Nella Scienza spesso capita che i ricercatori debbano fronteggiare vere e proprie “emergenze” al fine di proteggere la società da pericoli “imminenti”. Pensiamo ad esempio allo sforzo fatto per trovare delle cure efficaci contro l’Ebola in un momento in cui la minaccia di un’epidemia su scala mondiale si faceva sempre più concreta. Tuttavia, capita sin troppo frequentemente, che l’opinione pubblica rimanga quasi completamente all’oscuro delle sfide fronteggiate dagli scienziati.

 

Cattura

In questo articolo, parleremo di una sfida nell’ambito della Crittografia che i matematici e gli informatici di tutto il mondo stanno fronteggiando in questi mesi. L’emergenza in questione, tra le altre cose, riguarda la potenziale messa a rischio della nostra privacy, della segretezza delle telecomunicazioni e dei nostri dati sensibili.

La minaccia: i computer quantistici

Fisici ed ingegneri da tutto il mondo stanno lavorando, più o meno uniformemente, alla costruzione dei cosiddetti computer quantistici. Ma che cosa sono? In questo articolo non ci addentreremo nella spiegazione dei concetti base (sarebbe il caso di scrivere un altro articolo solo per questo), tuttavia è importante dare un’idea dell’oggetto in questione.

Teorizzati per la prima volta dallo scienziato statunitense Murray Gell-Mann nel 1982, i computer quantistici sono computer che hanno una unità di base diversa dai computer classici (ossia quelli che usiamo ogni giorno). Anziché avere i bit come unità di base, hanno i qubit o quantum-bit. Questo fatto dona loro una logica diversa rispetto ai computer classici e, di conseguenza, delle nuove potenzialità.

Questo non vuol dire che i computer quantistici sono semplicemente dei computer comuni ma molto più potenti. In realtà sono dei computer che funzionano in maniera diversa e, in particolare, riescono a risolvere alcuni problemi molto più efficientemente rispetto ai computer classici.

Ma a che punto siamo con la costruzione di tali computer? Esistono già! Varie università e aziende private (Google, IBM, …) hanno già costruito dei prototipi funzionanti. Tuttavia sono ancora prototipi su piccola scala, ancora lontani dal fare la differenza nelle applicazioni. Non siamo dunque ancora entrati nella cosiddetta era della supremazia quantistica, in cui i computer quantistici supereranno, in certe applicazioni, i computer classici. Quando avverrà? È difficile dirlo con precisione, c’è chi dice tra 5 anni, chi tra 10, chi tra 20, e chi dice mai. Tuttavia, sono in molti a far notare che la Legge di Moore, rivelatasi profetica per i computer classici, sembra stia profetizzando anche le innovazioni tecnologiche in campo quantistico. Inoltre, sembra proprio che ultimamente si stiano facendo davvero dei passi da gigante.

Le applicazioni sono molteplici, dalle telecomunicazioni all’analisi dei dati. Il mondo della crittografia, in particolare, è stato stravolto dall’introduzione (per ora solo in linea teorica) dei computer quantistici. In questo articolo cercheremo di spiegare qual è l’emergenza creata e cosa si sta facendo per fronteggiarla.

Emergenza nella crittografia odierna

La crittografia moderna che usiamo quotidianamente (e spesso inconsapevolmente) quando per esempio ci scambiamo messaggi, navighiamo su internet, scarichiamo la posta elettronica o comunichiamo con la nostra banca, basa la propria sicurezza su alcuni problemi di matematica difficili da risolvere. Più nello specifico, esistono alcuni problemi che per essere risolti richiedono “anni” di conti su computer potentissimi. Qualora si trovasse un metodo più veloce per risolvere tali problemi, allora la sicurezza dei protocolli crittografici legati ad essi sarebbe da considerarsi rotta.

In termini più matematici, i problemi sui quali si basa la sicurezza della crittografia odierna hanno una presunta complessità esponenziale, qualora si dovesse trovare un algoritmo con complessità polinomiale che risolva uno questi, allora esso sarebbe da considerarsi rotto, ossia la relativa sicurezza sarebbe da considerarsi inaffidabile. I problemi più utilizzati al giorno d’oggi sono RSA (ne avevamo già parlato qui) e il Problema del Logaritmo Discreto (ne avevamo già parlato nel caso delle curve ellittiche).

Ebbene, nel 1994, l’informatico statunitense Peter Shor, ideò un algoritmo quantistico (ossia un algoritmo per computer quantistici) che “rompe” sia RSA che il Problema del Logaritmo Discreto.  In altre parole, permette di risolvere entrambi i problemi in tempo polinomiale.

Inizialmente, la costruzione dei computer quantistici sembrava un traguardo tecnologico parecchio lontano. Tuttavia, alla luce dei recenti progressi, la comunità mondiale dei crittografi, spinta anche da alcune istituzioni governative, ha cominciato ad allarmarsi.

image_2019-09-25_14-37-30

Il rischio concreto è che un bel giorno, il governo di qualche stato oppure una multinazionale, dichiarino al mondo di essere in possesso di un computer quantistico funzionante e di dimensioni adeguate. Se ciò accadesse, tutte le comunicazioni private, i dati sensibili sarebbero in pericolo. È fondamentale quindi anticipare i tempi e farsi trovare preparati quando questo momento arriverà.

Crittografia post-quantistica

Come fronteggiare l’emergenza quantistica nella crittografia? Ovviamente facendo ricerca e trovando nuovi problemi matematici che non siano, fino a prova contraria, vulnerabili ad attacchi sia classici che quantistici.

Così è nata la crittografia post-quantistica, una nuova branca di ricerca che si occupa di definire nuovi protocolli sicuri da usare nel futuro prossimo quando i computer quantistici saranno pronti. La sicurezza di tali protocolli si basa su nuovi problemi matematici potenzialmente sicuri. Tra i più promettenti citiamo i problemi legati ai reticoli, alle isogenie ed alla teoria dei codici.

Contemporaneamente, i cosiddetti crittoanalisti, impiegano il loro tempo nel cercare di attaccare tali problemi (e protocolli). Lo scopo è quello di testare la loro sicurezza e scoprire eventuali vulnerabilità prima che vengano usati su larga scala.

Il National Institute of Standard and Technology (NIST) ha dato via ad una sorta di competizione tra i crittografi di tutto il mondo con lo scopo di sollecitare i ricercatori a produrre protocolli sicuri e pronti per essere utilizzati nell’era post-quantistica.

Ogni protocollo proposto deve essere analizzato attentamente secondo vari aspetti. Primo, la sicurezza deve essere valutata tenendo in considerazione tutti i possibili attacchi (teorici, side-channel, men-in-the-middle, ecc.). Secondo, è necessario tenere conto anche di tanti altri fattori, quali efficienza e semplicità nelle implementazioni, adattabilità a diversi tipi di hardware e scalabilità.

La gara è ancora in pieno svolgimento, alcuni protocolli partecipanti sono stati attaccati e quindi rotti, altri invece sono sopravvissuti agli attacchi dei crittoanalisti richiedendo però alcuni accorgimenti. Non ci sarà un singolo protocollo vincitore, ma piuttosto ce ne saranno diversi, ciascuno dei quali basato su un problema matematico diverso. Questo per fare in modo che, qualora un problema matematico venisse “rotto”, ci sarebbero altre alternative già pronte all’uso.

Come si sta comportando l’Italia a fronte di questa emergenza? Tra i protocolli più promettenti per arrivare alla fase finale della competizione del NIST ve n’è uno tutto italiano, si chiama LEDAcrypt e basa la sua sicurezza su di un problema matematico legato alla teoria dei codici.

CC BY-NC-SA 4.0
This work is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License.