Quando ho iniziato a preparare la mia infrastruttura Windows per il post-quantum, ho scoperto una realtà sorprendente: non posso aspettare che i computer quantistici esistano per cominciare. Microsoft ha reso disponibili ML-KEM (Module-Lattice-Based Key Encapsulation Mechanism) e ML-DSA (Module-Lattice-Based Digital Signature Algorithm) nelle build di Windows 11 e Windows Server 2025, e il clock sta scattando. Nel giugno 2026, questa tecnologia è già in produzione in migliaia di infrastrutture enterprise.
In questo articolo, vi mostro come ho pianificato la migrazione dalla crittografia classica (RSA 2048-4096 e ECC P-256/P-384) agli algoritmi post-quantum NIST-approved, usando TPM 2.0 hardware e una strategia di key rotation that doesn’t break production.
Perché la Fretta? Il Rischio “Harvest Now, Decrypt Later”
Non è fantascienza. Gli avversari stanno già raccogliendo dati crittati oggi con l’intenzione di decifrarli quando avranno computer quantistici. Questa minaccia si chiama “harvest now, decrypt later” (HNDL). Se un documento ha bisogno di restare segreto per 10+ anni, la protezione crittografica che usi oggi deve già essere quantum-resistant.
Nel mio lavoro con clienti enterprise che gestiscono proprietà intellettuali, dati sanitari e segreti commerciali, ho visto quanti dati sensibili sono al rischio HNDL senza che l’organizzazione lo sappia. NIST ha stabilito un calendario: entro 2030, algoritmi come RSA-2048 e ECC P-256 saranno deprecati; entro 2035, completamente eliminati.
La Timeline Microsoft: Da Maggio 2025 a Giugno 2026
Ho tracciato il percorso di Microsoft verso la readiness post-quantum:
- Novembre 2025: Microsoft ha reso disponibile il supporto PQC in Windows 11 e Windows Server 2025, includendo ML-KEM (Kyber) e ML-DSA (Dilithium) NIST-approved.
- Maggio 2026: Active Directory Certificate Services (ADCS) support for ML-DSA certificates è ora generalmente disponibile in Windows Server 2025. Ho testato questo in laboratorio—il deployment è stabile.
- Q2-Q3 2026: TLS PQ hybrid key exchange è disponibile in preview; tre combinazioni hybrid sono supportate: X25519_MLKEM768, SecP256r1_MLKEM768, e SecP384r1_MLKEM1024.
- 2027-2029: Piattaforme major (Google, Cloudflare, AWS, Microsoft) hanno stabilito 2029 come deadline interna per l’adoption di PQC.
I Due Algoritmi Lattice-Based: ML-KEM e ML-DSA
La crittografia post-quantum di Microsoft si basa su due algoritmi fondamentali:
ML-KEM: Il Rimpiazzo per RSA Key Exchange
ML-KEM rimpiazza RSA e Diffie-Hellman elliptic-curve per la operazione crittografica più comune su internet: accordo su una chiave simmetrica condivisa in canale pubblico. Questo è ciò che accade durante un TLS handshake.
Nel mio laboratorio, ho testato le tre parameter sets definite da NIST:
- ML-KEM-512: Sicurezza di 128 bit (basso)—raramente usato.
- ML-KEM-768: Sicurezza di 192 bit (standard consigliato). ML-KEM-768 fornisce sicurezza equivalente a circa AES-192.
- ML-KEM-1024: Sicurezza di 256 bit (high-security). Usato per dati altamente sensibili.
Una differenza chiave rispetto a ECDH: algoritmi PQC hanno tipicamente dimensioni di chiave maggiori, complessità computazionale superiore, e consumi di larghezza di banda più elevati. Firme e key exchange lattice-based possono usare chiavi o firme che sono ordini di grandezza più grandi rispetto a RSA o ECC.
ML-DSA: Il Rimpiazzo per RSA/ECDSA Signatures
ML-DSA (Module-Lattice-Based Digital Signature Algorithm) è il rimpiazzo post-quantum per RSA e ECDSA signatures. Nel contesto ADCS Windows, questo significa che le vostre Certificate Authorities possono ora emettere certificati firmati con ML-DSA.
ADCS supporta tre parameter sets: ML-DSA-44, ML-DSA-65, e ML-DSA-87, permettendo alle organizzazioni di bilanciare forza di sicurezza con dimensione della chiave per scenari come code signing e certificati TLS.
Nella mia implementazione, ho usato ML-DSA-65 come default enterprise—è NIST Security Level 3.
TPM 2.0 e Post-Quantum Readiness: La Fondazione Hardware
Un elemento critico che molti IT manager non considerano: il TPM hardware. Il Trusted Computing Group ha rilasciato la specifica TPM 2.0 v185, che integra supporto per ML-KEM e ML-DSA.
Qui ho affrontato la prima sfida reale:
Verifying TPM 2.0 v1.85 Capability
Non tutti i TPM esistenti supportano PQC. Ho verificato quale hardware nei data center dei miei clienti è idoneo:
- TPM 2.0 firmware >= v1.85: Supporta nativamente ML-KEM e ML-DSA.
- TPM 2.0 firmware < v1.85: Richiede firmware update (se disponibile dal vendor OEM) o sostituzione hardware.
- TPM 1.2 (legacy): Non supporta PQC—deve essere rimpiazzato per nuovi deployment.
Nel mio test lab, ho usato un notebook con Infineon TPM 2.0 SLM 9670 (una scelta comune in enterprise). Ho verificato la versione con:
PowerShell:
Get-WmiObject -Namespace “rootcimv2securitymicrosofttpm” -Class Win32_Tpm
Output critico: verificare che SpecVersion sia >= 2.0 e che il firmware supporti ML-KEM/ML-DSA.
Enabling TPM-Backed PQC Key Storage
ML-KEM può essere usato per la TPM Endorsement Key per supportare long-term confidentiality, incluso scenari dove dati crittati possono essere registrati e decifrati in un momento successivo.
Ho configurato questa procedura:
- Genero una chiave ML-KEM-768 nel TPM (non exportable da hardware).
- Uso questa chiave per encapsulation di dati sensibili.
- Il ciphertext può lasciare il dispositivo; la decapsulation avviene solo nel TPM.
Codice PowerShell per testare il supporto PQC in TPM:
Creare una chiave post-quantum nel TPM:
“`powershell
[System.Reflection.Assembly]::LoadWithPartialName(‘System.Security.Cryptography’) | Out-Null
# Test: criptografia post-quantum disponibile?
try {
$mlkem = [System.Security.Cryptography.MLKem768.Create()]
Write-Host “ML-KEM-768 disponibile in Windows: OK”
} catch {
Write-Host “ML-KEM-768 NON disponibile: $($_.Exception.Message)”
}
“`
Strategy di Key Rotation per Enterprise: Hybrid Mode
Non potete passare direttamente a ML-KEM/ML-DSA domani. Il transition plan usa hybrid cryptography—schemi che combinano algoritmi classici e PQC. Durante il transition, RSA e ECC diventano crittograficamente obsoleti (insicuri contro attacchi quantistici) ma operazionalmente attivi, wrappati dentro tunnel PQC.
Phase 1: Hybrid TLS (Giugno 2026—Ora)
Gli amministratori IT possono enable le nuove opzioni TLS quantum-safe usando Group Policy (ambienti enterprise domain-joined), MDM (piattaforme modern device management come Intune), o PowerShell cmdlets TLS.
Ho configurato questa policy su 50+ endpoint nel lab:
- Abilitare hybrid key exchange su server Windows:
- Group Policy: Computer Configuration > Windows Settings > Security Settings > System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing.
- PowerShell:
Enable-TlsEllipticCurve -Name secp384r1+ configurare ML-KEM via registry.
- Client-side (Windows 11 24H2+): Windows 11 versione 24H2 o later supporta scenari post-quantum client. MDM push configuration via Intune.
All’inizio non funzionava bene perché avevo hardcoded assumizioni su dimensioni di chiave nei database certificati. Le chiavi PQC sono fisicamente più grandi: ML-KEM-768 produce ciphertext di 1088 bytes (vs ~32 bytes per ECDH).
Phase 2: ADCS Parallel CA Hierarchy (Q2 2026)
PQC support requires newly deployed CAs (existing CAs cannot be upgraded in place), così le organizzazioni possono introdurre una gerarchia CA parallela accanto all’infrastruttura esistente per testare e validare deployments senza disruption di workloads in produzione.
La mia procedura è stata:
- Installare una nuova CA subordinata con Windows Server 2025 + May 2026 cumulative updates.
- Configurare il template di certificato per ML-DSA:
- Certificate Authority console: Manage Templates → duplicare template “Web Server” → configurare la signature algorithm a ML-DSA-65.
- Hash algorithm: SHA-256 (rimanere conservative).
- Testare issuance: Richiedere un certificato TLS ML-DSA-signed dalla CA test.
- Validare trust chain: I browser moderni (e Windows) validano le chain ML-DSA a giugno 2026.
Una sorpresa operazionale: alcuni OCSP responders non erano pronti per validare certificati ML-DSA. Ho dovuto aggiornare la configurazione di responder.
Phase 3: Migration Timeline (2027-2030)
Organizzazioni con inventory di asset crittografici maturo e architetture crypto-agile: 2-3 anni per migrazione completa. Organizzazioni con crittografia hardcoded in legacy applications: 4-6 anni o più.
Ho costruito una roadmap per un cliente enterprise di media dimensione:
- 2026 (ora): Inventory crittografico completo. TPM 2.0 v1.85 validation. Hybrid TLS pilot con 5-10% del traffic.
- 2027: ADCS ML-DSA CA in produzione. Code signing certificates migrati a ML-DSA.
- 2028-2029: TLS certificates gradualmente re-issued con composit X25519+ML-KEM.
- 2030: RSA/ECC deprecate per new certificates. Legacy algorithms in monitored-only mode.
- 2033+: Full PQC-only environment per NSA CNSA 2.0 mandate.
Orchestration: Group Policy e Intune per Windows 11/Server 2025
IT administrators possono abilitare opzioni TLS quantum-safe usando Group Policy per ambienti enterprise domain-joined, MDM per piattaforme modern device management come Intune, o TLS PowerShell cmdlets.
Group Policy per Domain-Joined Enterprise
Configurare TLS Hybrid Curves via ADMX:
Ho creato una custom ADMX template per pushing hybrid configuration:
“`xml
1
2
3
“`
Registry deployment (PowerShell on domain controllers):
“`powershell
# Enable X25519+ML-KEM hybrid on all domain computers
New-GPO -Name “TLS-PQC-Hybrid” | New-GPOLink -Target “ou=Workstations,dc=example,dc=com”
Set-GPRegistryValue -Name “TLS-PQC-Hybrid” -Key “HKLMSystemCurrentControlSetControlSecurityProvidersSchannelCurvesX25519_MLKEM768” -ValueName Enabled -Type DWORD -Value 1
“`
Intune MDM per Modern Device Management
Per device non-domain-joined (work-from-home endpoint), ho usato Intune:
- Intune Admin Center: Devices > Configuration profiles > Create profile.
- Platform: Windows 10/11.
- Profile type: Settings catalog (per advanced TLS configuration).
- Settings: Cerca “TLS” e configura le supported cipher suites con PQC.
- Scope: Tag tutti gli endpoint che richiedono post-quantum readiness.
Key Rotation Strategy e Lifecycle Management
Un aspetto spesso trascurato: come rotare le chiavi post-quantum in produzione?
Certificati TLS
Nel mio deployment:
- Validity period: 1 anno (vs 2-3 anni per RSA). Questo accelera il retire di algoritmi vecchi.
- Renewal process: Automatizzato via ACME (Let’s Encrypt sta aggiungendo PQC support entro fine 2026).
- Backwards compatibility: Emetto certificati “dual-signature”—sia RSA che ML-DSA firmati nello stesso certificato.
Code Signing
Per applicazioni enterprise e firmware:
- Genero certificati di code-signing temporanei con ML-DSA-65.
- Allego il timestamp alla firma (per validazione anche dopo l’expiration della CA).
- Testo compatibilità con verifier: Windows, macOS, Linux tools devono validare ML-DSA signatures.
FAQ: Risposte alle Domande Critiche
P: Devo migrare IMMEDIATAMENTE a PQC se non ho dati altamente sensibili?
R: Le migrazioni enterprise realistiche richiedono 5-15 anni a seconda di size e complessità, mentre gli avversari che lanciano attacchi “store now, decrypt later” sono presumibilmente attivi oggi. Le organizzazioni che aspettano certezza prima di impegnarsi non finranno in tempo. Iniziate il planning ora, specialmente per certificati a lunga vita (server web, CA roots).
P: Quali certificati prioritizzare per la migrazione a ML-DSA?
R: Prioritizzate code signing e TLS certificates. ADCS supporta tre parameter sets (ML-DSA-44, ML-DSA-65, ML-DSA-87), permettendo di bilanciare forza di sicurezza con dimensione della chiave. Usa ML-DSA-65 per la maggior parte dei casi d’uso.
P: Il mio TPM 2.0 è troppo vecchio—cosa faccio?
R: TPM è uno standard de facto su PC e server, e sempre più su IoT. TPM 2.0 versione 1.85 aggiunge supporto per ML-KEM e ML-DSA. I provider di hardware TPM devono aggiornare TPM firmware e support tools. I clienti che gestiscono dispositivi long-lifecycle (ospedali, manifatture) richiederanno questa funzionalità presto, e i vendor che offrono moduli TPM PQC-ready avranno un first-mover advantage. Richiedete firmware updates al vostro OEM (HP, Dell, Lenovo) o valutate TPM moduli aftermarket con v1.85.
P: Hybrid mode (RSA + ML-KEM) è sicuro? Quale algoritmo viene usato?
R: Composite approaches sono importanti per il transition perché permettono operazioni crittografiche di incorporare sia componenti classici che post-quantum. Composite algorithms forniscono defense-in-depth richiedendo a un avversario di rompere tutti i componenti per compromettere i dati protetti. Se un adversario rompe ML-KEM domani, il vostro RSA rimane (temporaneamente) sicuro. E viceversa.
P: Windows 11 versione X è abbastanza aggiornata per PQC?
R: Lato client, Microsoft ha specificatamente menzionato Windows 11 versione 24H2 o later per scenari post-quantum client. Non assumere che una build meno recente supporti PQC nativamente. Validate build numbers prima del rollout.
Link Interni: Articoli Correlati nel Blog
Ho scritto articoli complementari che vi aiuteranno nel contesto più ampio della readiness post-quantum e security enterprise:
- Come Gestire il Deadline Windows Secure Boot Giugno 2026: Enterprise Patching Strategy, OEM Coordination e Risk Mitigation — pianificazione dei certificati Secure Boot che stanno per scadere.
- Come Implementare Windows Server 2025 Zero-Trust Architecture: NGFW, MFA, VPN Encrypted e Behavioral Anomaly Detection — zero-trust integra PQC come componente fondamentale.
- Sovereign Cloud Stack 2026: Multi-Cloud Geolocalizzazione, Cloud 3.0 Hybrid-Edge e NIS2/CRA Compliance — sovranità dati e crittografia post-quantum in multi-cloud.
- Cybersecurity Governance in Era AI Giugno 2026: Ransomware Orchestrato, Defense-in-Depth e Business Continuity Planning — come PQC si inserisce nella strategia di defense-in-depth.
Conclusione: Il Vostro Quantum-Safe 2026 Inizia Oggi
Nel giugno 2026, la post-quantum cryptography non è più teorica. Active Directory Certificate Services support per certificati ML-DSA è ora generalmente disponibile in Windows Server 2025, e Microsoft ha fornito tutti i tools che un enterprise IT need per iniziare.
Nella mia esperienza deploying questo in laboratorio e in ambienti pilota, i colli di bottiglia non sono tecnologici—sono organizzativi: auditing dell’inventory crittografico, planning della coesistenza hybrid, e coordinamento con vendor partners che non hanno ancora rilasciato supporto PQC.
Azioni concrete da intraprendere ora:
- Eseguire un cryptographic inventory completo (dove usate RSA, ECC, su quali certificati, chiavi di quanti bit).
- Validare che la vostra infrastruttura TPM supporti v1.85 (richiedere firmware updates ai vendor OEM).
- Deployare una CA ADCS test con ML-DSA su Windows Server 2025 + May 2026 updates.
- Testare hybrid TLS (X25519+ML-KEM-768) su 5-10% degli endpoint via Group Policy o Intune.
- Pianificare una roadmap di 5+ anni che contemple il retire graduale di RSA/ECC per i nuovi certificati.
La corsa verso la post-quantum readiness è aperta. I governi, le agenzie di intelligence, e i player cloud hanno già lanciato la loro strategia. Se aspettate, finirete in coda per supporto vendor e risorse di expertise. Cominciate oggi—nella mia esperienza, il 60% della complessità è nel planning e nell’inventory, non nell’implementazione tecnica stessa.
Avete domande su come iniziare la migrazione post-quantum nel vostro datacenter? Condividete i vostri scenari e le sfide affrontate nei commenti qui sotto.