L’informatica quantistica continua a occupare lo spazio nebuloso e ancora un po’ confuso tra l’applicazione pratica e la speculazione teorica, ma si sta avvicinando sempre più all’uso nel mondo reale. Uno dei casi d’uso più interessanti per i computer quantistici è la moderna crittografia di Internet.

Il nome Quantum Computing deriva dal fatto che tale tecnologia si basa sulle proprietà delle particelle subatomiche. In particolare, i computer quantistici utilizzano qubit (bit quantistici) invece delle cifre binarie (bit) che conosciamo da decenni quando si parla di sistemi informatici tradizionali.

I qubit sono di natura probabilistica, mentre i bit sono deterministici. I bit sono binari (on o off, true o false, 0 o 1), mentre i qubit sono diversi. La base fisica di un qubit può essere costituita da numerosi fenomeni, come lo spin di un elettrone o la polarizzazione dei fotoni. Questo è un argomento affascinante: il regno delle equazioni lineari che collegano immaginazione e realtà. La meccanica quantistica è considerata un’interpretazione di una realtà sottostante, piuttosto che una descrizione, ed è sede di un’intensa complessità computazionale.

Lo stato di un qubit è descritto come una sovrapposizione lineare dei due possibili stati. Una volta osservato, lo stato viene risolto in vero o falso. Tuttavia, lo stesso input non si risolverà necessariamente nello stesso output e lo stato quando non osservato può essere descritto solo in termini probabilistici.

Dal punto di vista della fisica classica, ciò che è ancora più sorprendente è che i qubit in un computer quantistico possono abitare più stati contemporaneamente. Quando un computer campiona un qubit per il suo stato, si risolve in un singolo o/o (noto come collasso della funzione d’onda).

Il calcolo quantistico in crittografia

Tutto ciò è piuttosto interessante da un punto di vista scientifico e filosofico, ma qui vogliamo occuparci principalmente degli aspetti pratici della crescente capacità del calcolo quantistico nella nostra vita quotidiana. Nei prossimi anni, l’impatto più profondo sarà probabilmente nella crittografia.

La via più nota dall’informatica quantistica alla crittografia è una svolta teorica avvenuta nel 1994: l’algoritmo di Shor. In teoria, questo algoritmo ha mostrato la capacità di una macchina quantistica di Turing di risolvere in modo efficiente una classe di problemi che erano intrattabili utilizzando i computer tradizionali: la fattorizzazione di grandi numeri interi.

Se avete familiarità con algoritmi di crittosistemi asimmetrici come Diffie-Hellman e RSA, sapete che si basano sulla difficoltà di risolvere fattori per grandi numeri. Ma cosa succede se il calcolo quantistico riesce in questo intento?

Craccare grandi numeri interi con la meccanica quantistica

L’algoritmo di Shor e una manciata di altri algoritmi sfruttano la meccanica quantistica per decifrare le funzioni unidirezionali al centro della crittografia asimmetrica. Il calcolo quantistico adiabatico è stato utilizzato anche per attaccare la fattorizzazione.

Gli algoritmi di Shor e altri contano sulla capacità del computer quantistico di abitare una moltitudine di stati in virtù dei qubit. Quindi campionano quei qubit (il che fa collassare il loro stato) in un modo che consente un alto grado di probabilità nel campionamento. In sostanza, la domanda “Quali sono i fattori per un dato numero?” viene affidata al misterioso mondo dell’invisibile, dove le proprietà delle particelle possono esistere in più stati. Quindi, interroghiamo quelle proprietà per la risposta più probabile. 

quantum-computing

Il numero più grande mai scomposto dall’algoritmo di Shor è 21, mentre il calcolo quantistico adiabatico ha scomposto con successo 143. Questi algoritmi sono sofisticati e alquanto impressionanti, ma finora i loro numeri sono irrisori. L’attuale standard per RSA è 2048 bit, ovvero 617 cifre! Tuttavia, mentre “attaccavano” il numero 143, i ricercatori hanno inconsapevolmente rivelato un approccio in grado di consentire numeri più grandi, almeno in teoria. Un esempio è 56.153, che è ancora un numero relativamente piccolo rispetto a quello che sarebbe necessario per compromettere i crittosistemi del mondo reale.

La minaccia per l’infrastruttura di sicurezza web

Quanto velocemente avanzerà la tecnologia fino al punto in cui potrà avvicinarsi a numeri significativamente più grandi? È interessante notare che gli algoritmi simmetrici che utilizziamo ogni giorno (come AES) non sono terribilmente vulnerabili agli algoritmi quantistici. L’algoritmo di Grover non è in grado, nemmeno in teoria, di ridurre il tempo necessario per attaccare questi algoritmi molto più degli algoritmi classici, a condizione che vengano utilizzate chiavi a 256 bit.

La maggior parte delle comunicazioni sicure simmetriche, tuttavia, stabilisce le sue chiavi tramite uno scambio asimmetrico. Quindi, la maggior parte del traffico web oggi è vulnerabile agli attacchi avanzati di calcolo quantistico. Se un utente malintenzionato riesce a scoprire la chiave stabilita all’inizio di un’interazione, non sarà utile alcuna cifratura simmetrica.

Quindi la minaccia per l’infrastruttura di sicurezza web è reale. Pensiamo un momento alle dinamiche in gioco. Le prime cose da considerare sono l’economia e l’accesso. In questo momento, solo le organizzazioni più grandi e con a disposizione budget immensi possono permettersi di armeggiare con sistemi quantistici in grando di rappresentare una minaccia per la sicurezza.

IBM, Google e ricercatori in Cina sono in lizza per la leadership nella produzione di sistemi praticabili, insieme a una serie di grandi progetti universitari. Dietro le quinte, però, le agenzie governative come la National Security Agency degli Stati Uniti non sono sicuramente inattive su questo versante e, proprio la NSA, ha una sua opinione precisa sulla questione della crittografia pubblica e del calcolo quantistico.

Sicurezza in evoluzione per l’informatica quantistica

È improbabile che attori su piccola scala raggiungano capacità di calcolo quantistico sufficienti per attaccare le moderne chiavi asimmetriche, se non molto dopo che lo avranno fatto le grandi istituzioni. Ciò significa che ci aspetta un lungo periodo di tempo in cui l’infrastruttura di sicurezza può evolversi in modo reattivo alle dinamiche del calcolo quantistico.

Nessuno sa quando emergeranno macchine quantistiche davvero minacciose per le criptovalute, ma sembra probabile che accadrà. Due parametri per capire la questione sono il numero di qubit in un sistema e la longevità di quei qubit.

I qubit sono soggetti a quella che viene chiamata decoerenza, ovvero l’interazione irreversibile fra i sistemi quantistici e l’ambiente esterno che determina la perdita della coerenza della funzione d’onda. Il problema è che sia il numero, sia la longevità dei qubit sono difficili da quantificare. Quanti qubit sono necessari per un pratico attacco riproducibile su una chiave RSA 2048? Alcuni dicono dozzine, altri dicono milioni. Quanta coerenza è richiesta? Alcuni dicono centinaia di nanosecondi, altri dicono minuti.

Crittografia post-quantistica

Tutte le strade portano a un mondo post-quantistico e molte persone ci stanno già lavorando sodo. Il National Institute of Standards and Technology degli Stati Uniti sta organizzando concorsi per lo sviluppo di algoritmi resistenti ai quanti e alcuni di questi progetti stanno ottenendo risultati.

In ultima analisi, possiamo dire che la minaccia quantistica alla crittografia è reale e basata su risultati sempre più reali. Ma per ora, è più che controbilanciata da forze compensative. Alla fine potremmo dover dire addio ad alcuni dei nostri vecchi amati algoritmi, che però saranno sostituiti da nuovi. Insomma, ci aspetta un decennio a dir poco interessante.