Crittografia post-quantistica per embedded e IoT: secure boot, TLS e OTA

Crittografia post-quantistica per embedded e IoT: secure boot, TLS e OTA

La crittografia post-quantistica sta diventando una delle tecnologie più concrete per chi sviluppa sistemi embedded, gateway Linux e dispositivi IoT destinati a restare in campo per molti anni. Nel giro di pochi mesi sono arrivati i primi standard NIST finali, la roadmap europea di transizione, il supporto in OpenSSL 3.5 e i primi annunci embedded di vendor come STMicroelectronics. Questo significa che la PQC non è più solo un tema da laboratorio o da convegno: sta entrando nello stack reale di prodotti connessi, firmware aggiornabili, catene di trust e infrastrutture di sicurezza di lungo periodo.

La domanda importante non è solo “cos’è la crittografia post-quantistica?”. La domanda corretta per un team embedded è: se il mio dispositivo deve vivere 10, 15 o 20 anni, cosa succede a TLS, secure boot, OTA, certificati dispositivo e verifica delle firme quando gli algoritmi classici non sono più una base sufficiente nel lungo periodo?

Nei prodotti embedded il problema non riguarda soltanto la cifratura delle comunicazioni. Riguarda anche la catena di fiducia: il bootloader che verifica un’immagine firmata, il firmware che valida un pacchetto OTA, il gateway Linux che apre sessioni TLS verso il backend, la PKI di produzione, i certificati e i processi di manutenzione sul campo. Nel draft NIST IR 8547, NIST osserva esplicitamente che, se il codice che verifica le firme non è aggiornabile dopo la produzione, i dispositivi destinati a restare in uso a lungo dovrebbero essere progettati per richiedere firme resistenti al quantum.

Cos’è la crittografia post-quantistica

La crittografia post-quantistica, o PQC, è l’insieme di algoritmi pensati per resistere ad attacchi eseguiti con computer quantistici pur girando su hardware classico. Nel 2024 NIST ha pubblicato i primi tre standard principali della propria iniziativa post-quantum: FIPS 203 per ML-KEM, FIPS 204 per ML-DSA e FIPS 205 per SLH-DSA.

Per il mondo embedded i due nomi da ricordare subito sono ML-KEM e ML-DSA. ML-KEM, standardizzato in FIPS 203, è un key encapsulation mechanism pensato per stabilire un segreto condiviso su un canale pubblico. NIST specifica tre parameter set: ML-KEM-512, ML-KEM-768 e ML-KEM-1024, in ordine di sicurezza crescente e prestazioni decrescenti. In pratica è il candidato naturale per la parte di key establishment in protocolli come TLS.

ML-DSA, standardizzato in FIPS 204, è invece la famiglia di firme digitali lattice-based per generare e verificare firme. È il punto di contatto più naturale con secure boot, firmware signing, package signing, certificati e identità dispositivo. Nella documentazione OpenSSL su EVP_SIGNATURE-ML-DSA, le firme ML-DSA-44, ML-DSA-65 e ML-DSA-87 hanno dimensioni indicative nell’ordine di circa 2,5 KB fino a 4,5 KB: un dettaglio apparentemente piccolo, ma molto importante quando si parla di manifest OTA, header firmati e microcontrollori con flash limitata.

NIST continua a standardizzare algoritmi aggiuntivi di backup o alternativi, ma il messaggio ufficiale è molto chiaro: per la maggior parte dei deployment, i tre standard iniziali sono la base da cui partire. Non serve aspettare il “set perfetto”; serve cominciare a preparare i prodotti e a misurare gli impatti veri.

Perché la PQC è interessante per embedded e IoT

Nei sistemi embedded moderni la sicurezza non si esaurisce con un firewall, un certificato TLS o una firma RSA inserita in produzione. Un dispositivo connesso oggi può rimanere in campo per molti anni, subire aggiornamenti OTA, cambiare backend, essere integrato in impianti industriali o rientrare in cicli di supporto molto lunghi. Più lunga è la vita del prodotto, più diventa rischioso progettare la catena di fiducia assumendo che gli algoritmi classici resteranno adeguati per tutto il lifecycle.

L’urgenza non è solo teorica. La Commissione europea ha pubblicato nel 2025 una roadmap coordinata per la transizione alla crittografia post-quantistica. Nel relativo comunicato, l’UE indica che gli Stati membri dovrebbero iniziare la transizione entro la fine del 2026 e che la protezione delle infrastrutture critiche dovrebbe passare a PQC il prima possibile, entro fine 2030.

Questa urgenza si sente particolarmente nei protocolli di rete. NIST prevede di dare priorità alla migrazione verso schemi quantum-resistant di key establishment, soprattutto per proteggere da scenari “harvest now, decrypt later” in protocolli interattivi come TLS e IKE. Per chi progetta gateway Linux, edge computer, router custom o concentratori industriali, questo è un segnale molto concreto: la PQC entra prima di tutto nei canali dati e poi, subito dopo, nella catena di trust del firmware.

Il vantaggio principale: proteggere la catena di fiducia prima che diventi costosa da cambiare

In un flusso embedded tradizionale, molte scelte crittografiche vengono congelate prima di quanto si immagini: formato dei certificati, dimensione dei manifest, policy di firma, tool di build, struttura del bootloader, procedura di provisioning, secure element, backend PKI. Finché il prodotto è in laboratorio, cambiare è ancora possibile. Quando il dispositivo è in campo, ogni modifica diventa più delicata e più costosa.

Per questo la PQC non va vista come “la nuova crittografia da sostituire a ECC e RSA in blocco”, ma come un modo per introdurre crypto agility e proteggere in anticipo la parte più difficile da correggere dopo. Il punto non è rifare tutto domani. Il punto è evitare di progettare oggi un prodotto che fra pochi anni obbligherà a ripensare boot chain, update policy e PKI quando i vincoli saranno già cristallizzati sul campo.

Applicazioni pratiche della PQC nei sistemi embedded

Nel mondo embedded la PQC non è interessante se resta una spiegazione astratta. Diventa interessante quando entra in quattro aree molto concrete: TLS e networking, secure boot e firmware signing, OTA e package lifecycle, identità dispositivo e PKI.

TLS e networking per gateway Linux ed edge computer

Questo è il primo punto in cui la transizione è già visibile nel software reale. Le release notes di OpenSSL 3.5 indicano il supporto a ML-KEM, ML-DSA e SLH-DSA. Inoltre, la lista predefinita dei gruppi TLS è stata modificata per includere e preferire gruppi ibridi PQC KEM, e le keyshare di default sono passate a offrire X25519MLKEM768 e X25519.

Per chi lavora su gateway Linux embedded, questo significa che i test non devono più partire da fork sperimentali di anni fa: una parte della discussione è arrivata nel mainstream di una libreria fondamentale. La documentazione OpenSSL include anche pagine dedicate a EVP_PKEY-ML-KEM e EVP_PKEY-ML-DSA, utili per capire come vengono gestite chiavi, parametri e formati.

Gli approcci ibridi sono molto interessanti perché mostrano un percorso di transizione pratico: mantenere una componente classica e aggiungere resistenza post-quantum. Ma vanno trattati con attenzione. Una soluzione ibrida non è automaticamente più semplice: aumenta il numero di componenti, la complessità di test, l’interoperabilità da verificare e la superficie di errore.

Secure boot e firma firmware

Se c’è una sezione in cui la PQC parla direttamente al mondo embedded, è questa. La funzione di secure boot è costruita sulla capacità di verificare una firma affidabile prima di eseguire codice. Nel caso di dispositivi che resteranno in campo per molti anni, la domanda smette di essere “ci serve la PQC?” e diventa “quanto è rischioso bloccare la nostra catena di avvio su firme che in futuro potrebbero non essere più considerate adeguate?”.

ML-DSA è il candidato naturale per questa parte della catena di fiducia. Va però trattato come un tema di architettura, non solo di algoritmo: firme dell’ordine di qualche kilobyte possono impattare header, manifest, formati immagine, partizioni, recovery path e processi di validazione. Non è un motivo per fermarsi; è un motivo per iniziare a progettare e misurare con criterio.

OTA, package signing e lifecycle di prodotto

Nel flusso OTA la PQC non cambia soltanto l’algoritmo di firma. Può cambiare la dimensione degli artefatti, il modo in cui gestisci i metadati di aggiornamento, la policy di rollback, la compatibilità fra versioni e il budget di memoria riservato alla verifica. STMicroelectronics, nel suo annuncio del 2025 sulla PQC per embedded systems, collega esplicitamente i propri asset post-quantum a tre casi d’uso embedded molto chiari: firmware update, secure boot e authentication mechanisms.

Questo conferma che il punto di ingresso embedded della PQC non sarà solo il networking enterprise, ma anche il lifecycle del firmware. Per un prodotto connesso, OTA e secure boot non sono moduli separati: sono parti della stessa catena di fiducia.

Identità dispositivo, certificati e PKI

Un altro fronte pratico è la PKI. L’ecosistema Open Quantum Safe documenta strumenti per sperimentare key exchange e autenticazione post-quantum in TLS, oltre a integrazioni basate su provider OpenSSL. Per un team embedded questo è prezioso soprattutto in laboratorio e nella fase di prototipazione: permette di esercitare la parte più dolorosa della migrazione, cioè certificati, tool e interoperabilità, prima ancora di decidere il rollout finale sul prodotto.

PQC non è solo una tecnologia da datacenter

Uno degli equivoci più comuni è pensare che la PQC riguardi prima di tutto server, cloud e grandi appliance. In realtà la filiera embedded si sta muovendo con una certa concretezza. STMicroelectronics ha annunciato algoritmi post-quantum integrati in MCU general-purpose, secure microcontrollers e microcontrollori automotive, oltre a librerie software per sviluppatori STM32.

Anche dal lato memoria i trade-off sono reali. In test pubblicati da wolfSSL su piattaforme embedded, ML-KEM e ML-DSA mostrano profili diversi di stack e heap. I dati pubblicati in Optimizing Post-Quantum Algorithm Memory Usage on Embedded Systems evidenziano che ML-KEM tende ad avere un profilo più prevedibile, mentre ML-DSA può richiedere più attenzione, soprattutto per heap e configurazioni orientate a stack ridotto.

Il messaggio pratico è chiaro: il KEM è spesso la prima porta d’ingresso realistica della PQC su hardware stretto; le firme richiedono più attenzione a latenza, memoria e formati degli artefatti.

Architettura tipica di una soluzione PQC embedded

Una soluzione PQC embedded ben progettata non introduce un “algoritmo magico” in un punto solo. Divide invece il problema in blocchi: session establishment, firme, certificati, toolchain di build, provisioning e memory budgeting. La tabella seguente sintetizza i punti principali da valutare in un prodotto reale.

Componente Ruolo Impatto in embedded
ML-KEM Key establishment per TLS o protocolli simili Impatta handshake, librerie crypto, compatibilità e gestione dei gruppi TLS
ML-DSA Firma di firmware, manifest, certificati o payload Impatta dimensione firme, tempi di verifica, formati immagine e PKI
Approccio ibrido Transizione graduale con componente classica e post-quantum Aumenta compatibilità, ma aggiunge complessità e costi di integrazione
Libreria crypto Esecuzione di algoritmi e integrazione nei protocolli Su Linux può passare da OpenSSL 3.5; su target stretti serve selezione più rigorosa
PKI e provisioning Certificati, trust anchors, enrollment e identity chain Va rivisto prima del rollout su larga scala, non dopo
Budget memoria Stack, heap, flash e tempi di esecuzione Deve essere misurato su target reale, non solo dedotto dai paper o dalle release notes

PQC e integrazione controllata in Linux embedded

Per un gateway Linux embedded, il percorso più professionale non è “accendiamo la PQC ovunque e vediamo cosa succede”. Il percorso corretto è una integrazione controllata in build e release process. OpenSSL 3.5 rende possibile iniziare da test reali sul target; gli strumenti Open Quantum Safe aiutano molto in laboratorio per interoperabilità TLS e X.509.

In produzione, però, conviene separare bene immagine di sviluppo, immagine di test e immagine di produzione, decidendo quali algoritmi e quali gruppi abilitare davvero. La stessa logica vale per firmware e boot chain: il punto non è solo “supportare ML-DSA”, ma decidere dove conservare chiavi e trust anchor, come versionare la policy di firma, come migrare il backend PKI e come gestire fallback o rollback senza creare una giungla di compatibilità impossibile da mantenere.

pqc_embedded_strategy:
  linux_gateway_dev:
    openssl_3_5_tested: true
    hybrid_tls_groups_evaluated: true
    oqs_lab_interop_used: true
    x509_pqc_test_chain_created: true

  firmware_and_boot:
    signature_verifier_path_mapped: true
    manifest_size_impact_checked: true
    trust_anchor_update_policy_defined: true
    rollback_compatibility_reviewed: true

  production_rollout:
    only_required_algorithms_enabled: true
    legacy_fallback_policy_defined: true
    stack_heap_flash_measured_on_target: true
    release_artifacts_versioned: true

Quando la PQC può creare valore in un prodotto embedded

La PQC crea valore soprattutto quando il prodotto è connesso, aggiornabile, con una vita sul campo lunga e una dipendenza reale da certificati, secure boot, OTA o protocolli sicuri. Più alto è il costo di intervenire fisicamente sul dispositivo o di riprogettare la boot chain in ritardo, più cresce il valore di affrontare il problema in anticipo.

È particolarmente sensata su gateway Linux, edge appliance, prodotti industriali installati presso clienti, dispositivi con update remoti e linee di prodotto che devono restare supportate per molto tempo. In queste classi di prodotto, la PQC non è solo sicurezza “in più”: è un modo per limitare il rischio di trovarsi con una chain of trust difficile da migrare quando il contesto normativo, tecnologico e di mercato si sarà già spostato.

Quando invece serve cautela

La PQC non è automaticamente la scelta giusta per ogni prodotto. Su dispositivi molto piccoli, con MCU estremamente vincolati, immagini minimali o tempi real-time aggressivi, l’impatto di memoria, latenza e complessità progettuale può superare il beneficio immediato. I benchmark e i dati pubblicati dai vendor mostrano che la fattibilità esiste, ma mostrano anche che le firme possono avere costi e variabilità che vanno presi sul serio.

Serve cautela anche con gli approcci ibridi. Possono essere utili come ponte di transizione, ma aumentano complessità, costi e rischi di implementazione. Il punto non è quindi “mettere PQC ovunque”, ma capire dove produce un vantaggio misurabile e dove invece conviene preparare il design, introdurre crypto agility e aspettare un livello di supporto più maturo.

Crittografia classica, ibrida e post-quantistica: differenze pratiche

Approccio Vantaggio Limite
Classico ECC/RSA Massima compatibilità, footprint noto, tool consolidati Base quantum-vulnerable nel lungo periodo
Ibrido classico + PQC Buon ponte di transizione e interoperabilità Più complessità, più artefatti, più review e costi di integrazione
Puro PQC Architettura più allineata alla direzione futura Ecosistema ancora in maturazione e impatto maggiore su alcuni target

La scelta giusta dipende dal ruolo del dispositivo. Oggi un gateway Linux può spesso partire dai test ibridi su TLS; un boot chain o un firmware signing flow possono invece richiedere una valutazione più prudente ma più profonda sulla parte firme e lifecycle.

Checklist tecnica per valutare la PQC su embedded e IoT

Prima di introdurre la PQC in un prodotto embedded, conviene fare un audit vero e proprio. L’obiettivo non è solo verificare se una libreria supporta ML-KEM o ML-DSA, ma capire se l’intera architettura può evolvere senza diventare fragile.

pqc_embedded_audit:
  lifecycle:
    expected_field_life_checked: true
    long_term_confidentiality_needs_checked: true
    non_updatable_signature_verifier_identified: true

  protocols:
    tls_or_vpn_usage_mapped: true
    device_authentication_paths_mapped: true
    certificates_and_pki_inventory_done: true

  firmware_chain:
    secure_boot_flow_reviewed: true
    ota_manifest_and_signature_format_reviewed: true
    rollback_and_recovery_paths_verified: true

  implementation:
    target_library_selected: true
    hybrid_transition_need_evaluated: true
    stack_heap_flash_measured_on_real_target: true
    latency_variance_measured: true

  operations:
    trust_anchor_rotation_plan_available: true
    crypto_agility_requirements_defined: true
    backend_compatibility_checked: true
    release_and_support_workflow_documented: true

Mini piano di adozione consigliato

La strategia migliore è quasi sempre graduale: inventario, proof of concept, misura sul target reale, integrazione controllata e solo dopo rollout. Questo rispecchia bene sia il tono delle linee guida NIST sia la maturità ancora disomogenea dell’ecosistema fra Linux embedded, librerie vendor e microcontrollori molto piccoli.

flowchart TD
    A["Inventario crittografico del prodotto"] --> B["TLS, VPN e canali sicuri"]
    A --> C["Secure boot e firmware signing"]
    A --> D["OTA, manifest e rollback"]
    A --> E["PKI, certificati e identità dispositivo"]

    B --> F["Valuta ML-KEM o gruppi ibridi"]
    C --> G["Valuta ML-DSA e formati firma"]
    D --> H["Misura impatto su artefatti e memoria"]
    E --> I["Verifica provisioning e trust anchors"]

    F --> L["Benchmark su target reale"]
    G --> L
    H --> L
    I --> L

    L --> M["Rollout controllato con crypto agility"]

Il diagramma sopra è una sintesi operativa del percorso più sano: prima mappare, poi sperimentare, poi misurare, poi distribuire. Non il contrario.

Fase Obiettivo Output atteso
Audit iniziale Mappare TLS, PKI, secure boot, OTA, firmware signing e lifecycle Lista priorità, rischi e punti bloccanti
Pilot Linux Provare OpenSSL 3.5 e gruppi ibridi su gateway o appliance Dati su compatibilità, handshake e impatto operativo
Pilot firmware Misurare firme e verifiche su bootloader, OTA e manifest Dati su tempi, storage, stack e heap
Rollout controllato Portare policy, librerie e PKI dentro il processo di rilascio Architettura mantenibile e pronta a evolvere

Il valore commerciale della PQC nei prodotti embedded

Per un’azienda che sviluppa dispositivi connessi, la PQC può diventare un vantaggio competitivo non perché “fa scena”, ma perché riduce il rischio di dover riprogettare tardi gli elementi più sensibili della fiducia digitale: boot chain, update path, PKI e protocolli sicuri. NIST ricorda che l’integrazione completa richiederà tempo; quindi chi inizia prima con audit e misure realistiche ha più margine per fare una transizione ordinata.

Dal lato europeo, il Cyber Resilience Act non prescrive ML-KEM o ML-DSA in modo specifico, ma impone un quadro in cui i produttori devono prendere sul serio la sicurezza del prodotto lungo tutto il lifecycle. In questo contesto, la capacità di aggiornare e far evolvere l’architettura crittografica del prodotto diventa molto più rilevante.

FAQ su PQC ed embedded

Serve cambiare tutto subito?

No. Le fonti ufficiali spingono a iniziare la transizione ora, ma non a sostituire ogni algoritmo in blocco domani mattina. La priorità è capire dove il rischio è più alto: TLS e canali con esigenze di confidenzialità di lungo periodo, code signing, secure boot, PKI e prodotti con vita sul campo molto lunga.

ML-KEM sostituisce ECDH?

Concettualmente è il riferimento naturale per il nuovo key establishment post-quantum, ma nel mondo reale la transizione passa spesso da soluzioni ibride o compatibilità graduale. OpenSSL 3.5 supporta già gruppi e keyshare ibridi, ma questi meccanismi vanno testati dentro protocolli e stack specifici, non copiati indiscriminatamente in ogni punto dell’architettura.

ML-DSA ha senso per secure boot e firma firmware?

Sì, è uno degli use case più naturali. La firma del firmware, dei manifest OTA e dei pacchetti software è una parte critica della catena di fiducia. Tuttavia, l’impatto su dimensione firme, tempi di verifica e formati immagine deve essere misurato su hardware reale.

La PQC è davvero fattibile su MCU?

Sì, ma con trade-off concreti. Le implementazioni embedded stanno maturando e alcuni vendor stanno già portando supporto PQC su microcontrollori e librerie dedicate. Il punto non è chiedersi se sia possibile in assoluto, ma se sia sostenibile sul target specifico in termini di stack, heap, flash, latenza e consumo.

Su Linux embedded posso fare test reali oggi?

Sì. OpenSSL 3.5 include supporto a ML-KEM, ML-DSA e SLH-DSA, mentre Open Quantum Safe rimane molto utile in laboratorio per prototipazione, interoperabilità TLS e test su certificati. Questo rende i gateway Linux embedded un punto di partenza naturale per PoC seri e misurabili.

Il Cyber Resilience Act richiede già PQC?

No, non prescrive algoritmi specifici di questo tipo. Però impone un quadro di sicurezza di prodotto e di lifecycle che rende più importante progettare sistemi aggiornabili, con fiducia digitale mantenibile e meno dipendenti da scelte crittografiche rigide.

Riferimenti tecnici utili

Conclusione

La crittografia post-quantistica non è più un argomento da “tenere d’occhio più avanti”. Per i team che sviluppano gateway Linux, firmware aggiornabili, secure boot, OTA e prodotti destinati a vivere a lungo, è già un tema di architettura.

La mossa giusta non è cambiare tutto in modo impulsivo. La mossa giusta è capire dove il rischio è reale, introdurre crypto agility, provare gli stack disponibili, misurare memoria e latenza sul target, e preparare la catena di fiducia del prodotto prima che diventi troppo rigida da modificare.

Quando viene affrontata con metodo, la PQC non è una moda. Diventa parte della strategia con cui un prodotto embedded resta credibile, aggiornabile e difendibile nel tempo.

Hai un gateway Linux, un bootloader o una strategia OTA da rivedere in ottica sicurezza di lungo periodo?

Silicon LogiX supporta team tecnici e aziende nella revisione di boot chain, firmware signing, secure boot, Linux embedded, OTA e architetture di sicurezza per prodotti connessi. Un audit tecnico può aiutarti a capire dove introdurre crypto agility, quali punti misurare davvero e come evitare scelte difficili da correggere quando il prodotto è già in campo.

Richiedi un audit sicurezza embedded

Hai un problema simile?

Servizio firmware embedded

Percorso per chi lavora su firmware affidabile, update sicuri e sistemi real-time.

Vai al servizio Audit tecnico 90 minuti Contattami

Continua il percorso

Risorse collegate

Servizio firmware embedded

Percorso per chi lavora su firmware affidabile, update sicuri e sistemi real-time.

Bootloader embedded

Approfondimento correlato nel cluster Firmware, RTOS e bootloader.

OTA firmware update

Approfondimento correlato nel cluster Firmware, RTOS e bootloader.

SLX Memory Map Explorer

Visualizza mappe memoria, linker map e layout firmware per analisi e debug MCU.

Articoli correlati

← Torna a tutte le news