Lo sviluppo sempre più avanzato del quantum computing sta di fatto spingendo i moderni algoritmi crittografici verso una nuova generazione di crittografia post-quantistica in grado di resistere agli attacchi quantistici e dunque, proprio per questa ragione, necessaria per sostenere la sicurezza di Internet e dei dati oltre che delle tecnologie basate sulla crittografia.
A tal proposito, è utile sfatare il mito che la crittografia quantistica precluda l’uso della crittografia post-quantistica e viceversa: sull’argomento sono molti i dubbi, specialmente tra i non addetti ai lavori.
Indice degli argomenti
Pro e contro del computer quantistico
I grandi giganti digitali (IBM, Microsoft, Google) stanno portando avanti da qualche anno progetti costosissimi che mirano allo sviluppo di un computer quantistico di scala comparabile a quelli odierni binari.
I computer quantistici promettono di risolvere molti problemi in campo farmaceutico, chimico e di ingegneria dei materiali che risultano computazionalmente impossibili da risolvere anche dai computer più potenti che abbiamo a disposizione oggi.
Una delle controindicazioni a tale sviluppo tecnologico è che la capacità di calcolo dei computer quantistici riuscirà però anche a risolvere i problemi matematici su cui si basano primitive crittografiche di uso comune, mettendo così a rischio i nostri dati.
Gli algoritmi di cifratura e di firma sono sicuri perché il problema matematico che bisognerebbe risolvere per, rispettivamente, decifrare impropriamente e falsificare una firma richiederebbero centinaia di migliaia di anni ai computer binari. Con un computer quantistico, risolvere questi problemi richiederebbe poche ore.
Al momento, i computer quantistici che si sono costruiti finora sono di piccola scala e i problemi crittografici di cui sopra non sono ancora alla loro portata. Ma secondo quanto stimato da Michele Mosca, professore e ricercatore di fisica quantistica dell’Università di Waterloo nonché co-fondatore e direttore dell’Institute for Quantum Computing (Canada), entro il 2031 ci sarà il 50% di probabilità di avere disponibile un computer quantistico abbastanza potente da rompere l’algoritmo di cifratura RSA-2048.
Per capire l’impatto di tale stima, si pensi che l’algoritmo RSA, sia nella versione di cifratura che di firma, viene usato nel protocollo SSL/TLS per rendere le connessioni Internet sicure. Un computer quantistico renderebbe dunque impossibile effettuare qualsiasi acquisto online con carta di credito, un vero disastro economico.
Cos’è la crittografia post-quantistica
Fortunatamente, il mondo accademico ci viene in soccorso. Da molti in anni, infatti, in campo crittografico si parla di crittografia post-quantistica.
La crittografia post-quantistica si pone come obiettivo quello di costruire primitive crittografiche basate su nuovi problemi matematici molto più difficili da risolvere dei precedenti.
Lo scopo è quindi di ristabilire, se così possiamo chiamarlo, un “ordine computazionale” in cui i computer, siano essi quantistici o no, siano sempre meno potenti rispetto alla complessità dei problemi matematici alla base della sicurezza crittografica.
Le primitive post-quantistiche devono richiedere pure loro migliaia di anni di calcolo per essere risolte.
La ricerca nella crittografia post-quantistica è molto avanzata e ha quasi portato i suoi frutti. La prima standardizzazione di primitive di crittografia post-quantistica è attesa per il 2022-2024 dove verranno selezionati gli algoritmi di firma e di cifratura a chiave pubblica più idonei.
È l’americano National Institute of Standards and Technology (NIST) a portare avanti questa standardizzazione, essendo poi l’istituto che ha con successo standardizzato anche tutta la crittografia in uso oggi.
Quello della crittografia post-quantistica è uno sforzo fatto verso il design di primitive così dette a chiave pubblica. La crittografia a chiave pubblica, o asimmetrica, si riferisce a tutti quegli algoritmi dove all’utente vengono date una coppia di chiavi, la prima pubblica e la seconda privata, da tenere assolutamente per sé.
A seconda che si voglia cifrare o firmare un dato, la chiave pubblica viene usata, rispettivamente, per cifrare o verificare la veridicità di una firma, mentre la chiave privata viene usata, rispettivamente, per decifrare un dato o per firmarlo.
Esiste anche la crittografia a chiave privata, detta anche simmetrica, che compete prettamente algoritmi di cifratura. In questo caso, un’unica chiave, appunto da tenere segreta, viene usata per cifrare e decifrare un dato.
Per usare un algoritmo di cifratura così definito, il mittente e il ricevente di una comunicazione devono inizialmente condividere (senza incontrarsi) la stessa chiave segreta.
Il ruolo della meccanica quantistica
È proprio con la generazione e della distribuzione di chiavi private ad utenti remoti che si innesta la meccanica quantistica nel panorama crittografico, si tratti esso di crittografia classica che di crittografia post-quantistica.
In particolare, grazie alla Quantum Key Distribution (QKD), è possibile che un mittente e un ricevente di una comunicazione siano in grado di generare e scambiare allo stesso tempo una stringa perfettamente randomica di 0 e 1 senza che un attaccante esterno riesca ad indovinare alcuna informazione mentre tale stringa viene scambiata.
Una delle cose su cui le dimostrazioni di sicurezza crittografiche si basano è il fatto che le chiavi vengono generate in maniera random, cioè in modo che gli 0 e gli 1 che compongono una stringa binaria da cui si estrae poi una chiave siano uniformemente distribuiti gli uni rispetto agli altri.
Questo è quello che offre la QKD: ci si basa su degli eventi quantistici, che sono per natura random, per generare e distribuire delle chiavi private.
Il fenomeno fisico usato dalla QKD è quello della riflessione/rifrazione di un fotone (l’atomo di luce) su una superficie riflettente. Che un atomo di luce venga riflesso piuttosto che rifratto è un fatto puramente aleatorio ed essendoci due possibilità di output, ad uno viene associato il bit 0 e all’altro il bit 1.
La crittografia classica e post-quantistica (ossia quello in uso tutt’ora e quella standardizzata tra un paio d’anni, rispettivamente, entrambe non basate su fenomeni fisici ma su modelli matematici/computazionali) contribuiscono pure loro al design di protocolli per fare avere a due utenti remoti del materiale da cui estrarre delle chiavi (key material).
Si tratta dei cosiddetti protocolli di scambio di chiavi (key exchange) e di key encapsulation.
Anche se ci sono proposte di protocolli di key encapsulation post-quantistici candidati al processo di standardizzazione del NIST, tutti questi ancora una volta si avvalgono di processi computazionali e chiave pubblica.
I vantaggi della Quantum Key Distribution (QKD)
La Quantum Key Distribution (QKD) offre un metodo alternativo, non computazionale, dove la sicurezza e la bontà della stringa random generata sono basate sulla natura della fisica quantistica.
Come riporta il Dr. Davide Bacco, Assistant professor dell’Università Tecnica della Danimarca a Copenaghen e co-fondatore di QTI, la prima startup italiana che offre soluzioni tecnologiche quantistiche, tra cui la QKD: “Non è assolutamente vero che le soluzioni di scambio di chiavi offerte dalla meccanica quantistica sono in contrapposizione alla crittografia classica. È solo un mito quello che la scelta di una soluzione escluda l’altra automaticamente. Anzi. La QKD offre un’alternativa ai protocolli di scambio di chiave classici per tutte quelle applicazioni che richiedono un livello di sicurezza eccezionale e a lungo termine. Si pensi ad esempio alla comunicazioni strategiche tra servizi segreti e militari, che non si possono permettere di venir compromesse a seconda di come cambia il panorama tecnologico da un punto di vista di potere computativo degli elaboratori elettronici.”
La crittografia post-quantistica per resistere ai nuovi attacchi
Gli avanzamenti per quanto riguarda lo sviluppo del computer quantistico sono innegabili, così come i progressi fatti dal mondo accademico nel campo della crittografia.
Crittografi e fisici quantistici entrambi lavorano al design di nuovi protocolli di firma, cifratura e scambio di key material che siano immuni agli attacchi crittografici lanciati da un computer quantistico.
