L’Orizzonte Post-Quantistico: Prepararsi alle Sfide Crittografiche del Futuro

Pubblicato daAngelo MangionePubblicato in: IngegneriaTag:, ,

Nel pano­ra­ma del­la sicu­rez­za infor­ma­ti­ca, l’a­van­za­men­to tec­no­lo­gi­co por­ta con sé nuo­ve minac­ce e la neces­si­tà di evol­ve­re costan­te­men­te le nostre dife­se. Una del­le sfi­de più signi­fi­ca­ti­ve all’o­riz­zon­te è rap­pre­sen­ta­ta dal­l’e­mer­ge­re di com­pu­ter quan­ti­sti­ci su lar­ga sca­la. I siste­mi crit­to­gra­fi­ci a chia­ve pub­bli­ca attual­men­te in uso, qua­li RSA, gli sche­mi basa­ti sul loga­rit­mo discre­to (come Dif­fie-Hell­man) e le cur­ve ellit­ti­che, sono vul­ne­ra­bi­li ad attac­chi con­dot­ti da tali mac­chi­ne, in par­ti­co­la­re gra­zie all’al­go­rit­mo di Shor.

La con­sa­pe­vo­lez­za di que­sta minac­cia futu­ra ha por­ta­to alla conia­zio­ne del ter­mi­ne “crit­to­gra­fia post-quan­ti­sti­ca” (PQC), che descri­ve siste­mi crit­to­gra­fi­ci alter­na­ti­vi pro­get­ta­ti per resi­ste­re ad attac­chi da par­te di com­pu­ter quan­ti­sti­ci. Que­sta non è una pro­ble­ma­ti­ca da affron­ta­re in un lon­ta­no futu­ro; è impe­ra­ti­vo dota­re già oggi le nostre appli­ca­zio­ni con crit­to­gra­fia resi­sten­te agli attac­chi quan­ti­sti­ci per difen­der­ci da minac­ce di tipo “sto­re now, decrypt later”. Un avver­sa­rio potreb­be memo­riz­za­re comu­ni­ca­zio­ni cifra­te oggi, con l’in­ten­zio­ne di deci­frar­le una vol­ta che un com­pu­ter quan­ti­sti­co poten­te sarà disponibile.

La PQC è un cam­po di ricer­ca atti­vo e alcu­ni sche­mi sono già sta­ti stan­dar­diz­za­ti. È fon­da­men­ta­le sot­to­li­nea­re che la PQC si con­cen­tra su algo­rit­mi che gira­no su com­pu­ter con­ven­zio­na­li ma sono capa­ci di con­tra­sta­re attac­chi che uti­liz­za­no com­pu­ter quan­ti­sti­ci, distin­guen­do­si dal­la crit­to­gra­fia quan­ti­sti­ca (QC), che sfrut­ta effet­ti quan­ti­sti­ci per la distri­bu­zio­ne di chia­vi sicu­re (QKD).

Prin­ci­pi Fon­da­men­ta­li del­la Crit­to­gra­fia Post-Quantistica

Mol­ti sche­mi PQC si basa­no su prin­ci­pi di per­di­ta di infor­ma­zio­ne e appros­si­ma­zio­ne, intro­du­cen­do incer­tez­za per un attac­can­te. L’e­sem­pio del cubo pro­iet­ta­to in due dimen­sio­ni illu­stra come la ridu­zio­ne di dimen­sio­na­li­tà pos­sa ren­de­re dif­fi­ci­le iden­ti­fi­ca­re uni­vo­ca­men­te una posi­zio­ne. Que­sto con­cet­to si lega alla fun­zio­ne one-way del­le fun­zio­ni hash. L’i­dea di tro­va­re un pun­to (o simi­le ele­men­to) che sia il più vici­no a una strut­tu­ra pre­de­fi­ni­ta è alla base di approc­ci come la crit­to­gra­fia basa­ta su reti­co­li e codici.

Le Fami­glie Pro­met­ten­ti del­la Crit­to­gra­fia Post-Quantistica

La ricer­ca e la stan­dar­diz­za­zio­ne del­la PQC si con­cen­tra­no prin­ci­pal­men­te su tre fami­glie di algoritmi:

  • Crit­to­gra­fia basa­ta su reti­co­li (Lat­ti­ce-based cryp­to­gra­phy): Que­sta fami­glia sfrut­ta la dif­fi­col­tà di pro­ble­mi mate­ma­ti­ci su strut­tu­re alge­bri­che chia­ma­te reti­co­li. Un pro­ble­ma fon­da­men­ta­le è il Lear­ning With Errors (LWE), che intro­du­ce un “rumo­re” a un pun­to del reti­co­lo, ren­den­do dif­fi­ci­le il recu­pe­ro del­la sua posi­zio­ne esat­ta. Varian­ti come Ring-LWE e Modu­le-LWE miglio­ra­no l’ef­fi­cien­za uti­liz­zan­do anel­li poli­no­mia­li e modu­li. Gli sche­mi basa­ti su reti­co­li sono ver­sa­ti­li e sup­por­ta­no sia tra­spor­to di chia­vi (ad esem­pio, KYBER, FRODO) che fir­me digi­ta­li (ad esem­pio, DILITHIUM, FALCON).
  • Crit­to­gra­fia basa­ta su codi­ci (Code-based cryp­to­gra­phy): Que­sta approc­cio si basa sul­la teo­ria dei codi­ci di cor­re­zio­ne degli erro­ri. Il pro­ble­ma cen­tra­le è la deco­di­fi­ca di sin­dro­mi, che diven­ta com­pu­ta­zio­nal­men­te dif­fi­ci­le per codi­ci gene­ri­ci. Lo sche­ma di McE­lie­ce (basa­to su codi­ci Gop­pa) e lo sche­ma di Nie­der­rei­ter sono esem­pi di crit­to­si­ste­mi a chia­ve pub­bli­ca basa­ti su codi­ci, uti­liz­za­ti prin­ci­pal­men­te per il tra­spor­to di chia­vi. La sicu­rez­za si basa sul­la dif­fi­col­tà di deco­di­fi­ca­re un codi­ce linea­re generale.
  • Crit­to­gra­fia basa­ta su hash (Hash-based cryp­to­gra­phy): Que­sta fami­glia uti­liz­za le pro­prie­tà di fun­zio­ni hash crit­to­gra­fi­che one-way per costrui­re sche­mi di fir­me digi­ta­li. Le fir­me one-time (come Lam­port-Dif­fie e Win­ter­ni­tz) costi­tui­sco­no le fon­da­men­ta. Gli sche­mi many-time (come Mer­kle Signa­tu­re Sche­me — MSS) uti­liz­za­no albe­ri hash (albe­ri di Mer­kle) per aggre­ga­re più chia­vi pub­bli­che one-time in un’u­ni­ca chia­ve pub­bli­ca. Sche­mi stan­dar­diz­za­ti come XMSS e LMS (sta­te­ful) e SPHINCS+ (sta­te­less) offro­no alter­na­ti­ve robu­ste per le fir­me digi­ta­li resi­sten­ti ai quantici.

Ver­so la Stan­dar­diz­za­zio­ne Post-Quantistica

Il Natio­nal Insti­tu­te of Stan­dards and Tech­no­lo­gy (NIST) ha avvia­to un’im­por­tan­te ini­zia­ti­va di stan­dar­diz­za­zio­ne per la crit­to­gra­fia post-quan­ti­sti­ca nel 2017. Que­sto pro­ces­so com­pe­ti­ti­vo, simi­le a quel­lo per AES e SHA‑3, ha visto la valu­ta­zio­ne di nume­ro­si can­di­da­ti in diver­se tor­na­te. Nel 2022, sono sta­ti sele­zio­na­ti i pri­mi sche­mi per la standardizzazione:

  • KYBER (basa­to su Modu­le-LWE): Mec­ca­ni­smo di incap­su­la­men­to di chia­vi (KEM) sele­zio­na­to come stan­dard con il nome ML-KEM.
  • DILITHIUM (basa­to su Modu­le-LWE): Sche­ma di fir­ma digi­ta­le sele­zio­na­to come stan­dard con il nome ML-SIG.
  • FALCON (basa­to su reti­co­li): Sche­ma di fir­ma digi­ta­le sele­zio­na­to come can­di­da­to per la stan­dar­diz­za­zio­ne come FN-SIG.
  • SPHINCS+ (basa­to su hash): Sche­ma di fir­ma digi­ta­le sele­zio­na­to per la standardizzazione.

Oltre a que­sti, è sta­ta avvia­ta una quar­ta tor­na­ta per con­si­de­ra­re ulte­rio­ri can­di­da­ti, prin­ci­pal­men­te KEM basa­ti su codi­ci. Anche orga­niz­za­zio­ni come ISO stan­no valu­tan­do sche­mi PQC come Clas­sic McE­lie­ce e FRODOKEM per la standardizzazione.

Con­si­de­ra­zio­ni sul­l’Im­ple­men­ta­zio­ne del­la PQC

Seb­be­ne la PQC pro­met­ta sicu­rez­za nel­l’e­ra quan­ti­sti­ca, pre­sen­ta alcu­ne sfide:

  • Effi­cien­za: Mol­ti sche­mi PQC sono com­pu­ta­zio­nal­men­te più inten­si e richie­do­no più memo­ria rispet­to a RSA ed ECC.
  • Dimen­sio­ni del­le chia­vi e degli out­put: Alcu­ni sche­mi han­no dimen­sio­ni di chia­vi pub­bli­che (ad esem­pio, Clas­sic McE­lie­ce) e fir­me (ad esem­pio, sche­mi basa­ti su hash) signi­fi­ca­ti­va­men­te mag­gio­ri rispet­to alla crit­to­gra­fia clas­si­ca. I mec­ca­ni­smi di crit­to­gra­fia (o KEM) PQC spes­so com­por­ta­no un’e­span­sio­ne del ciphertext.
  • Vin­co­li secon­da­ri: Alcu­ni sche­mi pos­so­no ave­re una pic­co­la pro­ba­bi­li­tà di fal­li­men­to nel­la deci­fra­zio­ne o nel­la gene­ra­zio­ne del­la fir­ma. Gli sche­mi di fir­ma sta­te­ful richie­do­no una gestio­ne atten­ta del­lo sta­to per evi­ta­re il riu­ti­liz­zo di fir­me one-time.
  • Sicu­rez­za del­l’im­ple­men­ta­zio­ne: Le imple­men­ta­zio­ni PQC pos­so­no esse­re vul­ne­ra­bi­li ad attac­chi side-chan­nel e fault injec­tion, richie­den­do tec­ni­che di imple­men­ta­zio­ne robuste.

Con­clu­sio­ni

La crit­to­gra­fia post-quan­ti­sti­ca rap­pre­sen­ta una rispo­sta cru­cia­le alla minac­cia posta dai futu­ri com­pu­ter quan­ti­sti­ci ai siste­mi crit­to­gra­fi­ci attua­li. La ricer­ca e la stan­dar­diz­za­zio­ne di sche­mi basa­ti su reti­co­li, codi­ci e hash stan­no com­pien­do pro­gres­si signi­fi­ca­ti­vi, pre­pa­ran­do il ter­re­no per una tran­si­zio­ne ver­so algo­rit­mi resi­sten­ti ai quan­ti­ci. Com­pren­de­re i prin­ci­pi, le poten­zia­li­tà e le sfi­de di que­ste nuo­ve fami­glie di algo­rit­mi è fon­da­men­ta­le per garan­ti­re la sicu­rez­za del­le comu­ni­ca­zio­ni e del­l’au­ten­ti­ca­zio­ne nel futu­ro pano­ra­ma infor­ma­ti­co. La diver­si­tà degli sche­mi stan­dar­diz­za­ti sarà essen­zia­le per sod­di­sfa­re le diver­se esi­gen­ze di sicu­rez­za del­le appli­ca­zio­ni moderne.