La sicurezza delle comunicazioni digitali è oggi garantita da algoritmi crittografici che si basano su problemi matematici considerati intrattabili per i computer classici. RSA, Diffie–Hellman, ECDSA (Elliptic Curve Digital Signature Algorithm) ed ECC (Elliptic Curve Cryptography) rappresentano la base della sicurezza di protocolli come TLS (Transport Layer Security), HTTPS (Hyper TexT Protocol Security), SSH (Secure Shell), VPN (Virtual Private Network), firme digitali e certificati digitali del tipo X.509.
Tuttavia, l’avvento dei computer quantistici fault-tolerant minaccia di rendere vulnerabili questi sistemi. L’algoritmo di Shor permette di fattorizzare numeri interi e risolvere il logaritmo discreto in tempo polinomiale, compromettendo la sicurezza di RSA e ECC.
L’algoritmo di Shor e la vulnerabilità dei sistemi attuali
L’algoritmo di Shor e le sue varianti permettono di:
- Fattorizzare grandi numeri in tempo polinomiale
- Solvere il problema del logaritmo discreto su curve ellittiche
Questi problemi sono considerati intrattabili per i computer classici, ma diventano risolvibili in tempo polinomiale su un computer quantistico con un numero sufficientemente grande di qubit logici.
Realizzazione di computer quantistici fault-tolerant
La realizzazione di computer quantistici fault-tolerant richiede l’uso di codici di Quantum Error Correction (QEC). Con i cosiddetti Surface Codes servono ~1.000 qubit fisici per ogni qubit logico; con codici qLDPC (Quantum Low Density Parity Check) ne bastano 50–100.
Questo significa che per ottenere 2.000 qubit logici, necessari per violare RSA-3072, occorrono:
- Da 200.000 a 500.000 qubit fisici
Corsa al Q-Day
La corsa verso il cosiddetto Q-Day, il giorno in cui i computer quantistici saranno in grado di violare la crittografia attuale, è già iniziata. I dati suggeriscono che la realizzazione di computer quantistici fault-tolerant capaci di violare RSA e ECDSA è un obiettivo realistico entro il 2029.
Internet e sicurezza: un ecosistema crittografico complesso
In Internet svariati protocolli di sicurezza si applicano ai vari livelli del sistema OSI (Open Systems Inter-connection), come i livelli 2 e 3 delle reti, nonché il livello 4 di trasporto e i livelli applicativi.
La crittografia è diventata oggi una componente essenziale di ogni protocollo usato su Internet, compresi tutti i protocolli di instradamento in rete.
Post-Quantum Cryptography (PQC) – La risposta del NIST
Il NIST ha selezionato cinque algoritmi che diventeranno gli standard crittografici del futuro. Tre sono già formalmente approvati (FIPS 203–205), mentre due sono in fase avanzata di standardizzazione.
FIPS (Federal Information Processing Standard), ML (Module-Lattice), KEM (Key Encapsulation Mechanisms), DSA (Digital Signature Algorithm), MLWE (Module-Learning With Errors), SLH (Stateless Hash-based), NTRU (N-th Degree Truncated Polynomial Ring Unit), FALCON (Fast Fourier Lattice-based Compact signatures over NTRU), HQC (Hamming Quasi-Cyclic) sono alcuni dei principali algoritmi proposti.
Fondamenti matematici dei PQC basati su reticoli
La maggior parte degli algoritmi PQC approvati si basa sul lattice (reticolo) cryptography, in particolare sul problema Learning With Errors (LWE) e sulla sua variante Module-LWE (MLWE).
Un lattice è una griglia regolare di punti nello spazio. La sicurezza deriva dalla difficoltà di ricostruire una “buona” base conoscendo solo una base “cattiva”.
- Base cattiva (usata come chiave pubblica)
- Base buona (usata come chiave privata)
Quantum Key Distribution (QKD)
La QKD offre un approccio fisico alla generazione di chiavi simmetriche, basato sulle leggi della meccanica quantistica.
Il protocollo permette a due utenti (Alice e Bob) di generare una chiave segreta usando fotoni polarizzati. Ogni fotone codifica un bit (0/1) in una delle due basi: rettangolare (↔/↕) o diagonale (↘/↗). Alice e Bob scelgono casualmente i parametri e, dopo una prima fase di confronto attraverso un canale classico, ottengono una chiave sicura.
Varianti del protocollo QKD
Le varianti principali del protocollo QKD comprendono:
- BB84: protocollo originale proposto da Bennett e Brassard
- BBM92: protocollo sviluppato da Mermin, usa l’intreccio quantistico (entanglement)
- MDI-QKD: Measurement Device Independent, usa un nodo non fidato come ripetitore
- DI-QKD: Device Independent, ancora in fase di proof of concept
Confronto tra DV-QKD e CV-QKD su satelliti
Nel caso della trasmissione di fotoni via radio, in particolare tramite satelliti a bassa orbita terrestre (LEO), i protocolli QKD codificano i fotoni in due modi differenti: Discrete Variable (DV) e Continuous Variable (CV).
- DV-QKD: usa protocolli come BB84/BBM92
- CV-QKD: usa il protocollo GG02 (Grosshans e Grangier, 2002)
La DV-QKD è già stata realizzata sul satellite cinese Micius con tratte fino a oltre 1.000 km.
Limiti della QKD
La NSA (National Security Agency) ha elencato cinque criticità del protocollo QKD:
- Bassa distanza di trasmissione su fibra (limitata a circa 100 km)
- Costo elevato dell’infrastruttura
- Ritardi nel deployment su larga scala
- Rischi di degradazione del segnale quantistico
- Dipendenza da dispositivi specializzati e vulnerabilità tecnologica
Costruzione dell’Internet post-quantistica
La transizione verso la sicurezza post-quantum è inevitabile. La PQC garantirà la sicurezza delle applicazioni Internet su larga scala, mentre la QKD proteggerà infrastrutture critiche come reti governative o servizi finanziari sensibili.
Il NIST ha definito gli standard, i computer quantistici stanno evolvendo rapidamente e la QKD sta maturando su fibra e via satellite. Sarà il risultato un ecosistema di comunicazione più sicuro, resiliente e adatto all’era quantistica a partire dal 2030.
Crittografia ibrida
Come il computer quantistico non sostituisce i computer classici, ma introduce co-processori per risolvere problemi irris