Anche Cloudflare ha anticipato la propria scadenza per raggiungere la sicurezza post-quantum completa: l’obiettivo è ora il 2029, con una roadmap che include per la prima volta anche l’autenticazione post-quantum sull’intera suite di prodotti. La mossa segue quella analoga di Google, annunciata a fine marzo, e arriva nel momento in cui due ricerche indipendenti hanno ridotto drasticamente le stime su sulla finestra temporale in cui i computer quantistici potrebbero essere in grado di violare la crittografia usata oggi su internet e alla base di moltissimi meccanismi di sicurezza e riservatezza dei dati.
Tre fronti che convergono
Violare la crittografia a chiave pubblica con un computer quantistico richiede progressi simultanei su tre fronti separati: hardware, error correction e software quantistico. La novità di questo inizio 2026 è che tutti e tre hanno subito accelerazioni significative nello stesso momento, con effetti che si amplificano vicenda.
Sul fronte hardware, le architetture a atomi neutri si sono rivelate molto più competitive del previsto. La società Oratomic ha pubblicato una stima delle risorse necessarie per violare RSA-2048 e P-256 su un computer a atomi neutri, arrivando a un numero di qubit che ha colto di sorpresa la comunità: circa 10.000 qubit fisici sarebbero sufficienti per P-256. Il motivo è tecnico ma cruciale: gli atomi neutri, grazie alla loro elevata connettività, permettono codici di correzione degli errori enormemente più efficienti rispetto ai superconduttori. In pratica, bastano 3-4 qubit fisici neutri per ogni qubit logico, contro circa 1.000 qubit fisici richiesti dagli attuali computer superconduttori a connettività neighbor-only.
Lo stesso giorno della pubblicazione di Oratomic, Google ha annunciato di aver migliorato drasticamente l’algoritmo quantistico per compromettere la crittografia su curva ellittica. Google non ha pubblicato l’algoritmo, ma ne ha fornito solo una zero-knowledge proof, ossia una dimostrazione crittografica della sua esistenza senza rivelarne il contenuto. È una scelta che, di per sé, dice qualcosa sullo stato del campo. Come aveva anticipato il computer scientist Scott Aaronson a fine 2025, sarebbe presto arrivato il momento in cui i ricercatori avrebbero smesso di pubblicare le stime dettagliate sulle risorse necessarie per violarei sistemi crittografici per non fornire troppo vantaggio agli avversari. Stando al blog di Cloudflare, quel momento è già passato.
Da Q-Day dopo il 2035 a Q-Day 2029
L’effetto combinato di questi avanzamenti ha spostato in modo significativo le proiezioni sul cosiddetto Q-Day, il giorno in cui un computer quantistico sufficientemente potente sarà in grado di rompere la crittografia a chiave pubblica in uso oggi. Le timeline che fino a poco fa collocavano questo scenario oltre il 2035 non reggono più all’aggiornamento dei dati. Un articolo pubblicato da Nature nei giorni scorsi conferma che due gruppi di ricerca indipendenti hanno prodotto nuove stime che accorciano considerevolmente l’orizzonte temporale. Il CTO di IBM Quantum Safe ha dichiarato pubblicamente di non poter escludere “moonshot attack” su target ad alto valore già nel 2029.
Sia Google che Cloudflare hanno risposto con un allineamento delle proprie roadmap su quello stesso anno. Google, che aveva già migrato i propri servizi al key exchange post-quantum tramite ML-KEM (lo standard NIST finalizzato ad agosto 2024), si concentra ora sulla migrazione dell’autenticazione e delle firme digitali. Il NIST prevede di deprecare RSA con 112 bit di sicurezza (chiavi 2048-bit) nel 2030 e di vietare tutti gli algoritmi RSA legacy entro il 2035.
Il cambio di priorità: dall’encryption all’authentication
Per quasi un decennio, il dibattito sulla crittografia post-quantum si è concentrato sugli attacchi Harvest Now, Decrypt Later (HNDL): avversari che raccolgono traffico criptato oggi contando di decifrarlo in futuro con computer quantistici abbastanza potenti. Cloudflare ha iniziato ad affrontare quel rischio nel 2022, quando ha abilitato il key agreement post-quantum ibrido per tutti i siti e le API sulla propria rete. Oggi, oltre il 65% del traffico umano che transita attraverso l’infrastruttura Cloudflare usa già la crittografia post-quantum per le operazioni di key exchange.
L’accelerazione del Q-Day sposta le priorità. Con Q-Day imminente, il problema non è più solo proteggere il traffico cifrato, ma difendere l’autenticazione. Un avversario con un computer quantistico funzionante può forgiare credenziali di accesso, compromettere chiavi di firma del software e impersonare server. Ogni chiave di login remoto vulnerabile ai qubit diventa un punto d’ingresso; ogni meccanismo di aggiornamento automatico del software diventa un potenziale vettore di attacchi remote code execution. Le chiavi a lunga vita, come i certificati root, le API auth keys e i certificati di code-signing, sono quelle più esposte: comprometterne una garantisce accesso persistente finché non viene revocata o rilevata.
Sharon Goldberg, Senior Product Director di Cloudflare, ha descritto l’approccio dell’azienda come un “blanket upgrade” su tutta la suite di prodotti: nessuna eccezione, nessun costo aggiuntivo, disponibile ai clienti su qualsiasi piano incluso quello gratuito. Il parallelo con la decisione del 2014 di distribuire certificati TLS universali e gratuiti è esplicito nel blog ufficiale della società.
La roadmap con le tappe intermedie
Cloudflare ha articolato la propria roadmap in tappe concrete. Entro metà 2026 è previsto il supporto per l’autenticazione post-quantum tramite ML-DSA sulle connessioni verso i server di origine. Entro metà 2027, le connessioni end-to-end dagli utenti a Cloudflare useranno i Merkle Tree Certificates. Entro inizio 2028, sarà la volta di Cloudflare One, la suite SASE dell’azienda. Il completamento dell’intera suite di prodotti è fissato al 2029, con attivazione automatica senza richiedere interventi da parte dei clienti.
La migrazione all’autenticazione post-quantum è di base più complessa rispetto a quella del key exchange. Non è sufficiente aggiungere il supporto PQC: per prevenire i downgrade attack, bisogna anche disabilitare la crittografia quantum-vulnerabile. Una volta fatto, tutti i segreti precedentemente esposti (password, access token) devono essere ruotati. In sistemi federati come il web pubblico, il problema si complica ulteriormente perché non tutti i client supporteranno immediatamente i certificati post-quantum: durante il periodo di transizione, i server devono continuare a supportare i client legacy. Cloudflare indica “PQ HSTS” e la certificate transparency come strumenti di protezione dai downgrade nel frattempo.
Settori più vulnerabili e supply chain
Cloudflare, per la posizione che occupa nell’infrastruttura internet globale, ha una visuale privilegiata sullo stato di preparazione di interi settori. I comparti più avanzati nella transizione sono governi, servizi finanziari e telecomunicazioni, mentre quelli più indietro sono sanità, technology e consumer. Ma quelli che Goldberg ha indicato come più esposti sono quelli che dipendono da sistemi difficilmente aggiornabili: automotive, utilities, satelliti ed elettronica di consumo. Per questi, la strategia consigliata è instradare il traffico legacy attraverso tunnel quantisticamente sicuri.
Un elemento spesso trascurato è la supply chain crittografica: anche un’organizzazione che completa internamente la migrazione PQC rimane esposta se i propri vendor critici non si aggiornano. Cloudflare raccomanda di inserire il supporto post-quantum tra i requisiti di procurement e di avviare subito una valutazione dell’impatto dei fornitori chiave in caso di mancato aggiornamento. Per i governi, l’azienda suggerisce di nominare un’agenzia capofila per coordinare la migrazione su una timeline chiara, evitando la frammentazione tra standard e giurisdizioni che potrebbe rallentare l’intero processo.