Il computer quantistico minaccia la sicurezza dei nostri dati e delle nostre reti, mentre la comunità internazionale sta affrontando le sfide per mantenerli sicuri.
La difesa dagli attaccanti, dotati di un quantum computer, non richiede necessariamente l’adozione di tecnologie di difesa quantistiche. Invece difendersi è possibile intervenendo sulle reti e sui sistemi digitali che utilizziamo nella nostra vita personale e professionale per sostituire alcuni algoritmi crittografici vulnerabili con nuovi algoritmi crittografici post-quantum.
Indice degli argomenti
Il quantum computer
I processori che utilizziamo tutti i giorni nei nostri personal computer, smartphone, tablet ed altri dispositivi digitali si basano sulla fisica elettronica, o classica.
In questi chip le informazioni sono rappresentate sottoforma di bit, ovvero variabili binarie che possono assumere i due stati logici 1 e 0 alternativamente. Ciò è dovuto al fatto che ciascun bit viene rappresentato tramite uno stato fisico classico, per esempio la presenza o l’assenza di carica elettrica, oppure un potenziale elettromagnetico positivo o negativo.
Già negli anni ’80, i fisici Richard Feynman e Yuri Manin intravidero la possibilità di realizzare un processore diverso, che, anziché utilizzare gli stati della fisica classica per rappresentare l’informazione, utilizzasse quelli della fisica quantistica.
È così che nacque l’idea di un quantum computer. Tra i fenomeni della fisica quantistica, quello che fu individuato da Feynman e Manin come particolarmente adatto alla costruzione di un processore quantistico, è il fenomeno della sovrapposizione quantistica.
Esso determina che due stati quantistici opposti possono convivere in una forma di sovrapposizione, fintantoché l’effettuazione di una misura non ne provochi il collasso in uno dei due corrispondenti stati classici.
Cosa sono i qubit
Un processore quantistico che sfrutti la sovrapposizione quantistica per rappresentare l’informazione, al posto dei bit classici, può utilizzare bit quantistici, o qubit.
La principale caratteristica dei qubit, basati appunto sullo stato di sovrapposizione quantistica, è proprio quella di poter rappresentare contemporaneamente i due stati logici 1 e 0.
Sui qubit si possono anche eseguire operazioni e algoritmi, purché essi siano rappresentabili sotto forma di circuiti quantistici che operano sui qubit
preservandone lo stato di sovrapposizione.
L’esecuzione di algoritmi su dati
La possibilità di eseguire algoritmi su dati rappresentati sotto forma di qubit può determinare una riduzione drammatica del loro tempo di esecuzione rispetto allo svolgimento degli stessi algoritmi su un computer classico. Per esempio, ricercare un elemento all’interno di una lista non ordinata di N elementi richiede un tempo proporzionale ad N stesso su un processore classico, mentre richiede un tempo proporzionale a su un processore quantistico, grazie all’algoritmo di Grover.
La fattorizzazione dei numeri interi
Un problema, la cui soluzione subisce un’accelerazione ancora più significativa è quello della fattorizzazione dei numeri interi. Infatti, fattorizzare un numero intero x richiede un tempo poco meno che proporzionale a x su un computer classico, mentre richiede un tempo proporzionale ad una potenza del logaritmo di x su un computer quantistico, grazie all’algoritmo di Shor.
L’algoritmo di Shor è infatti capace di ridurre la complessità della fattorizzazione di numeri interi da esponenziale a polinomiale nella lunghezza dell’input.
I primi prototipi di quantum computer reali
Sebbene il quantum computer sia rimasto un concetto meramente teorico per molti anni, dai primi anni duemila gli avanzamenti tecnologici hanno consentito di costruire i primi prototipi di quantum computer reali.
Mentre alcune tecnologie, basate su fenomeni di fisica quantistica meno potenti della sovrapposizione quantistica, come l’annichilimento quantistico, sono già piuttosto mature, sono invece meno maturi i prototipi della versione più generale di processore quantistico teorizzata da Feynman e Manin, basati invece sul principio di sovrapposizione quantistica.
La competizione verso la costruzione di processori quantum generali e scalabili si è accesa a livello mondiale, e sia grossi colossi aziendali che piccole startup sono alla rincorsa di soluzioni tecnologiche che consentano di ottenere un’implementazione affidabile e scalabile di qubit e circuiti quantistici. Esistono diversi approcci tecnologici alla realizzazione di processori quantum, per esempio basati su materiali superconduttori oppure tecnologie fotoniche.
I processori quantum basati su annichilimento quantistico
Da un lato, i processori quantum basati su annichilimento quantistico hanno già raggiunto un elevato grado di maturità, sebbene essi possano eseguire algoritmi meno dirompenti rispetto a quelli eseguibili sui processori quantum basati su sovrapposizione quantistica.
L’azienda canadese D-Wave ha già sviluppato processori quantum basati su annichilimento quantistico che possono eseguire calcoli su migliaia di qubit e si sono dimostrati capaci di eseguire in pochi minuti una simulazione di materiali magnetici che richiederebbe quasi un milione di anni e più del consumo annuale di elettricità del mondo per essere risolta utilizzando un supercomputer classico basato su un cluster di GPU.
I processori quantum basati sul fenomeno della sovrapposizione quantistica
Per quanto riguarda invece i processori quantum basati sul fenomeno più generale della sovrapposizione quantistica, i prototipi ad oggi disponibili hanno dimensioni che raggiungono al massimo qualche centinaio di qubit, con Ibm che guida la gara puntando a realizzare processori quantum dotati di 1000 qubit ed oltre.
Ad oggi, infatti, l’ostacolo più grande allo sviluppo di processori quantum rimane la scalabilità, che è limitata dal fatto che le attuali realizzazioni di qubit sono rumorose e soggette ad errori.
Pertanto, la realizzazione di un qubit ideale richiede l’utilizzo di un gran numero di qubit rumorosi, rendendo gli attuali prototipi ancora non sufficientemente potenti da superare i processori classici nella risoluzione di problemi reali, condizione nota come quantum supremacy.
Ibm prevede però che, a partire dal 2033, saranno disponibili processori quantum tolleranti agli errori e scalabili, capaci di implementare circuiti quantum di un miliardo di porte logiche su un massimo di 2000 qubit.
Ciò consentirà di eseguire algoritmi quantum per risolvere problemi di rilevanza pratica sfruttando appieno le capacità del quantum computing.
L’impatto del quantum computer sulla cyber security
Se gli algoritmi quantistici rappresentano una nuova frontiera per l’elaborazione, che potrà consentire il raggiungimento di risultati finora impensabili in alcuni ambiti di applicazione come la sintesi di molecole, l’ottimizzazione dei trasporti e l’intelligenza artificiale, questo nuovo orizzonte porta con sé anche alcuni rischi. Infatti la sicurezza dei nostri dati e delle nostre reti si basa sull’uso di alcuni algoritmi crittografici, detti asimmetrici, che fondano la loro sicurezza proprio sulla difficoltà per gli attaccanti di risolvere alcuni problemi matematici in tempi ragionevoli.
Tra questi problemi, ve ne sono proprio alcuni, come la fattorizzazione di grandi numeri interi ed il calcolo di logaritmi discreti, che diventeranno facilmente risolvibili quando si disporrà di un processore quantistico basato su sovrapposizione quantistica sufficientemente grande.
Un processore di tale genere, che sarà verosimilmente disponibile entro i prossimi 10 anni, sarà pertanto capace di compromettere la sicurezza degli algoritmi di cifratura asimmetrica e firma digitale oggi più diffusi, come RSA, Diffie-Hellman, ElGamal, DSA, ECDSA, ECDH e molti altri.
Su questi algoritmi si regge oggi gran parte della nostra sicurezza digitale, dai protocolli di comunicazione sicura che usiamo quotidianamente su Internet fino alle blockchain, passando per le comunicazioni satellitari, le reti energetiche e molto altro.
Un potenziale attaccante che abbia a disposizione un tale processore quantistico sarebbe dunque in grado di compromettere la sicurezza della nostra intera vita digitale, sia personale che professionale, nonché la nostra sicurezza nazionale.
Difendersi dagli attaccanti dotati di quantum computer
In principio sembrerebbe ragionevole pensare che, per difendersi da un attaccante quantum, sia necessario disporre di sistemi di difesa quantum, ovvero basati anche essi su tecnologie quantistiche. In realtà non è così.
Dunque, in linea teorica, le tecnologie quantistiche possono trovare applicazione nella difesa cyber.
Il teorema di non clonazione quantistica garantisce infatti che uno stato quantistico non possa essere misurato se non alterandolo durante l’esecuzione stessa della misura. Su questo principio si basa l’idea di usare stati quantistici per trasmettere informazioni in modo confidenziale.
Se infatti dotiamo due utenti (Alice e Bob) di ricetrasmettitori quantistici, essi potrebbero scambiarsi delle chiavi segrete sotto forma di trasmissioni di stati quantistici senza temere che un eventuale attaccante (Eve) possa spiarle. Questo perché, pur se Alice e Bob trasmettono i loro segnali quantistici in chiaro, Eve dovrebbe eseguire una misura degli stati quantistici da loro trasmessi per poterne spiare il contenuto. Tale misurazione comporterebbe però l’alterazione degli stati stessi, pertanto l’operazione di spionaggio di Eve verrebbe scoperta da Alice e Bob.
Su questo principio si basano le tecniche di quantum key distribution (QKD) ovvero di distribuzione quantistica di chiavi, che intendono sfruttare proprio la confidenzialità derivante dall’intrinseca impossibilità di intercettare comunicazioni quantistiche senza essere scoperti.
Attacco man-in-the-middle
Purtroppo la sola garanzia di confidenzialità non basta a garantire la sicurezza delle comunicazioni.
Per esempio, Eve potrebbe effettuare un attacco man-in-the-middle, e interporsi nella comunicazione tra Alice e Bob, fingendo di essere ciascuno di loro agli occhi dell’altro, intromettendosi così in tutte le loro comunicazioni.
Dunque, per evitare questo ed altri tipi di attacco, serve affiancare alla confidenzialità altre proprietà di sicurezza, come l’autenticazione, che serve a garantire l’identità di ciascun estremo della comunicazione e l’integrità dei dati scambiati.
Nelle reti attuali, l’autenticazione viene comunemente garantita sfruttando approcci crittografici, come quelli basati su certificati X.509 e public key infrastructure (PKI).
L’autenticazione nei sistemi QKD
Non esistono purtroppo procedure quantistiche per realizzare un sistema di autenticazione automatico e scalabile senza ricorrere a metodi crittografici che non usino né tecnologie quantistiche né comunicazioni quantistiche.
L’unica soluzione attualmente disponibile per eseguire l’autenticazione nei sistemi QKD senza ricorrere alla crittografia è quella basata su chiavi pre-condivise ovvero sulla possibilità di dotare Alice e Bob di una chiave segreta iniziale che deve essere preventivamente distribuita manualmente.
Ciò restringe enormemente i casi d’uso in cui tale approccio risulta applicabile. Se invece si scegliesse di utilizzare un’autenticazione di tipo crittografico, ciò renderebbe inutile il ricorso alla trasmissione quantistica per ottenere la confidenzialità, in quanto la crittografia da sola potrebbe garantirla, sotto le stesse assunzioni dell’autenticazione, senza richiedere l’uso di onerose e delicate trasmissioni quantistiche.
Altri limiti
Oltre a questo, le tecnologie di QKD risentono di altre limitazioni, tra cui quelle nella distanza massima di ciascuna tratta di collegamento e l’assenza di standard e certificazioni internazionali per la sicurezza dei sistemi di QKD.
Tali limitazioni sono descritte nel dettaglio in alcuni rapporti rilasciati dalle principali agenzie di sicurezza nazionale, tra cui Nsa, Bsi, Nlncsa, Ncsa, Anssi, Ncsc e Acn. In sintesi, queste istituzioni raccomandano di ricorrere alla crittografia post-quantum (PQC), che costituisce una tecnologia più matura della QKD, capace di garantire tutte le funzioni necessarie a realizzare comunicazioni sicure senza la necessità di hardware quantistico, e
che è già in fase avanzata di standardizzazione e certificazione.
La crittografia post-quantum
L’approccio più efficace alla difesa dagli attaccanti dotati di quantum computer consiste nel ricorso alla crittografia post-quantum, termine con il quale si denotano algoritmi crittografici capaci di resistere anche a tentativi di attacco basati sull’uso di processori quantum.
Esistono infatti alcuni problemi matematici che, a differenza del problema della fattorizzazione di numeri interi e del calcolo di logaritmi discreti, rimangono esponenzialmente difficili da risolvere anche utilizzando un computer quantistico. Tra questi vi sono i problemi basati su reticoli, su codici, su equazioni multivariate ed altri.
La comunità crittografica internazionale ha quindi iniziato già da molti anni a studiare e progettare algoritmi e protocolli crittografici basati su questi problemi, che prendono il nome di algoritmi crittografici post-quantum proprio per la loro capacità di rimanere sicuri anche di fronte ad un attaccante dotato di un quantum computer.
Gli algoritmi crittografici post-quantum possono assolvere a tutte le funzioni necessarie per realizzare comunicazioni sicure, ovvero cifratura asimmetrica, scambio di chiavi e firma digitale, affiancandosi agli algoritmi di cifratura simmetrica che sono ancora utilizzabili anche in presenza di attaccanti quantum, purché si aumenti la lunghezza delle loro chiavi di circa il doppio.
La competizione del NIST: i 5 vincitori
Sebbene siano molte le proposte di algoritmi crittografici post-quantum ormai consolidate, è necessario definire degli standard per poter garantire l’interoperabilità dei sistemi ed introdurre procedure di certificazione.
Per questo, lo statunitense National institute of standards and technology (NIST) ha avviato già dal 2016 un processo internazionale di selezione e standardizzazione di algoritmi crittografici post-quantum.
I candidati, presentati entro dicembre 2017, sono stati scrutinati dal NIST e dalla comunità internazionale per quasi cinque anni, fino all’annuncio, il 5 luglio 2022, di quattro algoritmi selezionati per la standardizzazione:
- Module-lattice-based key-encapsulation mechanism (ML-KEM): meccanismo di incapsulamento di chiavi (KEM) basato su reticoli raccomandato per la maggior parte delle applicazioni, derivato dal candidato Crystal-Kyber.
- Module-lattice-based digital signature standard (ML-DSA): schema di firma digitale basato su reticoli raccomandato per la maggior parte delle applicazioni, derivato dal candidato Cristals-Dilithium;
- FFT over NTRU-lattice-based digital signature algorithm (FN-DSA): schema di firma digitale basato su reticoli, consigliato per le applicazioni che richiedono firme brevi, derivato dal candidato Falcon;
- Stateless hash-based digital signature algorithm (SLH-DS): schema di firma digitale basato su hash, consigliato come alternativa conservativa agli schemi basati su reticoli, derivato dal candidato Sphincs+.
A questi quattro schemi, l’11 marzo 2025 è stato aggiunto un quinto candidato scelto per la standardizzazione che ha determinato la chiusura della prima competizione del NIST.
Esso fornisce un’alternativa basata su codici all’algoritmo ML-KEM con prestazioni ragionevoli per applicazioni generali, ed è basato sul candidato Hqc. Alla prima competizione del NIST ha partecipato anche il candidato interamente italiano LEDAcrypt, che fornisce algoritmi post-quantum basati su codici per la cifratura asimmetrica e lo scambio di chiavi.
LEDAcrypt è stato ammesso ai primi due round della competizione del NIST, ma non è stato ammesso al terzo round a causa di alcune modifiche che si sono rese necessarie per evitare alcune famiglie di chiavi deboli, e che sono state ritenute troppo significative per consentire la permanenza in gara. Cionondimeno, la più recente versione di LEDAcrypt non presenta vulnerabilità note ed è pubblicamente disponibile e liberamente utilizzabile.
La gara
Dopo i primi tre round del primo bando del NIST, tutti gli schemi di firma digitale tranne Sphincs+ rimasti in gara erano basati sulla difficoltà di problemi basati su reticoli.
Sebbene nel quarto round fossero ancora in gara alcuni meccanismi di scambio di chiavi non basati su reticoli, non era rimasto alcuno schema di firma ancora in fase di scrutinio.
Per questo, a settembre 2022 è stato pubblicato un nuovo bando del NIST per individuare ulteriori schemi di firma digitale post-quantum. Dal momento che due schemi di firma basati su reticoli erano già stati standardizzati, il NIST si è dichiarato interessato a schemi basati su un diverso presupposto di sicurezza.
A giugno 2023, alla scadenza di tale nuovo bando, il NIST ha ricevuto 50 nuovi candidati per schemi di firma digitale post-quantum, 40 dei quali sono stati ammessi al primo round di selezione.
Ad ottobre 2024 il NIST ha chiuso il primo round di selezione, ammettendo 14 candidati al secondo round. Tra questi, due candidati si basano sulla difficoltà di problemi basati su codici, che dopo i reticoli rappresentano la famiglia più consolidata di problemi difficili da risolvere anche in presenza di un quantum computer. Tali due candidati sono Cross e Less.
Transizione alla crittografia post-quantum
Grazie ai recenti progressi tecnologici nello sviluppo di processori quantistici e al rilascio dei primi standard per crittografia post-quantum, la comunità internazionale ha già avviato il processo di migrazione verso la crittografia post-quantum delle infrastrutture digitali, anche a seguito delle raccomandazioni e delle priorità indicate da numerosi enti sia nazionali che sovranazionali.
È infatti necessario avviare sin da subito tale processo sia perché esso richiederà tempo, soprattutto in alcuni contesti particolarmente complessi, sia perché esiste una modalità di attacco, denominata “harvest-now-decrypt-later”, secondo cui gli attaccanti si limitano, per il momento, a memorizzare i dati cifrati che vorrebbero poter decifrare, attendendo di poter disporre di strumenti di attacco adeguati a comprometterne le loro protezioni crittografiche in futuro.
Esistono inoltre molti contesti, come quello delle comunicazioni satellitari, in cui le scelte tecnologiche fatte oggi si protraggono necessariamente per lungo tempo, non essendo possibile aggiornare tutti i sistemi dopo la loro messa in servizio o in orbita.
Se, da una parte, il processo di migrazione alla crittografia post-quantum può in linea di massima lasciare i sistemi inalterati, in quanto i nuovi algoritmi crittografici post-quantum (a differenza dei sistemi di crittografia quantistica come QKD) sono capaci di rimpiazzare i loro predecessori quantum-vulnerable assolvendo a tutte le loro funzioni, dall’altra esso presenta alcune criticità che devono essere affrontate e risolte.
Criticità da risolvere
Innanzitutto, gli algoritmi crittografici post-quantum sono generalmente più ingombranti dei loro predecessori, sia in termini di memoria che di larghezza di banda e di capacità di calcolo necessarie per eseguirli.
A titolo di esempio, la tabella seguente riporta nelle prime tre righe le dimensioni di chiave privata, chiave pubblica e firma digitale per i primi tre algoritmi di firma digitale post-quantum standardizzati dal NIST, relativi alle loro istanze che raggiungono un livello di sicurezza di 128 bit anche in presenza di attaccanti quantum.
Le ultime due righe della tabella riportano invece gli stessi parametri per due algoritmi classici, RSA e ECDSA, capaci di raggiungere un livello di sicurezza di 128 bit in assenzadi attaccanti quantum.
Come si vede dalla tabella, gli algoritmi crittografici post-quantum hanno parametri meno favorevoli di quelli classici, e lo stesso vale per i loro tempi di esecuzione.
Ciò si ripercuote sulla necessità di revisionare o addirittura riprogettare alcuni sistemi e protocolli, che potrebbero non essere facilmente adattabili all’uso dei nuovi algoritmi.
La transizione alla crittografia post-quantum
A questo si aggiunge la necessità di prevedere un periodo transitorio durante il quale i nuovi algoritmi crittografici non vadano immediatamente a sostituire i loro predecessori, ma piuttosto li affianchino.
Ciò si rende necessario sia per garantire la retrocompatibilità dei sistemi durante la fase di migrazione, sia per evitare di fare immediatamente totale affidamento sulla sicurezza dei nuovi algoritmi che, per quanto scrutinati e standardizzati, sono ancora giovani rispetto ai loro predecessori.
Per questo, la comunità internazionale sta progettando e sperimentando soluzioni per gestire una transizione alla crittografia post-quantum progressiva, che preveda l’uso di soluzioni ibride capaci di mantenere affiancate crittografia classica e post-quantum per un periodo sufficiente a coprire le esigenze di retrocompatibilità e al tempo stesso iniziare al più presto a garantire che le nostre infrastrutture digitali siano protette anche nei confronti di attaccanti dotati di un quantum computer.
Nel prossimo futuro si prevede quindi che, se da un lato la ricerca nella crittografia post-quantum continuerà a ricevere l’attenzione dell’interna comunità internazionale, dall’altro vedremo comparire gli algoritmi crittografici postquantum già standardizzati e certificati nei sistemi che ci circondano, affiancando quelli attualmente in uso nel processo di transizione.
Esistono già librerie software, sia di tipo open source che commerciali, che consentono di sperimentare algoritmi crittografici post-quantum, e presto si prevede l’introduzione sul mercato di moduli hardware certificati capaci di implementare algoritmi crittografici post-quantum.
Progetti di ricerca come il progetto Qsafeit mirano a consolidare e rafforzare la posizione della comunità scientifica nazionale rispetto sia alla progettazione e all’analisi di primitive crittografiche post-quantum sia alla loro introduzione e sperimentazione in prototipi e casi d’uso reali, come quelli relativi alle comunicazioni Internet e alle comunicazioni satellitari.
