Le tecnologie quantistiche rappresentano uno degli sviluppi tecnologici più interessanti di questa epoca. In particolare, il quantum computing sta aprendo la strada a prospettive prima solo immaginabili e comunque irraggiungibili con i metodi tradizionali di elaborazione. Tuttavia, questa enorme potenza di calcolo comporta anche serie minacce alla sicurezza delle comunicazioni e alla protezione dei dati.
L’avanzamento della capacità di calcolo dei quantum computer, infatti, renderà “violabile” la crittografia comunemente utilizzata per proteggere le comunicazioni. La tecnologia quantistica però mette a disposizione anche gli strumenti per fronteggiare questa concreta minaccia.
Gli studi sullo scenario italiano
Questo articolo parte da due studi recentemente pubblicati dal Comitato Ricerca, Sviluppo e Innovazione, di Anitec-Assinform – l’Associazione che rappresenta le aziende del settore ICT e dell’innovazione digitale in Italia – in collaborazione con il CNR: “Il Quantum Computing a supporto della trasformazione digitale italiana” e “Tecnologie Quantistiche per sicurezza delle Comunicazioni Digitali”[1]. Su questa base prenderemo in considerazione lo scenario italiano, evidenziando la presenza di competenze e risorse di eccellenza per sfruttare le tecnologie quantistiche con l’obiettivo di innalzare il livello di sicurezza ad un punto tale da non temere più neanche la minaccia del computer più potente, classico o quantistico che sia.
Considerando la complessità, i costi e l’importanza strategica di questi argomenti cercheremo di delineare un possibile percorso di collaborazione pubblico-privato per la costruzione di una nuova rete per la distribuzione di servizi di sicurezza con tecnologie quantistiche e per garantire la piena competitività del Paese in questo campo.
Il computer quantistico come opportunità e minaccia
I computer che utilizziamo quotidianamente si basano sul modello di macchina di Turing, che ha la capacità di eseguire operazioni in sequenza e di archiviare i dati in una memoria. Di conseguenza, all’aumentare della complessità di un algoritmo, aumenta il tempo di esecuzione. Per parecchi problemi questo tempo può crescere enormemente, nell’ordine delle centinaia o migliaia di anni, tale quindi da rendere il problema praticamente irrisolvibile. Gli algoritmi attualmente in uso per la protezione delle informazioni basano il proprio livello di sicurezza proprio su questa complessità computazionale.
I computer quantistici invece adottano un modello completamente differente. Nei computer classici le informazioni sono codificate come sequenze di bit che possono valere solo 0 o 1. L’unità di calcolo dei computer quantistici invece utilizza i qubit, i quali possono assumere un qualsiasi valore all’interno di una sfera di probabilità. Inoltre, i qubit possono essere messi in uno stato di sovrapposizione, una sorta di “forse digitale” che gli permette di rimanere indecisi tra sì e no fin quando non vengono letti. Poiché esistono infiniti gradi di indecisione, ad esempio 50% sì e 50% no, 30% sì e 70% no e così via, la sovrapposizione dei qubit permette di generare istantaneamente tutte le soluzioni possibili di un problema. In questo modo, alcuni problemi prima irrisolvibili anche utilizzando computer classici molto potenti, con un computer quantistico possono essere risolti in tempi molto brevi. Tra questi ricadono proprio gli algoritmi usati per la protezione dei dati.
È innegabile che il computer quantistico, utilizzato insieme ai computer classici, permetterà di risolvere problemi oggi impossibili. Tuttavia, questa potenza di calcolo rappresenta anche una nuova minaccia alla sicurezza.
Il momento per agire è oggi (ed è già tardi)
La tecnologia attuale dei computer quantistici è solo all’inizio. Tuttavia, questa non è una buona motivazione per sentirci troppo al sicuro.
Sebbene il momento in cui la minaccia di un attacco quantistico sia ancora relativamente lontano, è molto importante cominciare a proteggere i dati in anticipo, ad esempio per difendersi da attacchi di tipo “harvest now, decrypt later”, ovvero entità che “copiano” i dati criptati oggi per poi decriptarli non appena saranno disponibili computer quantistici abbastanza potenti.
Nell’aprile 2016, la comunità internazionale della cybersecurity è stata scossa dall’annuncio del NIST [2]: “Regardless of whether we can estimate the exact time of the arrival the quantum computing era, we must begin now to prepare our information security systems to be able to resist quantum computing”
Questo avvertimento va letto con molta attenzione perché mette in evidenza almeno due elementi molto importanti. Il primo riguarda i limiti della tecnologia attuale. I computer quantistici, infatti, saranno in grado di rompere gli schemi crittografici a chiave asimmetrica che sono attualmente usati per la protezione delle comunicazioni e dei dati. Il secondo è indipendente dalla tecnologia e riguarda le procedure e i processi di cui ogni organizzazione deve dotarsi per individuare quali sono i dati da proteggere e come vengono gestiti oggi, in modo tale da essere coscienti del rischio e preparare adeguate misure per la sua riduzione. L’analisi e l’adeguamento dei processi passa sotto il nome di Crypto Agility e assume un ruolo strategico. Negli Stati Uniti, lo stesso presidente Biden, nel maggio del 2022 ha inviato un memorandum alle agenzie governative statunitensi in cui definisce tempi molto chiari per la mappatura e sostituzione degli schemi crittografici vulnerabili [3].
Proteggere le comunicazioni nell’era quantistica
La protezione dei dati e delle comunicazioni si basa sull’applicazione di tecniche crittografiche. Si tratta mi metodi matematici che consentono di oscurare il contenuto di un messaggio che può essere decodificato solo da chi possiede la chiave corretta. Senza la chiave il messaggio, anche se venisse intercettato, non sarebbe di alcuna utilità. Inoltre, la stessa matematica garantisce che un messaggio codificato con una chiave crittografica simmetrica di adeguata lunghezza non potrà essere decodificato indipendentemente dalla capacità computazionale dell’avversario. Questo concetto prende il nome di sicurezza incondizionata e mette al sicuro anche da future minacce di computer quantistici.
Quindi un tema fondamentale alla base della sicurezza dei dati e delle comunicazioni è quello di distribuire chiavi crittografiche in maniera confidenziale, ossia con la sicurezza assoluta che nessuno, se non il legale destinatario, possa entrare in possesso della chiave.
I metodi utilizzati attualmente mostrano alcune debolezze rispetto alla minaccia quantistica.
Il sistema maggiormente utilizzato è la Public Key Infrastructure (PKI) che si basa su un meccanismo di scambio di chiavi asimmetriche e di certificati digitali. La sua forza è la complessità computazionale per la decodifica delle chiavi asimmetriche che viene però superata dalla potenza di calcolo del computer quantistico.
Il sistema perfetto in termini di sicurezza è talmente semplice quanto difficilmente utilizzabile su larga scala. Consiste nel condividere una lista di chiavi simmetriche che vengono inviate fisicamente alla coppia di interlocutori. Il metodo delle Pre-Shared Key (PSK) però non risolve il problema della distribuzione delle chiavi e non è in grado di proteggersi dalla duplicazione di una chiave. Questo meccanismo viene usato efficacemente quando il numero di utenti è molto piccolo. Infatti, dato che a ogni utente deve essere recapitata una lista diversa per ogni altro utente con il quale intende parlare, al crescere del numero di utenti il numero di liste PSK da distribuire cresce in maniera combinatoriale.
Un nuovo approccio è la Post-Quantum Cryptography (PQC) che ha richiesto di sviluppare nuovi concetti matematici per creare problemi che risultano complessi anche per i quantum computer. Al momento sono stati selezionati alcuni algoritmi che sono in fase di analisi e validazione. Questa tecnologia è molto interessante ma ha lo svantaggio di non essere ancora completamente validata per la distribuzione su larga scala.
Tecnologie quantistiche per la sicurezza: QKD, QRNG
Se la sfida alla sicurezza è generare chiavi crittografiche robuste e distribuirle ai destinatari garantendone l’assoluta riservatezza, le tecnologie quantistiche offrono una possibile soluzione.
La Quantum Random Number Generation (QRNG) risolve il problema della creazione di chiavi robuste. La tecnologia genera sequenze di numeri casuali, superando il limite delle tecniche di generazione di numeri cosiddetti pseudocasuali, ossia ottenuti applicando una funzione matematica.
La Quantum Key Distribution (QKD) invece affronta il problema di distribuire una chiave garantendo la confidenzialità.
Dal punto di vista fisico, la QKD si basa sulla trasmissione di un singolo fotone su un canale quantistico che normalmente è costituito da una tratta in fibra ottica o satellite. Il fotone trasporta l’informazione di un qubit. Rispetto al bit, che può assumere solo il valore 0 oppure 1, un qubit può essere rappresentato come una distribuzione di probabilità in una sfera. Le leggi fisiche della meccanica quantistica assicurano che il qubit non può essere intercettato perché nel momento nel quale viene letto viene anche distrutta l’informazione che porta. Questo meccanismo sta alla basa della confidenzialità delle informazioni trasmesse sul canale quantistico. Un ulteriore vantaggio della QKD consiste nel fatto che ogni tentativo di intercettazione viene rivelato dalla presenza di errori di trasmissione nello stato dei fotoni e il processo di generazione della chiave viene così interrotto.
La tecnologia QKD però ha alcune limitazioni fisiche. Il fotone non può essere amplificato lungo la tratta di trasmissione. Di conseguenza i collegamenti QKD hanno una lunghezza limitata, a esempio, nell’ordine del centinaio di chilometri su una fibra dedicata o su poche decine di chilometri su una fibra utilizzata anche per traffico dati. Questi limiti rappresentano importanti elementi da tener presenti nella costruzione della rete fisica dei collegamenti QKD. Sono in corso studi per allungare queste tratte utilizzando Trusted Nodes o, in futuro, Quantum Repeater. Si tratterà comunque, per quanto lungo possa essere, di un solo segmento.
Reti per la distribuzione della sicurezza
La QKD assolve molto bene al compito di trasmettere una chiave crittografica su un singolo link realizzato da un canale quantistico (fibra ottica, free-space satellitare o terrestre) ma ha importanti limitazioni rispetto alla lunghezza della tratta e alla distribuzione capillare delle chiavi.
Per passare dal singolo link a una rete geografica è necessario introdurre un livello di astrazione chiamato Key Management Layer. Si tratta di un livello puramente software posto tra la rete fisica di generazione delle chiavi crittografiche e le applicazioni che le useranno. Il Key Management Layer ha anche il ruolo di fornire alle applicazioni un’interfaccia omogenea in maniera trasparente rispetto alla tecnologia fisica sottostante e le sue limitazioni. Di conseguenza rappresenta un investimento per le applicazioni che potranno richiedere chiavi crittografiche con le caratteristiche di qualità desiderate senza però doversi preoccupare della difficoltà nel recuperarle.
Una prima conclusione, dal punto di vista della tecnologia, è che oggi esiste una soluzione in grado di offrire un livello di sicurezza incondizionato costituito dalla somma di: infrastruttura di rete, QRNG, QKD, Key Management Layer.
Questa soluzione è per sua natura multidisciplinare perché ha bisogno della collaborazione di competenze, infrastrutture, apparati specifici a diversi livelli della soluzione. Quindi per realizzare la nuova rete per la distribuzione della sicurezza sarà necessario instaurare una forte collaborazione tra molti attori, tutti necessari per ottenere il risultato finale della sicurezza incondizionata.
La situazione italiana
In Italia sono presenti diverse industrie importanti per quanto riguarda la costruzione dell’infrastruttura della rete fisica e per la realizzazione delle funzioni di controllo, tra le quali ricade il Key Management Layer. Il livello degli apparati specifici invece è presidiato da PMI ad altissimo contenuto tecnologico. Si tratta di una buona notizia perché permetterebbe di realizzare già oggi una rete QKD con tecnologia italiana. Questo aspetto è particolarmente importante perché i prodotti commerciali attualmente disponibili per la QKD sono di provenienza asiatica mentre il problema che indirizzano riguarda aspetti legati alla sicurezza nazionale e dell’Unione europea.
Data la complessità, l’elevato livello di interdisciplinarietà e soprattutto i costi di questa tecnologia è chiaro che le aziende e le università da sole non sono in grado di affrontare un’impresa del genere perché alla fine il mercato non è ancora pronto a ripagare questo investimento. Tuttavia, attendere che le condizioni di mercato siano mature significherebbe non posizionarsi all’interno di questi mercati in favore di altri attori che nel frattempo avranno investito e sviluppato tecnologie e competenze. Per questo, l’industria digitale operante in Italia e il mondo della ricerca (CNR, Università, Politecnici) ritengono fondamentale rafforzare la collaborazione pubblico-privata per intensificare i progetti di sviluppo tecnologico e arrivare così a disporre di un adeguato livello di autonomia strategica nel settore che consenta di garantire la sicurezza digitale del Paese.
Proposte per la sicurezza
Per permettere all’Italia di consolidare la propria presenza nel campo delle comunicazioni quantistiche e di proteggere la propria sovranità digitale e la sicurezza nazionale è necessario realizzare un sistema virtuoso di collaborazione tra pubblico e privato.
Le tecnologie quantistiche, QKD e QRNG, presentate in questo articolo, possono essere messe in campo da subito grazie a una forte collaborazione pubblico-privato tra industria, PMI, mondo della ricerca e istituzioni.
In maniera più puntuale gli obiettivi da perseguire in Italia potrebbero essere i seguenti:
- Realizzare un’infrastruttura di rete fissa per la QKD. Ad esempio, reti QKD metropolitane con collegamenti in fibra ottica, collegamenti ottici terresti e satellitari;
- Supportare le aziende tecnologiche italiane per la realizzazione di una filiera quantistica nazionale;
- Creare una rete geografica di distribuzione delle chiavi crittografiche come servizio di sicurezza;
- Integrare i piani di formazione universitari per creare competenze specifiche sui sistemi crittografici avanzati;
- Garantire l’applicazione puntuale delle indicazioni previste dalla Misura #22 del Piano di Implementazione della Strategia Nazionale di Cybersicurezza 2022-2026 in relazione all’uso della crittografia fin dalla fase di progettazione di reti, applicazioni e servizi.
Conclusioni
Le tecnologie quantistiche stanno diventando disponibili e permetteranno di realizzare scenari ad oggi soltanto ipotizzabili.
Se da una parte le tecnologie come il quantum computing, oltre a rappresentare una potenzialità, costituiscono una minaccia alla sicurezza dei dati e delle comunicazioni, altre tecnologie quali la QKD e la QRNG forniscono gli strumenti per realizzare sistemi incondizionatamente sicuri, per i quali il livello di sicurezza non dipende dalla capacità computazionale del potenziale “avversario”.
L’Italia dispone delle competenze e delle aziende per realizzare una vera e propria filiera nazionale per le tecnologie quantistiche. Lo sviluppo e la messa in campo di queste tecnologie però richiede importanti investimenti a fronte di un mercato non ancora maturo. Pertanto, è fondamentale attuare un importante piano di collaborazione pubblico-privato, a partire da un’opera diffusa di educazione e formazione alla sicurezza informatica.
Note
[1] https://www.anitec-assinform.it/media/comunicati-stampa/anitec-assinform-un-approccio-di-sistema-per-lo-sviluppo-della-filiera-quantistica-nazionale.kl
[2] National Institute of Standards and Technology
[3] https://www.whitehouse.gov/briefing-room/statements-releases/2022/05/04/national-security-memorandum-on-promoting-united-states-leadership-in-quantum- computing-while-mitigating-risks-to-vulnerable-cryptographic-systems/
