La distribuzione di chiavi quantistiche (QKD) e la crittografia post-quantistica (PQC) sono destinate a resistere ai computer quantistici

Dr. Henning Maier, Dr. Jasper Rödiger, Stefan Röhrich, tutti di Rohde & Schwarz

I metodi di crittografia asimmetrica sono ormai comuni e considerati sicuri. Tra qualche anno, i computer quantistici potrebbero renderli insicuri. Due opzioni possono aiutare a evitare questo scenario: la distribuzione di chiavi quantistiche (QKD) e la crittografia post-quantistica (PQC).

Che si tratti di messaggi privati in chat o di file classificati dal governo, la protezione dei dati oggi comporta quasi sempre una combinazione di crittografia simmetrica e asimmetrica. Nella crittografia simmetrica, il destinatario decifra i dati con la stessa chiave utilizzata dal mittente per la crittografia. L'Advanced Encryption Standard (AES) utilizza questo metodo ed è stato certificato dal National Institute of Standards and Technology (NIST) nel 2000. Oggi è utilizzato in tutto il mondo.

Proteggere la crittografia simmetrica, in modo asimmetrico

Il punto critico della crittografia simmetrica è la distribuzione sicura delle chiavi tra le parti comunicanti. La crittografia asimmetrica viene normalmente utilizzata per proteggere la distribuzione delle chiavi. Come suggerisce il nome, la distribuzione a chiave asimmetrica utilizza una chiave diversa per la crittografia e la decrittografia. Una chiave privata viene mantenuta riservata e una chiave pubblica viene fornita con autenticità certificata.

La chiave pubblica può essere trasmessa in un canale pubblico senza ulteriori protezioni. Un fattore importante è che la chiave pubblica è unidirezionale: una volta crittografati i dati, solo una chiave privata può decifrarli. Il ricevitore avvia la trasmissione dei dati nel processo di crittografia asimmetrica (Figura). Il punto di forza di questo metodo è che la chiave privata sensibile rimane al destinatario fin dall'inizio e non viene trasmessa.

Poiché la crittografia asimmetrica richiede una potenza di calcolo molto maggiore rispetto alla crittografia simmetrica, tende a non essere utilizzata per il traffico di dati effettivo. Il metodo protegge invece il processo di distribuzione delle chiavi per la crittografia simmetrica utilizzata per il traffico del carico utile.

Firewall matematico

Poiché la chiave pubblica viene utilizzata per la crittografia, contiene anche alcune informazioni sul processo di decrittografia. In linea di principio, la chiave privata può essere dedotta dalla chiave pubblica, ma non in un tempo ragionevole. Le chiavi pubbliche utilizzano problemi matematici di difficile soluzione, come la scomposizione in fattori primi o il calcolo di logaritmi discreti.

Dedurre la chiave privata richiederebbe un tempo impossibile. Un computer convenzionale potrebbe aver bisogno di qualche milione di anni - o più - per risolvere tali problemi.

I computer quantistici avanzati cambiano le carte in tavola

Quando si prendono in considerazione i computer quantistici avanzati, la situazione cambia completamente. L'algoritmo di Shor è stato pubblicato nel 1994. Descrive un metodo che accelera in modo significativo la scomposizione in fattori primi e la determinazione di logaritmi discreti. Si tratta di un algoritmo quantistico che richiede un computer quantistico con una potenza di calcolo sufficiente.

Poiché quasi tutti i metodi di crittografia asimmetrica utilizzati oggi si basano su questi due problemi matematici, i computer quantistici avanzati li priverebbero del loro fondamento teorico. Sebbene siano già noti algoritmi quantistici in grado di attaccare direttamente i metodi di crittografia simmetrica, in questo caso chiavi più lunghe possono preservare il livello di protezione. Tuttavia, non è possibile assicurare preventivamente la distribuzione delle chiavi, poiché i metodi di crittografia asimmetrica verrebbero violati.

Gli esperti dell'Ufficio federale tedesco per la sicurezza informatica (BSI) prevedono una probabilità del 20% che i primi computer quantistici siano in grado di violare i metodi di crittografia attualmente sicuri entro il 2030. La pressione per iniziare a crittografare i dati con metodi sicuri dal punto di vista quantistico sta aumentando. Questo aspetto è particolarmente critico per le organizzazioni e le autorità governative che gestiscono grandi quantità di dati sensibili per lunghi periodi di tempo. Avranno bisogno di molto tempo per convertire i dati che gestiscono in una crittografia sicura dal punto di vista quantistico.

PQC e QKD: due metodi con un unico obiettivo

Attualmente disponiamo di due promettenti metodi di crittografia sicura dal punto di vista quantistico. Nella crittografia post-quantistica (PQC), i ricercatori sviluppano speciali algoritmi asimmetrici impossibili

da violare in un tempo ragionevole, anche con un computer quantistico. Alcuni candidati promettenti si basano su diversi problemi matematici, come i reticoli o le funzioni hash crittografiche. Un altro approccio PQC utilizza codici a correzione di errore che un computer quantistico non è in grado di decrittografare in modo efficiente.

Uno dei principali vantaggi della PQC è che si può continuare a utilizzare l'infrastruttura di rete esistente. Tuttavia, rimangono ancora alcune sfide da affrontare. Alcuni promettenti candidati alla PQC sono stati recentemente violati. Inoltre, rispetto ai metodi asimmetrici convenzionali, la PQC presenta problemi di efficienza e di lunghezza della chiave. Molti sforzi di ricerca e sviluppo sono attualmente concentrati su questi temi.

Distribuzione di chiavi quantistiche (QKD)

La distribuzione di chiavi quantistiche ha un approccio completamente diverso. Alcune leggi fondamentali della fisica quantistica vengono utilizzate per generare e distribuire in modo sicuro le chiavi che possono essere utilizzate per la crittografia simmetrica. Invece dei bit convenzionali, le parti comunicanti si scambiano qubit che si basano sugli stati quantici dei singoli fotoni.

La QKD ha il vantaggio che i singoli stati quantici non possono essere perfettamente copiati e qualsiasi terza parte che cerchi di misurare i fotoni per mettere le mani su una chiave può essere scoperta. Queste due leggi fisiche fondamentali possono essere abilmente utilizzate per ottenere un vantaggio su un potenziale attaccante. Se i qubit misurati vengono postelaborati correttamente, è possibile generare una sequenza di bit nota solo alle due parti e utilizzabile come chiave.

Se i metodi crittografici asimmetrici sono violati, la QKD può essere un'alternativa molto importante. La distribuzione di chiavi quantistiche si basa sulle leggi della fisica e della teoria dell'informazione. La sicurezza di una chiave è indipendente dalla potenza di elaborazione dei computer quantistici e convenzionali.

Dispositivi e infrastrutture compatibili con la QKD

Oggi sono disponibili molti protocolli QKD. In linea con i principi sopra descritti, si basano su diversi gradi di libertà, tra cui la polarizzazione, il tempo e la fase, e richiedono meccanismi diversi per misurare lo stato quantistico. Alcuni protocolli sono già ben sviluppati e utilizzati in applicazioni reali. Le prime soluzioni QKD per comunicazioni sicure da punto a punto possono essere acquistate da diversi fornitori. La gamma di prodotti disponibili continuerà a crescere nel prossimo futuro.

La crittografia quantistica richiede un'infrastruttura di rete aggiuntiva per trasmettere i bit quantistici. Questa infrastruttura è attualmente in fase di implementazione in varie regioni del mondo. La procedura è simile ovunque: i singoli collegamenti da punto a punto vengono combinati in reti di prova più grandi, che sempre più spesso costituiscono una rete commercialmente valida. La più grande rete QKD è la rete dorsale quantistica. È stata ufficialmente completata nel 2017 e da allora è stata ampliata in tutta la Cina.

L'Unione Europea ha lanciato nel 2019 un programma noto come "Infrastruttura europea per le comunicazioni quantistiche" (EuroQCI). Utilizzando fibre ottiche e collegamenti satellitari, il programma si estenderà a tutta l'Unione Europea, compresi i territori d'oltremare. Le reti nazionali create in questo processo si uniranno per formare una rete europea comune nei prossimi anni.

Elementi di rete QKD

Una rete quantistica è più di semplici dispositivi QKD. Deve anche includere sistemi temprati per la gestione delle chiavi, crittografi con capacità QKD e sistemi di controllo e gestione. Rohde & Schwarz Cybersecurity GmbH si è recentemente impegnata molto di più in questo campo. L'azienda sta collaborando con diversi partner per sviluppare funzioni e prodotti, alcuni dei quali sono già presenti nelle soluzioni attuali.

Rohde & Schwarz Cybersecurity è da tempo un fornitore di fiducia di soluzioni di sicurezza informatica approvate da BSI e può basarsi sulla tecnologia esistente per le reti convenzionali nello sviluppo di cifratori con capacità QKD. La gamma di funzioni di questi crittografi è stata estesa per l'uso nelle reti QKD. Sono stati installati con successo e sono costantemente in funzione nelle reti di prova europee nell'ambito di progetti di ricerca.

Altre tecnologie, come i sistemi di gestione delle chiavi, vengono sviluppate da zero. L'esperienza di Rohde & Schwarz in materia di sicurezza informatica con soluzioni di sicurezza approvate e temprate rappresenta un vantaggio importante, poiché anche questi sistemi devono essere temprati per l'approvazione.