Prove quantistiche di prossima generazione PKI e certificati digitali

Articoli sensazionali come questo sui computer quantistici anche nel 2016, creano incertezze per la sicurezza dei dati nel caso in cui vengano costruiti computer quantistici di potenza sufficiente. Questo articolo cercherà di far luce sulla situazione. 

Cos'è il Quantum Computing?

Il calcolo quantistico è l'applicazione dei principi della meccanica quantistica per eseguire calcoli. Nello specifico, l'informatica quantistica sfrutta gli stati quantistici delle particelle subatomiche come la sovrapposizione e l'entanglement per creare computer quantistici. Se applicati a computer quantistici con potenza sufficiente, algoritmi specifici possono eseguire calcoli molto più velocemente dei computer classici e persino risolvere problemi fuori dalla portata dell'attuale tecnologia informatica. Di conseguenza, c'è un maggiore interesse da governi e industrie di tutto il mondo per sviluppare computer quantistici. Il campo è ancora agli inizi, ma lo sviluppo sta prendendo piede e ci sono già computer quantistici funzionanti, anche se molto deboli a questo punto. 

SSL.com fornisce un'ampia varietà di file SSL /TLS certificati del server per i siti Web HTTPS.

CONFRONTA SSL /TLS CERTIFICATI

Informatica classica e quantistica

L'informatica classica utilizza bit, che esprimono il fenomeno fisico della corrente elettrica che passa attraverso i circuiti come uno e zero. Manipolando questi uno e questi zeri, un computer può esprimere problemi complicati e risolverli. 
 
I computer quantistici, d'altra parte, usano bit quantistici o qubit come base del calcolo. I qubit sono sistemi quantomeccanici a due stati. Gli esempi includono lo spin di un elettrone o la polarizzazione di un singolo fotone. Usando i qubit, possiamo sfruttare gli stati peculiari della meccanica quantistica della materia come l'entanglement e la sovrapposizione per eseguire calcoli. 
 
Quando un qubit viene sovrapposto, non è né uno né zero, ma una possibilità di entrambi. Quindi, un qubit può rappresentare due stati contemporaneamente. Aggiungi un altro qubit e puoi rappresentare quattro possibilità contemporaneamente; aggiungendo più qubit, il numero di possibilità che possono essere espresse aumenta rapidamente. In generale, questo è due in potenza del numero di qubit (2nper n qubit). Ad esempio, un computer quantistico con dieci cubiti può rappresentare contemporaneamente 1024 bit, mentre il numero classico corrispondente è 10 bit. 
 
L'entanglement è una qualità quantistica delle particelle subatomiche che non è facile da spiegare. Non abbiamo una chiara spiegazione scientifica sul meccanismo sottostante dell'entanglement. Ma per quanto riguarda il calcolo quantistico, l'entanglement consente ai qubit di correlarsi tra loro invece di agire in modo casuale. 
 
Lo sfruttamento combinato della sovrapposizione e dell'entanglement ci consente di creare vasti spazi computazionali con più dimensioni, eseguendo così calcoli in parallelo anziché in sequenza. 
 
L'informatica quantistica può risolvere alcuni problemi complessi che l'informatica classica non può risolvere a causa della memoria richiesta. Ad esempio, l'informatica quantistica potrebbe consentire l'accurata rappresentazione matematica delle interazioni molecolari in una reazione chimica, promettendo progressi significativi in ​​vari settori scientifici e tecnologici. Inoltre, consentirà di risolvere i problemi in frazioni di tempo che l'informatica classica può eseguire, compresi quelli che costituiscono il nucleo degli attuali schemi di crittografia.

In che modo l'informatica quantistica può influenzare la crittografia?

Come discusso in precedenza, la crittografia si basa sull'esistenza di problemi matematici intrattabili, non nel senso che siano irrisolvibili, ma che il tempo e le risorse necessarie per invertirli li rendano praticamente sicuri. 
 
Il calcolo quantistico cambia questo ecosistema riducendo al minimo il tempo necessario per risolvere tali problemi applicando algoritmi specifici. 
 
Ad esempio, l'algoritmo scoperto da Shor nel 1994. Se l'algoritmo di Shor viene applicato su un computer quantistico sufficientemente potente, può risolvere il problema della fattorizzazione degli interi in modo quasi esponenziale più velocemente del più efficiente algoritmo di calcolo classico. Il problema della fattorizzazione degli interi è alla base dello schema di crittografia a chiave pubblica RSA ampiamente diffuso. Come affermato in Rapporto sulla crittografia post-quantistica del NIST:
 

“Nel 1994, Peter Shor dei Bell Laboratories ha dimostrato che i computer quantistici, una nuova tecnologia che sfrutta le proprietà fisiche della materia e dell'energia per eseguire calcoli, può risolvere in modo efficiente ciascuno di questi problemi, rendendo impotenti tutti i sistemi crittografici a chiave pubblica basati su tali presupposti. Pertanto, un computer quantistico sufficientemente potente metterà in pericolo molte forme di comunicazione moderna, dallo scambio di chiavi alla crittografia all'autenticazione digitale".

In breve, un computer quantistico di potenza sufficiente potrebbe mandare in crash l'infrastruttura a chiave pubblica, creando la necessità di una riprogettazione dell'intero ecosistema di sicurezza informatica. 
 
Ma questo non è tutto. Un altro algoritmo, questo di Grover, può rappresentare una minaccia per crittografia simmetrica, anche se non così grave come quello di Shor. Se applicato a un computer quantistico sufficientemente potente, l'algoritmo di Grover consente di decifrare chiavi simmetriche a velocità quadrupla rispetto al calcolo classico. Un miglioramento significativo che viene contrastato utilizzando chiavi più grandi e mantenendo l'attuale livello di sicurezza. 

L'informatica quantistica arriverà presto?

 
La fisica ha dimostrato che il calcolo quantistico è fattibile. Ora, è un problema di ingegneria, anche se molto difficile. La costruzione di computer quantistici comporta l'implementazione di tecnologie all'avanguardia come, tra le altre cose, superfluidi e superconduttori. La sfida di creare un sistema quantomeccanico stabile e scalabile è immensa e porta i team di tutto il mondo a perseguire percorsi diversi. Esistono diversi tipi di computer quantistici, tra cui il modello di circuito quantistico, la macchina quantistica di Turing, il computer quantistico adiabatico, il computer quantistico unidirezionale e vari automi cellulari quantistici. Il più utilizzato è il circuito quantistico. 
 
Un problema significativo con qualsiasi modello di computer quantistico è che per loro natura, i qubit perdono il loro stato di sovrapposizione una volta misurati e, di conseguenza, sono molto sensibili alle interferenze esterne. Quindi, è difficile per i qubit mantenere i loro stati quantistici. Alcune soluzioni includono l'uso di trappole ioniche, ma l'eliminazione totale delle interferenze esterne è probabilmente irraggiungibile. Di conseguenza, uno dei problemi più cruciali per la creazione di computer quantistici è un robusto meccanismo di correzione degli errori. 
Il quadro generale è che potrebbe esserci una svolta in questo momento, oppure potrebbero volerci alcuni anni prima che venga creato un prototipo funzionante di potenza computazionale sufficiente. Esistono già alcuni prototipi, tra cui IBM Q System One è il più famoso, ma la loro potenza di calcolo è ancora troppo piccola per essere un problema per i sistemi crittografici. In nessun modo, ovviamente, la comunità della sicurezza informatica può rilassarsi. Anche se avessimo un efficiente schema di sicurezza post-quantistica, migrare l'intero ecosistema a questo nuovo standard è un compito enorme. Di conseguenza, sono in corso diversi sforzi per essere pronti per l'era post-quantistica. 

Cosa possiamo fare?

Quando arriverà la tecnologia di calcolo quantistico diffusa, dovremo essere pronti con un quantum-resistente PKI. Ci sono molti progetti in corso verso questo obiettivo e molte tecnologie proposte che potrebbero fornire una soluzione. Di seguito, cercheremo di riassumere le tecnologie più promettenti e forniremo una breve rassegna dei progetti collettivi in ​​corso per stabilire la crittografia post-quantistica, insieme alle sfide che ci attendono. 

Famiglie di algoritmi post-quantici

La ricerca negli ultimi 15-20 anni ha dimostrato l'esistenza di algoritmi resistenti agli attacchi quantistici. Di seguito forniamo una breve descrizione delle famiglie di algoritmi più promettenti che potrebbero fornire una soluzione per la sicurezza in un mondo post-quantistico. 

Crittografia basata su codice

La crittografia basata su codice utilizza codici di correzione degli errori per creare crittografia a chiave pubblica. È stato proposto per la prima volta da Robert McEliece nel 1978 ed è uno degli algoritmi di crittografia asimmetrica più antichi e più ricercati. Uno schema di firma può essere costruito sulla base dello schema Niederreiter, la doppia variante dello schema McEliece. Finora il crittosistema McEliece ha resistito alla crittoanalisi. Il problema principale con il sistema originale è la grande dimensione della chiave pubblica e privata.

Crittografia basata su hash

Crittografia basata su hash rappresenta un promettente approccio alla crittografia post-quantistica per le firme digitali. Le funzioni hash sono funzioni che mappano stringhe di lunghezza arbitraria a stringhe di lunghezza fissa. Sono uno dei più vecchi schemi di crittografia a chiave pubblica e le loro valutazioni di sicurezza contro gli attacchi classici e quantistici sono ben comprese. Le funzioni hash sono già uno degli strumenti crittografici più utilizzati. Si sapeva che avrebbero potuto essere usati come unico strumento per costruire la crittografia a chiave pubblica per molto tempo. Inoltre, la crittografia basata su hash è flessibile e può soddisfare diverse aspettative di prestazioni. L'aspetto negativo è che gli schemi di firma basati su hash sono principalmente stateful, il che significa che la chiave privata deve essere aggiornata dopo ogni utilizzo; in caso contrario, la sicurezza non è garantita. Esistono schemi basati su hash senza stato, ma hanno il costo di firme più lunghe, tempi di elaborazione più significativi e la necessità del firmatario di tenere traccia di alcune informazioni, come quante volte è stata utilizzata una chiave per creare una firma.

Crittografia basata su reticolo

La crittografia basata su reticolo è un caso particolare della crittografia basata su problemi di somma dei sottoinsiemi ed è stata introdotta per la prima volta nel 1996 da Ajtai. È il termine generico per le primitive crittografiche costruite con l'uso di reticoli. Alcune di queste costruzioni sembrano essere resistenti agli attacchi dei computer sia quantistici che classici. Inoltre, hanno altre caratteristiche interessanti, come la difficoltà di durezza nel peggiore dei casi. Inoltre, presentano semplicità e parallelismo e sono sufficientemente versatili per costruire schemi crittografici robusti. Infine, sono l'unica famiglia di algoritmi che contiene tutti e tre i tipi di primitive necessarie per costruire un'infrastruttura a chiave pubblica post-quantistica: crittografia a chiave pubblica, scambio di chiavi e firma digitale.

Crittografia multivariata

La crittografia multivariata si riferisce alla crittografia a chiave pubblica le cui chiavi pubbliche rappresentano una mappa polinomiale multivariata e non lineare (di solito quadratica). È stato dimostrato che la risoluzione di questi sistemi è NP-completa, rendendo così questa famiglia di algoritmi buoni candidati per la crittografia post-quantistica. Attualmente, gli schemi di crittografia multivariata si sono dimostrati meno efficienti di altri schemi poiché richiedono chiavi pubbliche sostanziali e lunghi tempi di decrittazione. D'altra parte, si sono rivelati più adatti per la costruzione di schemi di firma, in quanto forniscono le dimensioni di firma più brevi tra gli algoritmi post-quantistici, sebbene incorrano in chiavi pubbliche piuttosto grandi.

Crittografia basata sull'isogenesi

La crittografia basata sull'isogenesi utilizza mappe tra curve ellittiche per creare crittografia a chiave pubblica. L'algoritmo che è un candidato per la crittografia post-quantistica è lo scambio di chiavi Diffie-Hellman di isogenia supersingulare (SIDH) introdotto nel 2011, rendendo questo schema il più recente tra i candidati. SIDH richiede una delle chiavi più piccole tra gli schemi di scambio di chiavi proposti e supporta la perfetta segretezza in avanti. Tuttavia, la sua età relativamente giovane significa che non ci sono molti schemi basati su questo concetto, e non c'è stato molto per ispezionare le loro possibili vulnerabilità. 

Progetti per la crittografia post-quantistica

Esistono vari gruppi di lavoro per schemi di crittografia post-quantistica, come il Aprire il progetto Quantum Safe (OQS) ed ENISA. Tuttavia, l'iniziativa più coerente è il Progetto di standardizzazione della crittografia post-quantistica del NIST che è in corso dal 2017. Come suggerisce il nome, il progetto mira a scegliere uno schema di crittografia adatto che sarà lo standard del settore nell'era post-quantistica. Il processo è iniziato con 69 algoritmi candidati, di cui 26 sono passati al secondo round di valutazione. A luglio 2020 sono stati annunciati i candidati al round 3, come mostrato nella tabella seguente. Ci sono sette finalisti e otto candidati alternativi in ​​totale. Sulla tabella viene annotato se sono considerati per gli schemi di crittografia o firma, la famiglia di algoritmi e il problema difficile su cui si basano.

schemaEnc/SIgFamigliaProblema difficile
Finalisti Round 3
McEliece classicoIncBasato su codiceDecodifica di codici Goppa binari casuali
Cristalli-KyberIncA base di reticoloModulo ciclotomico-LWE
NTRIncA base di reticoloProblema ciclotomico NTRU
SciabolaIncA base di reticoloModulo ciclotomico-LWR
Cristalli-DilitioSigA base di reticoloModulo ciclotomico-LWE e Modulo-SIS
falcoSigA base di reticoloAnello ciclotomico-SIS
RainbowSigBasato su multivariatoBotola dell'olio e dell'aceto
Candidati alternativi al turno 3
MOTOIncBasato su codiceDecodifica di codici quasi ciclici
HQCIncBasato su codiceVariante di codifica di Ring-LWE
Frodo-KEMIncA base di reticoloLWE
NTRU-PrimeIncA base di reticoloProblema NTRU non ciclotomico o Ring-LWE
MI PIACEIncA base di isogeniaProblema di isogenia con punti extra
GeMSSSigBasato su multivariatoBotola 'Big-Field'
PicnicSigCrittografia simmetricaResistenza alla preimmagine di un cifrario a blocchi
SPHINCS +SigBasato su hashResistenza alla preimmagine di una funzione hash

La valutazione dell'algoritmo si è basata sui tre criteri mostrati di seguito.

  • Sicurezza: questo è il criterio più cruciale. Il NIST ha stabilito diversi fattori da considerare per valutare la sicurezza fornita da ciascun algoritmo candidato. Oltre alla resistenza quantistica degli algoritmi, il NIST ha anche definito parametri di sicurezza aggiuntivi che non fanno parte dell'attuale ecosistema di sicurezza informatica. Questi sono la perfetta segretezza in avanti, la resistenza agli attacchi del canale laterale e la resistenza agli attacchi multi-chiave. 
  • Costo e prestazioni: gli algoritmi vengono valutati in base alle loro metriche di prestazione come le dimensioni delle chiavi, l'efficienza computazionale delle operazioni e della generazione di chiavi pubbliche e private e gli errori di decrittazione.
  • Algoritmo e caratteristiche di implementazione: supponendo che gli algoritmi forniscano una buona sicurezza e prestazioni complessive, vengono valutati in base alla loro flessibilità, semplicità e facilità di adozione (come l'esistenza o meno della proprietà intellettuale che copre l'algoritmo).

Agilità crittografica 

 
Un importante paradigma nella progettazione di protocolli di sicurezza delle informazioni è agilità crittografica. Stabilisce che i protocolli dovrebbero supportare più primitive crittografiche, consentendo ai sistemi che implementano un particolare standard di scegliere quali combinazioni di primitive sono adatte. L'obiettivo principale dell'agilità crittografica è consentire il rapido adattamento di primitive e algoritmi crittografici vulnerabili con quelli robusti senza apportare modifiche dirompenti all'infrastruttura del sistema. Questo paradigma si rivela cruciale nella progettazione della crittografia post-quantistica e richiede un'automazione almeno parziale. Ad esempio, un'azienda media detiene centinaia di migliaia di certificati e chiavi e questo numero continua a crescere. Con così tanti certificati, le organizzazioni devono implementare metodi automatizzati per sostituire rapidamente questi certificati se la crittografia su cui si basano diventa insicura.
 
Un'eccellente prima misura per le organizzazioni è iniziare a implementare la crittografia ibrida, in cui gli algoritmi a chiave pubblica a sicurezza quantistica vengono utilizzati insieme ai tradizionali algoritmi a chiave pubblica (come RSA o curve ellittiche) in modo che la soluzione non sia almeno non meno sicura di quella tradizionale esistente crittografia.

Conclusione

 
I progressi tecnologici avvengono spesso, specialmente in un campo come quello informatico. L'informatica quantistica sconvolgerà il campo della sicurezza informatica, ma l'industria sta già cercando e discutendo soluzioni. Sarà principalmente una questione di logistica e preparazione quando arriverà il momento per le organizzazioni di adattarsi alla nuova realtà e prendere provvedimenti.
 
 
Gli utenti possono firmare il codice con la funzionalità Extended Validation Code Signing di eSigner. Clicca sotto per maggiori informazioni.

SCOPRI DI PIÙ

 

Iscriviti alla Newsletter di SSL.com

Non perdere nuovi articoli e aggiornamenti da SSL.com

Ci piacerebbe il tuo feedback

Partecipa al nostro sondaggio e facci sapere cosa ne pensi del tuo recente acquisto.