Crittografia post-quantistica (post-quantum cryptography)

06/nov/2023 | Jindřich Zechmeister

Per crittografia post-quantistica si intende la crittografia (cifratura) capace di resistere ai computer quantistici. La crittografia attuale si fonda sull'elevata complessità di alcuni problemi matematici e sull'impossibilità di risolverli in tempi ragionevoli, utilizzando i computer attuali (per esempio, la fattorizzazione dei numeri primi in numeri primi). Tuttavia, questo presupposto viene cancellato dai computer quantistici, ed è quindi necessario preparare in tempi utili un sostituto della crittografia attuale perché un giorno probabilmente ne avremo bisogno. In questo articolo scoprirai cosa fare per iniziare a prepararsi.

Cosa sono e come funzionano i computer quantistici?

Il nome stesso implica che i computer quantistici sono computer tipologicamente diversi da quelli che utilizziamo quotidianamente che, nel contesto di computer quantistici, vengono denominati convenzionali. I computer quantistici sono il risultato della riduzione delle dimensioni delle unità costruttive degli attuali chip e computer: la dimensione tipica del transistor odierno, che costituisce l'elemento di base dei computer, è di 14 nm. È la dimensione di soli pochi atomi, e il transistor risulta essere 500 volte più piccolo di un globulo rosso (7 µm). Il ridimensionamento si scontra già con gli attuali limiti tecnologici della produzione, perciò gli scienziati stanno optando per computer quantistici, considerati come un’alternativa opportuna dell’ulteriore sviluppo.

La crittografia si basa sull'impossibilità di risolvere alcuni problemi matematici o, più precisamente, sull’impossibilità di risolverli in tempi ragionevoli. È in questo modo che funziona, per esempio, RSA, ovvero l'algoritmo più diffuso: fa affidamento sulla complessità della fattorizzazione di due numeri primi in numeri primi. In parole povere, disponendo del prodotto di due grandi numeri primi, non siamo in grado di determinarne facilmente e rapidamente i fattori, anche se sappiamo come farlo.

Gli odierni computer conoscono i metodi per violare la crittografia attuale, ad esempio utilizzando l'algoritmo di Shor per violare RSA, ma finora non è stata disponibile una potenza di calcolo tale da violare effettivamente i cifrari attuali. Pertanto, i cifrari attuali continuano ancora a essere sicuri, il che però non durerà per sempre. Con l'avvento di una potenza di calcolo sufficientemente grande, essi potranno essere decifrati in una frazione del tempo necessario oggi.

In poche parole, i computer quantistici non sono i computer generici da casa o da ufficio, ma sono computer che si occupano di calcoli e compiti specifici, risolvendoli con l’utilizzo di algoritmi speciali. La loro unità elementare di informazione è qubit, particella che può trovarsi in diversi stati fisici contemporaneamente (superposition). Per una comprensione elementare dei principi di funzionamento dei computer quantistici, ti consiglio di guardare il breve video qui sotto.

Il video illustra che un qubit non deve assumere solo gli stati 0 o 1 come accade con un bit, bensì può assumere, con una certa probabilità, tutti gli stati compresi tra i due suddetti stati o, addirittura, può trovarsi in entrambi gli stati contemporaneamente. Il vantaggio principale apportato dai qubit ai computer quantistici sta nel fatto che questi ultimi possono eseguire calcoli in parallelo e questa parallelizzazione aumenta con il quadrato del numero di qubit nel computer quantistico. I computer convenzionali, invece, eseguono i calcoli in modo sequenziale (consecutivo), e quindi più lentamente. Per esempio, quattro bit consentono 16 configurazioni e possono essere usati per rappresentarne solo una, mentre quattro qubit in superposition consentono tutte e sedici le configurazioni contemporaneamente. Venti qubit consentono già un milione di valori contemporaneamente (2^20). In compiti specifici, tipo la ricerca nella base dati, la velocità dei computer quantistici è smisuratamente superiore a quella dei computer attuali, proprio grazie alla parallelizzazione del calcolo. Questa differenza può essere generalizzata nel seguente modo: il tempo di calcolo di un computer quantistico equivale, all'incirca, alla radice quadrata del tempo che un computer attuale impiega per risolvere il problema.

Una descrizione più dettagliata dei principi e del funzionamento di un computer quantistico esula dallo scopo di questo articolo e, data la complessità della fisica coinvolta, anche dalle competenze dell'autore dello stesso. Per maggiori informazioni sui computer quantistici e sul loro funzionamento ti consiglio di leggere, per esempio, l'articolo Computer quantistico. Per la matematica di base, si veda ad esempio Wikipedia.

Crittografia del futuro

Come è stato detto nell'introduzione, la crittografia resistente ai computer quantistici viene chiamata crittografia post-quantistica; in lingua inglese (e più avanti nel presente articolo) viene usata l'abbreviazione PQC (post-quantum cryptography). I nuovi algoritmi vengono creati con un occhio al futuro, ma l’uso degli algoritmi attuali rimane tuttora sicuro a patto che la lunghezza della loro chiave sia appropriata.

La necessità di affrontare la questione della PQC (in sostituzione dell'attuale crittografia) è incalzante già oggi, e ciò in vista del futuro: in particolare per il motivo che gli aggressori potrebbero voler violare le comunicazioni già registrate in un futuro in cui avranno a disposizione strumenti migliori. Questo rischio deve essere trattato già oggi, anche se i computer quantistici non sono ancora utilizzati su vasta scala e non mettono direttamente a repentaglio la sicurezza della crittografia odierna.

Conosciamo già parecchi algoritmi di crittografia per la PQC: ovviamente, quelli migliori hanno una buona possibilità di essere effettivamente utilizzati. Dal 2016, la standardizzazione dei nuovi algoritmi PQC è in corso presso il NIST negli Stati Uniti d’America. Disponiamo quindi già oggi di algoritmi resistenti ai quanti e pronti all’uso, e altri ancora ne arriveranno. Per maggiori informazioni sui primi algoritmi crittografici standardizzati dal NIST ti consigliamo di leggere l’articolo sul blog di DigiCert.. In particolare, si tratta dei seguenti algoritmi:

Per la crittografia generale (crittografia a chiave pubblica)
• CRYSTALS-KYBER

Per la firma digitale:
• CRYSTALS-Dilithium
• Falcon
• SPHINCS+

Per una rassegna completa della standardizzazione della PQC, consulta l'articolo NIST Post-Quantum Cryptography Standardization di Wikipedia.

Sebbene la standardizzazione sia stata avviata, l'uso della PQC non è ancora una pratica diffusa e le odierne CA non emettono ancora certificati TLS di produzione che siano resistenti ai quanti. Eseguire dei test utilizzando le versioni di software più comuni non è ancora possibile perché la PQC non vi risulta ancora diffusa. Tuttavia, grazie a DigiCert possiamo fornirti già oggi la PQC di pre-produzione.

DigiCert ti consente di testare oggi stesso la tua PQC

Le CA commerciali più grandi del mondo devono costantemente pensare al futuro e prepararsi alle sfide dei prossimi decenni. Con DigiCert hai la certezza di essere pronto per la transizione alla PQC. Con i prodotti Secure Site Pro, già da ora puoi acquisire una prima conoscenza della PQC. È già possibile creare un certificato ibrido RSA/PQC che combina l'attuale crittografia convenzionale con la nuova crittografia post-quantistica. Per ulteriori informazioni sul toolkit PCQ, gli interessati possono leggere l’articolo PQC toolkit setup guide.

I test consistono nell’eseguire il patching e nel compilare una versione modificata dell’OpenSSL, nel creare le chiavi PQC e nel generare un certificato ibrido e la sua chain, ovvero l’Intermediate e la radice PQC della CA. Il certificato ibrido utilizzerà ECC e PQC; con l’OpenSSL potrai testarlo sul tuo server usando le utility s_server e s_client (la PQC dovrebbe essere supportata anche da Chrome a partire dalla sua versione 116). Spero che sia ovvio che questa soluzione non è destinata alla produzione.

Risulta opportuno valutare periodicamente la sicurezza della crittografia attuale: il metodo più semplice è quello di confrontarsi con le raccomandazioni degli esperti. Nella Repubblica Ceca è necessario seguire le raccomandazioni ufficiali, emesse periodicamente dall'ente regolatore NUKIB (Ufficio ceco per la cybersicurezza nazionale) che inoltre determina sia gli strumenti crittografici appropriati per il presente (Requisiti base per gli algoritmi crittografici) che quelli inviolabili dai quanti per il futuro (Minaccia quantistica e la crittografia resistente ai quanti).

Fonti e ulteriori informazioni:

• DigiCert Blog: DigiCert Announces Post-Quantum Computing Tool Kit. Disponibile presso: https://www.digicert.com/blog/digicert-announces-post-quantum-computing-test-kit.
• Wikipedia: Crittografia post-quantistica. Disponibile presso: https://en.wikipedia.org/wiki/Post-quantum_cryptography.
• Wikipedia: NIST Post-Quantum Cryptography Standardization. Disponibile presso: https://en.wikipedia.org/wiki/NIST_Post-Quantum_Cryptography_Standardization.
• Wikipedia: Quantum cryptography. Disponibile presso: https://en.wikipedia.org/wiki/Quantum_cryptography.