Troppo piccoli, oppure troppo grandi, device IoT (Internt of Things) e sistemi HPC (High Performance Computing) hanno bisogno di una protezione dedicata. Ora se ne sta prendendo cura il NIST (National Institute of Standards and Technology degli Stati Uniti), che sta lavorando per garantire una sicurezza post-quantum, anche a chi è “fuori taglia”. Per i primi, sembra aver trovato una famiglia di algoritmi efficaci, per i secondi, sta raccogliendo esigenze e idee, per orientarsi al meglio in una non banale architettura.
Entrambi hanno esigenze peculiari che richiedono sistemi di crittografia di nuova generazione, studiati ad hoc. Non tenerne conto, significherebbe regalare ai criminali informatici post quantum un’ampia superficie di attacco. Ne deriverebbero danni per i singoli utenti, ma anche per interi settori che oggi stanno costruendo il proprio successo su IoT o HPC. O su entrambi, come automotive e smart city.
Dispositivi IoT al sicuro con Ascon
Il numero dei dispositivi IoT cresce rapido e la loro presenza si allarga, coprendo molti settori di interesse anche strategico. Sono IoT molti dispositivi medici, i wearable, i device per la smart mobility e per le città del domani. Per l’utente, sempre più spesso “piccolo è meglio”, mentre per chi si occupa di sicurezza, la miniaturizzazione rappresenta una sfida. Quelli che sono i punti di forza sul mercato – dimensioni limitate e processori a basso consumo – per il NIST sono diventati paletti intorno a cui costruire algoritmi di crittografia. Ne servivano di potenti, ma in grado di funzionare anche con risorse elettroniche limitate.
Dopo un programma di sviluppo durato anni, la consultazione “pubblica” è partita e, prima del 2018, sono arrivate 57 proposte di soluzioni di crittografia per “piccole taglie”. Lunghe verifiche incrociate, su sicurezza, prestazioni, velocità, dimensioni e consumi energetici, hanno portato all’elezione come vincitore di Ascon. Il NIST lo ha annunciato poche settimane fa, presentando questo pacchetto di sette algoritmi per la crittografia autenticata come il più adatto ai dispositivi IoT. Decisiva, nelle selezioni, è stata l’implementazione compatta di Ascon, sviluppato nel 2014 da esperti della Graz University of Technology in Austria, Infineon Technologies, Lamarr Security Research e Radboud University nei Paesi Bassi. Tutti, o quasi, i singoli algoritmi che lo compongono, diventeranno parte dello standard di crittografia leggera ufficiale selezionato dal NIST. Le future varianti che spunteranno, permetteranno ai progettisti di dispositivi di sondare nuove opzioni, anche per compiti diversi. La partita non è ancora chiusa, quindi, per chi vuole entrare nella storia della sicurezza IoT.
In ascolto delle esigenze degli utenti HPC
All’interno della “famiglia algoritmica vincitrice”, i due elementi più importanti sarebbero l’AEAD e l’hashing. Effettivamente, assieme, sembrano ricoprire un ampio spettro di funzioni primarie per la sicurezza.
Il primo, acronimo di Authenticated encryption with associated data, garantisce l’autenticità e la riservatezza di un messaggio ma permette di includere le intestazioni o l’indirizzo IP, senza crittografarli. L‘hashing, invece, crea una sorta di impronta digitale di un messaggio, per consentire al destinatario di capire se è stato modificato e se ci sono stati malfunzionamenti nell’aggiornamento software.
Due algoritmi che faranno strada, con l’IoT, ma che mal rispondono alle esigenze dei sistemi HPC. Siamo agli antipodi, dimensionalmente parlando e, in questo caso XXL, il NIST si trova di fronte a una sfida forse superiore.
Per proteggere sistemi di calcolo ad alte prestazioni deve infatti tener conto di aspetti che vanno dall’hardware al software, dai requisiti di prestazione a quelli di sicurezza, coprendo ogni tipo di risorsa condivisa e stando al passo con l’evoluzione del settore.
Per cercare di districarsi al meglio tra esigenze e vincoli del mondo HPC, il NIST ha scelto di chiedere aiuto. Ha da poco iniziato a raccogliere commenti pubblici su una bozza di pubblicazione con un’idea di architettura e postura di sicurezza. Fino al 7 aprile resterà all’ascolto, sperando di ricevere contributi preziosi e riguardanti le tante diverse applicazioni che sfruttano questi sistemi. Sarebbero indizi importanti per impostare un futuro sicuro per sistemi che stanno dimostrandosi necessari non solo per l’AI.
