Il mondo della sicurezza digitale segna un passaggio cruciale con l’arrivo di SPQR (Sparse Post Quantum Ratchet) di Signal e la nuova crittografia end-to-end (E2EE) in Gmail. Queste due innovazioni affrontano rispettivamente le sfide legate alla futura minaccia del quantum computing e alla protezione delle comunicazioni aziendali sensibili. Signal integra un meccanismo di crittografia quantistica-sicura capace di garantire segretezza forward e sicurezza post-compromissione anche contro attacchi futuri, mentre Google introduce una funzione che consente agli utenti di inviare email crittografate a chiunque, senza necessità di scambio chiavi o configurazioni complesse. Entrambe le novità rafforzano gli standard di privacy, rispondendo a esigenze di sicurezza che vanno oltre l’attuale panorama delle minacce informatiche.
Cosa leggere
SPQR: la nuova frontiera del Signal Protocol
Signal ha annunciato l’integrazione del Sparse Post Quantum Ratchet come estensione del Double Ratchet, dando origine al Triple Ratchet. Questo nuovo approccio ibrido combina la classica crittografia ellittica con lo schema ML-KEM 768, standardizzato per la resistenza ai computer quantistici. L’idea è semplice ma potente: gli attaccanti, per violare una sessione, dovrebbero compromettere entrambi i sistemi crittografici in contemporanea, scenario considerato praticamente irrealizzabile.
SPQR opera come processo autonomo, utilizzando il protocollo ML-KEM Braid e la libreria libcrux-ml-kem in Rust. Ogni sessione genera segreti condivisi continui, con crittogrammi da circa 1.088 byte ottimizzati per banda, inviati in chunk per ridurre perdite di pacchetti. Una macchina a stati gestisce client offline, downgrade sicuri e compatibilità con versioni non aggiornate, mentre un MAC assicura integrità dei dati. La resilienza è garantita da verifiche formali condotte con strumenti come ProVerif e hax/F* e da collaborazioni con centri di ricerca come PQShield, AIST e NYU, con presentazioni già programmate a Eurocrypt 2025 e USENIX 2025.
Resistenza quantistica e sicurezza ibrida
Con SPQR, Signal estende il concetto di sicurezza dal protocollo PQXDH – usato per l’inizializzazione delle sessioni – a tutte le fasi della conversazione. La combinazione di ECDH e ML-KEM 768 assicura che anche nel caso in cui un algoritmo venga compromesso, la sessione rimanga protetta dall’altro. Questo approccio difende gli utenti da scenari “harvest-now, decrypt-later”, nei quali i dati vengono raccolti oggi per essere decifrati domani con computer quantistici.
Il rollout sarà progressivo e inizialmente opzionale, ma in futuro SPQR diventerà obbligatorio in tutte le sessioni, garantendo messaggistica quantistica-sicura per default. Signal bilancia così la necessità di resistenza quantistica con l’attenzione a usabilità e ottimizzazione della banda, consolidando la propria reputazione come piattaforma di messaggistica più sicura sul mercato.
Gmail: email crittografate end-to-end senza scambio chiavi
Parallelamente, Google ha annunciato l’introduzione della crittografia end-to-end in Gmail per gli utenti Workspace Enterprise Plus con add-on Assured Controls. Questa nuova funzione consente di inviare email crittografate a qualunque destinatario, anche esterno, senza richiedere scambi di chiavi o software aggiuntivi.
I messaggi possono essere letti tramite un account guest su una versione ristretta di Gmail, rendendo la funzione accessibile anche a chi non utilizza Google Workspace. La crittografia è client-side, il che significa che i contenuti rimangono protetti e non accessibili nemmeno a Google, rispondendo così ai requisiti di sovranità dei dati e alle normative più stringenti sulla privacy.
Integrazione con Workspace e gestione amministrativa
Gli amministratori possono attivare la funzione per unità organizzative specifiche, gestendo policy di sicurezza differenziate all’interno delle aziende. L’opzione è disattivata di default ma può essere configurata rapidamente dalla console di amministrazione Workspace. Durante la composizione dell’email, una notifica segnala se la crittografia E2EE è attiva, guidando l’utente nell’invio sicuro.
La disponibilità immediata su scala globale rende questa funzionalità un passo importante per le imprese che gestiscono comunicazioni sensibili, offrendo una soluzione che astrae la complessità tecnica e riduce la dipendenza da strumenti di terze parti.
Un salto negli standard di sicurezza digitale
Con SPQR di Signal e la crittografia E2EE in Gmail, due dei servizi di comunicazione più utilizzati al mondo compiono un salto di qualità nella protezione della privacy. Signal anticipa la sfida del quantum computing, proteggendo le conversazioni future con un approccio ibrido e formalmente verificato, mentre Google semplifica la crittografia end-to-end nelle email aziendali, eliminando barriere tecniche all’adozione. Queste innovazioni non solo rafforzano la sicurezza individuale e aziendale, ma pongono nuove basi per un ecosistema digitale più resiliente, dove la privacy diventa un diritto garantito da default e non un’opzione aggiuntiva.
