L’avvento delle tecnologie quantistiche e più in generale dei computer quantistici sta spingendo i moderni algoritmi crittografici verso una naturale evoluzione ormai nota come crittografia post-quantistica (anche nota come post-quantum o quantum-resistant).
A tal proposito, ENISA ha di recente pubblicato un report dedicato proprio alla crittografia post-quantistica. Il tema può apparire di frontiera, tuttavia la rapidità dei processi tecnologici a cui ormai siamo abituati rischia di rendere gli scenari prefigurati dall’ente attuali prima ancora che ce ne accorgiamo.
Il documento è particolarmente tecnico, addentrandosi su risvolti matematici e algebrici delle tecniche illustrate: si ritiene comunque un contributo importante per considerazioni generali relative alla sicurezza dei dati e delle informazioni.
Lo sviluppo di quest’area potrà portare a rendere insicuri meccanismi di protezione che oggi riteniamo sicuri, per cui merita la maggiore attenzione possibile.
Indice degli argomenti
Tecnologie quantistiche e rischi cyber
Anzitutto va ricordato brevemente che cosa sia la tecnologia quantistica: si è già affrontato in precedenti contributi la crittografia quantistica, per cui ci limitiamo a un breve accenno.
Si tratta di un’area ingegneristica emergente che sfrutta alcuni dei principi della fisica quantistica – come l’entanglement – comportando mutamento sensibile nei paradigmi tecnologici e relative applicazioni. In prospettiva potrà portare a mutamenti tecnologici per ora impensabili quanto alle capacità computazionali degli strumenti che ne sfrutteranno i principi, sfociando in un quantum computing non più basato sui tradizionali bit.
La ricerca sta andando avanti, l’Unione Europea stessa ha investito oltre un miliardo in dieci anni in progetti sul tema. Per quanto ci può interessare in questa sede, l’utilizzo di macchine basate su tecnologie quantistiche potrà arrecare seri pericoli nell’utilizzo delle attuali misure di crittografia, alla base del concetto di sicurezza informatica.
Tant’è che già dal 2017 l’omologo statunitense dell’ENISA, ovvero il NIST, ha avviato una gara pubblica per standardizzare algoritmi crittografici asimmetrici che possono resistere alle tecnologie quantistiche.
Una distinzione importante è quella tra la crittografia post-quantistica e la crittografia quantistica: la prima mira a soluzioni di difesa che possono essere utilizzate dagli strumenti oggi disponibili, non quantistici, così da resistere alle crittoanalisi quantistiche; la crittografia quantistica, invece, si basa sull’utilizzo di tecnologie quantistiche per assicurare la sicurezza (come ad es. la Quantum Key Distribution – QKD).
La stessa strategia europea per la cybersecurity, presentata nel 2020, menziona le tecnologie quantistiche come fondamentali per la sicurezza informatica, a conferma del perché considerare fin d’ora le strategie di mitigazione degli attacchi e dei rischi che queste tecnologie – una volta che saranno completamente sviluppate e di comune applicazione – potranno arrecare all’ecosistema informativo. La stessa ENISA ne aveva dato contezza già in un report del 2018.
Le considerazioni dell’ENISA nel nuovo report
Il documento ENISA è dedicato alla famiglia di processi di crittografia post-quantistica, vengono esaminate 5 principali famiglie di algoritmi dedicati a tale scopo (ci limitiamo a menzionarli, rimandando al documento per ogni approfondimento):
- basati sul codice (code-based), ovvero su codici di correzioni degli errori;
- basati sull’isogenia (isogeny-based), ovvero sull’isogenia (morfismo di gruppi algebrici) di curve ellittiche;
- basati sull’hash (hash-based), ovvero sull’evoluzione delle attuali tecniche di hash;
- basati sui reticoli (lattice-based), ovvero su reticoli algebrici;
- basati su sistemi multivariati (multivariate-system based), ovvero su funzioni di equazioni quadratiche multivariate.
ENISA presenta anche i finalisti della gara indetta dal NIST quanto a nuovi schemi di crittografia e firma. Nell’analisi di dettaglio l’ente analizza pro e contro di ogni tecnica; design, implementazione, crittoanalisi, ecc. Il NIST prevede di selezionare e pubblicare uno standard tra il 2022 e il 2024, rendendolo di fatto di internazionale applicazione.
Tecnologie quantistiche: strategie per la riservatezza dei dati
Esaurito il discorso delle future tecnologie, il documento propone strategie che tuttora si possono implementare per proteggere la riservatezza dei dati contro attacchi basati su tecnologie quantistiche (mitigazione quantistica), ovverosia:
- implementazioni ibride che utilizzano una combinazione di schemi pre-quantistici e post-quantistici, come ad es. schemi a chiave pubblica RSA con altri post-quantistici;
- un mix di chiavi di crittografia pre-condivise (pre-shared keys) in tutte le chiavi utilizzate per la crittografia PKI.
Nessuno di tali sistemi è privo di risvolti negativi (ad es. il mix di chiavi è particolarmente impegnativo quanto a implementazione) e vanno attentamente bilanciati nella valutazione costi-benefici propria della valutazione dei rischi.
Tecnologie quantistiche: importanti indicazioni per la data protection
Senza scendere in ulteriori dettagli tecnici, per chi si occupa di protezione dei dati e delle informazioni si possono ricavare importanti indicazioni:
- anzitutto i sistemi più comunemente usati oggigiorno di crittografia asimmetrica – con chiave pubblica e privata – non sono più considerabili sicuri a fronte degli algoritmi quantistici, ad es. verso algoritmi RSA;
- la crittografia simmetrica è impattata in misura minore (essendo basata sulla randomizzazione e non su proprietà matematiche come accade a quella asimmetrica), tant’è che si ritiene un algoritmo AES-256 – raddoppiando la dimensione della chiave rispetto al più comunemente utilizzato AES-128 – dovrebbe essere sufficiente a garantire robustezza contro gli attacchi quantistici;
- viene ribadito che al momento i computer quantistici esistenti non sono sufficientemente sviluppati per configurare una minaccia reale contro le attuali misure crittografiche; tuttavia, considerando che l’implementazione e lo sviluppo di nuovi sistemi crittografici come contromisura, a loro volta resistenti alle nuove tecniche, richiede tempo e sforzi notevoli, è prudente iniziare a considerare le misure alternative fin da adesso, prima che la tecnologia d’attacco sia matura e diffusa;
- un rischio concreto è che oggi si effettuino degli attacchi per raccogliere comunicazioni e dati criptati, li si conservi – nonostante non si sia in grado attualmente di leggerli – per decifrarli in seguito quando saranno disponibili le tecnologie quantistiche (c.d. decrittazione retrospettiva);
- anche i sistemi di firma digitale, basata su crittografia, sono a rischio, specie quelli utilizzati per update di sistemi informatici;
- non tutti gli sviluppi di queste tecnologie sono considerati di pubblico dominio, in particolare se pensiamo alla attività che potrebbero svolgere i vari governi nel mondo – sussiste un cono d’ombra rispetto a ciò che attualmente è possibile e non è possibile fare, inoltre non è garantito che vi siano pubblici annunci quando siano raggiunti determinati risultati nello sviluppo tecnologico;
- il report vuole aggiornare e fare suo un precedente documento, il Whitepaper ECRYPT CSA del 2018: già in tale documento si consigliava – nel caso in cui si volessero mantenere riservati i dati per più di 10 anni – di aggiornare i propri sistemi crittografici con almeno una soluzione post-quantistica, così come i costruttori di dispositivi dovrebbero includere firme post-quantistiche nell’implementazione degli aggiornamenti;
- si dovrebbero esaminare i casi in cui si utilizzano sistemi di crittografia a chiave pubblica, per quali scopi, e considerarne le applicazioni a fronte di scenari quantistici.
