Chi si occupa di crittografia post quantistica tende a costruire schemi basati su problemi matematici che, si ritiene, siano difficili da risolvere anche per un computer quantistico. L’assunto è che si tratti di problemi per i quali non esistono algoritmi quantistici efficienti.

Ed è qui che Google, posizionando nel 2029 il Q-Day, ossia il momento in cui la crittografia attuale sarà risolta dalle macchine quantistiche, si accoda ad altre fonti (tra le quali il NIST) che raccomandavano un aggiornamento di sistemi e soluzioni crittografiche entro il 2035.

In particolare, il National Institute of Standards and Technology (NIST), caldeggia da tempo la necessità di proteggere i sistemi informatici dalle future minacce dei computer quantistici.

Le conseguenze del Q-Day

Google ha fornito nuove stime basate sull’hardware disponibile e sui progressi nella correzione degli errori che riducono il numero di qubit necessari per attaccare RSA/ECC, algoritmi di crittografia a chiave pubblica.

Già nel 2022 il NIST ha comunicato di avere selezionato quattro algoritmi crittografici capaci di resistere alla computazione quantistica e di averli inseriti negli standard di riferimento.

Le conseguenze interessano infrastrutture critiche, banche e finanza, servizi cloud e chiunque trasmetta dati sensibili, singoli o gruppi di individui inclusi.

L’allarmismo è solo in parte giustificato perché, al di là delle stime fatte da Big G e anche al di là delle (lecite) preoccupazioni del NIST, occorre tenere presente cosa dice la scienza oggi.

L’annosa questione dei qubit

Non è possibile misurare in modo rigido la quantità di qubit necessari a rompere la crittografia. Si tratta di un valore che cambia a seconda del modello di calcolo e quindi a seconda del tasso di errore, della correzione di errore, del tempo di esecuzione e altri indici ancora.

Una ricerca del 2019 (un eone fa) sostiene che per fattorizzare RSA-2048 sono necessari dai 4.000 ai 6.000 qubit logici e dai 1.000 ai 3.000 qubit fisici.

Poiché un qubit logico è costruito usando molti qubit fisici che ne correggono gli errori (nell’ordine delle migliaia a seconda dei codici di correzione d’errore quantistica) servono milioni di qubit fisici per risolvere la crittografia attuale e i computer quantistici odierni ne hanno poco più di un migliaio.

Il gap non è solo quantitativo, è soprattutto qualitativo. Non basta parlare di qubit i quali, per loro natura, sono molto rumorosi. Ogni operazione che svolgono introduce errori (stabilità, decoerenza), il vero collo di bottiglia non è la quantità di qubit ma la loro stabilità e la loro capacità di mantenere informazioni a lungo.

Quando e come muoversi

Google ha rivisto le stime al ribasso: ciò che nel 2019 necessitava di 20milioni di qubit fisici per essere spezzato, oggi ne necessita circa 100mila.

Va però sottolineato che la data del 2029 è puramente teorica, non ci sono evidenze scientifiche che la supportano e, pure senza cedere agli allarmismi, è opportuno che le organizzazioni si adeguino agli standard, tenendo presente che l’adozione su larga scala necessita di aggiornamenti hardware e software, quindi richiedono risorse e tempo.

Accelerare l’adozione di algoritmi resistenti ai computer quantistici è doveroso, ma agire in modo frettoloso e scomposto non ha alcun senso.

Per chiarire il quadro ci siamo avvalsi del supporto di Enrico Frumento, Cybersecurity Research Lead di Cefriel.

Partiamo con lo smontare i toni apocalittici che spesso accompagnano notizie simili a questa. C’è una certa urgenza, certo, ma questa non giustifica paralleli escatologici.

“Il rischio è abbastanza credibile da giustificare un’azione immediata – spiega Enrico Frumento – ma abbastanza incerto da rendere stupido qualunque tono millenarista.

In questo Google fa un po’ di advertising: Google ha annunciato una timeline interna di migrazione alla crittografia post-quantistica entro il 2029; non ha dimostrato o detto che nel 2029 esisterà sicuramente un computer quantistico capace di rompere su larga scala tutta la crittografia moderna.

Nonostante questo, parallelamente il NIST ha già finalizzato i primi standard e dice esplicitamente di iniziare la migrazione ora.

In Europa non è differente, pure tenendo conto che le stime sul famoso momento in cui si avrà la quantum-supremacy sono abbastanza ballerine.

Per prepararsi, le organizzazioni devono fare l’inventario crittografico, classificare i dati per la durata della sensibilità, imporre crypto-agility, aggiornare PKI/TLS/VPN/firma software e pretendere dai fornitori roadmap di crittografia post-quantistica.

Cose che comunque dovrebbero fare a priori, indipendentemente dal Q-Day. Il segreto è la crypto-agility, che mette al riparo da qualsiasi cambio futuro e, già oggi, sarebbe utile averla.

La lista degli asset coinvolti è comunque propedeutica, ma per fare attività di sicurezza sarebbe comunque necessaria indipendentemente. Lo scenario più impattante è quello dei dati cifrati per lungo tempo (governativi), perché bisogna considerare che nell’altro caso, con chiavi sufficientemente lunghe e di breve durata, i QC non saranno una vera minaccia ancora a lungo. La minaccia principale è quindi legata al data-at-rest mentre per le altre forme data-in-transit e data-in-use la minaccia post-quantistica è decisamente meno urgente”.

Il punto focale, in questo caso, è la strategia di attacco harvest-now-decrypt-later che mette in condizione gli attaccanti di intercettare dati cifrati e decriptarli in futuro, quando si disporrà di capacità computazionali adeguate.

Il vantaggio da non disperdere

La cybersecurity insegue sempre le mosse del cyber crimine e, nel caso della crittografia post-quantistica, le organizzazioni hanno modo di muoversi con abbondante anticipo. Non ci sono alibi per non farsi trovare preparati.

“La buona notizia, per una volta, è che si parte da standard e roadmap già disponibili, senza aspettare il giorno dell’incidente. NIST ha già pubblicato i primi standard post-quantum e invita ad avviare la transizione subito.

Vanno fatte sei cose molto concrete, non acquistare tecnologie esotiche (ma questo a causa del Cyber Resilience Act sarà vietato già molto prima del Quantum D-day): primo, mappare dove si usano RSA, ECC e altre dipendenze crittografiche nei sistemi, nelle applicazioni e nei fornitori; secondo, classificare i dati in base a quanto devono restare riservati nel tempo, perché il rischio “harvest now, decrypt later” riguarda soprattutto ciò che deve rimanere confidenziale per molti anni; terzo, introdurre la crypto-agility, cioè la capacità di sostituire algoritmi e chiavi senza rifare da zero architetture e prodotti; quarto, pianificare la migrazione di PKI, TLS, VPN, firma software e identità digitali, anche con fasi ibride dove serve interoperabilità; quinto, pretendere dai vendor una roadmap credibile, con date, dipendenze e supporto operativo; sesto, considerare che le chiavi, i certificati, eccetera con algoritmi post-quantistici hanno dimensioni spesso superiori e questo impatta sui parametri del sistema (per esempio, un key storage deve essere riprogettato per ospitare certificati più lunghi)”, conclude Enrico Frumento.

Conclusioni

La carne al fuoco è tanta ma agire con fretta non ha senso e, peggio ancora, induce a sprecare risorse in modo disordinato e infruttuoso.

Il vademecum da seguire può essere ridotto a poche fasi, ognuna delle quali andrebbe affrontata con profonda consapevolezza.

Mappare dove sono usati RSA/ECC, testare implementazioni di crittografia post-quantistica, proteggere i dati a lunga conservazione, aggiornare i contratti con i fornitori per richiedere roadmap di crittografia post-quantistica e, non da ultimo, formare i team di sicurezza affinché possano approntare piani di migrazione affidabili ed efficaci.