Una bomba a orologeria è stata innescata e minaccia le nostre infrastrutture digitali: questa minaccia incombente è rappresentata dai computer quantistici, la cui potenza di calcolo sarà in grado di rompere la crittografia asimmetrica (a chiave pubblica) su cui si basano tutti i sistemi di comunicazione sicura.
Questo rischio era già stato previsto nel 1995 dall’informatico americano Peter Williston Shor con l’articolo “Polynomial-Time Algorithms for Prime Factorization and Discrete Logarithms on a Quantum Computer” in cui veniva esposto un algoritmo quantistico in grado di rompere la crittografia RSA e il protocollo Diffie-Hellman, che rappresentano le fondamenta della crittografia a chiave pubblica oggi in uso per le comunicazioni via internet.
Tutti gli standard di crittografia a chiave pubblica odierni risulterebbero vulnerabili all’impiego di questo algoritmo.
Quando questa minaccia diventerà reale?
Per fortuna non immediatamente, perché – come vedremo in seguito – ancora non sono stati realizzati computer quantistici sufficientemente potenti da poter rendere applicabile l’algoritmo di Shor.
Ma è solo questione di tempo. L’hanno già definito come il Q-Day: il giorno in cui un computer quantistico, sufficientemente potente e dotato di un elevato numero di Qubit sarà realizzato e utilizzabile sul mercato.
Il rischio, dunque, è incombente.
Indice degli argomenti
Crittografia post-quantistica: la raccomandazione UE
Proprio per questo motivo, la Commissione dell’Unione Europea ha emesso una “Raccomandazione relativa a una tabella di marcia per l’attuazione coordinata della transizione verso la crittografia post-quantistica” che invita gli stati membri della UE a “prendere in considerazione la possibilità di procedere quanto prima alla migrazione delle loro infrastrutture e dei loro servizi digitali attuali per le pubbliche amministrazioni, nonché di altre infrastrutture critiche, verso la crittografia post-quantistica, determinando un cambiamento radicale degli algoritmi, dei protocolli e dei sistemi crittografici”.
La raccomandazione incoraggia gli Stati membri a elaborare una strategia globale per l’adozione della crittografia post-quantistica al fine di garantire una transizione che dovrà essere “coordinata e sincronizzata tra i diversi Stati membri e i rispettivi settori pubblici”.
Nei considerando iniziali viene richiamata anche la direttiva (UE) 2022/2555 (NIS 2) che riguarda le infrastrutture critiche, che dovranno essere per prime messe in sicurezza, e al successivo punto (4) della “Tabella di marcia per l’attuazione coordinata della transizione verso la crittografia post-quantistica” viene ulteriormente citata: “A tal fine la Commissione raccomanda agli Stati membri di sfruttare le strutture esistenti a livello di Unione nel settore della cibersicurezza e di istituire un sottogruppo del gruppo di cooperazione NIS”.
Ma, a differenza di quanto stanno facendo gli Stati Uniti e che vedremo nel capitolo seguente, questa raccomandazione risulta purtroppo generica e non indica tempistiche definite di attuazione.
Si invitano poi gli Stati membri a istituire un sottogruppo sulla crittografia post-quantistica e a nominare rappresentanti esperti che dovrebbero lavorare in stretta collaborazione con la Commissione ed essere incaricati di definire ed elaborare la tabella di marcia per l’attuazione coordinata della crittografia post-quantistica.
Tale tabella di marcia per l’attuazione coordinata della crittografia post-quantistica dovrebbe essere disponibile dopo un periodo di due anni dalla pubblicazione della raccomandazione.
Anche stavolta, come sempre, l’Europa sembra non avere la capacità decisionale per saper affrontare in modo rapido ed efficace questa importante emergenza.
Cosa stanno già facendo gli Stati Uniti
In realtà, questa raccomandazione della Commissione UE arriva anche con un certo ritardo rispetto a quanto già è stato fatto dagli Stati Uniti che sul fronte della crittografia post-quantistica sono – da sempre – in prima linea.
La consapevolezza di questa minaccia tecnologica ha messo in moto – già da alcuni anni – il NIST (National Institute of Standards and Technology), la NSA (National Security Agency) e addirittura lo stesso Presidente Biden che a dicembre 2022 ha firmato la legge “Quantum Computing Cybersecurity Preparedness Act” (Legge sulla preparazione alla sicurezza informatica del calcolo quantistico) che ha imposto alle agenzie federali di iniziare a controllare i propri sistemi per verificare la presenza di crittografia da sostituire.
Questa legge è stata approvata (a luglio 2022 dalla Camera USA e poi a dicembre dal Senato) in seguito al timore che i significativi progressi della tecnologia quantistica compiuti da Paesi ostili agli Stati Uniti, tra cui la Cina e la Russia – tra i pochi con le competenze scientifiche e i miliardi di dollari necessari per costruire un computer quantistico – possano consentire di decifrare molto più rapidamente gli algoritmi di crittografia sicura oggi utilizzati.
In particolare, la legge impone all’Office of Management and Budget (OMB) di dare priorità all’acquisizione e alla migrazione delle agenzie federali verso sistemi informatici con crittografia post-quantistica. La legge prevede, inoltre, che la Casa Bianca crei una guida per le agenzie federali per valutare i sistemi critici un anno dopo che il NIST avrà pubblicato gli standard previsti per la crittografia post-quantistica.
In sintonia con il provvedimento presidenziale, a settembre 2022 la National Security Agency ha pubblicato la guida “Commercial National Security Algorithm Suite 2.0” (CNSA 2.0) in cui ha stabilito i requisiti per i proprietari e gli operatori dei sistemi di sicurezza nazionale per adottare algoritmi post-quantistici entro il 2033.
Le indicazioni dell’NSA prevedono che questa transizione dovrà avvenire entro il 2033, secondo il programma indicato nella seguente tabella.
La Timeline della transizione richiesta è riportata nel CNSA 2.0 in questa infografica.
Questa roadmap definita dal governo americano attraverso la NSA ha motivazioni molto precise, che derivano dalle previsioni sui tempi di sviluppo dei computer quantistici.
Oggi il computer quantistico più potente già costruito utilizza 433 “qubit”, come vengono chiamati gli equivalenti quantistici dei transistor.
Probabilmente questa cifra dovrebbe raggiungere le decine di migliaia, forse addirittura i milioni, prima che gli attuali sistemi di crittografia asimmetrica vengano espugnati, secondo la previsione di Shor.
Ma IBM ha già annunciato che punta ad arrivare ad un sistema da 100.000 qubit entro il 2033 e per questo sta portando avanti ricerche mirate con l’Università di Tokyo e l’Università di Chicago.
Quindi il 2033 rappresenta una scadenza credibile entro la quale i sistemi crittografici dovranno essere stati aggiornati con nuovi algoritmi “quantum resistent”, che devono essere creati appositamente.
Su questo fronte si è mosso il NIST che ha avviato, già dal dicembre 2016, il Post-Quantum Cryptography (PQC) Project, che rappresenta oggi il progetto più importante nel mondo occidentale in questo ambito.
E quasi sei anni dopo, il NIST in data 5 luglio 2022 ha rilasciato ufficialmente i primi quattro algoritmi crittografici in grado di resistere alla computazione quantistica che sono, per la crittografia generale a chiave pubblica:
e per le firme digitali (Digital Signature Algorithms):
- CRYSTALS-Dilithium,
- FALCON,
- SPHINCS+ (“Sphincs plus”).
Non abbiamo molto tempo
L’emergenza è già nota e quindi si sta già lavorando sulle contromisure da adottare, ma la migrazione verso una crittografia post-quantistica sarà molto complessa e richiederà probabilmente un decennio o forse anche di più.
Quindi, potrebbe non essere abbastanza veloce per evitare la compromissione di enormi quantità di dati crittografati con i sistemi attuali.
Non sarà sufficiente aver creato una nuova generazione di algoritmi, perché – sulla base delle migrazioni passate – si stima che potrebbero essere necessari anche dieci anni per implementarli su larga scala ed in tutti i sistemi che gestiscono le comunicazioni cifrate.
Alcune crittografie sono presenti anche in sistemi hardware, dove gli aggiornamenti potrebbero essere molto più difficili o addirittura impossibili da realizzare.
Dustin Moody, matematico del NIST, sottolinea che anche i satelliti nello spazio potrebbero essere colpiti, così come i sistemi di traffico aereo.
Quindi il tema della Quantum-Safe Cryptography è strategico a livello mondiale.
Esiste anche il rischio conosciuto come “harvest now, decrypt later”: non solo la decriptazione dei dati futuri, ma anche di quelli più vecchi: anche i dati criptati in precedenza potrebbero essere decifrati dopo il Q-Day.
In realtà, qualcosa si sta già muovendo: segnaliamo, per esempio, che Signal ha annunciato nel settembre 2023 di aver rafforzato la crittografia all’interno della sua nota applicazione di messaggistica.
Signal spiega che il suo protocollo X3DH (Extended Triple Diffie-Hellman) è stato aggiornato a PQXDH (Post-Quantum Extended Diffie-Hellman).
Il PQXDH utilizza sia il protocollo a curva ellittica di X3DH sia un meccanismo di incapsulamento della chiave post-quantistico chiamato CRYSTALS-Kyber.
CRYSTALS-Kyber è uno degli algoritmi crittografici rilasciato dal NIST, adatto per operazioni rapide che richiedono uno scambio di piccole chiavi di crittografia.
Anche Apple ha implementato a febbraio 2024 nella sua app iMessage il protocollo crittografico post-quantistico PQ3 (come illustrato nella figura seguente), che rafforza la crittografia end-to-end a curve ellittiche (ECC) già utilizzata.
Sono solo piccoli passi, ben altro è da fare a tutti i livelli ed in migliaia di applicazioni utilizzate nel web ed in infrastrutture critiche come centrali nucleari, rete elettriche e molto altro.
