I computer quantistici potrebbero rendere la crittografia un ricordo del passato: ben 15 contendenti stanno provando a dimostrare di avere dei sistemi inattaccabili per salvaguardare i dati degli utenti.
di Patrick Howell O’Neill
Molte attività online quotidiane sono protette dalla crittografia in modo che nessun altro possa spiare. Il banking online e i messaggi agli amici sono criptati allo stesso modo dei segreti del governo. Ma questa protezione è messa in discussione dallo sviluppo di computer quantistici, che minacciano di rendere inutili i moderni metodi di crittografia.
Le macchine quantistiche funzionano in modo sostanzialmente diverso dai computer classici che si utilizzano oggi. Invece del codice binario tradizionale, che rappresenta le informazioni con 0 e 1, compaiono bit quantistici o qubit. Le insolite proprietà dei qubit rendono i computer quantistici molto più potenti per alcuni tipi di calcoli, compresi quelli matematici che sono alla base di gran parte della crittografia moderna.
“I ricercatori sanno da decenni che se si potesse costruire un computer quantistico su larga scala, si potrebbero fare dei calcoli talmente estesi da minacciare i sistemi crittografici su cui facciamo affidamento oggi per la sicurezza”, afferma Dustin Moody, matematico del NIST, il National Institute of Standards and Technology statunitense.
Anche se le macchine quantistiche sono ancora molto lontane dalla possibilità di infrangere la crittografia moderna, già nel 2016 NIST ha lanciato un concorso per sviluppare nuovi standard per la crittografia a prova di quantum. La gara è lunga, con i vincitori che saranno proclamati nel 2022, ma la scorsa settimana l’organizzazione ha annunciato di aver ridotto il campo iniziale di 69 contendenti a soli 15.
E finora un singolo approccio alla “crittografia post-quantistica” accomuna la maggior parte dei finalisti: la crittografia basata sui reticoli.
Come funziona
La crittografia a chiave pubblica utilizza la matematica tradizionale per codificare i dati, sbloccandoli solo per coloro che hanno la chiave o possono ricostruirla. La crittografia basata sul reticolo utilizza invece enormi griglie con miliardi di singoli punti in migliaia di dimensioni. Rompere il codice significa passare da un punto specifico a un altro, il che è essenzialmente impossibile se non si conosce il percorso.
Perfino la National Security Agency, l’agenzia di spionaggio statunitense che da tempo ha suonato l’allarme per la minaccia rappresentata dai computer quantistici, ha recentemente espresso fiducia negli approcci basati sul reticolo. Tuttavia, non conta solo il livello di impenetrabilità o complessità matematiche. Gli approcci post-quantistici funzioneranno solo se possono essere utilizzati in tutti i luoghi in cui sarà necessaria la crittografia di alto livello.
Per esempio, la dimensione della chiave richiesta per decrittografare i dati è importante: si immagini la difficoltà di muoversi all’interno di un dispositivo medico che ha poca memoria e larghezza di banda notevolmente limitata. Se la matematica è così complessa che l’apertura della serratura richiede una chiave enorme, la soluzione potrebbe non superare il test di usabilità.
Cinque dei candidati prescelti annunciati la scorsa settimana usano approcci reticolari che non hanno una soluzione quantistica conosciuta, e l’ultimo rapporto sullo stato della situazione del NIST ne parla come degli “algoritmi per scopi generali più promettenti”. Ma l’elenco include approcci alternativi che potrebbero anche trovare il loro spazio, in particolare se i sistemi reticolari si dimostrano insufficienti.
Queste altre opzioni sono generalmente meno mature, meno studiate e molto più lontane dall’essere utilizzate nel mondo reale, portando la maggior parte degli osservatori a credere che i sistemi reticolari saranno i prescelti quando nel 2020 verranno scelti i due vincitori.
“Ciò che il NIST pensa è che i sistemi reticolari siano davvero complessi”, afferma Elena Kirshanova, un matematico e ricercatore di crittografia presso la I. Kant Baltic Federal University, in Russia. “Ma anche se assai elaborati, sembrano abbastanza efficienti in termini di tempo per generare chiavi, firme e memoria”.
Quando arriverà il computer quantistico
L’anno scorso Google si è vantata di aver raggiunto la “supremazia quantistica”, riferendosi a un compito che un computer quantistico poteva eseguire, ma che era sostanzialmente impossibile per un computer classico. L’azienda ha annunciato di aver usato Sycamore, il suo computer quantistico a 53 bit, per risolvere in 200 secondi un problema di matematica che un computer classico avrebbe svolto in 10.000 anni.
Si è trattato di una pietra miliare, ma non ha inaugurato una nuova era dell’informatica quantistica, e gli esperti dell’industria e del mondo accademico hanno rapidamente criticato tutta l’operazione per una lunga serie di motivi. In realtà, siamo probabilmente a una decina di anni da un computer quantistico in grado di risolvere problemi utili, il che dà al NIST il tempo di prendere una decisione in modo da iniziare la transizione verso la crittografia quantistica sicura.
“Ci vuole molto tempo per standardizzare e implementare algoritmi crittografici e inserirli nei prodotti”, afferma Moody di NIST. “Possono essere necessari 10 o 20 anni. Abbiamo bisogno di giocare in anticipo prima che sia fatto un computer quantistico”.
Tuttavia, non tutti sono convinti che il tempo sarà ben speso. “Il prossimo passo sono i computer quantistici che risolvono un problema utile, cosa che non hanno ancora fatto”, afferma Vadim Lyubashevsky, un crittografo di IBM che ha lavorato all’algoritmo CRYSTALS che ora è finalista di NIST. “Se questa situazione si prolungherà nel tempo, penso che le aziende si dedicheranno ad altro, fino a quando non verrà loro improvvisamente ricordato di affrontare il problema”.
Immagine: Il computer quantistico di Google. Per gentile concessione di Google
(rp)
