La crittografia che protegge le comunicazioni digitali quotidiane, dalle transazioni bancarie alle criptovalute, potrebbe essere vulnerabile a un attacco quantistico in un orizzonte temporale più breve rispetto alle stime consolidate.

Due nuove analisi, citate nelle ultime settimane, ridisegnano lo scenario tecnologico relativo ai computer quantistici e alla loro capacità di compromettere uno dei sistemi crittografici più diffusi al mondo: quello basato sul problema del logaritmo discreto su curve ellittiche, noto con l’acronimo ECDLP (Elliptic Curve Discrete Logarithm Problem).

Ma facciamo una premessa, spiegando la centralità dell’ECDLP nella sicurezza informatica contemporanea.

La centralità dell’ECDLP nella sicurezza informatica contemporanea

Prima di entrare nel merito delle ricerche, vale la pena chiarire perché l’ECDLP sia così centrale nella sicurezza informatica contemporanea. Si tratta di un problema matematico la cui complessità computazionale lo rende, almeno per i computer classici, praticamente inattaccabile in tempi ragionevoli.

Questa caratteristica lo ha reso un candidato ideale per la protezione di dati sensibili, tanto da essere adottato massicciamente nei protocolli di comunicazione sicura su internet, nei sistemi di pagamento elettronico e in molte delle principali criptovalute, incluso il Bitcoin.

La logica sottostante è che, se il costo computazionale necessario a violare la cifratura supera di gran lunga le capacità realistiche degli attaccanti, il sistema può considerarsi sicuro.

L’arco temporale

Il punto critico è che questa logica vale soltanto per i computer classici. I computer quantistici, sfruttando fenomeni come la sovrapposizione di stati e l’entanglement quantistico, possono in linea teorica affrontare certi problemi matematici in modo esponenzialmente più efficiente.

L’algoritmo di Shor, noto da decenni, dimostra formalmente che un computer quantistico sufficientemente potente sarebbe in grado di risolvere l’ECDLP e problemi analoghi in tempi del tutto incompatibili con qualsiasi garanzia di sicurezza.

Il nodo centrale, fino ad oggi, era capire quanto “sufficientemente potente” significasse in termini pratici e in quale arco temporale una simile macchina potesse essere costruita.

Computer quantistico: la prima minaccia concreta alla crittografia basata sull’ECDLP

Le due ricerche citate da New Scientist spostano significativamente l’asticella.

Secondo una delle analisi, uno dei più avanzati processori quantistici attualmente disponibili avrebbe già raggiunto una frazione significativa delle risorse teoricamente necessarie per costituire una minaccia concreta alla crittografia basata sull’ECDLP.

Non si tratta di un risultato marginale: indica che la distanza tra le capacità attuali e quelle necessarie per un attacco efficace potrebbe essere minore di quanto stimato in precedenza dalla comunità scientifica.

Come funzionano i computer quantistici: i limiti e le sfide tecniche

Per comprendere la rilevanza di questa affermazione, è necessario richiamare brevemente come funzionano i computer quantistici e quali siano i loro limiti strutturali.

Le unità di elaborazione di questi sistemi, i qubit, sono estremamente sensibili alle perturbazioni ambientali: il rumore quantistico introduce errori che si propagano nei calcoli e ne compromettono l’affidabilità.

Per questo motivo, i ricercatori distinguono tra qubit fisici, che sono quelli realmente implementati nell’hardware, equbit logici, che sono quelli corretti dall’errore e utilizzabili per calcoli affidabili.

Il numero di qubit fisici necessari per ottenere un singolo qubit logico è tuttora elevato, il che rende la costruzione di macchine su larga scala una sfida ingegneristica formidabile.

Recenti sviluppi nel campo della correzione degli errori indicano progressi nella stabilità e scalabilità dei sistemi, pur rimanendo aperte significative sfide tecniche.

Si riduce la finestra temporale

Le nuove analisi sembrano tenere conto di questi progressi nella correzione degli errori per aggiornare le stime sul numero di qubit logici effettivamente necessari per violare l’ECDLP, suggerendo che tale numero potrebbe essere inferiore ad alcune previsioni precedenti.

Questo, combinato con la traiettoria di sviluppo hardware osservata negli ultimi anni, riduce sensibilmente la finestra temporale entro cui un simile attacco potrebbe diventare tecnicamente realizzabile.

La risposta del NIST

Sul piano della risposta istituzionale e industriale, il problema non è noto da oggi e sono già in corso lavori significativi per affrontarlo.

Il National Institute of Standards and Technology (NIST) statunitense ha avviato e portato in fase avanzata il processo di standardizzazione di alcuni algoritmi crittografici post-quantistici, ossia algoritmi progettati per resistere anche ad attacchi condotti con computer quantistici.

Si tratta di un passaggio fondamentale, poiché la standardizzazione costituisce il presupposto necessario per un’adozione su scala industriale. Gli algoritmi selezionati, tra cui ML-KEM, ML-DSA e SLH-DSA, si basano su problemi matematici diversi dall’ECDLP e ritenuti resistenti anche all’algoritmo di Shor.

La transizione verso la crittografia post-quantistica

La sfida pratica non si esaurisce nella disponibilità di alternative crittografiche sicure.

La transizione verso la crittografia post-quantistica richiede l’aggiornamento di infrastrutture digitali enormemente complesse e stratificate, che includono protocolli di comunicazione, librerie software, dispositivi hardware e sistemi legacy spesso difficili da aggiornare.

In alcuni contesti, come quello delle infrastrutture critiche o dei sistemi embedded con lunghi cicli di vita, il processo di migrazione può richiedere anni.

Questo problema è noto come “harvest now, decrypt later” (raccogli oggi, decifra domani, letteralmente): attori malevoli potrebbero raccogliere oggi dati cifrati con algoritmi classici, conservarli e decifrarli in futuro, quando disponessero di capacità quantistiche sufficienti.

Ciò significa che la sensibilità temporale della transizione è maggiore di quanto l’orizzonte tecnologico immediato potrebbe suggerire.

Occorre anticipare la transizione alla crittografia post-quantistica

In questo senso, le nuove analisi non rappresentano tanto un allarme quanto un aggiornamento delle coordinate entro cui pianificare la migrazione crittografica.

Organizzazioni che avevano pianificato la transizione su un arco di dieci o quindici anni potrebbero dover riconsiderare quella tempistica.

Le raccomandazioni degli enti di standardizzazione e delle agenzie di cyber security europee puntano già in questa direzione, invitando a iniziare il processo di inventario degli asset crittografici e di pianificazione della migrazione senza attendere che la minaccia quantistica si materializzi compiutamente.

Il dibattito rimane aperto su molti fronti

Dal punto di vista della ricerca, la scalabilità dei sistemi quantistici con correzione degli errori, i costi energetici e ingegneristici associati, la velocità con cui i progressi hardware si tradurranno in capacità computazionali effettive.

Nessuna delle due analisi citate afferma che un attacco quantistico alla crittografia attuale sia imminente in senso assoluto, ma entrambe concorrono a restringere l’intervallo di incertezza verso il basso.

È uno scenario che merita attenzione tecnica e pianificazione concreta, non speculazione.