AmphiKey: A Dual-Mode Secure Authenticated Key Encapsulation Protocol for Smart Grid

Il documento presenta AmphiKey, un protocollo ibrido post-quantistico e tradizionale per l'incapsulamento di chiavi autenticate nelle smart grid, che offre due modalità operative flessibili (autenticata e deniabile) garantendo sicurezza contro minacce classiche e quantistiche, con prestazioni ottimizzate anche su dispositivi a risorse limitate come il Raspberry Pi.

L'essenziale

Immagina la Smart Grid (la rete elettrica intelligente) come una gigantesca città digitale dove i contatori, le centrali e le auto elettriche devono scambiarsi messaggi segreti per funzionare. Il problema? Ci sono due tipi di "ladri" che vogliono rubare questi segreti:

1. I ladri classici: Hacker che usano computer potenti di oggi.
2. I ladri del futuro: Computer quantistici (ancora in costruzione) che un giorno potranno aprire qualsiasi serratura classica.
3. I ladri fisici: Spie che si avvicinano fisicamente ai dispositivi per misurare quanta elettricità consumano mentre fanno i calcoli, per rubare le chiavi (questo si chiama Side-Channel Attack).

AmphiKey è un nuovo sistema di "serrature e chiavi" progettato per proteggere questa città. La sua grandezza sta nel fatto che è duale: ha due modalità diverse per due situazioni diverse, come avere due tipi di chiavi per la tua casa.

1. La Modalità "Identità Certificata" (Authenticated Mode)

Quando si usa: Per cose super importanti e legali.

• L'analogia: Immagina di dover firmare un contratto per vendere una centrale elettrica o aggiornare il software di una sottostazione. Devi essere sicuro al 100% di chi sei e non puoi dire "non sono stato io" dopo.
• Come funziona: È come mostrare il passaporto e la patente di guida insieme. Il sistema usa due chiavi diverse (una moderna "Post-Quantum" e una classica) per creare un segreto condiviso. Poi, il dispositivo deve firmare il messaggio con una firma digitale speciale (chiamata Raccoon DSA).
• Il tocco magico: Questa firma è costruita in modo che, anche se qualcuno prova a spiare il dispositivo mentre firma (misurando la corrente), non riesce a rubare la chiave. È come se la firma fosse scritta con un inchiostro che si autodistrugge se qualcuno prova a copiarla guardando da vicino.
• Il prezzo: È un po' lento e il messaggio è grande (come inviare un pacco pesante), ma è l'unico modo per avere prove legali inconfutabili.

2. La Modalità "Sussurro Inconfessabile" (Deniable Mode)

Quando si usa: Per cose veloci e private, come quando un contatore invia il consumo di energia ogni 15 minuti.

• L'analogia: Immagina due spie che si incontrano in un bar. Si scambiano un messaggio segreto, ma se un terzo arriva e chiede "Chi ha mandato questo messaggio?", il mittente può dire: "Non lo so, l'ho inventato io, o l'ha inventato il destinatario". Non c'è modo di provare chi ha scritto cosa.
• Come funziona: Invece di usare una firma pesante e lenta, usa un "codice di riconoscimento" veloce (un HMAC). È come un battito di mano segreto tra amici.
• Il vantaggio: È velocissimo (0,41 millisecondi su un dispositivo piccolo come un Raspberry Pi) e consuma pochissima energia. È perfetto per i milioni di contatori che devono inviare dati continuamente senza scaricare le batterie o bloccare la rete.
• La sicurezza: Anche se è veloce, è comunque protetto dai computer quantistici. E la cosa più bella è che se un hacker ruba i dati, non può dimostrare chi li ha inviati, proteggendo la privacy.

Perché è speciale? (I 3 Superpoteri)

1. Doppia Difesa (Ibrido): Usa due tipi di serrature contemporaneamente. Se un ladro rompe la serratura classica, trova quella quantistica. Se rompe quella quantistica, trova quella classica. Finché una delle due è forte, il segreto è al sicuro.
2. Anti-Spionaggio Fisico: La parte che firma i documenti importanti è stata costruita "a prova di spionaggio". È come se la serratura fosse fatta di un materiale che non emette calore o rumore quando viene usata, rendendo inutile per gli spionaggi fisici misurare l'energia.
3. Anti-Truffa: Il sistema ha un interruttore (un "flag") che dice se si sta usando la modalità "Identità" o "Sussurro". Se un hacker prova a ingannare il sistema dicendogli "Usa la modalità veloce" per rubare dati, il sistema se ne accorge e blocca tutto, perché l'interruttore è sigillato con un codice segreto.

In sintesi per la vita reale

Pensa alla rete elettrica come a una città:

• Quando il sindaco deve dare un ordine urgente alla polizia (aggiornamento firmware o comando di emergenza), usa AmphiKey in Modalità Certificata: lento, pesante, ma con la firma inconfutabile e protetta dai ladri fisici.
• Quando i cittadini mandano la bolletta o i dati del traffico (dati dei contatori), usano AmphiKey in Modalità Sussurro: velocissimo, leggero, privato e impossibile da collegare a una persona specifica se qualcuno guarda i dati rubati.

AmphiKey è quindi il primo sistema che sa essere sia un "bancario in giacca e cravatta" (per le operazioni critiche) sia un "messaggero silenzioso" (per i dati di routine), proteggendo la nostra rete elettrica sia dai computer del futuro che dalle spie fisiche, tutto mentre consuma meno energia di un lampadario.

Sommario tecnico

Titolo

AmphiKey: Un Protocollo Ibrido di Incapsulamento di Chiave Autenticata (AKEM) a Doppia Modalità per le Smart Grid

1. Il Problema

Le reti elettriche intelligenti (Smart Grid) sono critiche per l'infrastruttura nazionale ma presentano una superficie di attacco ampliata a causa dell'integrazione di tecnologie digitali. I protocolli di sicurezza esistenti affrontano sfide specifiche e spesso non riescono a soddisfare contemporaneamente tutti i requisiti necessari:

• Minacce Quantistiche: Gli algoritmi classici (RSA, ECC) sono vulnerabili agli attacchi dei computer quantistici (algoritmo di Shor), rendendo necessaria una transizione alla crittografia post-quantistica (PQC).
• Attacchi Fisici (SCA): I dispositivi delle smart grid (es. contatori intelligenti, relè) sono spesso esposti fisicamente, rendendoli vulnerabili ad attacchi tramite canali laterali (Side-Channel Attacks - SCA) come l'analisi della potenza o delle emissioni elettromagnetiche. Le contromisure di mascheramento (masking) per gli schemi lattice standard (come Dilithium) comportano un sovraccarico computazionale proibitivo (>200x).
• Dilemma Autenticazione vs. Privacy: Le smart grid richiedono sia un'autenticazione non ripudiabile (per comandi critici e audit) sia modalità che preservino la privacy (deniabilità) per i dati di telemetria ad alto volume.
• Gap nella Ricerca: Nessun protocollo esistente offre contemporaneamente: (a) confidenzialità ibrida PQ/classica, (b) modalità di autenticazione deniabile, (c) resistenza agli SCA tramite schemi di firma progettati per il mascheramento, e (d) un'analisi esplicita del contesto di distribuzione IoT.

2. Metodologia e Architettura

AmphiKey è un protocollo AKEM (Authenticated Key Encapsulation Mechanism) ibrido che combina algoritmi classici e post-quantistici, progettato con due modalità operative distinte:

A. Modalità Autenticata (Authenticated Mode)

• Scopo: Fornire autenticazione non ripudiabile per traffico critico (comandi SCADA, aggiornamenti firmware).
• Costruzione Crittografica:
  • Confidenzialità "OR": Utilizza un combinatore ibrido di ML-KEM-768 (lattice-based, NIST standard) e X25519 (curva ellittica classica, istanziato come KEM IND-CCA2 tramite HPKE). La chiave condivisa è sicura se almeno uno dei due KEM rimane integro.
  • Autenticazione "AND": Richiede la verifica di firme digitali da entrambe le parti. Utilizza Raccoon DSA, uno schema di firma basato su lattice progettato specificamente per essere efficiente con tecniche di mascheramento (masking) di ordine superiore, offrendo resistenza agli SCA.
  • Protezione: Un flag MODE crittograficamente legato previene attacchi di downgrade.

B. Modalità Deniabile (Deniable Mode)

• Scopo: Fornire sicurezza per dati sensibili e ad alto volume (telemetria, dati PMU) con privacy del mittente.
• Costruzione Crittografica:
  • Sostituisce le firme digitali con un tag leggero basato su HMAC derivato esclusivamente dalle chiavi effimere dei KEM.
  • Deniabilità Formale: Un simulatore può generare un trascritto indistinguibile da quello reale senza conoscere la chiave privata del mittente, garantendo che un terzo partito non possa provare l'identità del mittente.
  • Efficienza: Elimina il costo computazionale delle firme, riducendo drasticamente la latenza.
  • Resistenza al Replay: Utilizza un nonce di sfida (rs) generato dal server per ogni sessione.

C. Analisi del Raggio d'Azione degli SCA

Il protocollo delinea chiaramente i limiti della protezione:

• Protetto: La generazione della firma Raccoon è mascherata, proteggendo la chiave privata a lungo termine durante la firma.
• Non Protetto (a livello di protocollo): Le operazioni di incapsulamento/decapsulamento di ML-KEM e X25519 non sono mascherate nel riferimento implementativo. La protezione di queste fasi richiede contromisure di livello di deployment (es. hardware sicuro, iniezione di rumore).

3. Contributi Chiave

1. Protocollo AKEM a Doppia Modalità: Un unico framework che supporta sia l'autenticazione non ripudiabile che la deniabilità formale, con protezione crittografica contro gli attacchi di downgrade.
2. Integrazione di Raccoon DSA: Prima applicazione pratica di Raccoon DSA in un protocollo di scambio chiavi, sfruttando la sua architettura "masking-friendly" per mitigare gli SCA su dispositivi vincolati.
3. Prove di Sicurezza Formali: Dimostrazioni complete basate sulla metodologia "sequence-of-games" per la sicurezza IND-CCA2 di entrambe le modalità e per la deniabilità del mittente (offline).
4. Valutazione su Hardware Eterogeneo: Benchmarking reale su server AMD Ryzen 5 e dispositivi edge a risorse limitate (Raspberry Pi 500), simulando scenari reali di smart grid.

4. Risultati Sperimentali

I test sono stati condotti su un testbed che simula un server SCADA e un client contatore intelligente (Raspberry Pi).

• Prestazioni Modalità Deniabile:

  • Latenza: Completamento dell'handshake in 0,15 ms sul server e 0,41 ms sul Raspberry Pi.
  • Dimensione Payload: 1.152 byte (compatibile con protocolli LPWAN e frammentazione APDU).
  • Efficienza: Riduzione del 93% dei cicli CPU rispetto alla modalità autenticata sul Pi.
  • Throughput: Fino a ~2.439 sessioni/secondo per dispositivo Pi, cruciale per scenari di riconnessione di massa dopo un blackout.

• Prestazioni Modalità Autenticata:

  • Latenza: 4,8 ms per la firma sul Pi (il collo di bottiglia principale).
  • Dimensione Payload: 12.644 byte (dominato dalla firma Raccoon di 11.524 byte), adatto per collegamenti cablati o Wi-Fi, ma non per LPWAN stretto.
  • Sicurezza: Fornisce autenticazione non ripudiabile e resistenza agli SCA per la chiave di firma a lungo termine.

• Confronto con lo Stato dell'Arte:

  • AmphiKey supera protocolli come Shadowfax e Hybrid HPKE offrendo un'analisi esplicita degli SCA e la deniabilità formale.
  • La modalità deniabile offre prestazioni comparabili a Hybrid HPKE ma con funzionalità di autenticazione integrate senza sovraccarico aggiuntivo significativo.

5. Significato e Impatto

AmphiKey rappresenta un passo avanti significativo per la sicurezza delle Smart Grid:

• Resilienza Multi-Livello: Affronta simultaneamente minacce quantistiche, crittografiche classiche e fisiche (SCA), un requisito fondamentale per infrastrutture con vita utile di 20-30 anni.
• Adattabilità Operativa: La capacità di scegliere dinamicamente tra modalità "sicura e tracciabile" (per comandi critici) e "leggera e privata" (per telemetria) ottimizza l'uso delle risorse limitate dei dispositivi IoT.
• Praticità di Deployment: L'uso di Raccoon DSA dimostra che è possibile implementare contromisure SCA su dispositivi vincolati senza il sovraccarico proibitivo degli schemi lattice tradizionali.
• Fondamento Teorico: Le prove di sicurezza formali forniscono garanzie rigorose contro attacchi attivi e passivi, rendendo il protocollo idoneo per standardizzazione futura in ambienti critici.

In sintesi, AmphiKey colma il divario tra sicurezza teorica post-quantistica e le esigenze pratiche di efficienza e resistenza fisica dei dispositivi delle reti elettriche intelligenti.