Post-Quantum Cryptography e gli algoritmi standard del NIST
Un computer classico, come quello che probabilmente stai usando in questo momento, elabora le informazioni utilizzando bit. Ogni bit può rappresentare uno stato binario: 0 o 1 e le operazioni vengono eseguite in sequenza, un calcolo alla volta. Nel corso degli anni la potenza di calcolo è cresciuta enormemente nel corso degli anni, per svolgere compiti sempre più complessi.
Un computer quantistico utilizza i principi della meccanica quantistica per elaborare le informazioni in modo diverso. Invece dei bit, utilizza i qubit. Un qubit può rappresentare 0, 1 o una combinazione di entrambi grazie a un principio chiamato sovrapposizione. Questo significa che un computer quantistico può esplorare molteplici possibilità contemporaneamente e ridurre drasticamente i tempi di calcolo: problemi che richiederebbero anni ai computer classici, potrebbero essere risolti in giorni o persino ore. Le applicazioni vanno dalla scoperta di nuovi farmaci, alla simulazione di molecole complesse, fino all’ottimizzazione dei percorsi.
Nonostante la tecnologia quantistica sia ancora in una fase di sviluppo e non sia ancora disponibile per un uso diffuso, le previsioni di Gartner indicano che entro il 2029 i computer quantistici saranno in grado di compromettere la sicurezza della crittografia tradizionale. Entro il 2034, gli algoritmi di crittografia asimmetrica attualmente utilizzati potrebbero diventare completamente vulnerabili alle capacità di calcolo quantistico.
Tuttavia, la cosiddetta quantum supremacy—ovvero il momento in cui un computer quantistico supererà le prestazioni di un supercomputer classico in un compito specifico—potrebbe verificarsi anche prima.
> Leggi anche: “ICT in Italia: situazione attuale e trend per il 2025”
Che cos’è la Crittografia Post-Quantistica (PQC)?
La crittografia post-quantistica (PQC), anche nota come come crittografia resistente ai quanti o crittografia a prova di quanti, è un campo della crittografia che si concentra sullo sviluppo di algoritmi crittografici resistenti sia agli attacchi dei computer quantistici, sia a quelli dei computer classici. L’adozione della PQC diventerà necessaria per mitigare la minaccia rappresentata dai computer quantistici, che renderanno obsolete molte delle tecniche crittografiche attualmente in uso.
Come discusso in precedenza, i computer quantistici sono in grado di risolvere rapidamente determinati problemi matematici, inclusi quelli su cui si basano gli algoritmi crittografici tradizionali. Questo significa che tecniche oggi considerate sicure e di fatto impiegate per proteggere comunicazioni, transazioni finanziarie, dati personali e segreti industriali, potrebbero diventare vulnerabili non appena i computer quantistici raggiungeranno un livello di maturità sufficiente.
Sebbene questi sistemi siano ancora in fase di sviluppo, la minaccia è già concreta. Con gli attacchi “Harvest Now, Decrypt Later”, gli attori malevoli possono intercettare e archiviare dati crittografati oggi, con l’intento di decifrarli in futuro, una volta che i computer quantistici saranno abbastanza potenti da violare gli attuali schemi di sicurezza. Questo è un rischio particolarmente elevato per informazioni che devono rimanere segrete per lunghi periodi, come segreti industriali, documenti governativi o militari e dati sensibili di natura personale.
Le famiglie di algoritmi di Crittografia Post-Quantistica
La maggior parte dei sistemi crittografici moderni, in particolare quelli a chiave pubblica (o asimmetrici), si basano sulla difficoltà computazionale di alcuni problemi matematici. Questi problemi risultano proibitivi per i computer classici, ma possono essere risolti in tempi drasticamente ridotti dai computer quantistici grazie ad algoritmi come l’algoritmo di Shor.
Per contrastare questa minaccia, la crittografia post-quantistica (PQC) sviluppa nuovi algoritmi basati su problemi matematici che si ritiene siano complessi sia per i computer classici, sia per quelli quantistici. L’obiettivo è garantire la sicurezza dei dati a lungo termine, anche in un futuro in cui i computer quantistici saranno ampiamente diffusi.
La PQC comprende diverse famiglie di algoritmi, ciascuna con caratteristiche e principi distintivi. Di seguito si ripropone la categorizzazione del NIST.
- Crittografia reticolare (Lattice-based cryptography): si basa su strutture matematiche chiamate reticoli, utilizzate per costruire algoritmi di crittografia e firma digitale. Questi algoritmi sono considerati particolarmente promettenti per la loro solidità teorica e versatilità. Tra gli esempi più noti figurano CRYSTALS-Kyber, CRYSTALS-Dilithium, NTRU, Saber e Ring-LWE.
- Crittografia basata su codici (Code-based cryptography): si basa sulla teoria dei codici correttori di errore, utilizzati per individuare e correggere errori nella trasmissione di dati. Gli algoritmi basati su codici sono considerati resistenti agli attacchi quantistici, ma spesso hanno chiavi di grandi dimensioni. Alcuni esempi sono: McEliece, HQC e BIKE.
- Crittografia multivariata (Multivariate cryptography): si basa su sistemi di equazioni polinomiali multivariate. Questi algoritmi offrono prestazioni elevate in termini di velocità ed efficienza, sebbene alcuni siano vulnerabili a specifici attacchi crittografici. Un esempio significativo è Rainbow.
- Crittografia basata su hash (Hash-based cryptography): utilizza funzioni hash crittografiche, che trasformano dati di lunghezza arbitraria in output di dimensione fissa. Questi algoritmi vengono impiegati principalmente per la generazione di firme digitali e non richiedono chiavi di grandi dimensioni. Tra questi algoritmi spicca SPHINCS+, selezionato dal NIST come alternativa di back up per le firme digitali.
- Crittografia basata su isogenie (Isogeny-based cryptography): sfrutta le isogenie tra curve ellittiche, ovvero trasformazioni che preservano la struttura algebrica delle curve. Gli algoritmi basati su isogenie, come SIDH o SIKE, offrono chiavi di piccole dimensioni e rappresentano una soluzione promettente per la crittografia post-quantistica.
Il NIST e la standardizzazione degli algoritmi PQC
Il National Institute of Standards and Technology (NIST) sta conducendo un processo di standardizzazione per selezionare gli algoritmi di crittografia post-quantistica destinati a garantire la sicurezza dei dati nell’era dei computer quantistici. Il processo, avviato nel 2016, si articola in più fasi e prevede la valutazione di numerose proposte da parte di esperti di tutto il mondo. I criteri di selezione includono sicurezza, efficienza, flessibilità e facilità di implementazione.
Nel luglio 2022, il NIST ha annunciato la selezione di quattro algoritmi per la standardizzazione e nel 2024, ha pubblicato i primi tre standard ufficiali per la crittografia post-quantistica.
- FIPS 203: ML-KEM (Module-Lattice-Based Key-Encapsulation Mechanism). Si tratta del principale standard per la crittografia generale, utilizzato per proteggere le informazioni scambiate attraverso una rete pubblica. ML-KEM è un meccanismo di incapsulamento della chiave che presenta chiavi di crittografia relativamente piccole e una buona velocità di funzionamento. Questo lo rende particolarmente adatto per scenari in cui l’efficienza è fondamentale.
- FIPS 204: ML-DSA (Module-Lattice-Based Digital Signature Algorithm). Si tratta dello standard principale per la protezione delle firme digitali, che vengono utilizzate per l’autenticazione dell’identità. ML-DSA è un algoritmo di firma digitale basato su reticoli che offre una combinazione di dimensioni relativamente piccole per chiavi pubbliche e firme.
- FIPS 205: SLH-DSA (Stateless Hash-Based Digital Signature Algorithm). Alternativa a ML-DSA, questo algoritmo di firma digitale utilizza funzioni hash per garantire la sicurezza. SLH-DSA è un algoritmo “stateless” (senza stato), il che semplifica la gestione delle firme digitali rispetto agli approcci che richiedono il mantenimento di uno stato interno.
Oltre ai tre standard già finalizzati, il NIST sta continuando a valutare altri due set di algoritmi che potrebbero servire come alternative o soluzioni di backup. Uno di questi include algoritmi progettati per la crittografia generale, basati su diversi problemi matematici. Per quanto riguarda le firme digitali, il NIST sta valutando anche FALCON, che sarà formalizzato nello standard FIPS 206.
Il NIST incoraggia comunque gli amministratori di sistema a iniziare l’integrazione di questi standard nei loro sistemi il prima possibile, riconoscendo che la piena integrazione richiederà del tempo.
Che cosa significa l’avvento della PQC per le aziende?
Per le aziende, l’introduzione della Post-Quantum Cryptography inciderà profondamente sulla sicurezza delle informazioni e richiederà un processo di transizione articolato, che includa un’analisi approfondita dei sistemi, una pianificazione strategica, una riprogettazione dell’infrastruttura e l’adozione di nuovi algoritmi crittografici.
Un aspetto critico sarà l’interoperabilità tra diversi sistemi e piattaforme, che rende essenziale l’adozione di standard comuni per evitare problemi di compatibilità. Anche la gestione della supply chain sarà critica: le aziende dovranno collaborare con i propri fornitori affinché anche loro adottino la PQC.
Per ridurre i rischi e facilitare la transizione, molte organizzazioni stanno adottando un approccio ibrido, combinando algoritmi classici e post-quantum per garantire compatibilità con i sistemi esistenti.
I settori critici come la finanza, la sanità, la pubblica amministrazione e la difesa, sono particolarmente esposti e devono dare priorità alla transizione per evitare vulnerabilità che potrebbero compromettere dati sensibili. Il settore IoT (Internet of Things) è un altro ambito in cui la PQC rappresenta una sfida importante, poiché molti dispositivi con risorse limitate richiedono soluzioni crittografiche leggere e ottimizzate. Allo stesso tempo, la gestione di un elevato numero di dispositivi richiede una strategia di aggiornamento ben strutturata. Un altro settore che sarà fortemente impattato è quello della blockchain e delle criptovalute, che basano la loro sicurezza su algoritmi crittografici tradizionali e dovranno migrare verso soluzioni post-quantum per rimanere resistenti agli attacchi quantistici.
La crittografica post-quantistica non è una sfida futura, ma una realtà che le aziende devono affrontare oggi. La mancata preparazione potrebbe avere conseguenze disastrose ed esporre dati e infrastrutture a minacce sempre più avanzate.
Fonti:
Aydeger, A., Zeydan, E., Yadav, A. K., Hemachandra, K. T., & Liyanage, M. (2024, October). Towards a quantum-resilient future: Strategies for transitioning to post-quantum cryptography. In 2024 15th International Conference on Network of the Future (NoF) (pp. 195-203). IEEE.
Bavdekar, R., Chopde, E. J., Agrawal, A., Bhatia, A., & Tiwari, K. (2023, January). Post quantum cryptography: A review of techniques, challenges and standardizations. In 2023 International Conference on Information Networking (ICOIN) (pp. 146-151). IEEE.
Horvath, M. (2024). Post-Quantum Cryptography Is a Must to Protect Your Systems | Gartner. Gartner. https://www.gartner.com/en/articles/post-quantum-cryptography
Joseph, D., Misoczki, R., Manzano, M., Tricot, J., Pinuaga, F. D., Lacombe, O., … & Hansen, R. (2022). Transitioning organizations to post-quantum cryptography. Nature, 605(7909), 237-243.
Kumar, M. (2022). Post-quantum cryptography Algorithm’s standardization and performance analysis. Array, 15, 100242.
Kumar, A., Ottaviani, C., Gill, S. S., & Buyya, R. (2022). Securing the future internet of things with post‐quantum cryptography. Security and Privacy, 5(2), e200.
NIST. (2024a). NIST Releases First 3 Finalized Post-Quantum Encryption Standards | NIST. NIST. https://www.nist.gov/news-events/news/2024/08/nist-releases-first-3-finalized-post-quantum-encryption-standards
NIST. (2024b). What Is Post-Quantum Cryptography? | NIST. NIST. https://www.nist.gov/cybersecurity/what-post-quantum-cryptography
