Cosè la crittografia post-quantistica?

Potresti avere familiarità con il concetto di crittografia classica, che è il tipo di crittografia che usiamo ogni giorno. Potresti anche aver sentito parlare di crittografia quantistica che fa uso di computer quantistici ed effetti di meccanica quantistica. Sebbene entrambe siano tecnologie importanti di per sé, la crittografia classica è alla base della quasi totalità della moderna tecnologia di comunicazione, la crittografia post-quantistica è un passaggio davvero critico che non è così ampiamente conosciuto. La crittografia post-quantistica non dovrebbe essere la cosa più importante dopo la crittografia quantistica. Invece, è la classe di crittografia che è ancora rilevante in un mondo in cui esistono potenti computer quantistici.

L'accelerazione quantistica

La crittografia classica è fondamentalmente tutta basata su un piccolo numero di diversi problemi matematici. Questi problemi sono stati scelti con cura perché sono estremamente difficili se non si conoscono informazioni specifiche. Anche con i computer, questi problemi matematici sono decisamente difficili. Nel 2019 uno studio ha impiegato 900 anni core della CPU per violare una chiave RSA a 795 bit. Una chiave RSA a 1024 bit richiederebbe più di 500 volte più potenza di elaborazione per essere violata. Inoltre, le chiavi RSA a 1024 bit sono state deprecate a favore di RSA a 2048 bit che sarebbe praticamente impossibile da violare.

Il problema è che i computer quantistici funzionano in modo completamente diverso rispetto ai normali computer. Ciò significa che alcune cose che sono difficili da fare per i normali computer sono molto più facili da fare per i computer quantistici. Sfortunatamente, molti dei problemi matematici usati nella crittografia ne sono un perfetto esempio. Tutta la crittografia asimmetrica nell'uso moderno è vulnerabile a questa accelerazione quantistica, presupponendo l'accesso a un computer quantistico sufficientemente potente.

Tradizionalmente, se vuoi aumentare la sicurezza della crittografia, hai solo bisogno di chiavi più lunghe. Ciò presuppone che non ci siano più problemi fondamentali con l'algoritmo e che possa essere ridimensionato per utilizzare chiavi più lunghe, ma il principio è valido. Per ogni ulteriore bit di sicurezza, la difficoltà raddoppia, ciò significa che passare dalla crittografia a 1024 bit a 2048 bit è un enorme picco di difficoltà. Questa crescita esponenziale della difficoltà, tuttavia, non si applica a questi problemi quando vengono eseguiti su computer quantistici in cui la difficoltà aumenta in modo logaritmico e non esponenziale. Ciò significa che non puoi semplicemente raddoppiare la lunghezza della chiave e stare bene per il prossimo decennio di aumento della potenza di calcolo. L'intero gioco è finito ed è necessario un nuovo sistema.

Un raggio di speranza

È interessante notare che anche tutti i moderni algoritmi di crittografia simmetrica sono interessati, ma in misura molto minore. La sicurezza effettiva di una cifratura asimmetrica come RSA è diminuita della radice quadrata. Una chiave RSA a 2048 bit offre l'equivalente di circa 45 bit di sicurezza rispetto a un computer quantistico. Per algoritmi simmetrici come AES, la sicurezza effettiva è “solo” dimezzata. AES a 128 bit è considerato sicuro rispetto a un normale computer, ma la sicurezza effettiva rispetto a un computer quantistico è di soli 64 bit. Questo è abbastanza debole da essere considerato insicuro. Il problema può essere risolto, tuttavia, raddoppiando la dimensione della chiave a 256 bit. Una chiave AES a 256 bit offre 128 bit di protezione anche contro un computer quantistico sufficientemente potente. Questo è sufficiente per essere considerato sicuro. Ancora meglio, AES a 256 bit è già pubblicamente disponibile e in uso.

Suggerimento: i bit di sicurezza offerti dagli algoritmi di crittografia simmetrica e asimmetrica non sono direttamente confrontabili.

L'intera faccenda del "computer quantistico sufficientemente potente" è un po' difficile da definire con precisione. Significa che un computer quantistico deve essere in grado di memorizzare abbastanza qubit per essere in grado di tracciare tutti gli stati necessari per violare la chiave di crittografia. Il fatto chiave è che nessuno ha ancora la tecnologia per farlo. Il problema è che non sappiamo quando qualcuno svilupperà quella tecnologia. Potrebbero essere cinque anni, dieci anni o più.

Dato che esiste almeno un tipo di problema matematico adatto alla crittografia che non è particolarmente vulnerabile ai computer quantistici, è lecito ritenere che ce ne siano altri. In realtà ci sono molti schemi di crittografia proposti che sono sicuri da usare anche di fronte ai computer quantistici. La sfida è standardizzare questi schemi di crittografia post-quantistica e dimostrarne la sicurezza.

Conclusione

La crittografia post-quantistica si riferisce alla crittografia che rimane forte anche di fronte a potenti computer quantistici. I computer quantistici sono in grado di violare completamente alcuni tipi di crittografia. Possono fare molto più velocemente di quanto possano fare i normali computer, grazie all'algoritmo di Shor. L'accelerazione è così grande che praticamente non c'è modo di contrastarla. Pertanto, è in corso uno sforzo per identificare potenziali schemi crittografici che non sono vulnerabili a questa accelerazione esponenziale e quindi possono resistere ai computer quantistici.

Se qualcuno con un futuro computer quantistico ha molti vecchi dati storici che possono facilmente decifrare, può comunque fare grandi danni. Con il costo elevato e le competenze tecniche necessarie per costruire, mantenere e utilizzare un computer quantistico, ci sono poche possibilità che vengano utilizzati dai criminali. I governi e le mega-corporazioni eticamente ambigue, tuttavia, hanno le risorse e potrebbero non usarle per il bene superiore. Anche se questi potenti computer quantistici potrebbero non esistere ancora, è importante passare alla crittografia post-quantistica non appena si dimostri che è sicuro farlo per impedire una decrittazione storica diffusa.

Molti candidati alla crittografia post-quantistica sono essenzialmente pronti a partire. Il problema è che dimostrare che sono sicuri era già terribilmente difficile quando non dovevi consentire computer quantistici incredibilmente complicati. Sono in corso molte ricerche per identificare le migliori opzioni per un uso diffuso. Una cosa fondamentale da capire è che la crittografia post-quantistica funziona su un normale computer. Questo lo differenzia dalla crittografia quantistica che deve essere eseguita su un computer quantistico.