Signal rafforza la cifratura con SPQR, ma l’Antica Roma non c’entra

L’avvento di computer quantistici, in prospettiva, sempre più potenti impone una trasformazione radicale nei protocolli di cifratura che, fino a oggi, hanno garantito la riservatezza delle comunicazioni digitali. Signal, applicazione che ha svolto un ruolo pionieristico nel segmento della crittografia end-to-end adottata su scala globale. Si pensi che WhatsApp, quando decise di implementare una cifratura forte, non sviluppò un algoritmo proprietario da zero, ma adottò il protocollo di crittografia già realizzato da Open Whisper Systems, l’organizzazione che inizialmente promosse Signal).

Signal ha annunciato un passo fondamentale in questa direzione: l’introduzione dello Sparse Post Quantum Ratchet (SPQR) e la conseguente evoluzione del proprio protocollo verso il cosiddetto Triple Ratchet (ne parliamo appena più avanti). Si tratta di una misura che introduce un ulteriore livello di resilienza contro gli attacchi che potrebbero essere resi possibili dall’arrivo dei computer quantistici.

L’acronimo SPQR inevitabilmente strappa un sorriso a casa nostra e non solo. SPQR è ben noto come simbolo dell’Antica Roma (Senatus Populusque Romanus), ora “riconquistato” in chiave moderna come scudo contro gli attacchi quantistici. In fondo, i Romani costruivano strade indistruttibili, oggi si costruiscono protocolli a prova di computer quantistici.

Cos’è un ratchet

Un ratchet, nel campo della crittografia, è un meccanismo che aggiorna continuamente le chiavi di cifratura durante una conversazione, in modo che ogni nuovo messaggio usi chiavi diverse e indipendenti da quelle passate.

Il nome viene dall’inglese cricchetto (come quello di una chiave a scatto): una volta che la chiave avanza, non si può tornare indietro. Questo garantisce che anche se una chiave viene compromessa, i messaggi passati e futuri restano protetti.

Dal Double Ratchet al Triple Ratchet in Signal: perché è un cambiamento importante

Il protocollo Signal, ideato nel 2013, ha rappresentato un punto di svolta nel mondo della crittografia applicata ai sistemi di messaggistica. Il Double Ratchet, che combina funzioni hash e scambi ECDH (Elliptic Curve Diffie-Hellman), ha reso possibili conversazioni resistenti alle intercettazioni tradizionali, garantendo:

• Forward Secrecy (FS): la protezione dei messaggi passati anche in caso di compromissione futura delle chiavi.
• Post-Compromise Security (PCS): la capacità di recuperare la sicurezza della conversazione dopo una violazione, generando nuove chiavi non ricavabili dalle vecchie.

L’uso dell’algoritmo ECDH, tuttavia, pone un limite strutturale: in presenza di un aggressore dotato di un computer quantistico, i meccanismi di ECDH potrebbero fallire. È proprio in questo scenario che nasce SPQR, un nuovo ratchet progettato per introdurre segreti resistenti agli algoritmi quantistici.

SPQR: un ratchet post-quantum che garantisce protezione contro attacchi vecchi e nuovi

Il nocciolo dell’innovazione introdotta da Signal risiede nel fatto che SPQR non sostituisce il Double Ratchet, ma lo affianca. Ogni sessione utilizza contemporaneamente:

• Le chiavi generate con il meccanismo tradizionale basato su ECDH.
• Le chiavi post-quantum ottenute tramite un meccanismo standard di incapsulamento delle chiavi (ML-KEM), che garantisce robustezza anche contro algoritmi quantistici.

I due flussi di chiavi sono poi combinati tramite una “funzione di derivazione” (KDF), generando un segreto ibrido: per compromettere una sessione, un attaccante dovrebbe riuscire a rompere entrambi i sistemi crittografici in parallelo, un’ipotesi considerata impraticabile.

Poiché le chiavi ML-KEM sono molto più grandi delle chiavi ECDH (oltre 1000 byte contro 32), Signal ha introdotto un sistema di chunking con codici di cancellazione (erasure codes) che permette di trasmettere i dati crittografici in frammenti distribuiti nei messaggi.

Questo approccio riduce i rischi legati alla perdita o alla manipolazione selettiva dei pacchetti, rendendo possibile la ricostruzione anche in scenari di rete avversi.

Efficienza e sicurezza: un equilibrio delicato

Un aspetto cruciale dello SPQR è l’ottimizzazione del flusso di segreti. La tentazione di generare chiavi in modo troppo aggressivo (per accelerare i passaggi ratchet) comporta un rischio: se un dispositivo fosse compromesso mentre conserva chiavi future, un attaccante potrebbe ricostruire conversazioni non ancora avvenute.

Per questo motivo Signal ha sviluppato il concetto di epoch: ogni ratchet avanza progressivamente e in maniera controllata, evitando l’accumulo di chiavi. Il risultato è un protocollo capace di bilanciare la rapidità dell’aggiornamento con la minimizzazione della superficie d’attacco in caso di compromissione.

Distribuzione progressiva e compatibilità

Il rollout dello SPQR avverrà in maniera graduale e retrocompatibile. Nelle prime fasi, i client Signal che ancora non supportano il nuovo ratchet potranno comunque comunicare tramite il Double Ratchet tradizionale.

La capacità di “negoziare” la presenza di SPQR in fase di sessione iniziale consente di evitare disservizi, pur garantendo che – una volta completata la transizione – tutte le comunicazioni siano protette dal Triple Ratchet.

Signal dimostra che già oggi è possibile difendere le comunicazioni dagli attacchi post-quantistici

In passato abbiamo ripetutamente documentato casi in cui gli algoritmi crittografici post-quantistici falliscono miseramente con le aggressioni condotte usando sistemi tradizionali. Vi ricordate l’algoritmo post-quantistico sconfitto con un vecchio processore Intel Xeon?

L’adozione dello SPQR da parte di Signal rappresenta uno sviluppo importante. Dimostra infatti che:

• È possibile rendere le conversazioni future sicure anche in scenari post-quantum.
• La resilienza a compromissioni temporanee rimane intatta.
• L’implementazione pratica può convivere con le restrizioni di banda e la potenza computazionale tipiche dei dispositivi mobili.

Per gli utenti finali, il cambiamento sarà invisibile: non serviranno azioni manuali, aggiornamenti complicati o nuove configurazioni. Ma, dal punto di vista della sicurezza, rappresenta una delle transizioni più cruciali degli ultimi dieci anni nel campo della cifratura end-to-end.