Crittografia post quantistica: cos’è e a cosa serve
Quando si parla di Quantum-safe (o crittografia post quantistica) ci si riferisce a schemi di crittografia che possono essere eseguiti da un comune computer (anche un telefonino) ma che hanno una livello tale di sicurezza dall’essere al riparo anche da attacchi provenienti da un computer quantistico.
L’esigenza di un così elevato livello di protezione nasce proprio dall’avanzamento tecnologico dei computer quantistici, oggi capaci di risolvere complessi problemi matematici che sono alla base della sicurezza informatica con la quale oggi vengono protetti i protocolli di comunicazione e le informazioni che transitano sulla Rete.
Per capire come è nata e come si sta evolvendo la crittografia post quantistica abbiamo intervistato Cecilia Boschini, Predoctoral Researcher in Post-quantum Cryptography presso il laboratorio di ricerca di IBM a Zurigo.
«Un sistema crittografico, così come lo abbiamo conosciuto fino ad oggi, si fonda su protocolli crittografici la cui validità dipende dalla capacità di un “avversario” di rompere il protocollo di sicurezza e di accedere quindi ai dati che custodisce – è la premessa della ricercatrice -. Per rompere il protocollo è tuttavia necessario risolvere un problema matematico estremamente difficile. Quindi, quanto più e complesso il problema matematico tanto più è elevato il livello di protezione garantito dal protocollo crittografico».
Perché si va verso la crittografia Quantum-safe
Oggi uno dei protocolli di crittografia più sicuri è quello chiamato RSA (algoritmo di crittografia asimmetrica il cui acronimo deriva dai nomi degli inventori: Ronald Rivest, Adi Shamir e Leonard Adleman), sistema di crittografia che si basa sull’esistenza di due chiavi distinte, che vengono usate per cifrare e decifrare, e che si basa sulla difficoltà di fattorizzare numeri di 2048 cifre (ossia chiavi binarie di 2048 bit), problema matematico che richiede anni per poter essere risolto. O meglio, che richiede anni attraverso l’uso di un comune computer ma che, attraverso la potenza di un computer quantistico, potrebbe essere risolto in poche ore.
«In questo momento non c’è ancora un computer quantistico così potente – ci tiene a precisare Cecilia Boschini – tuttavia, è di assoluta importanza che la sicurezza evolva di pari passo (se non più velocemente) del quantum computing. Ecco perché la ricerca va nella direzione della creazione di modelli matematici ancora più complessi di quelli attuali per poter risultare impossibili da risolvere anche per un computer quantistico».
In Italia, dal 2017, docenti universitari, ricercatori di enti pubblici e di aziende private si sono riuniti nell’associazione nazionale di crittografia De Componendis Cifris e la comunità scientifica italiana sta contribuendo significativamente al progetto del NIST, il Post-Quantum Cryptography Project (matematici, scienziati e ricercatori sono stati chiamati ad inviare protocolli crittografici quantum-safe – l’Italia ne ha inviati 3 – ed ora è in corso il processo di standardizzazione che si concluderà nel 2023: i protocolli vengono analizzati dalla community internazionale di ricercatori che proverà a “romperli” per testarne la validità e l’efficacia e quindi per certificare quelli realmente Quantum-safe).
I diversi tipi di crittografia post quantistica
«Il processo di standardizzazione del NIST sta mostrando, tra le altre cose, che alcuni dei protocolli di base Quantum-safe sono già efficienti ed efficaci per cui, in casi di estrema necessità, è possibile sostituire la crittografia di base con quella post quantistica, per lo meno per le funzioni di sicurezza di base», rivela la giovane ricercatrice. «I protocolli di crittografia post quantistica che abbiamo ora sono quindi già utilizzabili ma non possiamo pensare che siano “one size fits all”, non possono andare bene per tutte le situazione. Sarà necessario utilizzare differenti protocolli in base alla tipologia di applicazioni in cui dovranno essere inseriti».
Esistono infatti, già oggi, diversi tipi di crittografia post quantistica la cui differenza dipende dal “tipo di matematica” che sottende i protocolli: «Ogni protocollo sviluppato è accompagnato da una dimostrazione scientifica del suo livello di sicurezza – puntualizza Boschini – che si basa sulla matematica: prendiamo un modello matematico difficile da risolvere (nella crittografia classica, per esempio, il problema matematico più comune è legato all’individuazione di fattori primi in numeri giganteschi) e se questo viene risolto allora significa che anche il protocollo può essere decifrato. Diversi protocolli di crittografia post quantistica si basano quindi su modelli (problemi) matematici molto complessi (ancor più complessi della fattorizzazione che, in futuro, potrà essere risolta da un computer quantistico abbastanza rapidamente)».
La ricerca deve quindi oggi concentrarsi sullo sviluppo di nuovi modelli matematici così complessi da risultare impossibili da risolvere anche per un computer quantistico molto potente (se non in migliaia di anni di computazione).
I diversi tipi di crittografia post quantistica dipendono quindi dalla matematica che sta alla base della crittografia stessa; Cecilia Boschini, per esempio, al laboratorio IBM di Zurigo sta lavorando a quella che viene chiamata Lattice-based Cryptography, ossia crittografia basata sui reticoli (i reticoli sono una struttura matematica che permette di definire un certo tipo di problema su cui costruire algoritmi crittografici). Altri esempi sono la crittografia basata su equazioni multivariata, la crittografia su curve ellittiche o la crittografia isogenica.
«Dove e come usare un protocollo crittografico dipende anche dal tipo di applicazione – puntualizza la ricercatrice -; per proteggere una smart card oppure per rendere sicuri i pagamenti contact less, solo a titolo di esempio, sappiamo a priori che ci sono alcuni “parametri” imprescindibili come la disponibilità di una memoria limitata o la necessità di eseguire transazioni in millisecondi. Condizioni che influiscono sul protocollo crittografico che non può essere troppo “pesante” (occupare troppa memoria) o non deve rappresentare un limite nella velocità di esecuzione di una transazione».
«Non tutti i sistemi e le applicazioni hanno bisogno di protocolli di crittografia tali da garantire una sicurezza per migliaia di anni», sono le ultime considerazioni di Cecilia Boschini. «In base al tipo di dato da proteggere si devono fare le dovute valutazioni rispetto alla tipologia di crittografia, a volte si possono anche “centellinare” i sistemi di sicurezza. Guardando al futuro, però, è fondamentale lavorare alla sicurezza “estrema” perché la ricerca richiede tempo per poter arrivare alle possibili soluzioni; ecco perché è necessario capire fin da subito cosa verrà impattato e cosa meno dai computer quantistici e, di conseguenza, che tipo di sicurezza va disegnata».