ML-KEM-1024 FIPS 203
Scambio di chiavi post-quantum ibrido — X25519 + ML-KEM-1024 — legato sotto HKDF-SHA-256 con binding del ciphertext. Una terza curva classica (X448) viene già scambiata sul wire e sta venendo integrata nella chiave di sessione come ulteriore hardening. Implementazioni di libreria (liboqs, BouncyCastle, @noble/post-quantum) cross-validate contro vettori di test condivisi.
Scambio di chiavi ibrido
Combiniamo due meccanismi indipendenti di incapsulamento chiavi — X25519 (ellittico classico) e ML-KEM-1024 (lattice, NIST Level 5) — legati insieme tramite HKDF-SHA-256 e un'etichetta di binding del ciphertext che chiude i noti attacchi di sostituzione. Se uno dei due algoritmi venisse mai rotto — classico o quantistico — il segreto di sessione resta al sicuro. Una terza curva, X448, viene già scambiata durante l'handshake e sta venendo integrata come ulteriore hardening.
- Due assunzioni indipendenti oggi: ECDLP + lattice (una terza è in corso)
- HKDF-SHA-256 con binding del ciphertext
- Etichette di protocollo forward-versionate per migrazione pulita
Hardenizzata contro side-channel
ML-KEM utilizza la FIPS 203 §8.3 implicit rejection: un ciphertext invalido produce un valore pseudo-casuale anziché un errore — nessun oracolo temporale. Il confronto dei tag è a tempo costante. La memoria che contiene materiale chiave è zeroizzata in due passi con barriera volatile, così il compilatore non può eliminare la wipe.
- Implicit rejection su fallimento decapsulation (FIPS 203 §8.3)
- Confronto tag di autenticazione a tempo costante
- Zeroizzazione memoria resistente al compilatore
Rotazione continua delle chiavi
Le chiavi di sessione ruotano in continuo durante la chiamata. La chain key simmetrica avanza dopo un piccolo numero di frame e il materiale chiave effimero viene riderivato sub-secondo. Un avversario che recupera una chiave al secondo N non apprende nulla sul traffico prima di N o dopo la rotazione successiva. La fiducia nei contatti oggi si basa sull'abbinamento Trust-On-First-Use, con una verifica multi-livello più robusta nella nostra roadmap.
- Forward-secrecy granularità sub-secondo
- Fiducia basata su TOFU oggi — modello multi-livello più robusto in roadmap
- Protezione replay con finestra di sequenza scorrevole
Architecture
Post-Quantum VPN Tunnel
VPN post-quantistica
Un tunnel che i computer quantistici non possono violare.
ML-KEM-1024 + ML-DSA-87 · NIST FIPS 203/204
Endpoint A
Sovereign Silicon
Endpoint B
Sovereign Silicon
Handshake ibrido PQC
Protegge il traffico di oggi dai computer quantistici di domani.
Harvest-now, decrypt-later — neutralizzato
Il ciphertext catturato resta opaco anche dopo il Q-Day.
Endpoint sovrani
Nessuna backdoor, nessuna terza parte di fiducia sul percorso.
Il tunnel è terminato solo da sovereign silicon a entrambe le estremità. Le chiavi vengono negoziate con primitivi post-quantistici standardizzati NIST e vincolate a identità hardware — nulla nel mezzo può leggerlo, oggi né dopo il Q-Day.