Crittografia post-quantistica: prepararci all’era dei computer quantistici
INNOVAZIONE E TECNOLOGIE EMERGENTI
Crittografia post-quantistica: prepararci all’era dei computer quantistici
L’arrivo, nei prossimi anni, dei computer quantistici su larga scala rappresenta una minaccia inedita per la sicurezza informatica. Queste macchine, sfruttando i principi della meccanica quantistica, saranno in grado di risolvere alcuni problemi matematici oggi intrattabili – in particolare, quelli su cui si basa la crittografia moderna come la fattorizzazione di grandi numeri (RSA) o il logaritmo discreto (ECC). Gli esperti stimano che entro il prossimo decennio potrebbe emergere un “cryptographically relevant quantum computer”, cioè abbastanza potente da rompere gli attuali algoritmi. Di conseguenza, c’è urgenza di adottare la crittografia post-quantistica (PQC): algoritmi di cifratura progettati per essere resistenti anche agli attacchi quantistici.
La comunità crittografica è al lavoro su questo fronte da anni. Nel 2016 il NIST ha avviato un lungo processo di standardizzazione: un concorso internazionale per selezionare nuovi algoritmi. Dopo tre round e decine di proposte valutate, nel 2022 sono stati annunciati i primi 4 algoritmi vincitori che diventeranno standard PQC. Si tratta di: CRYSTALS-Kyber (crittografia a chiave pubblica per scambio di chiavi), CRYSTALS-Dilithium e FALCON (firme digitali), e SPHINCS+ (firme digitali basate su hash). Tre di questi – Kyber, Dilithium e Falcon – si basano su difficili problemi matematici di reticoli (lattices), mentre SPHINCS+ si basa su funzioni hash; queste strutture matematiche sono considerate ostiche sia per i computer classici che per quelli quantistici. In altri termini, invece di affidarsi alla fattorizzazione di numeri (facile per i quantistici), sfruttano problemi come il vettore corto in un reticolo euclideo o i codici correttori.
Nel 2024 il NIST ha pubblicato gli standard finali dei primi algoritmi post-quantum: ad esempio, ML-KEM (derivato da Kyber) per lo scambio di chiavi e ML-DSA/SLH-DSA per le firme digitali (derivati da Dilithium/Falcon). Entro un paio d’anni vedremo tali algoritmi integrati nei protocolli comuni: TLS per le connessioni web, VPN, certificati digitali, ecc. La sfida è enorme perché significa aggiornare l’intera infrastruttura crittografica di Internet e dei sistemi industriali. Fortunatamente, molti attori si stanno muovendo: Google e Cloudflare hanno già testato versioni “ibride” di TLS che combinano un algoritmo classico con uno post-quantum (ad esempio X25519+Kyber) per valutare performance e compatibilità.
Un concetto importante è “crypto agility”: la capacità di un sistema di passare rapidamente da un algoritmo crittografico a un altro. Le implementazioni dovranno essere agili per sostituire RSA/ECC con Kyber & co. mano a mano che gli standard si consolidano. È probabile che per un periodo conviveranno algoritmi doppi: ad esempio, un certificato potrebbe essere firmato sia con ECDSA (per compatibilità) sia con Dilithium (per sicurezza futura). Questo perché la transizione deve avvenire gradualmente senza rompere le comunicazioni esistenti.
Dal punto di vista avanzato, vale la pena menzionare alcune delle sfide tecniche dei nuovi algoritmi PQC. Gli schemi a reticolo come Kyber e Dilithium hanno chiavi pubbliche e firme di dimensioni molto maggiori rispetto a RSA/ECC (nell’ordine dei KB anziché byte). Questo può impattare le prestazioni di rete e la memoria di dispositivi piccoli (es. smart card, IoT). Inoltre, sebbene siano resistenti ai noti attacchi quantistici (come l’algoritmo di Shor), vanno considerati attacchi classici e implementativi: ad esempio attacchi a canali laterali. C’è già stato il caso di Rainbow (uno schema multivariato proposto) che è stato completamente rotto da un attacco matematico durante la competizione NIST, e attacchi side-channel su implementazioni non protette di Falcon. Quindi la sicurezza va provata sul campo con analisi e test intensivi.
Un altro aspetto: la timeline. Non esiste una data certa per la cosiddetta Q-Day (il giorno in cui un quantum computer romperà RSA). Però sappiamo che attori malintenzionati potrebbero già ora rubare dati cifrati (harvest now) con l’intenzione di decifrarli in futuro (decrypt later). Per dati con lunga vita (es. segreti di Stato, informazioni sanitarie, proprietarie) questo è un problema concreto: se tra 10-15 anni la crittografia odierna cadrà, quei dati storici potranno essere rivelati. Ecco perché agire subito per introdurre crittografia post-quantum è considerato fondamentale per proteggere la riservatezza a lungo termine.
In conclusione, la crittografia post-quantistica è un campo tecnico avanzato ma cruciale: rappresenta il nostro scudo per l’era dei quantum computer. I professionisti IT dovrebbero cominciare a familiarizzare con nomi come Kyber, Dilithium & co., e valutare l’impatto sui propri sistemi. Le organizzazioni leader hanno già roadmap per aggiornare certificati e VPN entro i prossimi 3-5 anni. La transizione non sarà semplice, ma è paragonabile ad altre evoluzioni passate (come il passaggio da DES ad AES, o da SHA-1 a SHA-256): con pianificazione e standard condivisi, il mondo digitale può prepararsi in tempo per neutralizzare la minaccia quantistica.
Bibliografia:
NIST – “First Four Quantum-Resistant Algorithms” (News release, 2022), annuncio dei vincitori del processo di standardizzazione PQC (Kyber, Dilithium, Falcon, SPHINCS+).
NIST – “What is Post-Quantum Cryptography?” (2022), spiegazione del perché servono algoritmi basati su problemi difficili anche per computer quantistici (reticoli, hash, codici).
Cloudflare – “NIST’s first post-quantum standards” (2024), aggiornamento sulla pubblicazione degli standard finali e sui nuovi nomi (ML-KEM, ML-DSA, etc.).
Wikipedia – “Harvest now, decrypt later” (2022), definizione e implicazioni della strategia di alcuni attori di conservare dati cifrati in attesa di poterli decrittare con quantum computing.
MIT News – “Security researchers find vulnerabilities in PQC finalists” (2021) – discussione su attacchi side-channel e rottura di alcuni candidati (Rainbow) durante il processo NIST.