L’ultima tornata di patch per il kernel Linux 7.2 porta con sé un tassello che a prima vista potrebbe sembrare un dettaglio per addetti ai lavori, ma che in realtà disegna un perimetro di sicurezza destinato a durare decenni. Stiamo parlando dell’integrazione nei sottosistemi IMA (Integrity Measurement Architecture) ed EVM (Extended Verification Module) del supporto per le firme digitali ML-DSA, uno degli algoritmi selezionati dal NIST per resistere agli attacchi dei futuri computer quantistici.

Non è una semplice estensione crittografica: è un segnale preciso in direzione della protezione a lungo termine dell’integrità dei dati. Per chi gestisce infrastrutture on-premise, dove modelli LLM, pesi e dataset risiedono su storage locale, l’arrivo di meccanismi di verifica post-quantum significa blindare la filiera del software e dell’AI contro manomissioni che oggi potrebbero sembrare fantascientifiche, ma che tra qualche anno saranno una superficie d’attacco concreta.

Cosa fanno IMA ed EVM (e perché ML-DSA li rende più robusti)

IMA ed EVM sono due pilastri del controllo di integrità nel kernel Linux. Il primo calcola hash dei file eseguibili e dei dati critici all’avvio e li confronta con valori attesi; il secondo estende questa verifica agli attributi estesi dei file, creando una catena di fiducia che copre l’intero filesystem. Finora, questi controlli si sono basati su schemi di firma come RSA o ECDSA, vulnerabili a un ipotetico computer quantistico capace di fattorizzare grandi numeri o calcolare logaritmi discreti in tempi ragionevoli.

ML-DSA (Module-Lattice Digital Signature Algorithm) appartiene alla famiglia dei crittosistemi basati su reticoli, considerati resistenti agli attacchi quantistici. Inserirlo in IMA ed EVM significa che l’integrità di un sistema Linux può ora essere garantita da firme che restano valide anche in uno scenario post-quantum. Per i deployer on-prem di modelli di intelligenza artificiale, questo non è un vezzo accademico: è una garanzia concreta che il modello che gira in produzione – magari un LLM di grandi dimensioni – non sia stato alterato dopo il training o durante l’aggiornamento, né che lo siano i dataset di riferimento su cui è stato fatto fine-tuning.

Sovranità e supply chain dell’AI: il punto di caduta on-premise

Quando un’azienda decide di mantenere i propri workload di inference lontano dai cloud pubblici, lo fa per controllo, latenza e sovranità dei dati. Ma un ambiente self-hosted può diventare un bersaglio silenzioso: un attaccante che modifichi i checkpoint di un modello o introduca backdoor nei pesi prima della messa in produzione potrebbe operare per mesi senza essere rilevato. Con IMA ed EVM abilitati e firmati con ML-DSA, ogni file chiave della pipeline di machine learning – dai container ai modelli serializzati – può essere verificato all’avvio, rendendo molto più difficile un attacco alla supply chain del software.

La transizione verso firme post-quantum a livello kernel è un mattone fondamentale per quelle organizzazioni che pensano al TCO su archi temporali estesi. I modelli addestrati oggi potrebbero restare in servizio per cinque o dieci anni; un attacco quantistico che ne comprometta l’integrità durante quel periodo costringerebbe a costose operazioni di riaddestramento o a incidenti di sicurezza con impatti ben superiori al costo dell’hardware. Dotarsi di strumenti di verifica resistenti fin dalla base software – il kernel – azzera un rischio sistemico prima ancora che si materializzi.

Oltre il kernel: implicazioni per chi progetta infrastrutture AI in locale

L’arrivo del supporto ML-DSA in Linux 7.2 non risolve da solo tutti i problemi: affinché la protezione sia effettiva, il sistema deve essere configurato con attenzione, le chiavi vanno gestite in modo sicuro e occorre un’infrastruttura a chiave pubblica (PKI) capace di distribuire certificati post-quantum. Tuttavia, per i team che progettano cluster di inference on-premise, questa novità cambia il calcolo della sicurezza: al pari di un modulo TPM o di un enclave sicura, IMA/EVM con firme ML-DSA diventa un tassello di una strategia di difesa a strati che protegge sia i dati sensibili sia l’integrità degli artefatti AI.

Guardando al panorama più ampio, la mossa del kernel Linux è coerente con un’accelerazione generale verso la crittografia post-quantum, spinta dalle indicazioni NIST e dalle scadenze che molte agenzie governative stanno fissando per la migrazione. Chi oggi valuta un deployment on-premise di LLM – per motivi di compliance, riservatezza o semplicemente per ridurre la dipendenza da fornitori esterni – può iniziare a considerare queste tecnicie come componenti standard della propria architettura di fiducia, piuttosto che come fronzoli per ambienti militari. È un passo verso un’AI che non solo è allenata e servita in casa, ma è anche verificabile in ogni suo bit, oggi e domani.