Post-Quantum Storage Gateway · NIST FIPS 203/204/205

Il cloud archivia i tuoi file.
Non sa cosa ci sia dentro.

FortySeal Gateway si interpone tra le tue applicazioni e qualsiasi cloud storage. Ogni file viene cifrato prima di partire — con algoritmi immuni ai computer quantistici. Il provider riceve solo dati illeggibili.

Client
La tua app
Gateway
FortySeal
Storage
Cloud S3
I dati entrano leggibili · il Gateway li cifra · il cloud non vede mai il contenuto
0 byte
leggibili su storage
NIST L5
livello massimo certificato
5
provider S3 supportati
4
correzioni security audit 2026
Perché ora
2035

I dati che cifri oggi potrebbero non essere sicuri domani.

I computer quantistici romperanno la cifratura RSA e ECC. Chi intercetta traffico cifrato oggi può conservarlo e decifrarlo in futuro — è una strategia già in uso dai servizi di intelligence. FortySeal usa algoritmi pensati per resistere anche a questa minaccia.

Oggi — Minaccia attiva
Raccogli ora, decifra dopoDati cifrati con RSA/ECC vengono archiviati da attori malintenzionati in attesa di computer quantistici più potenti.
2024 — Standard pubblicati
NIST finalizza FIPS 203/204/205Dopo 8 anni di selezione internazionale, tre algoritmi post-quantistici diventano standard ufficiali americani.
Oggi — FortySeal Gateway
ML-KEM-1024 + ML-DSA-87 + AES-256-GCMI tuoi file su cloud sono già cifrati con algoritmi immuni al calcolo quantistico, implementati e testati.
Come funziona

Quattro passaggi. Il cloud non vede nulla.

Per le tue applicazioni cambia solo l'endpoint. Tutto il resto — cifratura, firma, verifica — avviene all'interno del Gateway, in memoria.

01
📤

Invii un file

La tua app fa una chiamata PUT standard, come con S3. Nessuna modifica al codice esistente.

02
🔐

Il Gateway cifra

Incapsula la chiave con ML-KEM-1024, firma con ML-DSA-87, cifra il contenuto con AES-256-GCM. Tutto in RAM, mai su disco.

03
☁️

Il cloud riceve un blob

Solo il file cifrato arriva allo storage, con un nome UUID casuale. Il provider non può leggere né correlare i file.

04

Verifica continua

Ogni notte e ad ogni download, il sistema controlla che i file non siano stati manomessi. Storico permanente di ogni verifica.

Compatibile con Amazon S3, MinIO, Cubbit DS3, Wasabi, Backblaze B2 — stesso endpoint, stesse chiamate REST.

Amazon S3 MinIO Cubbit DS3 Wasabi Backblaze B2
Cosa garantisce

Tre proprietà che nessuna configurazione cloud offre di default.

Il Gateway le impone architetturalmente — non dipendono dalla configurazione del provider.

🔏

Integrità verificata

AES-256-GCM autentica il ciphertext. ML-DSA-87 firma l'intero blob. SHA3-256 del plaintext è verificabile dopo decifratura. Un file manomesso non viene mai consegnato.

ML-DSA-87 · SHA3-256
📋

Non-ripudio con evidenza

Ogni blob porta la firma di chi lo ha caricato. L'audit trail immutabile traccia operazione, IP, timestamp — con storico permanente delle verifiche, indipendente dal provider.

Audit trail · NIS2 Art. 21
🌐

Multi-tenant isolato

Ogni organizzazione ha il proprio service account con keypair PQC dedicati. I file di tenant diversi non sono correlabili su S3 — chiavi fisiche UUID randomiche.

Protezione attiva

Rate limiting per-API-key, lockout brute-force per IP, blocco automatico dei blob compromessi. Il sistema reagisce autonomamente, senza intervento manuale.

🔑

Rotazione senza downtime

Le chiavi PQC (KEM + firma) ruotano senza rendere inaccessibili i file esistenti. Ogni blob mantiene il riferimento alla chiave con cui è stato cifrato.

Casi d'uso

Stesso Gateway, scenari diversi.

Dalla banca alla pipeline CI/CD — il layer crittografico si adatta senza cambiare l'architettura.

DORA · NIS2 · Regolamentato

Archiviazione documenti regolamentati

Una banca archivia contratti, estratti conto e report di rischio su Cubbit DS3. DORA impone cifratura a riposo, audit trail, separazione dei ruoli e resilienza operativa.

Parla con il team tecnico
1Il sistema ERP invia PUT con il contratto
2Il Gateway cifra con FSEAL — ML-KEM-1024 + AES-256-GCM
3Il blob opaco raggiunge Cubbit — Cubbit non può leggere nulla
4Ogni operazione genera un log immutabile con IP e timestamp
5In caso di audit, il registro è consultabile dal pannello admin
GDPR · HIPAA · Dati sensibili

Pipeline dati clinici

Un ospedale invia referti DICOM su AWS S3. I dati devono essere cifrati prima di lasciare il perimetro ospedaliero, con chiavi separate per ogni reparto.

Parla con il team tecnico
1Il sistema HIS invia il referto con API Key permesso-only upload
2Il Gateway cifra — AWS non accede mai al contenuto in chiaro
3Il medico scarica via GET con la sua PQC password personale
4Le chiavi del reparto radiologia sono separate da quelle di cardiologia
Multi-cloud · Strategia 3-2-1

Disaster recovery multi-provider

Un'azienda SaaS vuole backup su 3 provider diversi con la garanzia che nessuno possa leggere i dati, e che il backup sopravviva alla compromissione di un singolo provider.

Parla con il team tecnico
13 GatewayTenant configurati su AWS, Wasabi, Backblaze
2Lo script invia lo stesso file ai tre Gateway — 3 copie FSEAL identiche
3Nessun provider può leggere i dati da solo
4Recovery: un provider disponibile + la stessa PQC password
DevOps · CI/CD · Minimo privilegio

Artefatti e secrets cifrati

Una pipeline GitHub Actions archivia artefatti di build e configurazioni sensibili su storage esterno, senza esporre i dati al provider CI/CD.

Parla con il team tecnico
1La pipeline usa l'API Key con permesso solo upload
2Gli artefatti vengono cifrati FSEAL prima del bucket
3Il sistema di deployment usa API Key separata — solo download
4L'audit trail traccia quale pipeline ha caricato cosa e quando
Security Audit · luglio 2026

Ispezionato. Corretto. Documentato.

Un audit interno sull'intero layer Gateway ha portato alla chiusura di quattro vulnerabilità. Tutte coperte da smoke test automatici.

Firma verificata ad ogni download

Prima veniva decodificata ma non verificata. Ora è enforced — firma non valida, file non consegnato.

Nessun accesso di default

Token JWT senza permessi espliciti → zero accessi. Prima otteneva accesso admin completo.

Portale anti brute-force

Lockout per IP e per account dopo 8 tentativi in 15 min. Session ID rigenerato al login.

Webhook solo verso host sicuri

Solo HTTPS verso IP pubblici. Riverifica a ogni consegna contro DNS rebinding.

Conformità normativa

Pensato per chi risponde a un audit.

Audit trail immutabile, storico permanente delle verifiche di integrità, webhook firmati per ogni evento critico.

NIS2
Cifratura, audit trail immutabile, verifica integrità
DORA
Gestione rischio ICT, separazione chiavi, incidenti
GDPR
Privacy by design, 0 byte in chiaro, dati in UE
NIST FIPS 203
ML-KEM-1024 — Level 5
NIST FIPS 204
ML-DSA-87 — Level 5
NIST FIPS 205
SLH-DSA-SHA2-256f — Level 5
Roadmap

Dove siamo, dove andiamo.

Fase 1 e Fase 2 in produzione. Fase 2b in arrivo.

✓ Completata — Giugno 2026

Fase 1 + 2 — Production-ready

  • Cifratura FSEAL v1 con ML-KEM-1024 e ML-DSA-87
  • 5 provider S3: AWS, MinIO, Cubbit, Wasabi, Backblaze
  • Multi-tenant, audit trail, dashboard
  • Rate limiting, webhook asincroni, rotazione chiavi
  • Security audit interno applicato
· Enterprise — Q4 2026 / Q1 2027

Fase 3 — Scala e certificazioni

  • SDK ufficiali Python, Node.js, Go
  • Kubernetes + Helm chart scalabile
  • HSM integration (FIPS 140-3 Level 3)
  • Certificazione eIDAS 2
  • SIEM export (Splunk, Sentinel, QRadar)
Inizia ora

Vuoi vederlo sui tuoi dati?

Una demo da 30 minuti, costruita sui tuoi casi reali. Il team tecnico ti mostra come si integra nel tuo stack.