Skip to main content

Crittografia post-quantum

Preparazione per un futuro sicuro da un punto di vista quantistico

Quasi tutte le comunicazioni digitali sono protette da tre sistemi crittografici: crittografia con chiave pubblica, firme digitali e scambio di chiave.

Nell’infrastruttura a chiave pubblica di oggi, questi sistemi sono implementati usando gli algoritmi crittografici asimmetrici RSA o ECC. La crittografia RSA ed ECC si affida a qualcosa chiamato “computational hardness assumption”: l’ipotesi secondo cui un problema numerico teorico (come fattorizzazione dei numeri interi o il problema del logaritmo discreto) non ha alcuna soluzione efficace. Tuttavia, queste ipotesi si basavano sul potere di elaborazione dei computer classici.

Nel 1994, Peter Shor ha dimostrato che gli algoritmi asimmetrici che si affidano al “computational hardness assumption” potevano essere interrotti molto facilmente con un computer quantistico abbastanza potente e un algoritmo specifico, nominato più tardi con algoritmo di Shor. In realtà, un computer quantistico con abbastanza qubit e profondità di circuito poteva decifrare istantaneamente gli algoritmi asimmetrici. Uno studio pubblicato dall’ASC X9 Quantum Computing Risk Study Group ha stimato questi requisiti esatti:

Algoritmo

Qubit logici necessari

Profondità di circuito necessaria

RSA-2048

4700

8 10^9

ECC NIST P-256

2330

1,3 10^112

Avviso

Per una spiegazione dettagliata dell'algoritmo di Shor e di come i computer quantistici riescano a interrompere la crittografia asimmetrica, guarda questo video.

La maggior parte degli esperti stima che, entro i prossimi 20 anni, sarà realizzato un computer quantistico abbastanza potente con i qubit e la potenza di circuito necessari per decifrare le chiavi RSA ed ECC.

Due decenni potrebbero sembrare un tempo lungo, ma non dimenticare che il settore PKI che conosciamo oggi ha impiegato circa lo stesso tempo per arrivare qui. Secondo il progetto di crittografia post-quantistico NIST, “è probabile che non si tratti di una semplice sostituzione “drop-in” per i nostri attuali algoritmi crittografici a chiave pubblica. Sarà necessario compiere uno sforzo notevole per sviluppare, standardizzare e utilizzare i nuovi criptosistemi post-quantistici.”

Ecco perché DigiCert ha iniziato a collaborare con vari produttori del settore post-quantistico, al fine di creare un ecosistema PKI sicuro da un punto di vista quantistico e abbastanza agile da affrontare le minacce future.

Vettori di attacco quantistico

Il primo passo per proteggersi con efficacia da queste minacce future è individuare i vari vettori di attacco presenti in un panorama di minacce post-quantum.

TLS/SSL handshake

I computer quantistici rappresentano la massima minaccia per gli algoritmi crittografici asimmetrici. Ciò significa che il sistema crittografico usato per firmare digitalmente i certificati e gestire il SSL/TLS handshake iniziale sono entrambi potenziali vettori di attacco.

Fortunatamente, sia NIST che ASC X9 affermano che gli algoritmi crittografici simmetrici (come AES) usati per creare le chiavi di sessione per proteggere i dati in transito dopo il TLS/SSL handshake iniziale sembrano resistere agli attacchi dei computer quantistici. In realtà, il raddoppiamento della lunghezza dei bit di una chiave simmetrica (ad es. da AES-128 a AES-256) sembra bastare per proteggersi dagli attacchi dei computer quantistici. Ciò avviene grazie alle chiavi simmetriche che si basano su una stringa di caratteri pseudo-casuale e richiederebbe l’uso di un attacco brute force attack o l’utilizzo di una vulnerabilità nota per interrompere la crittografia, invece di usare un algoritmo (ad es. l’algoritmo di Shor) per interrompere la crittografia asimmetrica.

Ciò ha semplificato i punti principali del diagramma TLS/SSL handshake, le cui azioni sono a rischio di attacchi di computer quantistici e che sono sicuri.

Figura 1. TLS/SSL handshake che utilizza gli algoritmi crittografici asimmetrici attuali (RSA, ECC) ed AES-256
TLS/SSL handshake che utilizza gli algoritmi crittografici asimmetrici attuali (RSA, ECC) ed AES-256


Questo vettore di attacco minaccia la comunicazione iniziale con i server usando i certificati digitali di entità finale. Anche se questa è una minaccia ancora piuttosto grande, probabilmente non è il vettore di attacco più pericoloso.

Anche con un computer quantistico abbastanza potente, le risorse necessarie per calcolare la chiave privata di un certificato sono ancora considerevoli. A causa di ciò, è sicuro presumere che nessun singolo certificato digitale di entità finale sia abbastanza importante per giustificare un attacco quantistico. Per non parlare del fatto che è relativamente irrilevante reimpostare la chiave e riemettere un certificato di entità finale.

Catena di fiducia

Probabilmente il vettore di attacco più pericoloso rappresentato dai computer quantistici è la catena di fiducia (catena di certificati) usata dai certificati digitali. Gli algoritmi crittografici asimmetrici RSA ed ECC vengono usato in ciascun livello della catena di fiducia: il certificato principale firma se stesso e il certificato intermedio, mentre il certificato intermedio firma i certificati di entità finale.

Diagram of chain of trust. This is not quantum-safe.

Se un computer quantistico fosse in grado di calcolare la chiave privata di un certificato intermedio o di un certificato principale, la base su cui viene costruito quel PKI si sgretolerebbe. Con accesso alla chiave privata, un actor di minacce potrebbe emettere certificati fraudolenti che sarebbero automaticamente attendibili nei browser. E diversamente da un certificato di entità finale, la sostituzione di un certificato principale è tutto tranne che irrilevante.

Sistemi crittografici sicuri da un punto di vista quantistico

Prima che le modifiche agli attuali sistemi crittografici PKI possano essere applicate, è necessario identificare i sistemi crittografici di sostituzione. Anche se esistono vari sistemi crittografici sicuri da un punto di vista quantistico, sono necessari ulteriori ricerche e studi prima che possano essere considerati attendibili per proteggere i dati sensibili.

Dalla fine del 2016, il progetto NIST Post-Quantum Cryptography (PQC) guida gli sforzi di ricerca per i sistemi crittografici sicuri da un punto di vista quantistico. Finora, hanno identificato 26 algoritmi post-quantum come potenziali candidati di sostituzione. Tuttavia, sono ancora necessarie altre ricerche e analisi prima che questi sistemi crittografici siano pronti per essere standardizzati e utilizzati.

In base alle tempistiche del progetto NIST PQC, ci sarà un altro giro di eliminazioni tra il 2020 e il 2021, e la bozza degli standard sarà messa a disposizione tra il 2022 e il 2024.

Programmazione di un futuro post-quantum

Questa transizione deve avere luogo prima che venga realizzato qualsiasi computer quantistico su grande scala, in modo che qualsiasi informazione che viene successivamente compromessa dalla crittoanalisi quantistica non sia più sensibile quando si verifica questa compromissione.

Progetto NIST PQC

A causa del tempo che impiegherà per sviluppare, standardizzare e usare le tecniche crittografiche post-quantum, DigiCert ha iniziato ad analizzare la fattibilità di nidificazione degli algoritmi post-quantum nei certificati ibridi che usano questa bozza IETF.