La quantum security è realtà: soluzioni di crittografia e randomizzazione per Finance e Gaming - Cyber Security 360

TECNOLOGIA E SICUREZZA

La quantum security è realtà: soluzioni di crittografia e randomizzazione per Finance e Gaming

La sicurezza quantistica (o quantum security) è sempre più utilizzata su specifiche applicazioni, soprattutto nel mondo Finance e Gaming per la gestione di sorteggi, bandi, estrazioni, lotterie e giochi online. Ecco cosa sono e come funzionano le soluzioni di crittografia e randomizzazione

14 Giu 2021
I
Paolo Maria Innocenzi

Cybersecurity Specialist

La sicurezza quantistica (quantum security) non è più una teoria sulla carta, ma esiste già in pratica e viene utilizzata su specifiche applicazioni nel mondo del Finance e del gioco (anche online).

Invece di fare affidamento su algoritmi matematici e potenza di calcolo, la sicurezza viene affidata alle ferree (benché bizzarre) leggi della fisica.

Innanzitutto, vogliamo rapidamente citare i principali ambiti in cui, ad oggi, sono utilizzati i generatori quantistici di numeri a casualità reale:

  • Lotterie e giochi
  • Crittografia
  • Applicazioni IT sicure
  • Crittografia quantistica
  • Generatori di password e PIN
  • Sistemi di pagamento mobile
  • Simulazioni numeriche
  • Ricerche statistiche

Ma vediamo di osservarne le specificità e i vantaggi d’applicazione.

Quantum computing, una minaccia alla sicurezza informatica e alle blockchain? Gli scenari

Tecnologia quantistica: fantascienza o applicazioni pratiche?

Con la tecnologia quantistica si può ottenere quella che è nota come casualità reale (o perfetta), vale a dire la casualità imprevedibile sotto tutti i punti di vista, che trova l’ambito immediato di applicazione nei giochi, nelle lotterie e persino nella generazione di chiavi crittografiche e/o di password. Vediamo innanzitutto a cosa serve con un esempio pratico di gioco.

Facciamo una scommessa contro un nostro amico: tiriamo una moneta in aria e cerchiamo di scoprire se uscirà “testa” o “croce”. Sappiamo che potremmo barare perché, avendo a disposizione un computer che calcoli la situazione ambientale del vento, della rotazione della moneta e del suo peso, degli angoli assunti mentre ruota, del diverso peso delle sue due facce contenenti le effigi e delle imperfezioni della corona, sarà allora possibile conoscere in anticipo il lato della moneta che ricadrà in terra e alla fine il lato di essa che verrà mostrato.

Provando invece a simulare, attraverso l’utilizzo di un computer, il comportamento di una moneta durante un lancio casuale della stessa, le cose non vanno allo stesso modo.

Un computer, lo sappiamo, è una macchina di Turing deterministica, vale a dire che per simulare la casualità deve fare un calcolo affidandosi a eventi pseudo-casuali: ad esempio, un algoritmo potrebbe basarsi su parametri quali le oscillazioni di un campo elettromagnetico o i movimenti del mouse casuali di centinaia di utenti, per trovare alla fine un numero “casuale” finale risultante.

Usiamo un computer, ad esempio, quando dobbiamo sorteggiare migliaia di numeri al minuto per dare inizio alle partite online, per la scelta dei giocatori su una console di gioco, per accoppiare casualmente degli antagonisti in tornei di scacchi, per mescolare le parole prima di giocare al “paroliere”.

Tuttavia il risultato ottenuto non è più casuale, ma viene detto “pseudo” casuale, poiché un algoritmo prende in input dei valori che assegna a delle variabili e genera un output preciso rispetto ad un procedimento dato, chi avesse un altro computer con lo stesso algoritmo identico puntato sulle stesse variabili, sorteggerebbe la stessa moneta del primo computer. Perché questo fa un computer: esegue passi di istruzioni manipolando un input per generare un output.

Pertanto, per definizione nessun risultato può essere “realmente” indipendente, perché per essere indipendente deve essere sganciato da un procedimento e appartenere dunque al caso.

La scappatoia quantistica

È qui che entra in gioco il generatore quantistico di numeri perfettamente casuali QRNG (Quantum Random Number Generator). Esiste già? Sì. Da quando è possibile utilizzarlo? Ripercorriamo le tappe salienti:

  • 2001 – Primo generatore quantistico al mondo di numeri casuali
  • 2007 – Prima applicazione nel mondo reale della crittografia quantistica di prima generazione
  • 2016 – Terza generazione di crittografia a chiave quantistica distribuita
  • 2018 – Chip generatore quantistico di numeri casuali
  • 2019 – Le telecomunicazioni applicano la crittografia a chiave quantistica distribuita
  • 2020 – primo smartphone 5G al mondo equipaggiato con un chipset QRNG

Vediamo ora un esempio di applicabilità: le lotterie e le scommesse sportive generano ricavi per centinaia di milioni di euro ed è possibile, come sappiamo, partecipare a una lotteria pubblica specifica anche più volte al giorno.

L’altissima frequenza di estrazione dei numeri rende impossibile l’utilizzo di implementazioni meccaniche, troppo complicate e costose.

Ovviamente, per questa ragione, le aziende usano una pletora di piattaforme informatiche appositamente progettate. Per i motivi esposti nell’introduzione, i numeri casuali generati, però, vengono detti “pseudo” casuali attraverso i PRNGs (Pseudo Random Number Generators) una casualità in verità pur sempre accettabile e utilizzata da sempre con ottimo successo.

All’aumentare però delle necessità di “sfornare” numeri casuali in rete, quantità sempre più grandi (per generare chiavi crittografiche, password, sorteggi, lotterie, assegnazioni ecc.) i metodi tradizionali mostrano la corda rallentando i tempi elaborativi per mantenere inalterata la qualità della casualità, e lasciano sempre più spazio a metodi “più casuali” di altri per sorteggiare tali valori.

Occorre dire che, in un mondo di applicazioni critiche sul piano della crittografia o di sorteggi, fatto di affidabilità algoritmica, è fondamentale per un business che coinvolga la casualità tra i suoi strumenti, preservare la propria reputazione scegliendo generatori a “prova di matematica”. In parole povere, impossibili da prevedere.

Soltanto, utilizzando un “vero” generatore di numeri casuali è possibile soddisfare il fabbisogno di RNGs. Ad esempio un generatore “fisico-fotonico” di numeri potrà offrire un’eccezionale qualità di casualità a una velocità compatibile con la crescente richiesta delle applicazioni di business sul mercato (gaming, concorsi, lotterie istantanee, generazione di chiavi crittografiche usa e getta ecc.).

Ovviamente tale sistema dovrà garantire un funzionamento affidabile e dovrà facilmente integrarsi con i sistemi esistenti.

Crittografia quantistica: cos’è e come usarla per garantire massima protezione ai dati sensibili

Come funziona

Molto semplicemente si sfrutta un processo di “ottica quantistica” (che qui descriveremo con una estrema semplificazione) per produrre bit casuali. All’interno, singole particelle di luce, chiamate fotoni, vengono inviate su uno specchio semitrasparente dove vengono riflesse, o trasmesse in modo casuale, e captate da un fotorivelatore (1) o da un altro (0). Tutto qui: il valore binario viene associato all’uno o all’altro risultato. Le leggi fondamentali della fisica quantistica garantiscono che il flusso di bit prodotto è perfettamente imprevedibile (casuale).

Molti altri fenomeni quantistici godono di proprietà di casualità analoghe allo smistamento dei fotoni e alcuni di essi si prestano bene all’impacchettamento e alla miniaturizzazione in chipset dedicati. In questo momento esistono chip che arrivano a produrre milioni di bit casuali al secondo che possono essere utilizzati per comporre elementi più complessi e completamente randomici (una parola, un numero decimale, una password, una chiave crittografica, un mazzo di carte, un sorteggio ecc.).

Questa tecnologia può essere sfruttata per la produzione di numeri casuali, particolarmente adatti per le applicazione di gioco, ed è ovviamente valutata e certificata da specialisti di certificazione di metrologia (in Italia è l’INRIM che se ne occupa) che hanno il compito di confermare la qualità della casualità prodotta, anche attraverso valutazioni indipendenti da parte di matematici, incaricati di verificare e convalidare la certificazione.

Il funzionamento di questi generatori viene costantemente monitorato e se viene rilevato un errore il flusso di bit casuale viene immediatamente disabilitato. Ogni chip di QRNG offre entropia di alta qualità da utilizzare in operazioni e soluzioni crittografiche altamente sicure, che richiedono casualità comprovata e certificata.

Con produzione di valori quantistici “intrinsecamente casuali” intendiamo differenziare i QNRG dai generatori “tradizionali” pseudo-casuali, che hanno bisogno di “accumulare entropia” per generare chiavi sicure (ad esempio per generare uno 0 o un 1 assolutamente casuali, a un generatore tradizionale occorrono diversi passaggi per l’algoritmo scelto che deve accumulare segnali, accumulare movimenti, accumulare oscillazioni, accumulare sotto-estrazioni o ri-sorteggi).

Nel caso fotonico, invece, lo split del fotone rilasciato all’interno del chip impone che la deviazione finale non possa essere in alcun modo predetta, anche conoscendo perfettamente il funzionamento del sistema. Ciascun bit generato ha al suo interno la natura di quella che viene definita “entropia completa”.

Copyright IDQuantique – Fabaris.

Occorre tenere presente che i chip QRNG sono anche invulnerabili alle perturbazioni ambientali e consentono la verifica del loro funzionamento in tempo reale: vengono confezionati e venduti dai produttori sotto forma di una scheda di espansione che può essere inserita attraverso un comune bus PCI Express in un apposito server, che deve ad ogni buon conto essere sigillato, blindato e isolato contro qualunque manomissione ed eventualmente ridondato per garantire la business continuity e per disabilitare immediatamente il flusso di bit casuali da un chip QRNG che mostrasse un guasto durante il monitoraggio continuo che viene comunque effettuato.

Sorteggi, bandi, estrazioni, lotterie, giochi online, crittografia

A tutti noi sarà capitato di dubitare del buon rimescolamento durante un gioco di carte. Soprattutto durante partite ripetitive, la mente umana riconduce a immagini e sequenze già viste anche successioni di estrazioni di carte soltanto similari. Questo accade naturalmente durante i giochi da tavolo.

Nel gioco online esistono sia tornei classici delle varie declinazioni di poker sia una enorme varietà di cash games. Le analisi di andamento del mercato di tali giochi in alcuni paesi ha mostrato una rapida crescita negli anni. Le aziende di gaming online si contendono il mercato puntando sulla propria reputazione, che è la vera distinzione tra gli operatori.

Per raggiungere i propri obiettivi di business il settore del Gaming trova nell’affidabilità del processo di generazione di numeri per estrazioni casuali di carte, dadi, fiches, squadre, tornei, etc. una delle componenti più importanti per avere una buona reputazione.

Anche le lotterie nazionali affidate alla regolazione e al controllo di soggetti pubblici sono idoneo ambito di applicazione di tecnologie QRNG, a garanzia di tutti gli operatori concessionari e delle decine di milioni di clienti.

In questi settori è tuttora possibile utilizzare un generatore di numeri pseudo casuali (PRNG) certificato e affidabile in quanto considerata una fonte convenzionale di casualità conforme e praticabile per le attuali applicazioni di gioco.

Tuttavia, tale soluzione non può eguagliare la qualità degli QRNG basati su generatori di numeri casuali quantistici, che garantiscono una totale, reale entropia e dunque una casualità perfetta, che ha il vantaggio di essere intrinsecamente perfettamente casuale.

Agenzie Pubbliche e concessionari privati che si trovano a dover fronteggiare le esigenze crescenti connesse con la gestione di lotterie, anche istantanee, dei sorteggi, delle vincite anche cospicue degli Online Games, possono trovare nella tecnologia QRNG la risposta riguardo alla sicurezza, all’affidabilità e all’imparzialità dei processi di assegnazione casuale.

Considerazioni finali

Terminiamo questa breve parentesi quantistica con alcune considerazioni:

  1. i “cervelloni” di estrazioni delle lotterie più note sono stati perfezionati e velocizzati in anni e anni di fedele servizio, migliorando costantemente le performance di elaborazione; infatti, se dovessimo utilizzare oggi un computer degli anni 1970, probabilmente necessiteremmo di qualche decina di giorni per completare un’estrazione totale del set di biglietti vincenti;
  2. un generatore fisico (hardware) di numeri casuali quantistici opportunamente testato e convalidato, potrebbe essere utilizzato anche nei mercati dei giochi o della sicurezza più fortemente regolamentati dallo Stato, dando vita ad una generazione di quantum computing che in alcuni casi ha dimostrato di aver ridotto di 50 volte (da 9 ore a soli 12 minuti) la generazione delle sequenze richieste.

New call-to-action
@RIPRODUZIONE RISERVATA

Articolo 1 di 5