Nell’era digitale ciascuno di noi svolge quotidianamente attività che sarebbero impossibili senza le tecniche crittografiche: da azioni che naturalmente necessitano di elevata protezione, come i pagamenti elettronici e l’online banking, fino ad altre apparentemente meno critiche, come la consultazione di pagine pubbliche in un sito Internet oppure l’apertura della portiera della propria vettura con un radiocomando.
Per tutte queste ragioni, ciascuno di noi, in modo più o meno consapevole, porta tutti i giorni nelle proprie tasche decine di algoritmi e dispositivi crittografici.
La sicurezza delle nostre informazioni però rischia di essere messa in crisi dall’avvento dei futuri computer quantistici, dotati di grandi risorse di calcolo, in grado potenzialmente di superare le attuali tecniche crittografiche. Per questo motivo ricoprirà crescente importanza la crittografia quantistica e quella post quantica, per consentire la sopravvivenza degli attuali servizi internet come li conosciamo, come sarà raccontato a Itasec18 (6-9 febbraio 2018).
Perché è necessaria la crittografia
Oltre che nella vita di tutti i giorni, le tecniche crittografiche stanno ricoprendo un ruolo sempre più rilevante in molte tecnologie innovative che si prevedono avere un impatto dirompente in futuro. Un esempio su tutti è rappresentato dalla tecnologia blockchain, innovazione degli ultimi anni che sta riscuotendo enorme interesse sia in ambito di ricerca che imprenditoriale, e che si basa sull’uso intensivo di primitive crittografiche.
L’importanza della crittografia per la sicurezza del nostro Paese è testimoniata dal recente Piano nazionale per la protezione cibernetica e la sicurezza informatica[1], nel quale si prevede la costituzione di un centro nazionale di crittografia impegnato nella progettazione di cifrari, nella realizzazione di un algoritmo e di una blockchain nazionali e in valutazioni di sicurezza.
Le attuali tecniche crittografiche
Le tecniche crittografiche si dividono tra simmetriche ed asimmetriche. Le prime, conosciute e sviluppate sin dai primordi della crittografia, richiedono l’esistenza di una chiave precondivisa tra gli utenti legittimi e mirano a garantire la confidenzialità dei dati scambiati tra di essi. Le seconde, introdotte negli anni settanta, prevedono invece l’utilizzo di una coppia di chiavi per ciascun utente, una delle quali viene resa pubblica. Ciò permette di ottenere confidenzialità ed autenticazione dei dati scambiati senza la necessità di disporre di un canale di comunicazione privato per veicolare chiavi precondivise.
Una scienza che complementa la crittografia nel più ampio contesto della crittologia è la crittanalisi, ovvero l’analisi delle tecniche crittografiche allo scopo di verificarne la robustezza ed evidenziarne eventuali vulnerabilità. È pertanto la crittanalisi la disciplina che si occupa dello studio e dello sviluppo di metodi di attacco contro le tecniche crittografiche, creando così il dualismo necessario al mantenimento di adeguati livelli di sicurezza con l’evolvere del sapere e delle tecniche.
Entrambe le discipline fanno riferimento al concetto di complessità come prima metrica per stabilire l’efficienza e la sicurezza di un sistema crittografico: la complessità delle operazioni di cifratura e decifratura deve essere contenuta per gli utenti legittimi, mentre la complessità di violare il sistema deve essere al di sopra delle possibilità di un attaccante. Pertanto sia l’efficienza che, soprattutto, la sicurezza di un sistema crittografico dipendono dal tipo di algoritmi e di dotazione di calcolo di cui possono avvalersi sia gli utenti legittimi che gli attaccanti.
Computer quantistici, che cambia per la crittografia
Per quanto riguarda le risorse di calcolo, dall’inizio dell’era dell’informazione fino ad oggi il riferimento principale è stato quello dei calcolatori elettronici, capaci di lavorare sempre più velocemente sfruttando i principi della fisica classica. Essi utilizzano l’elettronica digitale per lavorare su dati rappresentati in bit. Tuttavia, a partire dagli anni ottanta tale paradigma è stato affiancato da quello del computer quantistico, ovvero di un computer capace di sfruttare i principi della fisica quantistica per lavorare su dati rappresentati in bit quantistici, o qubit. Sebbene la possibilità di realizzare un computer quantistico sia esistita solo a livello teorico per molti anni, oggi vi sono esperimenti e prototipi che dimostrano la concreta fattibilità del computer quantistico.
Infatti, un computer quantistico a 16-qubit è stato sviluppato da IBM nell’ambito del progetto quantum experience ed è disponibile al pubblico per l’esecuzione di esperimenti. Anche l’azienda D-Wave ha sviluppato una propria versione di computer quantistico, basata su un differente fenomeno fisico, e diversi governi ed enti privati hanno dedicato ingenti finanziamenti a programmi di sviluppo di computer quantistici per vari scopi.
Uno degli ambiti in cui l’avvento dei computer quantistici si preannuncia particolarmente dirompente è quello della crittanalisi. Infatti, già nel 1994 il matematico Peter Shor ha ideato un algoritmo per computer quantistici che è capace di risolvere il problema della fattorizzazione di grandi numeri interi in tempo polinomiale. Ciò comporta che tutti i sistemi crittografici che basano la loro sicurezza sulla difficoltà della soluzione di tale problema o del correlato problema del calcolo del logaritmo discreto sono da considerarsi insicuri nei confronti di attaccanti muniti di computer quantistici. Tra questi ricadono alcuni dei più diffusi sistemi di crittografia asimmetrica e firma digitale, come i sistemi RSA ed ElGamal.
Anche nei casi in cui l’algoritmo di Shor non può essere applicato, il computer quantistico può determinare una significativa accelerazione nella soluzione di alcuni problemi rispetto al computer classico. Ad esempio, l’algoritmo quantistico introdotto da Lov Grover nel 1996 permette di eseguire ricerche di elementi unici in liste non ordinate in un tempo pari alla radice quadrata di quello richiesto da un computer classico.
Cos’è la crittografia post-quantica e quantistica
Sulla base di queste premesse, è nata la branca della crittografia nota col nome di crittografia post-quantica. Essa consiste nella definizione e nello studio di sistemi crittografici capaci di garantire elevati livelli di sicurezza anche nei confronti di attaccanti muniti di computer quantistici. La prima sfida in questo ambito consiste nell’individuazione di problemi matematici di difficile soluzione per un attaccante che, a differenza del problema della fattorizzazione di grandi numeri, non risentano significativamente dell’esistenza di computer quantistici. I problemi matematici più noti che hanno questa caratteristica sono basti su:
– Codici correttori di errori
Il problema della decodifica di un codice lineare a blocco che ad un attaccante appaia generato a caso non può essere risolto in tempo polinomiale né con un computer classico né con uno quantistico.
– Reticoli
Diversi problemi definiti sulle strutture algebriche note come reticoli non ammettono soluzioni in tempo polinomiale né con computer classici né con computer quantistici. Tra questi, la ricerca di vettori particolari all’interno del reticolo.
– Equazioni polinomiali multivariate
La soluzione di sistemi di equazioni polinomiali a variabili multiple è un altro problema riconosciuto impossibile da risolvere in tempo polinomiale sia con computer di tipo classico che quantistico.
L’urgenza di definire, valutare e standardizzare sistemi crittografici post-quantici che sfruttino questi ed altri problemi resistenti ad attaccanti dotati di computer quantistici al fine di sostituire quelli attualmente in uso e vulnerabili ha indotto il NIST ad indire una competizione pubblica a tale scopo[2]. Tale processo avrà una durata prevista tra tre e cinque anni, e si articolerà in round consecutivi per la selezione delle proposte avanzate. Le proposte ammesse al primo round di selezione sono 69, e tra queste ne figurano due avanzate dall’Università Politecnica delle Marche in collaborazione con il Politecnico di Milano[3].
Se da un lato lo sviluppo di primitive crittografiche post-quantiche consentirà agli utenti dotati di computer classici di resistere ad attaccanti dotati di computer quantistici, d’altro canto la disponibilità di dispositivi di calcolo e comunicazione quantistici consentirà agli utenti di avvalersi di tecniche per la protezione dell’informazione che sfruttino anch’esse i principi della fisica quantistica. Si parla in tal caso di crittografia quantistica, branca della crittografia che promette di raggiungere livelli di sicurezza irraggiungibili sfruttando la fisica classica.
In tale ambito, l’esempio ad oggi più rilevante e concreto è quello della distribuzione quantistica di chiavi. Tale tecnica, sfruttando i principi delle comunicazioni quantistiche, permette infatti di trasmettere una chiave segreta da un utente ad un altro raggiungendo la condizione di segretezza perfetta dal punto di vista matematico, e pertanto rendendo inutili eventuali tentativi di intercettazione. Inoltre le caratteristiche quantistiche dei fenomeni fisici utilizzati rendono intrinsecamente inevitabile il rilevamento della presenza di eventuali attaccanti passivi.
Le tecniche di crittografia quantistica naturalmente comportano costi elevati conseguenti all’adozione di apparati capaci di sfruttare i principi della fisica quantistica, e pertanto, a differenza delle tecniche di crittografia post-quantica, si prestano principalmente all’uso in contesti governativi o di grandi realtà aziendali, piuttosto che di singoli individui e di realtà aziendali medio/piccole.
