Anche nel 2016, articoli sui computer quantistici creavano incertezze sulla sicurezza dei dati, nel caso in cui si potessero costruire computer quantistici sufficientemente potenti. Questo articolo tenterà di far luce sulla situazione.
Cos'è il Quantum Computing?
L'informatica quantistica è l'applicazione dei principi della meccanica quantistica per eseguire calcoli. Nello specifico, l’informatica quantistica sfrutta gli stati quantistici delle particelle subatomiche come la sovrapposizione e l’entanglement per creare computer quantistici. Se applicati a computer quantistici con potenza sufficiente, algoritmi specifici possono eseguire calcoli molto più velocemente dei computer classici e persino risolvere problemi fuori dalla portata dell’attuale tecnologia informatica. Di conseguenza, vi è un crescente interesse da parte dei governi e delle industrie di tutto il mondo nello sviluppo di computer quantistici. I recenti progressi nel campo dell’informatica quantistica, come il processore Quantum Heron di IBM, hanno migliorato significativamente la riduzione degli errori, dimostrando rapidi progressi nel campo. L’introduzione di IBM Quantum System Two, dotato di questi processori avanzati, segna un passo avanti verso il supercalcolo quantistico pratico.
Informatica classica e informatica quantistica
L'informatica classica si basa sui bit, che rappresentano gli uno e gli zeri attraverso le correnti elettriche nei circuiti, per risolvere problemi complessi. L’informatica quantistica, che utilizza qubit come quelli di IBM Quantum Heron, supera l’informatica classica in termini di potenza di calcolo grazie a una migliore correzione degli errori e stabilità dei qubit. I qubit, a differenza dei bit, possono esistere in sovrapposizione, incorporando sia l'uno che lo zero contemporaneamente. Questa funzionalità consente a un singolo qubit di rappresentare due stati contemporaneamente e, con ogni qubit aggiuntivo, gli stati rappresentabili raddoppiano in modo esponenziale (`2^n` per n qubit). Ad esempio, un computer quantistico con dieci qubit può rappresentare 1024 stati, a differenza dei 10 bit dell’informatica classica. L’entanglement quantistico, un fenomeno complesso e non del tutto compreso, consente l’interconnessione dei qubit, migliorando l’efficienza computazionale. Sfruttando sia la sovrapposizione che l’entanglement, i computer quantistici operano in spazi multidimensionali, eseguendo calcoli paralleli, a differenza dell’approccio sequenziale dell’informatica classica. Questa capacità di calcolo avanzata consente ai computer quantistici di affrontare problemi che vanno oltre la portata dei computer classici, come simulare accuratamente le interazioni molecolari nelle reazioni chimiche. Ciò ha implicazioni di vasta portata per la scienza e la tecnologia, compreso il potenziale di risolvere i problemi molto più velocemente dei computer classici, con un impatto su aree come la crittografia.In che modo l'informatica quantistica può influenzare la crittografia?
Come discusso in precedenza, la crittografia si basa sull'esistenza di problemi matematici intrattabili, non nel senso che siano irrisolvibili, ma che il tempo e le risorse necessarie per invertirli li rendano praticamente sicuri.
Il calcolo quantistico cambia questo ecosistema riducendo al minimo il tempo necessario per risolvere tali problemi applicando algoritmi specifici.
Ad esempio, l'algoritmo scoperto da , insieme alle implicazioni di algoritmi come quello di Shor nel contesto di processori quantistici avanzati come Quantum Heron di IBM, sottolineano l'imminente necessità di sistemi crittografici resistenti ai quanti.
“Nel 1994, Peter Shor dei Bell Laboratories ha dimostrato che i computer quantistici, una nuova tecnologia che sfrutta le proprietà fisiche della materia e dell’energia per eseguire calcoli, può risolvere in modo efficiente ciascuno di questi problemi, rendendo così impotenti tutti i sistemi crittografici a chiave pubblica basati su tali presupposti. Pertanto, un computer quantistico sufficientemente potente metterà in pericolo molte forme di comunicazione moderna, dallo scambio di chiavi alla crittografia fino all’autenticazione digitale”.
In breve, un computer quantistico di potenza sufficiente potrebbe mandare in crash l'infrastruttura a chiave pubblica, creando la necessità di una riprogettazione dell'intero ecosistema di sicurezza informatica.
Recenti applicazioni della crittografia post-quantistica si stanno vedendo negli spazi consumer, come il supporto di Chrome per un algoritmo PQC, indicando gli impatti pratici del calcolo quantistico sugli attuali sistemi crittografici.
Ma questo non è tutto. Un altro algoritmo, questo di ” può rappresentare una minaccia per la crittografia simmetrica, sebbene non così grave come quella di Shor. Se applicato a un computer quantistico sufficientemente potente, l'algoritmo di Grover consente di decifrare chiavi simmetriche a una velocità quadrupla rispetto al calcolo classico. Un miglioramento significativo che viene contrastato utilizzando chiavi più grandi e mantenendo l’attuale livello di sicurezza.
L'informatica quantistica arriverà presto?
La fisica ha dimostrato che il calcolo quantistico è fattibile. Ora, è un problema di ingegneria, anche se molto difficile. La costruzione di computer quantistici comporta l'implementazione di tecnologie all'avanguardia come, tra le altre cose, superfluidi e superconduttori. La sfida di creare un sistema quantomeccanico stabile e scalabile è immensa e porta i team di tutto il mondo a perseguire percorsi diversi. Esistono diversi tipi di computer quantistici, tra cui il modello di circuito quantistico, la macchina quantistica di Turing, il computer quantistico adiabatico, il computer quantistico unidirezionale e vari automi cellulari quantistici. Il più utilizzato è il circuito quantistico.
Un problema significativo con qualsiasi modello di computer quantistico è che per loro natura, i qubit perdono il loro stato di sovrapposizione una volta misurati e, di conseguenza, sono molto sensibili alle interferenze esterne. Quindi, è difficile per i qubit mantenere i loro stati quantistici. Alcune soluzioni includono l'uso di trappole ioniche, ma l'eliminazione totale delle interferenze esterne è probabilmente irraggiungibile. Di conseguenza, uno dei problemi più cruciali per la creazione di computer quantistici è un robusto meccanismo di correzione degli errori.
Con le recenti scoperte, come i progressi di IBM nell’informatica quantistica, il campo è andato oltre i modelli teorici verso sistemi quantistici più pratici e potenti, avvicinando l’era quantistica di quanto precedentemente previsto.
Il quadro generale è che potrebbe esserci una svolta in questo momento, oppure potrebbero volerci alcuni anni prima che venga creato un prototipo funzionante di potenza computazionale sufficiente. Esistono già alcuni prototipi, tra cui IBM Q System One è il più famoso, ma la loro potenza di calcolo è ancora troppo piccola per essere un problema per i sistemi crittografici. In nessun modo, ovviamente, la comunità della sicurezza informatica può rilassarsi. Anche se avessimo un efficiente schema di sicurezza post-quantistica, migrare l'intero ecosistema a questo nuovo standard è un compito enorme. Di conseguenza, sono in corso diversi sforzi per essere pronti per l'era post-quantistica.
Tecnologie promettenti per l’era post quantistica
Mentre ci avviciniamo all’applicazione diffusa della tecnologia quantistica, evidenziata da progressi come il Quantum System Two di IBM, la necessità di un sistema resistente ai quanti PKI diventa più urgente con l’avvento della tecnologia informatica quantistica diffusa. Di seguito cercheremo di riassumere le tecnologie più promettenti e di fornire una breve rassegna dei progetti collettivi in corso per stabilire la crittografia post-quantistica, insieme alle sfide che ci attendono.
Famiglie di algoritmi post-quantici
La ricerca negli ultimi 15-20 anni ha dimostrato l'esistenza di algoritmi resistenti agli attacchi quantistici. Di seguito forniamo una breve descrizione delle famiglie di algoritmi più promettenti che potrebbero fornire una soluzione per la sicurezza in un mondo post-quantistico.
Crittografia basata su codice
I recenti sviluppi in questo campo della crittografia basata su codice utilizzano codici di correzione degli errori per creare la crittografia a chiave pubblica. È stato proposto per la prima volta da Robert McEliece nel 1978 ed è uno degli algoritmi di crittografia asimmetrica più antichi e studiati. Uno schema di firma può essere costruito sulla base dello schema Niederreiter, la variante duale dello schema McEliece. Finora il sistema crittografico McEliece ha resistito alla crittoanalisi. Il problema principale del sistema originale è la grande dimensione della chiave privata e pubblica.
Crittografia basata su hash
Con la crescente implementazione nelle applicazioni pratiche, la crittografia basata su hash rappresenta un promettente approccio crittografico post-quantistico alle firme digitali. Le funzioni hash sono funzioni che associano stringhe di lunghezza arbitraria a stringhe di lunghezza fissa. Sono uno dei più vecchi schemi di crittografia a chiave pubblica e le loro valutazioni di sicurezza contro gli attacchi classici e quantistici sono ben comprese. Le funzioni hash sono già uno degli strumenti crittografici più utilizzati. Si sapeva da molto tempo che avrebbero potuto essere utilizzati come unico strumento per costruire la crittografia a chiave pubblica. Inoltre, la crittografia basata su hash è flessibile e può soddisfare diverse aspettative di prestazioni. Lo svantaggio è che gli schemi di firma basati su hash sono principalmente stateful, il che significa che la chiave privata deve essere aggiornata dopo ogni utilizzo; in caso contrario, la sicurezza non è garantita. Esistono schemi basati su hash che sono stateless, ma hanno il costo di firme più lunghe, tempi di elaborazione più significativi e la necessità del firmatario di tenere traccia di alcune informazioni, come quante volte è stata utilizzata una chiave per creare una firma.
Crittografia basata su reticolo
Attualmente considerata per soluzioni crittografiche più avanzate, la crittografia basata su reticolo è un caso particolare della crittografia basata su problemi di somma di sottoinsiemi ed è stata introdotta per la prima volta nel 1996 da Ajtai. È il termine generico per le primitive crittografiche costruite con l'uso di reticoli. Alcune di queste costruzioni sembrano essere resistenti sia agli attacchi dei computer quantistici che a quelli classici. Inoltre, hanno altre caratteristiche interessanti, come la difficoltà di durezza nel caso peggiore. Presentano inoltre semplicità e parallelismo e sono abbastanza versatili da costruire schemi crittografici robusti. Infine, sono l’unica famiglia di algoritmi che contiene tutti e tre i tipi di primitive necessarie per costruire un’infrastruttura a chiave pubblica post-quantistica: crittografia a chiave pubblica, scambio di chiavi e firma digitale.
Crittografia multivariata
La crittografia multivariata si riferisce alla crittografia a chiave pubblica le cui chiavi pubbliche rappresentano una mappa polinomiale multivariata e non lineare (di solito quadratica). È stato dimostrato che la risoluzione di questi sistemi è NP-completa, rendendo così questa famiglia di algoritmi buoni candidati per la crittografia post-quantistica. Attualmente, gli schemi di crittografia multivariata si sono dimostrati meno efficienti di altri schemi poiché richiedono chiavi pubbliche sostanziali e lunghi tempi di decrittazione. D'altra parte, si sono rivelati più adatti per la costruzione di schemi di firma, in quanto forniscono le dimensioni di firma più brevi tra gli algoritmi post-quantistici, sebbene incorrano in chiavi pubbliche piuttosto grandi.
Crittografia basata sull'isogenesi
La crittografia basata sull'isogenesi utilizza mappe tra curve ellittiche per creare crittografia a chiave pubblica. L'algoritmo che è un candidato per la crittografia post-quantistica è lo scambio di chiavi Diffie-Hellman di isogenia supersingulare (SIDH) introdotto nel 2011, rendendo questo schema il più recente tra i candidati. SIDH richiede una delle chiavi più piccole tra gli schemi di scambio di chiavi proposti e supporta la perfetta segretezza in avanti. Tuttavia, la sua età relativamente giovane significa che non ci sono molti schemi basati su questo concetto, e non c'è stato molto per ispezionare le loro possibili vulnerabilità.
Progetti per la crittografia post-quantistica
Esistono vari gruppi di lavoro per schemi di crittografia post-quantistica, come il progetto Open Quantum Safe (OQS) ed ENISA. Tuttavia, l’iniziativa più coerente è il progetto di standardizzazione della crittografia post-quantistica del NIST, che ha compiuto progressi significativi dal 2021, con nuovi algoritmi che emergono come pionieri per la standardizzazione del settore nell’era post-quantistica. Il processo è iniziato con 69 algoritmi candidati, di cui 26 sono passati alla seconda fase di valutazione. Nel luglio 2020 sono stati annunciati i candidati del terzo round, come mostrato nella tabella seguente. Ci sono sette finalisti e otto candidati alternativi in totale. Nella tabella viene indicato se vengono presi in considerazione per la crittografia o gli schemi di firma, la famiglia di algoritmi e il problema difficile su cui si basano.
| schema | Enc/SIg | Famiglia | Problema difficile |
|---|---|---|---|
| McEliece classico | Inc | Basato su codice | Decodifica di codici Goppa binari casuali |
| Cristalli-Kyber | Inc | A base di reticolo | Modulo ciclotomico-LWE |
| NTR | Inc | A base di reticolo | Problema ciclotomico NTRU |
| Sciabola | Inc | A base di reticolo | Modulo ciclotomico-LWR |
| Cristalli-Dilitio | Sig | A base di reticolo | Modulo ciclotomico-LWE e Modulo-SIS |
| falco | Sig | A base di reticolo | Anello ciclotomico-SIS |
| Rainbow | Sig | Basato su multivariato | Botola dell'olio e dell'aceto |
Candidati alternativi al turno 3
| schema | Inc/Sig | Famiglia |
|---|---|---|
| MOTO | Inc | Basato su codice |
| HQC | Inc | Basato su codice |
| Frodo-KEM | Inc | A base di reticolo |
| NTRU-Prime | Inc | A base di reticolo |
| MI PIACE | Inc | A base di isogenia |
| GeMSS | Sig | Basato su multivariato |
| Picnic | Sig | Crittografia simmetrica |
| SPHINCS + | Sig | Basato su hash |
La valutazione dell'algoritmo si è basata sui tre criteri mostrati di seguito.
-
Sicurezza: Questo è il criterio più cruciale. Il NIST ha stabilito diversi fattori da considerare per valutare la sicurezza fornita da ciascun algoritmo candidato. Oltre alla resistenza quantistica degli algoritmi, il NIST ha anche definito ulteriori parametri di sicurezza che non fanno parte dell’attuale ecosistema di sicurezza informatica. Questi sono il perfetto segreto in avanti,
-
Costo e prestazioni: gli algoritmi vengono valutati in base ai parametri prestazionali come le dimensioni delle chiavi, l'efficienza computazionale delle operazioni e della generazione delle chiavi pubbliche e private e gli errori di decrittografia.
-
Algoritmo e caratteristiche di implementazione: Supponendo che gli algoritmi forniscano una buona sicurezza e prestazioni complessive, vengono valutati in base alla loro flessibilità, semplicità e facilità di adozione (come l'esistenza o meno di proprietà intellettuale che copre l'algoritmo).
Agilità crittografica
Un paradigma importante nella progettazione dei protocolli di sicurezza delle informazioni è l’agilità crittografica. Implica che i protocolli supportino più primitive crittografiche, consentendo ai sistemi che implementano un particolare standard di scegliere quali combinazioni di primitive sono adatte. L'obiettivo principale dell'agilità crittografica è consentire il rapido adattamento di primitive e algoritmi crittografici vulnerabili con algoritmi robusti senza apportare modifiche dirompenti all'infrastruttura del sistema. Questo paradigma si rivela cruciale nella progettazione della crittografia post-quantistica e richiede un'automazione almeno parziale. Ad esempio, un'azienda media detiene centinaia di migliaia di certificati e chiavi e quel numero continua a crescere. Con così tanti certificati, le organizzazioni devono implementare metodi automatizzati per sostituirli rapidamente se la crittografia su cui fanno affidamento diventa insicura.
Un'eccellente prima misura per le organizzazioni è iniziare a implementare la crittografia ibrida, in cui gli algoritmi a chiave pubblica a sicurezza quantistica vengono utilizzati insieme ai tradizionali algoritmi a chiave pubblica (come RSA o curve ellittiche) in modo che la soluzione non sia almeno non meno sicura di quella tradizionale esistente crittografia.
Uno sguardo al futuro
L’informatica quantistica sta passando da una possibilità teorica a una realtà pratica, esemplificata dai recenti sviluppi nei processori e nei sistemi quantistici. Di conseguenza, il settore della sicurezza informatica dovrà adattarsi rapidamente a questi cambiamenti.
