Così l’IA e il Quantum computing cambieranno la cyber security

Il quantum computing è una tecnologia computazionale avanzata che sfrutta i principi della meccanica quantistica come la sovrapposizione e l’entanglement quantistico. A differenza dei computer classici che elaborano informazioni usando bit (0 o 1), i computer quantistici utilizzano qubit che possono esistere in uno stato di sovrapposizione, rappresentando contemporaneamente 0 e 1. Questa caratteristica consente un massiccio parallelismo computazionale, permettendo di affrontare problemi che richiederebbero un tempo esponenziale sui supercomputer tradizionali. I qubit sono elementi come elettroni, atomi o molecole che mostrano comportamento quantistico, e la loro capacità di esistere in stati multipli simultaneamente è il segreto della potenza del calcolo quantistico.

Il quantum computing rappresenta una minaccia esistenziale per la sicurezza delle comunicazioni e dei dati poiché può compromettere le fondamenta della sicurezza digitale globale: la crittografia a chiave pubblica. Gli algoritmi quantistici, come l’algoritmo di Shor, possono risolvere problemi matematici su cui si basa la crittografia attuale (come la fattorizzazione di numeri interi e i logaritmi discreti) in tempi drasticamente ridotti. Una strategia già in atto è “Harvest Now, Decrypt Later” (HNDL): gli avversari intercettano e archiviano dati crittografati oggi con l’intenzione di decifrarli in futuro quando saranno disponibili computer quantistici universali. Questo è particolarmente preoccupante per dati che devono rimanere confidenziali per decenni, come segreti di stato, proprietà intellettuale e dati sanitari o finanziari.

Per contrastare la minaccia quantistica, la ricerca nel campo della sicurezza informatica sta seguendo due principali linee di difesa: la crittografia post-quantistica (PQC) e la distribuzione quantistica delle chiavi (QKD). La PQC comprende algoritmi crittografici progettati per essere eseguiti su computer tradizionali ma basati su problemi matematici difficili anche per i computer quantistici, come la crittografia basata su reticoli, su codice e su hash. Il NIST ha già finalizzato i primi tre standard PQC: FIPS 203 (ML-KEM), FIPS 204 (ML-DSA) e FIPS 205 (SLH-DSA). La QKD è invece una tecnologia di comunicazione che sfrutta le leggi della meccanica quantistica per lo scambio di chiavi crittografiche, garantendo una sicurezza teoricamente inattaccabile. Durante la fase di transizione, l’approccio più sicuro è quello ibrido, combinando algoritmi classici con quelli resistenti ai computer quantistici.

Il quantum computing non rappresenta solo una minaccia, ma offre anche strumenti unici per potenziare le difese informatiche. I Generatori quantistici di numeri casuali (QRNG) producono numeri casuali da processi fisici intrinsecamente imprevedibili secondo le leggi della meccanica quantistica, fornendo una fonte di entropia di qualità superiore rispetto ai generatori pseudo-casuali tradizionali. Il Quantum Machine Learning (QML) integra algoritmi quantistici con il machine learning tradizionale, permettendo di analizzare grandi quantità di dati in tempo reale, individuando modelli complessi, anomalie e minacce con capacità superiori ai sistemi di IA tradizionali. Queste tecnologie quantistiche possono rafforzare la sicurezza informatica in modi prima impensabili, trasformando il quantum computing da potenziale avversario a prezioso alleato nella difesa informatica.

Il quantum computing rappresenta una minaccia significativa per le blockchain e le criptovalute, poiché potrebbe compromettere la sicurezza crittografica su cui si basano. La maggior parte delle blockchain utilizza la crittografia con algoritmo di firma digitale Elliptic Curve (ECDSA), vulnerabile agli attacchi quantistici. Secondo un rapporto di Deloitte, circa quattro milioni di bitcoin (quasi il 25% del totale) sono attualmente a rischio. Il vero punto di vulnerabilità risiede negli attacchi alle firme in cui la chiave privata potrebbe essere derivata dalla chiave pubblica utilizzando un computer quantistico sufficientemente potente. Per affrontare questa minaccia, gli sviluppatori stanno testando opzioni di firma quantistiche resistenti come le firme XMSS, le firme di hash ladder e SPHINCS. Le future blockchain dovranno essere resistenti al quantum computing, usando la crittografia post-quantistica, ma questo richiederà un aggiornamento significativo non solo del framework di base, ma anche di tutti i sistemi di supporto come portafogli software e hardware, esploratori di blocchi e operazioni di mining.

A livello globale, c’è una vera e propria corsa per la supremazia quantistica. Nel 2019, Google ha annunciato di aver raggiunto la supremazia quantistica utilizzando Sycamore, il suo processore quantico a 53 qubit, eseguendo un calcolo in 200 secondi che avrebbe richiesto 10.000 anni a un super-computer classico. Nel 2021, Google ha presentato il nuovo campus Quantum AI a Santa Barbara, con l’obiettivo di sviluppare sistemi di tecnologia quantistica in grado di risolvere sfide globali entro il 2029. Secondo il Boston Consulting Group, un computer quantistico con correzione degli errori potrebbe diventare realtà intorno al 2035. La Commissione europea ha recentemente pubblicato un’ambiziosa strategia sul quantum computing, con l’obiettivo di assumere la leadership globale entro il 2030. Praticamente tutti i principali stati nazionali stanno investendo miliardi di dollari nella ricerca e sviluppo in questo campo, riconoscendone l’importanza strategica per la sicurezza nazionale e l’economia.

La crittografia post-quantistica (PQC) si riferisce a una nuova generazione di algoritmi crittografici a chiave pubblica progettati per essere eseguiti su computer tradizionali, ma basati su problemi matematici considerati difficili persino per i computer quantistici. È importante perché gli attuali sistemi crittografici, come RSA ed ECDSA, si basano su problemi matematici (fattorizzazione di numeri interi e logaritmi discreti) che potrebbero essere risolti efficientemente dai computer quantistici, rendendo vulnerabili le comunicazioni sicure e la protezione dei dati. Il National Institute of Standards and Technology (NIST) degli Stati Uniti ha guidato un processo di standardizzazione globale, avviato nel 2016, e ha finalizzato i primi tre standard PQC nell’agosto 2024: FIPS 203 (ML-KEM), FIPS 204 (ML-DSA) e FIPS 205 (SLH-DSA). Secondo il Capgemini Research Institute, il 65% delle organizzazioni a livello globale identifica nel quantum computing la minaccia più critica per la tenuta della propria sicurezza informatica nei prossimi 3-5 anni, rendendo la transizione verso la crittografia post-quantistica una priorità strategica.

La transizione verso un’infrastruttura di sicurezza quantistica richiede un approccio metodico e strategico. Le organizzazioni possono seguire una roadmap suddivisa in fasi: 1) Valutazione del rischio e inventario crittografico per identificare sistemi e dati vulnerabili; 2) Sviluppo di una strategia di migrazione che definisca priorità, risorse e tempistiche; 3) Implementazione di soluzioni ibride che combinano algoritmi classici con quelli post-quantistici; 4) Adozione di un’architettura basata sull’agilità crittografica, che permetta di aggiornare rapidamente gli algoritmi senza riprogettare l’intera infrastruttura. È fondamentale ridurre la complessità crittografica eliminando algoritmi obsoleti, standardizzare le implementazioni e centralizzare la gestione delle chiavi. La migrazione presenta diverse criticità, tra cui l’inventario crittografico incompleto, la mancanza di competenze specializzate, i costi di implementazione e i rischi di interruzione dei servizi. Le organizzazioni dovrebbero anche considerare la durata della vita dei dati sensibili, dando priorità alla protezione di quelli che devono rimanere confidenziali per decenni.