La crittografia post quantistica è diventata una priorità alla quale si sta lavorando per realizzare sistemi che non siano attaccabili quando i computer quantistici, nel volgere di qualche anno, saranno disponibili per un utilizzo diffuso (oggi siamo ancora a livello di prototipi di laboratorio).

Proprio in questi giorni (13 agosto 2024) il NIST ha formalizzato i primi tre standard di crittografia post-quantistica, esattamente due anni dopo il rilascio dei primi quattro algoritmi crittografici in grado di resistere alla computazione quantistica.

I tre standard di crittografia post quantistica del NIST

Si tratta dei primi tre standard completati nel progetto di standardizzazione della crittografia post quantistica (PQC) del NIST e sono pronti per l’uso immediato.

Come ha annunciato il NIST stesso: “I tre nuovi standard sono costruiti per il futuro. La tecnologia di calcolo quantistico si sta sviluppando rapidamente e alcuni esperti prevedono che un dispositivo in grado di violare gli attuali metodi di crittografia potrebbe comparire entro un decennio, minacciando la sicurezza e la privacy di individui, organizzazioni e intere nazioni”.

Gli standard – che contengono il codice informatico degli algoritmi di crittografia, le istruzioni su come implementarli e gli usi previsti – sono il risultato del progetto Post-Quantum Cryptography (PQC) Project avviato dal NIST otto anni fa, nel 2016.

Sei anni dopo, in data 5 luglio 2022, il NIST ha poi rilasciato ufficialmente i primi quattro algoritmi crittografici in grado di resistere alla computazione quantistica.

Questi sono, per la crittografia generale a chiave pubblica:

• CRYSTALS-Kyber

e per le firme digitali (Digital Signature Algorithms):

• CRYSTALS-Dilithium
• FALCON,
• SPHINCS+ (“Sphincs plus”).

Ora è stato fatto un ulteriore passo e i nuovi standard – come ha dichiarato il direttore del NIST Laurie E. Locascio “sono la pietra miliare degli sforzi del NIST per salvaguardare le nostre informazioni elettroniche riservate”.

I tre standard sono costituiti da tre norme FIPS. Ricordiamo che nell’organizzazione documentale NIST le FIPS sono le Federal Information Processing Standard, in pratica standard federali con valore cogente negli Stati Uniti.

In realtà, le FIPS pubblicate dal NIST sono adottate in tutto il mondo: gran parte degli algoritmi crittografici che utilizziamo sono stati descritti e standardizzati da FIPS. Ne citiamo solo alcune, per evidenziare quanto esse siano diventate standard a livello mondiale:

1. FIPS 197 del 26 novembre 2001: definisce l’Advanced Encryption Standard (AES), il principale algoritmo di crittografia simmetria;
2. FIPS 202: del 2015, ha definito l’algoritmo di hash SHA-3.

I compiti dei nuovi standard di crittografia post quantistica

I tre nuovi standard sono stati concepiti per due compiti essenziali per i quali la crittografia è tipicamente utilizzata:

1. la crittografia generale, utilizzata per proteggere le informazioni scambiate su una rete pubblica;
2. le firme digitali, utilizzate per l’autenticazione dell’identità.

Essi fanno riferimento agli algoritmi pubblicati nel luglio 2022 e che – come già spiegato – sono: CRYSTALS-Kyber, CRYSTALS-Dilithium, Sphincs+ e FALCON.

Le bozze di tre di questi standard erano state rilasciate nel 2023 e ora sono state pubblicate nelle versioni definitive.

La quarta bozza di standard basata su FALCON è prevista per la fine del 2024.

I nuovi nomi degli standard di crittografia post quantistica

Sebbene non siano state apportate modifiche sostanziali agli standard rispetto alle versioni in bozza, il NIST ha cambiato i nomi degli algoritmi per specificare le versioni che compaiono nei tre standard finalizzati, che sono:

1. FIPS 203: Module-Lattice-Based Key-Encapsulation Mechanism Standard. Questo standard specifica un meccanismo di incapsulamento delle chiavi chiamato ML-KEM. Un meccanismo di incapsulamento delle chiavi (KEM) è un insieme di algoritmi che, in determinate condizioni, possono essere utilizzati da due parti per stabilire una chiave segreta condivisa su un canale pubblico. Una chiave segreta condivisa stabilita in modo sicuro utilizzando un KEM può essere utilizzata con algoritmi crittografici a chiave simmetrica per eseguire operazioni di base nelle comunicazioni sicure, come la crittografia e l’autenticazione. Secondo NIST, si ritiene che ML-KEM sia sicuro anche contro avversari che possiedono un computer quantistico. Questo standard specifica tre serie di parametri per il ML-KEM. In ordine crescente di sicurezza e decrescente di prestazioni, si tratta di ML-KEM-512, ML-KEM-768 e ML-KEM-1024.
2. FIPS 204: Module-Lattice-Based Digital Signature Standard. Questo standard specifica ML-DSA, un insieme di algoritmi che possono essere utilizzati per generare e verificare le firme digitali. ML-DSA è derivata dalla versione 3.1 di CRYSTALS-DILITHIUM (pubblicato nel 2022). Le firme digitali sono utilizzate per rilevare modifiche non autorizzate ai dati e per autenticare l’identità del firmatario. Inoltre, il destinatario dei dati firmati può utilizzare una firma digitale come prova per dimostrare a terzi che la firma è stata effettivamente generata dal presunto firmatario. Questo è noto come non ripudio, poiché il firmatario non può facilmente ripudiare la firma in un momento successivo. Si ritiene che ML-DSA sia sicuro, anche contro avversari in possesso di un computer quantistico su larga scala.
3. FIPS 205: Stateless Hash-Based Digital Signature Standard. Questo standard specifica l’algoritmo di firma digitale stateless basato su hash (SLH-DSA). SLH-DSA si basa su SPHINCS+, che è stato selezionato dal NIST e pubblicato nel 2022. Come per FIPS 204, riguarda un algoritmo di tipo DSA, ma con caratteristiche differenti rispetto al ML-DSA.

Cos’è la Quantum-Key Distribution (QKD)

Mentre il NIST pubblica i suoi standard di crittografia “post-quantistica”, è in corso uno sforzo parallelo per sviluppare anche sistemi di crittografia basati sulla tecnologia quantistica, i cosiddetti sistemi di distribuzione di chiavi quantistiche o Quantum-Key Distribution (QKD).

In questo campo sono attive l’India, la Cina e una serie di organizzazioni tecnologiche dell’Unione Europea e degli Stati Uniti che stanno ricercando e sviluppando QKD per standard di crittografia alternativa.

Come in tutti gli standard tecnologici emergenti, diversi attori stanno puntando su diverse tecnologie e implementazioni di tali tecnologie. Si sta lavorando quindi su opzioni differenti, perché al momento nessuna tecnologia è chiaramente vincente.

Secondo Ciel Qi, analista di ricerca presso il Rhodium Group di New York, nella ricerca e nello sviluppo del QKD c’è un oggi una nazione leader ed è la Cina. “Sebbene la Cina abbia probabilmente un vantaggio nella crittografia basata sul QKD grazie ai suoi primi investimenti e allo sviluppo, altri stanno recuperando terreno”, afferma Qi.

Differenza tra Quantum-Key Distribution e crittografia post-quantistica

La QKD si basa sulla fisica quantistica, secondo la quale i qubit entangled possono memorizzare le informazioni condivise in modo così sicuro che qualsiasi tentativo di scoprirle è inevitabilmente rilevabile. L’invio di coppie di qubit a fotoni entangled a entrambe le estremità di una rete fornisce la base per chiavi crittografiche fisicamente sicure che possono bloccare i pacchetti di dati inviati attraverso la rete.

Richiamiamo qui il concetto di entanglement quantistico: “entangled” letteralmente significa “aggrovigliato”. L’entanglement quantistico è il fenomeno per cui un gruppo di particelle viene generato, interagisce o condivide la vicinanza spaziale in modo tale che lo stato quantistico di ciascuna particella del gruppo non può essere descritto indipendentemente dallo stato delle altre, anche quando le particelle sono separate da una grande distanza. Il tema dell’entanglement quantistico è al centro della disparità tra fisica classica e quantistica: l’entanglement è una caratteristica primaria della meccanica quantistica non presente nella meccanica classica.

In genere, i sistemi di crittografia quantistica sono costruiti attorno a sorgenti di fotoni che emettono coppie di fotoni entangled, in cui il fotone A che si dirige lungo una fibra ha una polarizzazione perpendicolare alla polarizzazione del fotone B che si dirige nell’altra direzione.

La crittografia post-quantistica (PQC), invece, non si basa sulla fisica quantistica ma sulla matematica pura e gli algoritmi crittografici di nuova generazione sono progettati per funzionare su computer convenzionali. È proprio la grande complessità degli algoritmi a rendere i sistemi di sicurezza PQC praticamente impossibili da decifrare, anche da parte di un computer quantistico. Per questo motivo il NIST sta sviluppando sistemi PQC che saranno alla base delle reti e delle comunicazioni post-quantistiche di domani.

Il grande problema di quest’ultimo approccio, afferma Doug Finke, Chief Content Officer della Global Quantum Intelligence con sede a New York, è che la PQC potrebbe non necessariamente offrire la ferrea “sicurezza quantistica” promessa.

“Non è possibile prevedere teoricamente che questi algoritmi PQC non vengano violati un giorno. Dall’altra parte, per il QKD ci sono argomentazioni teoriche basate sulla fisica quantistica che non possono essere violate”, sostiene Finke.

La Cina potrebbe aver scelto la QKD come punto focale dello sviluppo della tecnologia quantistica anche perché gli Stati Uniti non stavano dirigendo i loro sforzi in quella direzione. Secondo Ciel Qi “l’attenzione strategica per la QKD potrebbe essere dettata dal desiderio della Cina di assicurarsi un vantaggio tecnologico unico, soprattutto perché gli Stati Uniti sono in testa agli sforzi per la PQC a livello globale”.

Citando come fonte il “padre della quantistica” cinese, Pan Jianwei, Qi afferma: “Per raggiungere una copertura globale della rete quantistica, la Cina sta attualmente sviluppando un satellite quantistico in orbita medio-alta, che dovrebbe essere lanciato intorno al 2026”.

I limiti dei sistemi Quantum-Key Distribution

Fatte queste premesse, il fattore limitante di tutti i sistemi QKD fino ad oggi è la loro dipendenza da un singolo fotone per rappresentare ogni qubit. Nemmeno i laser e le linee in fibra ottica più raffinati possono sfuggire alla vulnerabilità dei singoli fotoni.

I ripetitori QKD, che replicherebbero alla cieca lo stato quantico di un singolo fotone senza far trapelare alcuna informazione distintiva sui singoli fotoni che lo attraversano, oggi non esistono. Tuttavia, secondo Finke, una tecnologia del genere è realizzabile, anche se mancano almeno 5÷10 anni. “È sicuramente ancora presto”, afferma.

Nel frattempo, anche l’India si sta muovendo. Satyam Priyadarshy, consulente senior della Global Quantum Intelligence, afferma che la National Quantum Mission indiana ha piani per la ricerca sulle comunicazioni QKD, con l’obiettivo finale di creare reti QKD che colleghino città a distanze di 2.000 km e reti di comunicazione satellitare di simile portata.

Priyadarshy indica sia gli sforzi di ricerca governativi sul QKD, tra cui l’Organizzazione indiana per la ricerca spaziale, sia le attività di ricerca e sviluppo delle imprese private, tra cui l’azienda di cybersicurezza QuNu Labs di Bengaluru.

Priyadarshy afferma che QuNu Labs sta lavorando a un framework hub-and-spoke chiamato ChaQra per il QKD.

Quale sarà la crittografia del futuro

Secondo Satyam Priyadarshy “Un ibrido di QKD e PQC è la soluzione più probabile per una rete quantistica sicura”.

Anche negli Stati Uniti e nell’Unione Europea si stanno compiendo sforzi simil, sebbene in una fase ancora iniziale. Funzionari dell’European Telecommunications Standards Institute (ETSI), dell’International Standards Organization (ISO), dell’International Electrotechnical Commission (IEC) e dell’IEEE Communications Society hanno confermato le iniziative e i gruppi di lavoro che stanno lavorando per promuovere le tecnologie QKD e gli standard emergenti che stanno prendendo forma.

Secondo diverse ed autorevoli fonti è ipotizzabile un futuro in cui il PQC sarà probabilmente lo standard predefinito per la maggior parte delle comunicazioni sicure in un mondo di informatica quantistica pervasiva.

Tuttavia, il PQC non può garantire una sicurezza certa contro algoritmi e macchine quantistiche sempre più potenti. È qui che, secondo le fonti, la QKD potrebbe offrire la prospettiva di comunicazioni sicure ibride che la PQC da sola non potrebbe mai fornire.

“La QKD offre una sicurezza (teorica) delle informazioni, mentre la PQC consente una scalabilità”, afferma Priyadarshy. “Un ibrido di QKD e PQC è la soluzione più probabile per una rete quantistica sicura”.

Secondo Finke, la QKD potrebbe ancora avere l’ultima parola, anche in un mondo in cui la PQC rimane preminente. “Lo sviluppo della tecnologia QKD costituisce anche la base per una futura Internet quantistica. Quindi anche la ricerca che si sta facendo ora sulla QKD è molto utile perché molta della stessa tecnologia può essere sfruttata per alcuni di questi altri casi d’uso”.

Tutto questo dovrà comunque accadere in tempi relativamente brevi: il 2033 è considerata una scadenza credibile, entro la quale i sistemi crittografici in tutto il mondo dovranno essere stati aggiornati con nuovi algoritmi “quantum resistent”.

Probabilmente, entro quella data, infatti, saranno disponibili e utilizzabili computer quantistici con decine di migliaia, forse addirittura milioni di qbit, in grado di espugnare – secondo la previsione di Shor – gli attuali sistemi di crittografia asimmetrica.