La quantistica rivoluzionerà la sicurezza, la privacy: ecco progressi della ricerca e sfide aperte

Ormai da alcuni anni, le comunicazioni quantistiche e i computer quantistici sono annoverati fra le tecnologie strategiche che saranno decisive nel determinare gli equilibri geopolitici ed economici nei prossimi decenni.

Il dibattito sulle loro implicazioni per la sicurezza delle reti è particolarmente vivace e la minaccia che i computer quantistici riescano, prima o poi, a violare i protocolli di sicurezza con cui i nostri dati sono trasmessi e immagazzinati, è usata spesso dalle industrie e dai centri di ricerca del settore per stimolare investimenti pubblici o privati.

Calcolo quantistico di secondo tipo, ecco perché fa gola a mercati e istituzioni

Da un lato, ciò ha permesso la nascita di nuove startup ad alto contenuto tecnologico, facilitando il trasferimento di conoscenze e di personale dal mondo accademico all’industria; dall’altro, c’è il rischio di disperdere tali investimenti in molteplici attività di ricerca di limitato impatto sull’economia e la società, anche se di alto valore scientifico.

Questo articolo intende fornire una revisione critica delle implicazioni che l’avvento dei computer quantistici e delle tecniche di crittografia quantistica avrà per la sicurezza delle reti. Si illustreranno i rapidi progressi della ricerca ma anche le sfide che rimangono ancora da affrontare prima che i sistemi di comunicazione e calcolo quantistico possano essere immessi sul mercato su larga scala. L’analisi affronterà diversi aspetti pratici di fattibilità e i necessari compromessi tra sicurezza garantita e complessità d’implementazione.

Saranno anche discussi gli aspetti di standardizzazione, molto importanti per stabilire benchmark di sicurezza comuni per sistemi che utilizzano tecnologie diverse o sono prodotti da industrie diverse.

Sistemi di distribuzione di chiavi quantistiche

La crittografia classica si basa sul presupposto che sia impossibile risolvere alcuni problemi matematici di particolare difficoltà in un lasso di tempo realistico. I sistemi come la distribuzione di chiavi quantistiche (Quantum Key Distribution, QKD) sono stati inventati proprio per scongiurare il pericolo che dati crittografati oggi possano essere decifrati domani, con l’aumentare della potenza degli strumenti di calcolo. É noto, per esempio, che computer quantistici molto potenti potrebbero efficacemente risolvere problemi, come la fattorizzazione di grandi numeri, intrattabili con i metodi classici, violando in tal modo gli algoritmi attualmente utilizzati per la distribuzione delle chiavi di cifratura e delle firme digitali. Le tecniche di crittografia quantistica QKD utilizzano alcune leggi fondamentali della fisica per permettere a due utenti, chiamati in gergo Alice e Bob, di scambiarsi chiavi di cifratura intrinsecamente sicure.

Un esempio di tali leggi è il teorema di non-clonazione, che assicura che uno stato quantistico non possa essere copiato senza essere distrutto. L’idea alla base di un sistema QKD è infatti che ogni misura di una variabile quantistica (ad esempio la polarizzazione di un fotone trasmesso in fibra ottica) ne perturba il valore in maniera irreversibile, rendendo così possibile rilevare la presenza di un’eventuale spia, chiamata Eva in gergo. Nei sistemi QKD a variabile discreta (Discrete Variable Quantum Key Distribution, DV-QKD) la variabile quantistica può assumere un numero finito di valori discreti mentre nei sistemi QKD a variabile continua (Continuos Variable Quantum Key Distribution, CV-QKD) essa può variare su un intervallo continuo di valori.

Il protocollo BB84

I sistemi DV-QKD sono stato introdotti per primi e ne esistono già implementazioni commerciali basate sul protocollo BB84, inventato nel 1984 da Charles H. Bennett e Gilles Brassard [1]. Nel protocollo BB84, Alice genera un bit e lo codifica in una di due diverse basi usate per misurare lo stato di polarizzazione di un fotone. In ciascuna base, uno stato di polarizzazione è utilizzato per codificare un bit “0” e lo stato ad esso ortogonale è utilizzato per codificare un bit “1”. Bob ignora la base utilizzata da Alice e misura la polarizzazione dei fotoni ricevuti selezionando a caso una delle due basi. Se le basi di Alice e Bob coincidono, Bob rileverà il valore di bit corretto. In caso contrario, la misura risulterà errata con una probabilità del 50%.

Dopo aver scambiato una lunga sequenza di fotoni, Alice e Bob confrontano le basi che hanno utilizzato per ogni fotone, comunicando su un normale canale dati e conservando solo i bit generati con la stessa base. Questi bit formano la chiave di cifratura. Diversi protocolli DV-QKD sono stati proposti dopo BB84. Alcuni sono semplici varianti del protocollo BB84 che utilizzano una variabile quantistica diversa dalla polarizzazione, ad esempio la fase o il momento angolare orbitale dei fotoni. Altri utilizzano un numero di stati maggiore di due per migliorare la tolleranza al rumore. Altri ancora, come il protocollo BBM92 [2] utilizzano coppie di fotoni entangled distribuiti a più utenti di una rete di telecomunicazioni.

Due particelle si dicono entangled se la misura di una cambia le proprietà dell’altra, anche se le due particelle sono situate a distanza tale da non permettere la trasmissione di informazione, neanche alla velocità della luce. Si tratta di un’affascinante proprietà della meccanica quantistica, affine al teletrasporto dei film di fantascienza. I sistemi CV-QKD utilizzano impulsi luminosi invece di singoli fotoni. Non si entrerà qui nel dettaglio del loro funzionamento [3]. Ci si limiterà a dire che essi possono fare uso di dispositivi ottici già sviluppati e disponibili in commercio per i sistemi di comunicazione ottica coerente [5]. Questo è un vantaggio rispetto ai sistemi DV-QKD, che richiedono invece dispositivi dedicati, come sorgenti e rivelatori a singolo fotone. Lo svantaggio è che il limite teorico di sicurezza che può essere garantito con un sistema CV-QKD non è ancora noto.

Limiti di distanza e ripetitori quantistici

Qualsiasi sistema QKD che trasmette su fibra ottica soffre di forti limitazioni di distanza rispetto ai sistemi classici di comunicazione, a causa dell’impossibilità di utilizzare amplificatori ottici, imposta dal teorema di non clonazione. Il record di distanza è oggi di 421 km su fibre ottiche a bassa perdita. Sistemi QKD commerciali, che lavorano su fibre già installate, raggiungono distanze molto più brevi, come 80 km. Per superare questi limiti di distanza, i ricercatori stanno studiando i ripetitori quantistici, che funzionano in base di due diversi approcci: un primo approccio si basa su tecniche quantistiche di correzione d’errore, l’altro sull’entanglement. Come nei classici algoritmi di correzione d’errore, il primo metodo aggiunge ai qubit di informazione dei qubit di ridondanza che vengono utilizzati per correggere gli errori introdotti dal canale. Il qubit è l’unità di informazione di un sistema quantistico. Esso è dato dalla sovrapposizione di due bit (come se un oggetto potesse essere bianco e nero allo stesso tempo). Si tratta di una proprietà sconcertante della fisica fondamentale che non trova riscontro nella normale vita quotidiana.

Questo tipo di ripetitori richiede tecniche di calcolo quantistico, ovvero l’utilizzo di computer quantistici. Il primo ripetitore quantistico, introdotto nel 1998, si basava invece sull’entanglement [6]. I ripetitori basati sull’entanglement richiedono memorie quantistiche in grado di memorizzare uno stato quantistico per un tempo sufficientemente lungo, un problema tecnologico tuttora irrisolto che si traduce in un funzionamento probabilistico, ovvero nella necessità di ripetere una determinata procedura fino a quando essa non riesce. Nonostante recenti risultati di ricerca, la commercializzazione dei ripetitori quantistici non è all’orizzonte. L’agenda strategica del programma di ricerca europeo Quantum Technology Flagship prevede la dimostrazione di una catena di ripetitori quantistici distribuiti su 800 km di fibra ottica entro 6-10 anni.

Sicurezza dei sistemi di crittografia quantistica

È convinzione generale che i sistemi QKD siano intrinsecamente sicuri. Tuttavia, ciò è vero solo per un sistema QKD ideale in cui chiave di cifratura e messaggio da trasmettere coincidono (sistemi one-time pad). A causa del grande divario di velocità di trasmissione tra comunicazioni quantistiche e comunicazioni classiche (Megabit e Terabit al secondo, rispettivamente), nei sistemi QKD reali la chiave di cifratura quantistica è condivisa da Alice e Bob solo all’inizio della trasmissione; dopodiché, si usano classici algoritmi simmetrici di crittografia, come Advanced Encryption Standard (AES), che utilizzano tale chiave. Questi algoritmi sono molto sicuri e robusti rispetto agli attacchi di un computer quantistico.

Il rumore è una fonte di errore nei sistemi QKD, anche in assenza di una spia che voglia accedere ai dati. Interrompere la comunicazione e scartare la chiave ogni volta che viene rilevato un errore sarebbe poco pratico, essendo rumore ed imperfezioni sempre presenti nei sistemi reali. Per fare fronte agli effetti del rumore mitigando il rischio che Eva possa acquisire informazioni, si usano algoritmi di correzione d’errore, seguiti dai cosiddetti algoritmi di amplificazione della privacy, che generano una nuova chiave, più breve di quella inizialmente concordata tra Alice e Bob, ignota ad Eve. La nuova chiave è calcolata in base agli errori rilevati, utlizzando una funzione Hash.

Anche l’utilizzo di componentistica non ideale, come laser e fotodiodi, rende i sistemi QKD vulnerabili agli attacchi. Ad esempio, quando il laser emette un certo numero di fotoni invece di un solo fotone, alcuni di essi possono essere intercettati da Eve, senza alcun impatto sui fotoni scambiati da Alice e Bob (un tipo di attacono noto come Photon Number Splitting o PNS). Per evitare gli attacchi PNS, il protocollo BB84 è stato modificato introducendo stati aggiuntivi, detti stati esca [7]. Non si entrerà qui nel dettagli del nuovo protocollo ma ci si limiterà a dire che esso è intrinsecamente sicuro, come quello originale. Sono attualmente in corso ulteriori ricerche per evitare falle di sicurezza dovute ad implementazioni non ideali del sistema o ad imperfezioni dei dispositivi, un paradigma di progetto noto come Measure-Device-Independent (MDI). Un primo esempio di protocollo MDI è stato proposto nel 2012 e testato sperimentalmente negli anni successivi. I protocolli MDI forniscono il massimo livello di sicurezza, ma la loro realizzazione è piuttosto impegnativa e la velocità di trasmissione ottenibile piuttosto bassa. Si prevede che future realizzazioni pratiche di tali sistemi dovranno accettare qualche compromesso di progettazione fra sicurezza e complessità di implementazione.

Infine, si è già accennato al fatto che il limite teorico di sicurezza che può essere garantito con un sistema CV-QKD reale non è noto. Più in dettaglio, la sicurezza dei sistemi CV-QKD può essere garantita solo per chiavi molto lunghe e di poco interesse pratico. In sistemi CV-QKD reali, il segnale trasmesso, continuo in teoria, è in realtà discretizzato, rendendo difficile una dimostrazione teorica del grado di sicurezza, a causa dei cosidetti effetti di demensione finita (finite size effects). Inoltre, nei sistemi CV-QKD è necessario stimare accuratamente il rumore introdoto dai dispositivi, poiché esso influenza l’accuratezza della stima della chiave. La sensibilità al rumore rende i sistemi CV-QKD vulnerabili ad attacchi che sfruttano le impefezioni dei dispositivi utilizzati. Prevenire tali attacchi richiede una calibrazione accurata e il monitoraggio continuo del sistema.

Computer quantistici e sicurezza

Lo sviluppo dei computer quantistici sta procedendo rapidamente. Alcuni ricercatori hanno recentemente affermato di aver raggiunto la supremazia quantistica, ovvero la capacità dei computer quantistici di eseguire calcoli complessi, inaccessibili anche a grandi cluster di supercomputer. Anche se, in questi lavori di ricerca, il problema da risolvere non aveva interesse pratico ed era stato scelto ad hoc, il risultato è notevole e segna la strada ad un futuro in cui i computer quantistici potranno trovare applicazione nelle reti di telecomunicazioni e nel Cloud [8] [9]. Esempi di applicazioni abilitate dai computer quantistici sono:

• il blind quantum computing, in cui l’utente può delegare il calcolo quantistico a utenti sconosciuti senza esporre informazioni sensibili;
• algoritimi di consenso (come la Fast Byzantine Negotiation), in cui l’utente può raggiungere un accordo su informazioni condivise con altri utenti, solo se questi ultimi sono riconosciuti come affidabili;
• condivisione di informazioni segrete, in cui nessun singolo utente può leggere un messaggio segreto, ma solo l’insieme di tutti i destinatari;
• la verifica della posizione, tramite cui l’utente può verificare la posizione geografica di un altro utente mediante algoritmi quantistici.

Tuttavia, ciò non significa che i computer quantistici siano vicini a violare gli algoritmi crittografici usati oggi nelle reti. Il computer quantistico utilizzato per rivendicare la supremazia quantistica aveva 54 qubit fisici che, dopo la correzione degli errori, corrispondono solo a una frazione di un singolo qubit logico. La violazione di un qualsiasi algoritmo crittografico richiederebbe invece diverse migliaia di qubit. La maggior parte dei sistemi di crittografia odierni utilizza una combinazione di algoritmi simmetrici, come Advanced Encryption Standard (AES) e Secure Hash Algorithm (SHA) e algoritmi asimmetrici, come quello di Rivest-Shamir-Adleman (RSA) e gli algoritmi basati su curve ellittiche. Per lo scambio di chiavi vengono di solito utilizzati algoritmi asimmetrici come l’algoritmo di Diffie-Hellman, firme digitali asimmetriche sono usate per autenticare lo scambio di chiavi e la crittografia a chiave pubblica asimmetrica viene utilizzata per non rivelare la propria identità. Algoritmi simmetrici come AES e SHA-256 sono invece utilizzati per calcolare la chiave e per proteggere i dati. La sicurezza della maggior parte degli algoritmi crittografici si basa sul presupposto, spesso non dimostrato, che essi non possano essere violati con una potenza di calcolo finita.

Esistono algoritmi teoricamente sicuri ma sono usati raramente, in quanto troppo onerosi. Gli algoritmi asimmetrici utilizzati in pratica si basano sulla difficoltà di fattorizzare di grandi numeri interi o di calcolare il logaritmo discreto. Computer quantistici abbastanza potenti sarebbero in grado di risolvere entrambi i problemi utilizzando l’algoritmo di Shor [11]. L’algoritmo di Shor riesce a fattorizzare un numero intero in una quantità di passi che è una funzione polinomiale del numero di bit utilizzati per esprimere il numero stesso. Tale funzione è invece esponenziale per gli algoritmi classici. Ciò espone gli algoritmi asimmetrici a rischi futuri, anche se lontani nel tempo. Gli algoritmi simmetrici sono invece abbastanza robusti ad attacchi di computer quantistici: persino un ipotetico computer quantistico in grado di violare l’algoritmo asimmetrico RSA-2048 (che richiede la scomposizione in due fattori di un numero intero lungo 2048 bits, il cui ordine di grandezza è 1 seguito da 616 zeri) non rappresenterebbe una minaccia seria per AES-128, che richiede la verifica seriale, tramite un approccio di forza bruta, di 2¹²⁸ possibili valori di chiave (un numero il cui ordine di grandezza è 1 seguito da 28 zeri).

L’algoritmo di Grover [12], concepito per computer quantistici, rende più efficiente la ricerca di dati in database non strutturati, anche se con un guadagno di efficienza abbastanza modesto rispetto agli algoritmi classici (il numero di passi è proporzionale alla radice quadrata del numero di elementi del database, invece che al numero stesso). Ciò lo rende comunque inefficace contro i moderni algoritmi di cifratura simmetrica. Inoltre, esso non può essere parallelizzato in maniera efficiente, al contrario degli agoritmi classici. Ad esempio, se si dimezza la lunghezza del database, due algoritmi di ricerca classici che agiscono in parallelo impiegheranno metà del tempo a trovare il valore cercato. Con l’algoritmo di Groover, il tempo è solo 21,4 volte minore.

Standardizzazione dei sistemi di crittografia quantistica

La standardizzazione dei sistemi di crittografia quantistica è molto importante per avere criteri comuni di sicurezza per sistemi basati su diverse architetture e tecnologie. Inoltre, essa è un requisito essenziale per l’adozione delle tecniche di QKD nelle reti di comunicazioni fisse e mobili. Molte delle organizzazioni attive nella standardizzaione delle reti di telecomunicazioni hanno fatto partire iniziative in tale direzione. Gli aspetti di rete dei sistemi di comunicazione basati su QKD sono affrontati dallo Study Group 13 dell’ITU-T. All’ETSI, è attivo l’Industry Specification Group on Quantum Key Distribution (ISG-QKD) che ha l’intento di consentire la condivisione di chiavi senza richiedere agli utenti eccessiva potenza di calcolo. All’IETF, il Quantum Internet Proposed Research Group (QIRG), studia le nuove capacità di comunicazione e calcolo remoto offerte dalle tecnologie quantistiche. Infine, lo sviluppo di una roadmap europea delle tecnologie quantistiche è in fase di definizione al CEN-CENELEC, in sinergia col programma di ricerca della Quantum Technology Flagship. Ambedue i programmi vedono la partecipazione non solo di importanti centri di ricerca ma anche delle industrie che saranno gli utenti finali di tali tecnologie, come Ericsson, Airbus, Infineon e Thales. Infine, La GSMA ha fatto recentemente partire un gruppo di lavoro che ha il compito di capire le implicazioni delle comunicazioni quantistiche, inclusa la QKD, per l’evoluzione delle reti di telecomunicazione. Fanno parte del gruppo sia operatori di rete come TIM, SKT, AT&T, T-Mobile, Verizon Orange e Telefonica che industrie come Nokia ed Ericsson.

Per mitigare il rischio che, prima o poi, computer quantistici possano violare gli algoritmi di cifratura asimmetrica eseguendo l’algoritmo di Shor, sono in fase di sviluppo e standardizzazione algoritmi di cifratura cosidetti post-quantistici. Si tratta di algoritmi che, pur essendo basati su metodi matematici classici e non su principi di fisica quantistica, sono resistenti agli attachi da parte dei computer quantistici [13]. Il National Institute of Standards and Technology (NIST), negli Stati Uniti, sta standardizzando algoritmi per la firma digitale, metodi di crittografia a chiave pubblica e algoritmi di definizione delle chiavi in accordo a questo principio e ha in programma di rilasciare la prima versione dello standard entro il 2024. Altre organizzazioni di standardizzazione come l’IETF , la 3GPP e l’IEEE potranno quindi aggiungere questi nuovi algoritmi ai protocolli di sicurezza da loro specificati. Ad esempio, l’IETF ha completato la standardizzazione di due algoritmi di firma digitale, XMSS e LMS, che sono stati adottati anche dal NIST. Allo stato dell’arte, XMSS e LMS sono gli unici algoritmi post-quantistici la cui complessità è abbastanza bassa da essere compatibile con gli attuali prodotti in commercio, ad esempio per l’aggiornamento del loro firmware. Il governo degli Stati Uniti ha annunciato che inizierà la transizione agli algoritmi crittografici post-quantistici dopo il completamento della standardizzazione da parte del NIST. Tenendo conto che la transizione richiederà diversi anni, ciò sembra indicare che esso ritiene che i computer non saranno una minaccia seria per i prossimi dieci anni e anche oltre.

Bibliografia

1. C. H. Bennett and G. Brassard. “Quantum cryptography: Public key distribution and coin tossing”. In Proceedings of IEEE International Conference on Computers, Systems and Signal Processing, volume 175, page 8. New York, 1984.
2. C. H. Bennett, G. Brassard, and N. D. Mermin, “Quantum cryptography without Bell’s theorem,” Phys. Rev. Lett. 68, 557 (1992)
3. Ch. Silberhorn, T. C. Ralph, N. Lütkenhaus, and G. Leuchs, “Continuous Variable Quantum Cryptography: Beating the 3 dB Loss Limit”, Phys. Rev. Lett. 89, 167901 (25 S
4. eptember 2002)
5. Kazuro Kikuchi, “Fundamentals of Coherent Optical Fiber Communications,” Journal Of Lightwave Technology, Vol. 34, No. 1, January 1, 2016
6. H.-J. Briegel, W. D¨ur, J. I. Cirac, and P. Zoller, “Quantum Repeaters: The Role of Imperfect Local Operations in Quantum Communication,” Phys. Rev. Lett. 81, 5932 (1998).
7. Lo, Hoi-Kwong, Xiongfeng Ma, and Kai Chen. “Decoy state quantum key distribution.” Physical review letters 94.23 (2005): 230504.

1. https://www.ericsson.com/en/blog/2019/9/quantum-computers-future-telecom-infrastructure
2. https://www.ericsson.com/en/blog/2019/7/introduction-to-quantum-computer-technology
3. Lo, Hoi-Kwong, Marcos Curty, and Bing Qi. “Measurement-device-independent quantum key distribution.” Physical review letters 108.13 (2012): 130503.
4. Shor, P.W. (1994). “Algorithms for quantum computation: discrete logarithms and factoring”. Proceedings 35th Annual Symposium on Foundations of Computer Science. IEEE Comput. Soc. Press: 124–134. doi:10.1109/sfcs.1994.365700. ISBN 0818665807.
5. Grover L.K.: A fast quantum mechanical algorithm for database search, Proceedings, 28th Annual ACM Symposium on the Theory of Computing, (May 1996) p. 212.

1. https://www.ericsson.com/en/blog/2020/3/post-quantum-cryptography-symmetric-asymmetric-algorithms