Indice dei contenuti
- Crittografia a chiave pubblica e la minaccia quantistica
- Cos’è la post-quantum cryptography
- Cos’è la quantum cryptography
- Differenza tra post-quantum e quantum cryptography
- Il ruolo del NIST e gli standard emergenti
- Scenari futuri: quando sarà davvero necessaria la crittografia resistente?
- Integrazione con blockchain, IoT e cloud
- Il problema della retro-decryption
- Quale strada seguire?
Con l’avvento del calcolo quantistico, il settore della sicurezza informatica è chiamato a un profondo ripensamento. Da una parte abbiamo la quantum cryptography, che sfrutta direttamente le leggi della meccanica quantistica per garantire la sicurezza delle comunicazioni.
Dall’altra, la post-quantum cryptography (o crittografia post quantistica) propone una famiglia di algoritmi di crittografia classici ma progettati per resistere a futuri attacchi quantistici. Questo articolo approfondisce la differenza tra post-quantum e quantum cryptography, esaminandone vantaggi, applicazioni e scenari a lungo termine.
Crittografia a chiave pubblica e la minaccia quantistica
La maggior parte dei sistemi attuali di crittografia a chiave pubblica, come RSA, Diffie Hellman e firma digitale ECDSA, si basa sulla difficoltà computazionale di problemi come la fattorizzazione di numeri primi o il logaritmo discreto.
Con l’arrivo di computer quantistici sufficientemente potenti, questi problemi potranno essere risolti in tempi ragionevoli usando l’algoritmo di Shor, mettendo così a rischio miliardi di dati cifrati.
In un sistema RSA, ad esempio, la sicurezza si basa sul fatto che, dati due numeri primi moltiplicati tra loro, è estremamente difficile – per un computer classico – risalire ai fattori. Ma un computer quantistico, grazie all’interferenza quantistica e alla sovrapposizione degli stati, può scomporre questi numeri molto più velocemente.
Di conseguenza, l’intera infrastruttura della sicurezza web, inclusi TLS/SSL, firma di software, e-mail cifrate e blockchain, potrebbe essere compromessa.
Cos’è la post-quantum cryptography
La post-quantum cryptography non si basa su proprietà della meccanica quantistica, bensì su algoritmi di crittografia classici progettati per essere resistenti ai computer quantistici. L’obiettivo è garantire la sicurezza anche dopo che i computer quantistici avranno raggiunto una capacità tale da infrangere gli schemi tradizionali.
Tra le famiglie di algoritmi più promettenti troviamo:
- Schemi basati su reticoli (lattice-based): considerati tra i più robusti e efficienti, sia su computer classici che in contesto post-quantum. Esempi: Crystals-Kyber (per cifratura) e Crystals-Dilithium (per firma digitale).
- Codici correttivi (code-based)
Come McEliece, robusti ma meno efficienti in termini di dimensioni delle chiavi. - Schemi hash-based
Come SPHINCS+, usano funzioni hash sicure per costruire firme digitali. - Multivariate polynomial cryptography
Sfruttano la difficoltà di risolvere sistemi di equazioni polinomiali multivariate.
Un tratto distintivo è che la post-quantum cryptography è pensata per funzionare su computer classici. Ciò significa che può essere implementata oggi, senza attendere hardware quantistico.
Cos’è la quantum cryptography
La quantum cryptography, al contrario, si fonda sulle leggi della meccanica quantistica per creare sistemi di comunicazione intrinsecamente sicuri. La sua applicazione più nota è la Quantum Key Distribution (QKD), e in particolare il protocollo BB84, sviluppato da Bennett e Brassard nel 1984.
QKD consente a due parti di condividere una chiave privata segreta in modo tale che qualsiasi tentativo di intercettazione venga automaticamente rilevato, poiché l’osservazione di uno stato quantistico ne altera inevitabilmente il contenuto. I vantaggi teorici sono enormi: in linea di principio, la sicurezza è garantita dalle leggi fisiche e non da problemi computazionali.
Tuttavia, i limiti attuali della quantum cryptography includono:
- Distanza limitata
Le comunicazioni quantistiche perdono coerenza rapidamente, rendendo difficili le connessioni a lunga distanza senza ripetitori quantistici. - Infrastruttura dedicata
Servono canali ottici o satellitari specializzati, spesso non compatibili con le reti esistenti. - Costo elevato e complessità tecnologica ancora proibitiva per larga scala.
Differenza tra post-quantum e quantum cryptography
Capire la differenza tra post-quantum e quantum cryptography è fondamentale per sviluppare strategie di transizione nella sicurezza informatica. Ecco i principali contrasti:
| Caratteristica | Post-Quantum Cryptography | Quantum Cryptography |
| Principio di funzionamento | Algoritmi classici resistenti al calcolo quantistico | Usa la meccanica quantistica |
| Esecuzione su computer classici | Sì | No |
| Disponibilità oggi | Sì (già in fase di standardizzazione) | Limitata, sperimentale |
| Applicazioni attuali | Software, TLS, blockchain, comunicazioni cifrate | Trasmissione di chiavi tramite QKD |
| Dipendenza da hardware quantistico | No | Sì |
| Livello di maturità | Alto (NIST ha selezionato standard) | Basso, ancora in fase prototipale |
| Scalabilità | Alta, compatibile con l’infrastruttura esistente | Bassa, richiede canali dedicati |
Il ruolo del NIST e gli standard emergenti
Il National Institute of Standards and Technology degli Stati Uniti ha avviato nel 2016 una competizione internazionale per selezionare algoritmi di crittografia quantum-resistant. Dopo anni di analisi, i vincitori della prima tornata di selezione includono:
- Crystals-Kyber
Schema di cifratura basato su reticoli, considerato sicuro ed efficiente. - Crystals-Dilithium
Per la firma digitale, anch’esso basato su reticoli, con eccellente rapporto tra velocità, dimensioni delle chiavi e robustezza.
Questi algoritmi entreranno in fase di standardizzazione ufficiale, e rappresentano il cuore della crittografia post quantistica nei prossimi decenni.
Scenari futuri: quando sarà davvero necessaria la crittografia resistente?
Molti esperti si aspettano che entro 10-20 anni si raggiungano computer quantistici abbastanza potenti da rappresentare una minaccia concreta. Questo periodo, spesso definito come “Y2Q” (Years to Quantum), è cruciale per l’adozione preventiva della crittografia resistente ai computer quantistici.
Lo scenario più probabile sarà una transizione graduale. Le organizzazioni inizieranno a usare algoritmi post-quantum in parallelo a quelli tradizionali (dual mode), per poi eliminarli una volta che i rischi diverranno concreti.
Parallelamente, la quantum cryptography potrebbe trovare applicazioni di nicchia, in settori come la difesa o le telecomunicazioni ultra-sicure, laddove l’installazione di canali dedicati sia sostenibile.
Integrazione con blockchain, IoT e cloud
La post-quantum cryptography è già oggetto di studio per l’integrazione con blockchain, dispositivi IoT e servizi cloud. Molti progetti, come Ethereum 2.0, stanno valutando come aggiornare i propri algoritmi di firma digitale per includere schemi resistenti.
Nel mondo IoT, l’adozione di algoritmi come Crystals-Kyber comporta sfide legate alla limitata potenza di calcolo e memoria dei dispositivi. Ma la ricerca si sta concentrando su versioni ottimizzate per ambienti embedded.
Anche i provider cloud (Google, AWS, Microsoft) stanno sperimentando protocolli di TLS post-quantum per proteggere i dati a lungo termine, oggi e nel futuro.
Il problema della retro-decryption
Un rischio spesso trascurato è quello della retro-decryption: un attaccante potrebbe oggi intercettare e salvare dati cifrati usando RSA o ECDSA, per poi decifrarli in futuro con un computer quantistico.
Questa minaccia è particolarmente grave per i dati che devono restare segreti per decenni (militari, sanitari, finanziari). È proprio per questo che le aziende più sensibili stanno già oggi adottando crittografia resistente.
Quale strada seguire?
La scelta tra quantum cryptography e post-quantum cryptography dipende dal contesto:
- Se l’obiettivo è una protezione fisicamente garantita e si può investire in infrastrutture dedicate, la quantum cryptography rappresenta un traguardo tecnologico unico.
- Se invece si cerca una soluzione scalabile, economica e implementabile oggi, la post-quantum cryptography è senza dubbio la via più percorribile.
Per la maggior parte delle aziende e delle pubbliche amministrazioni, integrare fin da ora algoritmi post-quantum è una priorità per garantire la sicurezza a lungo termine, in vista di un mondo in cui il calcolo quantistico sarà una realtà accessibile.
Domande e risposte
- Cos’è la post-quantum cryptography?
È una famiglia di algoritmi classici progettati per resistere ad attacchi di computer quantistici, senza usare meccaniche quantistiche. - Qual è la differenza tra quantum e post-quantum cryptography?
La prima sfrutta direttamente la meccanica quantistica (es. QKD), la seconda usa algoritmi classici ma progettati per resistere ad attacchi quantistici. - Cosa sono Crystals-Kyber e Crystals-Dilithium?
Due algoritmi basati su reticoli, scelti dal NIST come standard per la crittografia post quantistica (Kyber per cifratura, Dilithium per firme digitali). - È già possibile usare la post-quantum cryptography?
Sì, molte librerie e protocolli sperimentali sono già disponibili, anche su sistemi cloud e TLS. - La quantum cryptography è più sicura?
È sicura per principio fisico, ma attualmente poco scalabile e costosa. - Quali rischi si corrono se non si passa alla post-quantum?
Nel medio periodo, dati cifrati oggi potrebbero essere decifrati in futuro con computer quantistici (retro-decryption). - Cosa significa crittografia resistente ai computer quantistici?
Significa che gli algoritmi non possono essere violati nemmeno da un computer quantistico avanzato. - La crittografia post quantistica sostituirà RSA e ECDSA?
Sì, è destinata a sostituire i metodi tradizionali in tutti i protocolli di comunicazione sicura. - Gli Stati Uniti stanno investendo in queste tecnologie?
Sì, il NIST ha guidato il processo di standardizzazione degli algoritmi post-quantum a livello globale. - Quali settori adotteranno per primi la crittografia resistente?
Governi, settore finanziario, cloud provider e industrie con necessità di protezione a lungo termine.
