ML-KEM-1024 FIPS 203
Costruzione triplo-ibrida — X25519 + X448 + ML-KEM-1024 — legata sotto HKDF-SHA-256. Più robusta del doppio-ibrido di settore attuale. Implementazioni di libreria (liboqs, BouncyCastle, @noble/post-quantum) cross-validate contro vettori KAT condivisi.
Triple-Hybrid KDF
Combiniamo tre meccanismi indipendenti di incapsulamento chiavi — X25519 (ellittico classico), X448 (ellittico conservativo), ML-KEM-1024 (lattice, NIST Level 5) — legati tramite HKDF-SHA-256 e un'etichetta di binding del ciphertext. Lo standard di settore oggi è doppio-ibrido (un solo schema ellittico + ML-KEM-768). Andare triplo-ibrido a Level 5 significa: se un singolo algoritmo viene rotto — classico o quantistico — il segreto di sessione resta al sicuro.
- Tre assunzioni indipendenti: ECDLP × 2 + lattice
- HKDF-SHA-256 con binding del ciphertext
- Etichette di protocollo forward-versionate per migrazione pulita
Hardenizzata contro side-channel
ML-KEM utilizza la FIPS 203 §8.3 implicit rejection: un ciphertext invalido produce un valore pseudo-casuale anziché un errore — nessun oracolo temporale. Il confronto dei tag è a tempo costante. La memoria che contiene materiale chiave è zeroizzata in due passi con barriera volatile, così il compilatore non può eliminare la wipe.
- Implicit rejection su fallimento decapsulation (FIPS 203 §8.3)
- Confronto tag di autenticazione a tempo costante
- Zeroizzazione memoria resistente al compilatore
Rotazione continua delle chiavi
Le chiavi di sessione ruotano in continuo durante la chiamata. La chain key simmetrica avanza dopo un piccolo numero di frame, il materiale chiave effimero viene riderivato sub-secondo e il root ratchet scatta ogni pochi minuti. Un avversario che recupera una chiave al secondo N non apprende nulla sul traffico prima di N o dopo la rotazione successiva. Combinato col modello di fiducia a 3 fattori (TOFU + INTRODUCED + VERIFIED), il protocollo degrada con grazia anche di fronte a compromissione parziale.
- Forward-secrecy granularità sub-secondo
- Modello di fiducia a 3 fattori: TOFU + INTRODUCED + VERIFIED
- Protezione replay con finestra di sequenza scorrevole
Architecture
Post-Quantum VPN Tunnel
VPN post-quantistica
Un tunnel che i computer quantistici non possono violare.
ML-KEM-1024 + ML-DSA-87 · NIST FIPS 203/204
Endpoint A
Sovereign Silicon
Endpoint B
Sovereign Silicon
Handshake ibrido PQC
Protegge il traffico di oggi dai computer quantistici di domani.
Harvest-now, decrypt-later — neutralizzato
Il ciphertext catturato resta opaco anche dopo il Q-Day.
Endpoint sovrani
Nessuna backdoor, nessuna terza parte di fiducia sul percorso.
Il tunnel è terminato solo da sovereign silicon a entrambe le estremità. Le chiavi vengono negoziate con primitivi post-quantistici standardizzati NIST e vincolate a identità hardware — nulla nel mezzo può leggerlo, oggi né dopo il Q-Day.