Garantire la terna di proprietà CIA (Confidenzialità, Integrità e Autenticità del dato) è il compito principale delle misure di sicurezza dei dati.
Oggi, si sente spesso ripetere che l’ascesa del calcolo quantistico su larga scala rappresenta una minaccia sistemica per le tradizionali misure di sicurezza. Certo, gli attacchi quantistici prendono di mira le basi matematiche delle tecniche crittografiche, e il progresso nel calcolo quantistico è in grado di invalidare in un colpo solo intere famiglie di misure di sicurezza.
Prendiamo ad esempio la garanzia di autenticità dei dati, che oggi è affidata alle firme digitali basate su algoritmi crittografici asimmetrici. Nella crittografia asimmetrica, viene utilizzata una coppia di chiavi pubblica-privata, in cui la chiave privata è tenuta segreta e la chiave pubblica è condivisa apertamente. La sicurezza di questa crittografia si basa sulla difficoltà di derivare la chiave privata dalla chiave pubblica utilizzando algoritmi classici. Il tempo necessario per fattorizzare una chiave a 512 bit è diminuito gradualmente nel corso degli anni grazie ai progressi nelle architetture di calcolo e nelle tecniche di ottimizzazione. Dopo il 2015, è diventato possibile fattorizzare una chiave a 512 bit in poche ore utilizzando servizi di cloud computing standard come Amazon EC
| Anno | Tempo per fattorizzare intero di 512-bit | Tempo per fattorizzare intero di 1024-bit |
| 2000 | 6 mesi | 4 milioni di anni |
| 2010 | ~1 settimana | 4 milioni di anni |
| 2015 | ~4 ore | 4 mila anni |
Tabella 1: Tempi di fattorizzazione per lunghezza della chiave
Indice degli argomenti
Calcolo del rischio quantistico nelle infrastrutture critiche
I modelli di rischio calcolano il rischio relativo a un evento indesiderato attraverso la classica equazione
Rischio = Danno * probabilità
che quantifica il prodotto tra il valore atteso del danno dovuto all’evento e una misura, frequentistica o soggettiva, della probabilità che l’evento negativo si verifichi in un orizzonte temporale prefissato. Per avere il repertorio degli eventi negativi da considerare in un dato scenario, si fa usualmente riferimento alle risorse (gli asset, un termine spesso malamente tradotto in “assetti”) tangibili e intangibili che lo scenario coinvolge. Qui siamo interessati soprattutto ai data asset, per I quali gli eventi negativi consistono in violazioni delle proprietà CIA di sicurezza del dato ricordate all’inizio.
Consideriamo un registro contenente le transazioni finanziarie operate da un istituto di credito per conto di un suo grande cliente. La probabilità che si verifichi una violazione di autenticità su questo data asset critico dipende dalla fattorizzabilità entro l’orizzonte temporale considerato della chiave usata per firmarlo. I dati della tabella 1 ci permettono di quantificare in quattro ore (o meno) l’orizzonte a probabilità non nulla per una chiave a 512 bit. Per quanto riguarda la quantificazione del danno, nel nostro scenario vanno considerati i rilevanti danni sanzionatori che possono derivare dalla diffusione di dati non autentici relativi a transazioni finanziarie. Il nostro esempio dimostra che è possibile passare da un rischio elevato a uno inferiore semplicemente aumentando la lunghezza della chiave, un’operazione che ha un costo non indifferente ma che ci assicura un rischio basso per qualsiasi orizzonte temporale.
Evoluzione storica del rischio quantistico nella crittografia
L’annuncio dell’algoritmo quantistico di Peter Shor per la fattorizzazione di interi in fattori primi, pubblicato nel 1994, ha fatto nascere i modelli di rischio quantistico. In linea di principio, un calcolatore quantistico con un numero di qubit sufficientemente elevato può derivare chiavi private da chiavi pubbliche e falsificare le firme digitali in un tempo molto breve rispetto ai calcolatori tradizionali. Nel modello di rischio quantistico il fattore probabilità dell’equazione va interpretato come la probabilità che entro l’orizzonte temporale di interesse (per esempio, 10 anni necessari per la prescrizione delle sanzioni relative al mancato rispetto dei limiti di rischio finanziario concordati con il cliente) si renda disponibile a un attaccante il numero di quibit necessari a fattorizzare la chiave usata per firmare l’asset di interesse.
I pochi qubit dell’hardware quantistico disponibile hanno mantenuto per quasi vent’anni la stima questa probabilità a un valore basso e fisso. Come abbiamo già ricordato su queste pagine, il primo numero intero fattorizzato in modo nativo su hardware quantistico con il metodo di Shor fu 21 = 7 × 3, risultato ottenuto nel 2012.
Nel 2012, Xinhua Peng ha calcolato quantisticamente la fattorizzazione di 143 = 13 × 11, che corrisponde a una chiave di 8 bit. In seguito la fattorizzazione degli interi con computer quantistici è stata ibridata con tecniche di quantum annealing per ridurre il numero di qubit richiesti. Il quantum annealing è un metodo generale per trovare il minimo globale di una data funzione su un insieme di soluzioni candidate. Nell’Aprile 2016 è stato fattorizzato con questa tecnica un numero intero di 18 bit (200.099) utilizzando un processore quantistico D-Wave 2X. Qualche anno fa (nel 2021) è stato pubblicato un articolo che descrive la fattorizzazione con metodo ibrido dell’intero 1.099.551.473.989, che richiede 41 bit.
| Anno | Numero di Qubits |
| 2017 | 72 (Google Bristlecone) |
| 2019 | 53 (IBM Sycamore) |
| 2021 | 127 (IBM Eagle) |
| 2022 | 433 (IBM Osprey) |
| 2023 | 1180 (Atom Computing) |
Tabella 3 Relazione approssimativa tra il numero di qubit e la dimensione dell’intero fattorizzabile.
Misurazione del rischio quantistico attraverso i qubit disponibili
Per stimare la probabilità della violazione entro dieci anni dell’autenticità dell’archivio delle transazioni finanziarie, potremmo considerare l’andamento della disponibilità di qubit, riportato nella tabella 3, rispetto al numero di qubit necessari per fattorizzare una chiave di dimensione D (tabella 4)
| Numero di Qubits | D=dimensione dell’intero (Bit) |
| 5 | 15 |
| 7 | 21 |
| 10 | 35 |
| 20 | 70 |
| 50 | 150 |
| 100 | 300 |
| 433 | 1000 |
| 1180 | 2000 |
Tabella 4 Relazione approssimativa tra il numero di qubit e la dimensione dell’intero fattorizzabile.
Il confronto fa apparire come già avvenuta nel 2022 la disponibilità del numero di qubit necessari a forzare una chiave di 512 bit, e come imminente quella necessaria per le chiavi a 1024. Questo ragionamento, per quanto semplice, sta alla base della dimensione di chiave post-quantistica attualmente consigliata per RSA (>2048 bit).
| Anno | Qubit fisici | Qubit logici (stima) |
| 2017 | 72 (Google’s Bristlecone) | ~10-15 |
| 2019 | 53 (IBM’s Sycamore) | ~7-10 |
| 2021 | 127 (IBM’s Eagle) | ~20-30 |
| 2022 | 433 (IBM’s Osprey) | ~60-80 |
| 2023 | 1180 (Atom Computing) | ~150-200 |
Tabella 5 Qubit logici disponibili
Un’analisi del rischio più accurata deve tener conto del fatto che i qubit di cui disponiamo non sono perfetti, e pertanto non possono essere utilizzati tutti per la computazione dell’algoritmo di fattorizzazione; una parte deve essere dedicata alla correzione degli errori quantistici, impiegando più qubit fisici per formare un singolo qubit logico. Alcuni codici di correzione degli errori quantistici utilizzano decine di qubit fisici per creare un qubit logico. Nel nostro scenario di esempio, questo fattore 10-1 tra qubit fisici e logici sposta l’orizzonte temporale a probabilità non trascurabile per la violazione di autenticità al di là del limite di prescrizione deklle sanzioni, rendendo il rischio complessivo inferiore anche in termini del danno atteso.
Accelerazione del rischio quantistico e implicazioni future
Il crollo in corso dei modelli di rischio quantistico, soprattutto nel mondo bancario, nasce dalla inattesa rapida evoluzione del rapporto qubit logici/qubit fisici nella nuova generazione di calcolatori quantistici. Ad esempio, il nuovo computer quantistico Microsoft, sviluppato in collaborazione con Quantinuum, ha fatto notevoli progressi nel rapporto tra qubit logici e fisici. L’annuncio Microsoft parla di 12 qubit logici affidabili con soli 56 qubit fisici sulla macchina H2 di Quantinuum. Ciò significa che il rapporto è di circa 1 qubit logico per ogni 4,67 qubit fisici. Nel nostro esempio questo basta a spostare l’orizzonte temporale a probabilità non trascurabile ben dentro il termine di prescrizione, rendendo elevato il rischio quantistico della diffusione di un dato non autentico. Le voci di un’attività crescente di sottrazione di dati crittati relativi a credito e finanza da parte di organizzazioni cybercriminali portano a credere che il crollo dei modelli di rischio non sia passato inosservato.
