Crittografia post-quantistica: Perché abbiamo bisogno di una crittografia resistente ORA.

La crittografia resistente ai quanti o post-quantistica è la nostra migliore scommessa contro gli attacchi dei prossimi computer quantistici per aumentare la sicurezza e la privacy.

2024-02-09
Now is the time to switch to post-quantum cryptography to keep your data safe from prying eyes.
L'ascesa dei computer quantistici porta grandi vantaggi alla nostra parola online, ma anche grandi rischi per la nostra sicurezza e privacy. Con l'avvicinarsi della rivoluzione quantistica, l'introduzione di una robusta crittografia post-quantistica diventa fondamentale: I nuovi algoritmi devono essere implementati ora per salvaguardare i nostri dati da futuri attacchi da parte dei computer quantistici. In questo post spieghiamo lo scopo della crittografia post-quantistica, come funziona la crittografia post-quantistica e perché abbiamo bisogno di una crittografia resistente ai quanti già oggi, e non una volta iniziata l'era dei computer quantistici.

Internet, così come lo conosciamo, dipende dalla crittografia: comunicazioni riservate, e-mail sicure, transazioni finanziarie, infrastrutture critiche - tutto questo è a rischio se la crittografia può essere violata. Oggi tutti i tipi di attori investono pesantemente nello sviluppo di computer quantistici, per molteplici ragioni.

Questi computer promettono di portare grandi vantaggi alla tecnologia dell'informazione, in particolare in combinazione con l'intelligenza artificiale (AI). Ma i computer quantistici possono anche trasformarsi in macchine di sorveglianza senza precedenti e minacciare la nostra sicurezza informatica: La corsa è aperta tra i computer quantistici e la crittografia post-quantistica!

I computer quantistici minacciano la crittografia

L'informatica quantistica e la crittografia resistente ai quanti cambieranno la tecnologia informatica in un modo che non abbiamo mai visto prima.

La ricerca passata ha prodotto vari algoritmi quantistici per risolvere in modo efficiente diversi problemi che oggi sono considerati troppo difficili. Grazie a questa capacità, l'informatica quantistica porterà grandi miglioramenti in diverse aree della tecnologia dell'informazione.

Tuttavia, essi rappresentano anche una seria minaccia per la crittografia, poiché i crittosistemi asimmetrici oggi ampiamente utilizzati (RSA, ECC, (EC)DSA e (EC)DH) si basano su varianti di due soli problemi matematici difficili che, sfortunatamente, l'informatica quantistica è in grado di risolvere molto più velocemente: il problema della fattorizzazione dei numeri interi e il problema del logaritmo discreto.

Con l'algoritmo di Shor (1994) eseguito su un computer quantistico universale, entrambi i problemi diventano risolvibili in tempo polinomiale.

La crittografia a curva ellittica è resistente ai quanti?

Ciò significa che i rispettivi sistemi crittografici basati su RSA ed ECC possono essere effettivamente violati.

Gli algoritmi crittografici più diffusi, come la crittografia a curva ellittica (ECC), non sono resistenti ai quanti e possono essere facilmente violati dall'informatica quantistica. È importante notare che l'ECC, così come la crittografia PGP basata su AES e RSA, sarà obsoleta nei prossimi anni, quando sarà completata la gara di crittografia post-quantistica del NIST. Nel migliore dei casi questi algoritmi tradizionali saranno utilizzati in protocolli ibridi, combinati con algoritmi di sicurezza quantistica.

Il tempo necessario a un aggressore per violare la crittografia RSA ed ECC dipende dalla capacità del computer quantistico. Secondo uno studio dell'Ufficio federale tedesco per la sicurezza informatica (BSI), sono necessari circa 1 milione di qubit fisici per decifrare RSA a 2048 bit in 100 giorni e circa 1 miliardo di qubit per decifrarlo in un'ora. I progressi nella progettazione degli algoritmi ridurranno ulteriormente questi numeri.

La corsa alle soluzioni sicure per i quanti

"Questo significa che i computer quantistici sono potenzialmente in grado di violare la maggior parte delle comunicazioni sicure del pianeta", afferma il crittografo Rafael Misoczki. È iniziata la corsa alla creazione di nuovi metodi di protezione dei dati e delle comunicazioni per contrastare la minaccia rappresentata dai computer quantistici universali su larga scala.

Ad esempio, le agenzie federali statunitensi come l'FBI e l'NSA sono già tenute ad adottare la sicurezza post-quantistica e il settore privato è stato invitato a seguirle. Questo requisito fa parte della Strategia Nazionale di Cybersecurity pubblicata dall'amministrazione Biden nel marzo 2023. È evidente che i responsabili politici hanno già compreso la minaccia di cybersicurezza rappresentata dai computer quantistici per le comunicazioni riservate e segrete online.

Quando l'informatica quantistica diventerà realtà?

Ad oggi, non è stato sviluppato alcun computer quantistico pratico. Tuttavia, l'informatica quantistica è un campo di ricerca molto attivo e in passato sono stati compiuti rapidi progressi, soprattutto negli ultimi anni.

I progressi nell'informatica quantistica vengono annunciati regolarmente da grandi aziende come IBM, Google e Intel. Questi computer, tuttavia, operano solo su circa 50-70 qubit fisici. Secondo lo studio BSI citato, un computer quantistico in grado di violare gli attuali crittosistemi non diventerà una realtà nel breve termine.

Tuttavia, le rivelazioni di Edward Snowden hanno reso evidente che già oggi i dati criptati sono conservati da diversi soggetti. È giunto il momento di garantire che questi attori non siano in grado di decifrarli anni dopo, quando saranno stati costruiti computer quantistici universali su larga scala.

Inoltre, l'informatica quantistica non è più una possibilità remota, ma è già una realtà. L'istituto di ricerca Riken in Giappone ha annunciato che renderà disponibile online il primo computer quantistico costruito in patria per diverse aziende e istituzioni accademiche. Riken prevede di collegare questo prototipo di computer quantistico al secondo supercomputer più veloce del mondo, Fugaku, entro il 2025, al fine di espandere i casi di utilizzo nel mondo reale, tra cui la ricerca sui materiali e sui prodotti farmaceutici.

Questo non è uno sviluppo isolato, ma fa parte di quella che sembra una "corsa agli armamenti" dell'informatica quantistica. Secondo l'Agenzia giapponese per la scienza e la tecnologia, negli ultimi trent'anni la Cina ha registrato il maggior numero di brevetti a livello mondiale per l'informatica quantistica, circa 2.700, seguita dagli Stati Uniti con circa 2.200 e dal Giappone con 885.

È chiaro che il mondo è sull'orlo di una rivoluzione tecnologica con l'emergere dei computer quantistici, che promettono una potenza di elaborazione senza precedenti e la capacità di risolvere problemi complessi che i computer classici non possono risolvere.

Se da un lato questo è entusiasmante, dall'altro rappresenta una minaccia per gli attuali protocolli di crittografia, che potrebbero essere facilmente violati dai computer quantistici, lasciando le informazioni sensibili esposte agli aggressori. Per questo motivo la Strategia nazionale di sicurezza informatica degli Stati Uniti chiede la transizione alla crittografia post-quantistica, che utilizza algoritmi resistenti agli attacchi dei computer quantistici. La strategia riconosce la necessità di prepararsi al futuro e di garantire che i protocolli di crittografia rimangano sicuri di fronte all'evoluzione delle minacce.

Anche se la possibilità che un computer quantistico riesca a violare gli attuali protocolli di crittografia Ende-zu-Ende non dovrebbe diventare una realtà nell'immediato futuro, è importante lavorare per prevenire questo tipo di minaccia il prima possibile, perché lo sviluppo di soluzioni efficienti richiede tempo.

Come funzionano i computer quantistici

I computer ordinari immagazzinano i dati come 1 e 0. I computer quantistici, invece, utilizzano i qubit per memorizzare i dati. Ogni qubit è in una sovrapposizione di 1 e 0. Le misure proiettano uno di questi stati con una certa possibilità. Questa possibilità viene modificata dall'algoritmo quantistico. Poiché ogni qubit rappresenta due stati contemporaneamente, il numero totale di stati raddoppia con ogni qubit aggiunto.

Così, un quibit corrisponde a due numeri possibili, due qubit a quattro numeri possibili, tre qubit a otto numeri possibili. Dopo la pandemia di coronavirus, tutti conosciamo i numeri esponenziali. Possiamo avere un'idea di quanto potrebbe essere potente un computer quantistico con, diciamo, 100 qubit. Una macchina quantistica con 300 qubit, ad esempio, potrebbe rappresentare più valori di quanti atomi ci siano nell'universo osservabile.

Circa 20 anni fa, alcuni ricercatori giapponesi hanno sperimentato i qubit superconduttori: Hanno raffreddato alcuni metalli a temperature estremamente basse per ottenere un ambiente di lavoro stabile per i computer quantistici.

Questo metodo era così promettente che ha dato il via a progetti di ricerca presso Google, IBM e Intel.

I computer quantistici veri e propri non hanno affatto l'aspetto di computer ordinari. Si tratta invece di grandi cilindri di metallo e fili intrecciati, che vengono gettati in grandi frigoriferi. I ricercatori inviano informazioni alla macchina e ricevono in cambio calcoli, proprio come avviene con i normali computer.

IBM consente anche ai ricercatori esterni di acquistare potenza di calcolo sul proprio Q System One. Ciò consente ai ricercatori di tutto il mondo di utilizzare un computer quantistico senza averne mai visto o toccato uno dal vero.

La loro intrinseca parallelizzazione del calcolo su tutti gli stati simultaneamente consentirà a queste potenti macchine di calcolo di rompere crittografie attualmente infrangibili.

Perché abbiamo bisogno della crittografia

La crittografia è ovunque intorno a noi quando usiamo Internet. È parte integrante di qualsiasi processo digitale che necessiti di riservatezza: comunicazione, finanza, commercio, infrastrutture critiche, assistenza sanitaria e molte altre aree della nostra vita quotidiana sono protette da una crittografia forte. Quando gli algoritmi crittografici utilizzati in questi processi diventeranno infrangibili grazie allo sviluppo di computer quantistici universali su larga scala, gli aggressori che avranno accesso a tali computer potranno minacciare molti aspetti della nostra vita quotidiana.

Internet come lo conosciamo funziona solo con una crittografia infrangibile. È giunto il momento di prepararsi alla rivoluzione quantistica con l'introduzione della crittografia post-quantistica.

Che cos'è la crittografia post-quantistica?

Quantum-resistant encryption is what we need to develop now! La crittografia resistente ai quanti può proteggere i vostri dati dalla minaccia dei computer quantistici.

La crittografia post-quantistica descrive algoritmi crittografici che funzionano su computer convenzionali ma che si basano su problemi matematici che si ritiene siano troppo difficili da risolvere per i computer convenzionali e quantistici. Finché non esiste un algoritmo quantistico efficiente che risolva esattamente questi problemi in modo più efficiente, possiamo presumere che non possano essere risolti dai computer quantistici.

In risposta alla minaccia quantistica, la comunità globale della sicurezza informatica è attivamente impegnata in una corsa allo sviluppo di algoritmi crittografici post-quantistici. Questi algoritmi sono progettati per resistere agli attacchi dei computer classici e quantistici, garantendo la longevità delle comunicazioni sicure.

Nel 2016, il National Institute for Standards and Technology (NIST) statunitense ha avviato un processo per standardizzare tali algoritmi sicuri dal punto di vista quantistico. Il risultato finale di questo standard di crittografia post-quantistica del NIST è atteso con impazienza dalla comunità crittografica. Il processo è attualmente nella quarta - e quasi ultima - fase di valutazione degli algoritmi standard per la crittografia sicura post-quantistica, con i primi quattro algoritmi crittografici resistenti ai quanti - CRYSTALS-Kyber per la crittografia e CRYSTALS-Dilithium, FALCON e SPHINCS+ per le firme digitali - già annunciati.

Prepararsi alla rivoluzione dell'informatica quantistica

Lo sviluppo e l'implementazione della crittografia post-quantistica sono piuttosto urgenti. Anche se i computer quantistici in grado di rompere i sistemi di crittografia che utilizziamo oggi potrebbero non diventare realtà a breve termine, l'esperienza ha dimostrato che l'introduzione di nuovi standard crittografici richiede molto tempo. I nuovi algoritmi devono essere valutati attentamente, la loro sicurezza deve essere dimostrata da un'intensa attività di crittoanalisi e devono essere trovate implementazioni efficienti. Per esempio, anche se la crittografia a curva ellittica è stata proposta per la prima volta alla fine degli anni '80, è stata adattata all'uso di massa solo alcuni anni fa.

Raccogliere ora, decriptare dopo

The 'harvest now, decrypt later'-strategy threatens all data secured with asymmetric encryption. L'occhio di Sauron sarà in grado di vedere tutto quando i computer quantistici saranno in grado di decriptare le vostre comunicazioni.

L'implementazione della crittografia post-quantistica dovrebbe avvenire il prima possibile, non solo per essere pronti quando i computer quantistici universali su larga scala diventeranno una realtà, ma anche per proteggere i dati attualmente criptati con algoritmi standard dalla decrittazione in futuro. La differenza tra la crittografia attuale e quella post-quantistica è che i nuovi algoritmi resistenti ai quanti saranno in grado di respingere gli attacchi dei computer quantistici, mentre i dati criptati con gli algoritmi attualmente in uso non avranno il potere di resistere a tali attacchi.

La minaccia si chiama strategia" harvest now, decrypt later": I dati che viaggiano su Internet vengono raccolti ora, ad esempio da servizi segreti come la NSA o altri Paesi con cinque occhi, per essere decifrati successivamente.

Questa minaccia rende evidente che aspettare se - o quando - i computer quantistici verranno rilasciati non è più un'opzione.

Qual è lo scopo di tutto questo?

Lo scopo della crittografia post-quantistica è quello di garantire che i dati criptati rimangano sicuri in futuro. Come hanno spiegato il governo statunitense e il NIST, tutti i dati crittografati con algoritmi standard non sono in grado di raggiungere questo nuovo livello di sicurezza e gli algoritmi di crittografia post quantistica devono essere implementati ora. Fortunatamente, alcuni dati possono essere protetti con la crittografia post-quantistica in modo relativamente semplice, poiché AES 256 (crittografia simmetrica) è già considerato resistente ai quanti.

Ciò significa che tutti i dati memorizzati sul vostro computer o sul sistema di un'azienda, come documenti e file, possono essere facilmente protetti con l'algoritmo AES 256. Nell'ambito del progetto di crittografia post-quantistica di Tuta Mail, abbiamo recentemente aggiornato i nostri algoritmi di crittografia ad AES 256, un passo essenziale per offrire una crittografia sicura dal punto di vista quantistico.

La sfida della crittografia asimmetrica

Le cose si complicano però quando si vogliono criptare i dati in modo asimmetrico e resistente ai quanti, ad esempio per la condivisione di file criptati o per l'invio e la ricezione di e-mail criptate. Nuovi algoritmi post-quantistici per la crittografia asimmetrica e la crittografia a chiave pubblica sono in fase di ricerca e sperimentazione mentre leggete queste righe.

Molte aziende hanno già iniziato a sperimentare la crittografia asimmetrica resistente ai quanti nelle loro applicazioni. Noi di Tuta Mail siamo pionieri nell'utilizzo di algoritmi resistenti ai quanti insieme ad algoritmi convenzionali (Kyber e Dilithium in combinazione con AES 256 e RSA 2048 in un protocollo ibrido) per la nostra crittografia asimmetrica a chiave pubblica delle e-mail, ma anche per la condivisione di calendari, liste di contatti e futuri servizi di condivisione di file.

Per saperne di più, potete leggere qui il nostro progetto di condivisione sicura di file quantistici PQDrive.

In questo modo seguiamo il consiglio del NIST, del governo statunitense e di rinomati esperti di crittografia come Lyubashevsky: "Se avete davvero dei dati sensibili, fatelo ora, migrate voi stessi".

Protocollo ibrido per ottenere la massima sicurezza

Poiché gli algoritmi di resistenza quantistica sono abbastanza nuovi e la loro sicurezza non è stata sufficientemente dimostrata, non possiamo semplicemente sostituire i nostri attuali algoritmi crittografici con essi. Potrebbe ancora accadere che qualcuno proponga un attacco funzionante su un computer convenzionale o quantistico che infranga l'algoritmo che abbiamo scelto. Un approccio ibrido è un requisito fondamentale, poiché i nuovi algoritmi non sono ancora stati testati in battaglia. Anche se la conclusione matematica che rende questi algoritmi sicuri dal punto di vista quantistico è corretta, potrebbero esserci errori nell'implementazione che possono minare la sicurezza.

Pertanto, gli algoritmi di crittografia post-quantistica e gli algoritmi convenzionali devono essere combinati in un approccio ibrido. Si tratta di una sfida particolarmente impegnativa, poiché Tuta Mail deve continuare a funzionare in modo efficiente sui dispositivi mobili, anche quando hanno una potenza di calcolo inferiore.

Noi di Tuta (ex Tutanota) abbiamo già completato un progetto di ricerca, chiamato PQMail, per implementare algoritmi di crittografia post-quantistica nella nostra applicazione di posta elettronica e calendario crittografati in un protocollo ibrido. Questo progetto ha portato alla pubblicazione di un prototipo di crittografia a chiave pubblica resistente ai quanti che utilizza i finalisti del terzo round del NIST per crittografare le e-mail in modo sicuro. Ora questo protocollo di crittografia viene aggiunto a Tuta Mail, in modo che presto 10 milioni di utenti saranno automaticamente aggiornati per beneficiare dell'elevato livello di sicurezza della crittografia post quantistica. Saranno quindi in grado di inviare e ricevere e-mail crittografate con algoritmi resistenti ai quanti, senza dover modificare il proprio flusso di lavoro.

Se volete essere tra i primi a utilizzare la crittografia resistente ai quanti per le vostre e-mail, iscrivetevi subito a Tuta Mail!

Poiché i computer quantistici stanno per diventare una realtà, dobbiamo essere un passo avanti con la crittografia post quantistica per mantenere tutti i dati al sicuro, ora e in futuro!