando un hardware personalizzato chiamato DES Cracker. Come soluzione temporanea, fu sviluppato Triple DES (3DES), che applica DES tre volte in sequenza (modalità crittografia-decrittografia-crittografia, modalità EDE) per aumentare efficacemente la lunghezza della chiave a 112 bit. Tuttavia, 3DES ha scarse prestazioni e il NIST non ne raccomanda l'uso dopo il 2023.

Advanced Encryption Standard (AES): Lo standard oro di oggi

AES (Advanced Encryption Standard) è stato adottato dal NIST nel 2001 (FIPS 197) come sostituto del DES. Dopo una competizione aperta in cui 15 algoritmi da tutto il mondo hanno gareggiato, l'algoritmo Rijndael, sviluppato da Joan Daemen e Vincent Rijmen, è stato scelto. Invece di una struttura Feistel, AES utilizza una rete di sostituzione-permutazione (SPN). Funziona con una dimensione del blocco di 128 bit e supporta lunghezze di chiave di 128, 192 o 256 bit. Ogni ronda consiste in quattro operazioni di base: SubBytes (sostituzione di byte sul campo di Galois GF(2^8)), ShiftRows (spostamento delle righe), MixColumns (miscelazione delle colonne - moltiplicazione di matrici nel campo di Galois) e AddRoundKey (aggiunta della chiave di ronda). Il numero di ronde è 10, 12 o 14, a seconda della lunghezza della chiave.

La sicurezza dell'AES si basa sulla sua resistenza a qualsiasi attacco pratico noto. Sebbene lavori teorici come l'attacco biclicle possano offrire risultati leggermente migliori rispetto alla forza bruta, sono impraticabili da attuare. L'AES-256 è stato approvato dalla NSA per la crittografia di informazioni top secret. Le istruzioni di accelerazione hardware nei moderni processori, come AES-NI, consentono operazioni di crittografia/decrittografia AES a livelli di gigabyte al secondo. Nella nostra vita quotidiana, tutte le connessioni Wi-Fi sicure (WPA2/WPA3), la crittografia del disco (BitLocker, FileVault, LUKS), i tunnel VPN e le connessioni HTTPS utilizzano l'AES.

Modalità di funzionamento

I cifrari a blocchi crittografano solo blocchi di dimensioni fisse singolarmente. Nelle applicazioni del mondo reale, vengono utilizzati diversi modi operativi. Il modo ECB (Electronic Codebook) è il più semplice ma presenta una notevole vulnerabilità di sicurezza dovuta alla produzione di blocchi crittografati identici per blocchi di testo in chiaro identici, come mostrato nel famoso esempio del "pinguino ECB", dove i modelli nell'immagine crittografata rivelano l'immagine originale. Il modo CBC (Cipher Block Chaining) risolve questo problema XORando ogni blocco con il blocco precedente crittografato, ma non può essere parallelizzato e potrebbe essere vulnerabile ad attacchi come POODLE. Il modo CTR (Counter) utilizza il cifrario a blocchi come un cifrario a flusso e consente la parallelizzazione. Il modo GCM (Galois/Counter Mode) è una scelta moderna che fornisce sia la riservatezza che l'autenticazione (cifratura autenticata con dati associati - AEAD). È definito nello standard NIST SP 800-38D ed è il modo predefinito in TLS 1.3.

Crittografia asimmetrica: la rivoluzione della chiave aperta

Nel 1976, il documento di Whitfield Diffie e Martin Hellman intitolato "Nuove direzioni nella crittografia" è stato un lavoro rivoluzionario nella storia della crittografia. L'articolo ha introdotto il protocollo di scambio di chiavi Diffie-Hellman, che dimostra come due parti possano concordare una chiave segreta attraverso un canale non sicuro. Il protocollo si basa sulla difficoltà computazionale del problema del logaritmo discreto. Curiosamente, un metodo simile era stato scoperto precedentemente da James Ellis, Clifford Cocks e Malcolm Williamson presso l'agenzia di intelligence britannica GCHQ, ma è rimasto inedito a causa di preoccupazioni legate alla segretezza.

L'Algoritmo RSA

Sviluppato nel 1978 da Ron Rivest, Adi Shamir e Leonard Adleman, RSA è il primo sistema pratico di crittografia a chiave pubblica e firma digitale. La sicurezza di RSA si basa sulla difficoltà computazionale della fattorizzazione di grandi numeri interi (fattorizzazione intera). La generazione della chiave funziona nel seguente modo: vengono scelti due grandi numeri primi p e q, viene calcolato n = p × q, viene calcolata la funzione totiente di Eulero φ(n) = (p-1)(q-1), viene scelto un esponente pubblico e tale che gcd(e, φ(n)) = 1 (tipicamente 65537), e l'esponente privato d viene calcolato come d ≡ e^-1 (mod φ(n)). La chiave pubblica è (e, n) e la chiave privata è (d, n). Crittografia: c = m^e mod n; decrittografia: m = c^d mod n. Oggi si raccomanda una lunghezza della chiave di almeno 2048 bit; per applicazioni ad alta sicurezza si preferiscono 4096 bit. Il NIST ha rilevato che 2048 bit potrebbero non essere sufficienti dopo il 2030.

Crittografia a curva ellittica (ECC)

Proposti indipendentemente nel 1985 da Neal Koblitz e Victor Miller, l'ECC (Crittografia a Curva Ellittica) si basa sul problema del logaritmo discreto sulle curve ellittiche e offre lo stesso livello di sicurezza con chiavi molto più corte. Una chiave ECC di 256 bit fornisce una sicurezza equivalente a quella di una chiave RSA di circa 3072 bit. Questa efficienza rende l'ECC la scelta preferita in ambienti con risorse limitate, come dispositivi mobili e l'IoT. Le curve raccomandate dal NIST includono P-256, P-384 e P-521, sebbene l'influenza possibile della NSA sui parametri di queste curve rimanga un argomento di dibattito. La Curve25519, progettata da Daniel Bernstein, è diventata rapidamente diffusa nelle applicazioni moderne grazie alle sue elevate prestazioni, alla possibilità di implementazione in tempo costante e alla resistenza agli attacchi a canale laterale. Il protocollo Signal, la VPN WireGuard, SSH (Ed25519) e TLS 1.3 supportano tutti questa curva.

Funzioni hash e integrità dei dati

Le funzioni di hash crittografico sono funzioni a senso unico che convertono un input di qualsiasi lunghezza in un output di lunghezza fissa (detto "digest"). Una funzione di hash crittografica dovrebbe possedere tre proprietà fondamentali per garantire la sicurezza: resistenza all'attacco del pre-immagine – deve essere computazionalmente impossibile ottenere l'input partendo dall'output; resistenza all'attacco della seconda pre-immagine – deve essere impossibile trovare un input diverso che produca lo stesso output dato un input noto; e resistenza alle collisioni – deve essere impossibile trovare due input diversi che producano lo stesso output. A causa del paradosso del compleanno, trovare collisioni in una funzione di hash a n bit richiede approssimativamente 2^n/2 tentativi.

MD5 (output di 128 bit, progettato da Ron Rivest nel 1991) e SHA-1 (output di 160 bit, progettato dalla NSA) non sono più considerati sicuri. Nel 2004, Xiaoyun Wang e il suo team hanno trovato collisioni pratiche in MD5; nel 2017, Google e CWI Amsterdam hanno dimostrato la prima collisione pratica in SHA-1 attraverso il progetto SHAttered (che ha richiesto circa 9 quintilioni di calcoli SHA-1). Oggi, la famiglia SHA-2 (SHA-256, SHA-384, SHA-512) è lo standard ampiamente utilizzato. SHA-256 è alla base del mining di Bitcoin. Standardizzato dal NIST nel 2015, SHA-3 (Keccak, progettato da Guido Bertoni e il suo team) ha una struttura interna completamente diversa — una costruzione a spugna — e rappresenta un'alternativa pronta all'uso nel caso venga mai scoperta una vulnerabilità in SHA-2.

Le funzioni hash vengono utilizzate in vari ambiti come l'archiviazione delle password (con funzioni di derivazione della chiave come bcrypt, scrypt, Argon2 - l'uso di semplici funzioni hash le rende vulnerabili agli attacchi con tabelle arcobaleno), la verifica dell'integrità dei file, le firme digitali, gli alberi di Merkle nelle blockchain, l'HMAC (Hash-based Message Authentication Code, RFC 2104) e l'HKDF (Hash-based Key Derivation Function).

Firme digitali e infrastruttura PKI

Le firme digitali forniscono autenticazione, integrità e non ripudio di un messaggio o documento attraverso meccanismi crittografici. Sono l'equivalente digitale delle firme manoscritte ma offrono garanzie di sicurezza molto più solide. Il processo di firma funziona nel modo seguente: viene calcolato il valore hash del messaggio, questo valore hash viene cifrato con la chiave privata del mittente e la firma risultante viene inviata insieme al messaggio. Il destinatario verifica la firma utilizzando la chiave pubblica del mittente e confronta i valori hash.

Gli algoritmi di firma digitale comuni includono RSA-PSS (Signature Scheme Probabilistico - più sicuro dello schema deterministico PKCS#1 v1.5), DSA (Digital Signature Algorithm - definito nel NIST FIPS 186), ECDSA (Elliptic Curve DSA - utilizzato da Bitcoin ed Ethereum) e EdDSA (Edwards-curve DSA, in particolare Ed25519). EdDSA è meno suscettibile alle vulnerabilità nei generatori di numeri casuali grazie alla sua natura deterministica - un errore nel generatore di numeri casuali nell'implementazione ECDSA sulla Sony PlayStation 3 ha portato alla compromissione della chiave privata nel 2010. Pertanto, per motivi di sicurezza, EdDSA è preferito rispetto a ECDSA.

Infrastruttura a Chiave Pubblica (PKI) è l'infrastruttura di fiducia che associa le chiavi pubbliche alle identità tramite certificati digitali. I certificati digitali, definiti dallo standard X.509 (ITU-T, RFC 5280), sono firmati da un'Autorità di Certificazione (CA). Le catene di certificati creano un modello di fiducia gerarchico che va da una CA root attraverso CA intermedie ai certificati degli utenti finali. I browser e i sistemi operativi vengono forniti con certificati di CA root preinstallati. Servizi CA gratuiti come Let's Encrypt (gestito dal gruppo di ricerca sulla sicurezza di Internet) consentono il rilascio e il rinnovo automatizzati dei certificati tramite il protocollo ACME, rivoluzionando la diffusione di HTTPS. A partire dal 2024, oltre il 95% del traffico web avviene su HTTPS. I log di Trasparenza dei Certificati (CT) forniscono un meccanismo di audit aperto per rilevare l'emissione di certificati fraudolenti, con l'obiettivo di prevenire incidenti come la violazione della CA DigiNotar del 2011.

Protocollo Transport Layer Security (TLS): La Spina Dorsale della Sicurezza su Internet

TLS (Transport Layer Security) è il protocollo fondamentale per la crittografia delle comunicazioni su Internet. Successore di SSL (Secure Sockets Layer), sviluppato da Netscape, TLS ha avuto inizio con la versione 1.0 (RFC 2246) nel 1999 e ha ricevuto significativi miglioramenti con TLS 1.3 (RFC 8446), pubblicato nel 2018. Il supporto per TLS 1.0 e 1.1 è stato rimosso da tutti i principali browser nel 2020; mentre TLS 1.2 è ancora ampiamente utilizzato, la transizione a TLS 1.3 sta accelerando.

TLS 1.3 introduce diversi miglioramenti rispetto alle versioni precedenti: il processo di handshake è stato ridotto a 1 tempo di andata e ritorno (RTT) da 2 RTT. Con la modalità 0-RTT (dati anticipati), i dati possono essere inviati immediatamente ai server precedentemente connessi (con il rischio di attacchi di riproduzione). Sono stati completamente rimossi i suite di cifratura deboli (modalità CBC, RC4, 3DES, scambio di chiavi RSA statiche, firme basate su MD5 e SHA-1). Sono supportate solo le modalità di crittografia AEAD (Autenticazione della crittografia con dati associati): AES-128-GCM, AES-256-GCM e ChaCha20-Poly1305. La segretezza perfetta in avanti è diventata obbligatoria - viene utilizzato solo lo scambio di chiavi Diffie-Hellman effimero o ECDHE. In questo modo, anche se la chiave privata del server viene compromessa, i dati delle sessioni passate non possono essere decrittografati.

Un tipico handshake TLS 1.3 su una connessione HTTPS coinvolge i seguenti passaggi: il client invia i pacchetti di crittografia supportati e i parametri di scambio delle chiavi (ClientHello). Il server presenta il suo certificato, completa lo scambio delle chiavi e conclude l'handshake in modo sicuro (ServerHello, EncryptedExtensions, Certificate, CertificateVerify, Finished). Il client verifica il certificato e avvia la trasmissione dei dati applicativi crittografati. L'intero processo viene completato in un singolo viaggio di andata e ritorno sulla rete.

Blockchain e Crittografia

La tecnologia blockchain ha riunito numerosi componenti della crittografia per fornire un campo pratico per la concretizzazione dei concetti crittografici. Questa struttura, definita da Satoshi Nakamoto nel suo articolo del 2008 su Bitcoin, si basa su diversi elementi crittografici: la funzione di hash SHA-256, utilizzata per collegare i blocchi e il meccanismo Proof of Work (PoW) - i minatori trovano il valore nonce che fa iniziare l'hash del blocco con un certo numero di zeri dopo aver eseguito trilioni di calcoli SHA-256. L'ECDSA (utilizzando la curva secp256k1) viene utilizzato per la firma digitale delle transazioni. Gli alberi di Merkle consentono la verifica dell'integrità di tutte le transazioni all'interno di un blocco utilizzando un singolo valore hash radice, permettendo ai client leggeri (nodi SPV) di validare le transazioni senza scaricare l'intera blockchain.

Ethereum utilizza la funzione hash Keccak-256 e, tramite i contratti intelligenti, ha reso programmabili i protocolli crittografici. Le tecnologie di prova a conoscenza zero — in particolare zk-SNARKs (Argomenti di Conoscenza Non Interattivi Concisi a Conoscenza Zero) e zk-STARKs (Argomenti di Conoscenza Scalabili e Trasparenti) — consentono di dimostrare la veridicità di un'informazione senza rivelarla. Questa tecnologia è utilizzata nelle criptovalute orientate alla privacy come Zcash e nelle soluzioni di scalabilità di Ethereum (zk-rollups: zkSync, StarkNet, Polygon zkEVM).

Informatica quantistica e crittografia post-quantistica

I computer quantistici hanno il potenziale di minare le basi della crittografia moderna. L'algoritmo Shor, sviluppato da Peter Shor nel 1994, può fattorizzare grandi numeri nei loro fattori primi e risolvere il problema del logaritmo discreto in tempo polinomiale sui computer quantistici. Ciò significa che RSA, DSA, ECDSA, Diffie-Hellman e tutti gli algoritmi basati sulle curve ellittiche diventeranno insicuri contro i computer quantistici. Anche l'algoritmo Grover riduce la sicurezza delle cifrature simmetriche e delle funzioni hash di una radice quadrata, rendendo AES-256 equivalente a AES-128 nell'era quantistica. Per gli algoritmi simmetrici, la soluzione è semplice: raddoppiare la lunghezza della chiave è sufficiente. Tuttavia, per gli algoritmi asimmetrici, sono necessarie nuove strutture matematiche.

Per contrastare questa minaccia, il NIST ha avviato il processo di standardizzazione della crittografia post-quantistica dal 2016. Dopo una lunga valutazione alla quale hanno partecipato 82 candidati, i primi standard sono stati pubblicati nel 2024.

• ML-KEM (CRYSTALS-Kyber, FIPS 203): Un meccanismo di incapsulamento di chiavi basato su reticoli modulari. La sua sicurezza si basa sulla difficoltà del problema dell'apprendimento con errori (LWE). Sostituirà RSA/ECDH in TLS e altri protocolli di scambio di chiavi.
• ML-DSA (CRYSTALS-Dilithium, FIPS 204): Un algoritmo di firma digitale basato su reticoli modulari. Raccomandato per l'uso generale delle firme digitali.
• SLH-DSA (SPHINCS+, FIPS 205): Un algoritmo di firma digitale basato su hash progettato come soluzione di riserva nel caso vengano scoperte debolezze future negli algoritmi basati su reticoli. La sua sicurezza dipende esclusivamente dalla robustezza delle funzioni hash.

La minaccia quantistica deve ancora concretizzarsi, ma grazie alla strategia "raccogli ora, decifra dopo", è necessario agire già da oggi. Gli attori statali possono archiviare il traffico crittografato catturato oggi per poterlo decifrare quando saranno disponibili computer quantistici sufficientemente potenti (Computer Quantistici di Relevanza Crittografica). La NSA ha stabilito nella sua guida CNSA 2.0 del 2022 che i sistemi federali dovranno migrare verso algoritmi post-quantistici entro il 2035.

Durante il processo di transizione, viene proposta un'approccio ibrido: l'utilizzo di algoritmi classici esistenti insieme ad algoritmi post-quantistici. Google Chrome ha abilitato per impostazione predefinita lo scambio di chiavi ibrido X25519Kyber768 per le connessioni TLS nel 2024. Il protocollo di messaggistica Signal ha aggiunto anche la protezione post-quantistica con il protocollo PQXDH. Cloudflare e Amazon Web Services hanno iniziato a offrire supporto TLS post-quantistico.

Attacchi a canale ausiliario e sicurezza dell'implementazione

Anche se gli algoritmi crittografici presentano una solida sicurezza teorica, le vulnerabilità nella loro implementazione possono compromettere l'intera sicurezza. Gli attacchi a canale laterale, che mirano all'estrazione della chiave sfruttando informazioni trapelate dall'implementazione fisica dell'algoritmo, rappresentano una minaccia significativa. Ad esempio, gli attacchi di timing (Paul Kocher, 1996) analizzano le differenze nei tempi di elaborazione per estrarre informazioni sensibili, come l'esponente nelle operazioni RSA che varia in base alla chiave privata. Anche gli attacchi di analisi della potenza (semplice SPA e differenziale DPA) estraggono informazioni sulla chiave dai modelli di consumo energetico del dispositivo. Sono stati inoltre studiati attacchi basati sulle emissioni elettromagnetiche e sulla criptoanalisi acustica.

Per difendersi da tali attacchi, vengono utilizzate implementazioni a tempo costante, tecniche di mascheramento del consumo energetico, inserimento di ritardi casuali e contromisure fisiche. La famosa vulnerabilità Heartbleed (CVE-2014-0160), derivante da un errore di overflow del buffer in OpenSSL, ha causato la divulgazione di chiavi private, password e dati di sessione dalla memoria dei server. Colpendo circa un terzo di Internet, questo incidente ha dimostrato in modo doloroso che in crittografia, la qualità dell'implementazione e la rigorosità della revisione del codice sono fondamentali tanto quanto la progettazione dell'algoritmo stesso.

Il futuro della crittografia

La crittografia rimane uno dei settori più dinamici e cruciali dell'informatica. Dalle fondamenta della teoria dell'informazione di Shannon al lavoro di Turing sull'Enigma, dalla rivoluzionaria crittografia a chiave pubblica di Diffie-Hellman agli algoritmi post-quantistici odierni, questo percorso rappresenta uno degli achievementi più sofisticati dell'umanità. Nell'era digitale, la comunicazione sicura, l'e-commerce, l'identità digitale e la privacy sono impensabili senza la crittografia.

Guardando al futuro, diverse aree si distinguono. La Crittografia Omoomorfica Completa (FHE) consente di eseguire calcoli su dati crittografati senza prima decrittarli; sono stati ottenuti significativi miglioramenti delle prestazioni da quando Craig Gentry ha pubblicato il suo rivoluzionario lavoro nel 2009. Il Calcolo Multi-Parte Sicuro (MPC) permette a più parti di eseguire un calcolo congiunto senza rivelare i propri dati individuali l'una all'altra. La Privacy Differenziale garantisce matematicamente la privacy degli individui quando si estraggono informazioni statistiche da set di dati. La transizione alla crittografia post-quantistica, il pieno dispiegamento di TLS 1.3 e i progressi nelle tecnologie di miglioramento della privacy (PET) confermano ancora una volta che la crittografia non è solo uno strumento di sicurezza, ma un'infrastruttura fondamentale della società digitale.