Apple ha pubblicato su GitHub nuovo codice sorgente di corecrypto, la libreria crittografica alla base di molte funzioni di sicurezza presenti su iPhone, Mac e sugli altri dispositivi dell’ecosistema. Detta così sembra una notizia per addetti ai lavori, una di quelle che passano veloci tra repository, specifiche matematiche e documenti NIST. In realtà è un passaggio interessante anche per chi non vive di sicurezza informatica.
Il punto è semplice: Apple sta preparando i suoi sistemi a un futuro in cui i computer quantistici potrebbero rendere vulnerabili alcune forme di crittografia oggi considerate sicure. Non significa che domani mattina i messaggi, le password o le connessioni cifrate diventeranno improvvisamente leggibili. Significa però che l’industria tecnologica seria sta già lavorando per evitare di arrivare tardi.
Il cuore nascosto della sicurezza Apple
Corecrypto non è un’app, non ha icone colorate e non finirà mai in uno spot accanto a una nuova fotocamera dell’iPhone. Eppure è una delle parti più delicate del software Apple. Si occupa di operazioni come cifratura, firme digitali, generazione di numeri casuali e hashing, cioè tutta quella meccanica invisibile che permette a un sistema moderno di proteggere dati e comunicazioni.
Secondo Apple, corecrypto viene usata continuamente sui suoi prodotti e gira su oltre 2,5 miliardi di dispositivi attivi. È qui che la notizia cambia peso. Quando una libreria del genere viene aggiornata con algoritmi post-quantum, non stiamo parlando di un esperimento accademico chiuso in laboratorio, ma di un pezzo di infrastruttura destinato a toccare una base enorme di utenti.
La pubblicazione su GitHub serve anche a questo: rendere più controllabile il lavoro da parte della comunità tecnica. Apple resta Apple, quindi non diventa improvvisamente una casa totalmente open source. Però quando si parla di crittografia, mostrare il codice e i materiali di verifica è una mossa sana. La sicurezza non dovrebbe vivere solo di fiducia nel marchio.
ML-KEM e ML-DSA: nomi brutti, ruolo importante
I due nomi centrali sono ML-KEM e ML-DSA. Il primo riguarda lo scambio sicuro di chiavi crittografiche, il secondo le firme digitali. Entrambi sono standardizzati dal NIST, l’ente statunitense che negli ultimi anni ha guidato una parte importante della transizione verso la crittografia post-quantum.
Apple ha scelto questi algoritmi per corecrypto e ha pubblicato non solo le implementazioni, ma anche materiali legati alla verifica formale. Tradotto: non si è limitata a testare il codice per vedere se “sembra funzionare”, ma ha usato prove matematiche per dimostrare che l’implementazione corrisponde alle specifiche.
È un dettaglio meno glamour di un nuovo design per iOS, ma molto più sostanzioso. Nei sistemi crittografici, l’errore raro è spesso quello più pericoloso. Un test tradizionale può non intercettarlo, soprattutto quando entrano in gioco ottimizzazioni spinte per i chip Apple Silicon e codice ARM64 scritto per spremere prestazioni e consumi.
Perché Apple lo fa proprio adesso
Nel 2024 Apple aveva già introdotto PQ3 in iMessage, portando la messaggistica verso una protezione pensata anche contro scenari futuri di attacco quantistico. L’idea di fondo è quella del cosiddetto “harvest now, decrypt later”: un attore molto potente potrebbe raccogliere oggi enormi quantità di dati cifrati e conservarli, aspettando un domani in cui strumenti più avanzati permettano di decifrarli.
È una minaccia distante per l’utente medio, ma non fantascientifica per governi, aziende, giornalisti, ricercatori e soggetti ad alto rischio. Apple, come altri grandi player, si sta muovendo prima che il problema diventi urgente. Ed è la scelta corretta: la crittografia non si cambia con un interruttore, soprattutto quando deve funzionare su miliardi di dispositivi, app, API e servizi.
La parte più interessante, a mio parere, è il messaggio industriale. Apple non sta vendendo una feature da palco, sta rafforzando una fondamenta. È una notizia meno rumorosa di Apple Intelligence, ma forse più importante sul lungo periodo.
Considerazioni finali
Questa apertura di Apple su corecrypto racconta bene dove sta andando la sicurezza dei dispositivi consumer: meno slogan, più matematica; meno promesse generiche, più verifiche indipendenti. La crittografia post-quantum non renderà iPhone e Mac “invincibili”, perché nessun sistema lo è. Però sposta l’asticella in avanti e prepara l’ecosistema a una fase in cui la sicurezza dovrà essere pensata con anni di anticipo.
Il fatto che Apple pubblichi codice, prove e strumenti di verifica è un segnale positivo. Non perché risolva tutto, ma perché permette a ricercatori esterni di guardare dentro a un pezzo cruciale della catena. Per una società spesso accusata di essere troppo chiusa, è un passo che merita attenzione.
FAQ
Che cos’è la crittografia post-quantum?
È un insieme di algoritmi pensati per resistere anche ad attacchi condotti con futuri computer quantistici abbastanza potenti da mettere in crisi alcune tecniche crittografiche tradizionali.
Questa novità riguarda già gli utenti iPhone e Mac?
Sì, in prospettiva riguarda l’intero ecosistema Apple, perché corecrypto è una libreria di base usata da molte funzioni di sistema. Non è però una funzione visibile come una nuova app o un’impostazione da attivare.
Perché Apple ha pubblicato il codice su GitHub?
Per permettere a esperti, ricercatori e sviluppatori di analizzare le implementazioni e i materiali di verifica. Nella crittografia, il controllo esterno è un valore, non una debolezza.
I computer quantistici sono già una minaccia concreta?
Non ancora nel senso più catastrofico del termine. Il problema è che alcuni dati cifrati oggi potrebbero essere raccolti e decifrati in futuro, quando la tecnologia sarà più matura.
Questa mossa rende Apple più sicura degli altri?
Rende Apple più preparata in un’area specifica e molto importante. La sicurezza complessiva dipende però da tanti livelli: hardware, software, aggiornamenti, app e comportamenti degli utenti.
