Nella serata italiana di ieri, Google ha annunciato un importante aggiornamento in ottica sicurezza che si concretizzerà con Android 17: la prossima versione di Android integrerà la crittografia post-quantistica (PQC, post-quantum cryptography).
Si tratta di una misura proattiva, studiata per rendere l’intera architettura del sistema operativo resistente agli attacchi futuri, stabilendo una nuova “catena di fiducia” per proteggere le informazioni degli utenti decenni prima che il pericolo diventi reale. Scopriamo tutti i dettagli.
Segui TuttoAndroid su Google Discover
Offerte Amazon Prime Day, scopri quando!
Iscrivi ad Amazon Prime per poter approfittare delle offerte Prime Day, i primi 30 giorni sono gratis!
Google prepara la migrazione alla crittografia PQC
Allo stato attuale, la protezione dei nostri dati è basata su complessi problemi matematici che i computer tradizionali non riescono a risolvere a meno che non si possieda la chiave di decodifica corretta.
I futuri computer quantistici, ambito in cui Google è in prima linea, godono della capacità di elaborare molteplici opzioni (o scenari) simultaneamente e saranno quindi in grado di forzare e aggirare rapidamente questi “lucchetti digitali”.
Una delle preoccupazioni più immediate in ottica sicurezza è legata alla tattica chiamata “ruba ora, decripta in seguito” (store-now, decrypt-later), una pratica in cui i malintenzionati accumulano dati crittografati e li mettono di lato per poterli poi decifrare nel momento in cui la tecnologia quantistica sia matura e pronta a farlo.
Per far fronte a questo scenario, Google ha delineato un’ambiziosa tabella di marcia che punta a completare la migrazione alla crittografia PQC entro il 2029, dando priorità alla sicurezza delle firme digitali e all’autenticazione.
Google vuole blindare l’intero ciclo di vita dell’identità digitale
Il cuore strategico di questa novità risiede nella creazione di una nuova “catena di fiducia” (Chain of trust) resistente ai computer quantistici e alle loro potenzialità. Questo concetto indica un sistema di sicurezza continuo e senza interruzioni che protegge lo smartphone dall’accensione fino all’esecuzione delle applicazioni.
L’obiettivo è quello di blindare l’intero ciclo di vita dell’identità digitale. Partendo dai controlli di base sull’hardware, fino ad arrivare ai server di attestazione remota, il sistema garantirà che ogni singola componente del dispositivo possa rimanere integra sempre.
Nessuna debolezza isolata (stile “anello debole” della catena) potrà compromettere le fasi successive del sistema, assicurando così che l’ecosistema rimanga “solido” di fronte alle minacce future.
Il debutto già con la Beta 3 di Android 17
L’introduzione dei nuovi standard di crittografia PQC, promossi dal National Institute of Standards and Technology (NIST) si concretizzerà nella prossima Beta 3 di Android 17 per poi arrivare nella prima versione stabile del sistema operativo, quella che verrà rilasciata al pubblico a partire da giugno 2026.
Questa protezione agirà alle fondamenta del dispositivo fondamentalmente con due accorgimenti:
- Avvio sicuro (Android Verified Boot) – verrà introdotto l’algoritmo ML-SDA per creare firme digitali resistenti ai computer quantistici per impedire che malintenzionati possano “forzare” il dispositivo caricando software non autorizzato durante la sequenza di avvio.
- Android Keystore aggiornato – gli sviluppatori avranno a disposizione strumenti nativi per utilizzare queste nuove firme sicure direttamente all’interno dell’hardware del telefono, mantenendo i dati sensibili completamente isolati dal resto del sistema operativo.
Un impatto enorme, (quasi) trasparente per sviluppatori e utenti
Questo aggiornamento influenzerà anche il modo in cui scarichiamo e aggiorniamo le applicazioni. Android verificherà le firme PQC sui pacchetti di installazione (APK) per accertarsi che le app non abbiano subito manomissioni.
Per rendere questo passaggio semplice e indolore, tanto per gli utenti quanto per gli sviluppatori, ci sarà il Google Play App Signing a occuparsi di gestire l’implementazione di firme “ibride”.
Si tratta di un sistema che combina le chiavi con crittografia “classica” e le chiavi post-quantistiche, garantendo alle applicazioni un aggiornamento automatico ai nuovi standard di sicurezza senza richiedere complessi interventi manuali agli sviluppatori stessi.
Nonostante il tutto avvenga dietro le quinte, l’impatto della crittografia post-quantistica avrà un impatto di portata globale. Android è infatti il sistema operativo più popolare al mondo e le misure di sicurezza di Google raggiungeranno miliardi di dispositivi (soprattutto quelli più recenti o quelli che godranno nativamente di Android 17, vista la frammentazione di cui soffre lo stesso Android).
L’obiettivo finale di questa transizione non è la semplice risoluzione delle singole vulnerabilità ma garantire che l’ecosistema Android rimanga solido e impenetrabile di fronte alle minacce del domani, proteggendo automaticamente la privacy degli utenti senza che essi debbano configurare nulla.