Crittografia post-quantum

Preparazione per un futuro sicuro da un punto di vista quantistico

Quasi tutte le comunicazioni digitali sono protette da tre sistemi crittografici: crittografia con chiave pubblica, firme digitali e scambio di chiave.

Nell’Infrastruttura a chiave pubblica di oggi, questi sistemi sono implementati usando gli algoritmi crittografici asimmetrici RSA o ECC. La crittografia RSA ed ECC si affida a qualcosa chiamato “computational hardness assumption”: l’ipotesi secondo cui un problema numerico teorico (come fattorizzazione dei numeri interi o il problema del logaritmo discreto) non ha alcuna soluzione efficace. Tuttavia, queste ipotesi si basavano sul potere di elaborazione dei computer classici.

Nel 1994, Peter Shor ha dimostrato che gli algoritmi asimmetrici che si affidano al “computational hardness assumption” potevano essere interrotti molto facilmente con un computer quantistico abbastanza potente e un algoritmo specifico, nominato più tardi con algoritmo di Shor. In realtà, un computer quantistico con abbastanza qubit e profondità di circuito poteva decifrare istantaneamente gli algoritmi asimmetrici. Uno studio pubblicato dall’ASC X9 Quantum Computing Risk Study Group ha stimato questi requisiti esatti.

Algoritmo Qubit logici necessari Profondità di circuito necessaria
RSA-2048 4700 8 10^9
ECC NIST P-256 2330 1,3 10^112

Per una spiegazione dettagliata dell'algoritmo di Shor e di come i computer quantistici riescano a interrompere la crittografia asimmetrica, guarda questo video.

La maggior parte degli esperti stima che entro i prossimi 20 anni, sarà realizzato un computer quantistico abbastanza potente con i qubit e la potenza di circuito necessari per decifrare le chiavi RSA ed ECC.

Due decenni potrebbero sembrare un tempo lungo, ma non dimenticare che il settore PKI che conosciamo oggi ha impiegato circa lo stesso tempo per arrivare qui. In base al progetto di crittografia post-quantistico NIST, "è probabile che non si tratti di una semplice sostituzione “drop-in” per i nostri attuali algoritmi crittografici a chiave pubblica. Occorrerà uno notevole sforzo per sviluppare, standardizzare e sfruttare i nuovi criptosistemi post-quantistici."

Ecco perché DigiCert ha iniziato ora a lavorare con vari personaggi importanti del settore post-quantum, per creare un ecosistema PKI sicuro da un punto di vista quantistico e abbastanza agile per affrontare le eventuali minacce future.

Vettori di attacco quantistico

Il primo passo per proteggersi con efficacia da queste minacce future è individuare i vari vettori di attacco presenti in un panorama di minacce post-quantum.

TLS/SSL handshake

I computer quantistici rappresentano la massima minaccia per gli algoritmi crittografici asimmetrici. Ciò significa che il sistema crittografico usato per firmare digitalmente i certificati e gestire il SSL/TLS handshake iniziale sono entrambi potenziali vettori di attacco.

Fortunatamente, sia NIST che ASC X9 affermano che gli algoritmi crittografici simmetrici (come AES) usati per creare le chiavi di sessione per proteggere i dati in transito dopo il TLS/SSL handshake iniziale sembrano resistere agli attacchi dei computer quantistici. In realtà, il raddoppiamento della lunghezza dei bit di una chiave simmetrica (ad es. da AES-128 a AES-256) sembra bastare per proteggersi dagli attacchi dei computer quantistici. Ciò accade perché le chiavi simmetriche si basano su una stringa di caratteri pseudo-casuale e necessiterebbero dell’uso di un attacco di forza bruta o di sfruttare qualche vulnerabilità nota per interrompere la crittografia, invece di usare un algoritmo (ad es. l’algoritmo di Shor) per interrompere la crittografia asimmetrica.

Ciò ha semplificato i punti principali del diagramma TLS/SSL handshake, le cui azioni sono a rischio di attacchi di computer quantistici e che sono sicuri.

TLS/SSL handshake che utilizza gli algoritmi crittografici asimmetrici attuali (RSA, ECC) ed AES-256

Questo vettore di attacco minaccia la comunicazione iniziale con i server usando i certificati digitali di entità finale. Anche se questa è una minaccia ancora piuttosto grande, probabilmente non è il vettore di attacco più pericoloso.

Anche con un computer quantistico abbastanza potente, le risorse necessarie per calcolare la chiave privata di un certificato sono ancora considerevoli. A causa di ciò, è sicuro presumere che nessun singolo certificato digitale di entità finale sia abbastanza importante per giustificare un attacco quantistico. Per non parlare del fatto che è relativamente irrilevante reimpostare la chiave e riemettere un certificato di entità finale.

Catena di fiducia

Probabilmente il vettore di attacco più pericoloso rappresentato dai computer quantistici è la catena di fiducia (catena di certificati) usata dai certificati digitali. Gli algoritmi crittografici asimmetrici RSA ed ECC vengono usato in ciascun livello della catena di fiducia: il certificato principale firma se stesso e il certificato intermedio, mentre il certificato intermedio firma i certificati di entità finale.

Se un computer quantistico fosse in grado di calcolare la chiave privata di un certificato intermedio o di un certificato principale, la base su cui viene costruito quel PKI si sgretolerebbe. Con accesso alla chiave privata, un actor di minacce potrebbe emettere certificati fraudolenti che sarebbero automaticamente attendibili nei browser. E diversamente da un certificato di entità finale, la sostituzione di un certificato principale è tutto tranne che irrilevante.

Sistemi crittografici sicuri da un punto di vista quantistico

Prima che le modifiche agli attuali sistemi crittografici PKI possano essere applicate, è necessario identificare i sistemi crittografici di sostituzione. Anche se esistono vari sistemi crittografici sicuri da un punto di vista quantistico, sono necessari ulteriori ricerche e studi prima che possano essere considerati attendibili per proteggere i dati sensibili.

Dalla fine del 2016, il progetto NIST Post-Quantum Cryptography (PQC) guida gli sforzi di ricerca per i sistemi crittografici sicuri da un punto di vista quantistico. Finora, hanno identificato 26 algoritmi post-quantum come potenziali candidati di sostituzione. Tuttavia, sono ancora necessarie altre ricerche e analisi prima che questi sistemi crittografici siano pronti per essere standardizzati e utilizzati.

In base alle tempistiche del progetto NIST PQC, ci sarà un altro giro di eliminazioni tra il 2020 e il 2021, e la bozza degli standard sarà messa a disposizione tra il 2022 e il 2024.

Programmazione di un futuro post-quantum

Questa transizione deve avere luogo prima che venga realizzato qualsiasi computer quantistico su grande scala, in modo che qualsiasi informazione che viene successivamente compromessa dalla crittoanalisi quantistica non sia più sensibile quando si verifica questa compromissione.

NIST PQC project

A causa del tempo che impiegherà per sviluppare, standardizzare e usare le tecniche crittografiche post-quantum, DigiCert ha iniziato ad analizzare la fattibilità di nidificazione degli algoritmi post-quantum nei certificati ibridi che usano questa bozza IETF.

Nelle prossime settimane, forniremo ulteriori informazioni sui nostri sforzi di crittografia post-quantum e sullo sviluppo di certificati ibridi, unitamente alla presentazione di questi argomenti:

  • Procedura immediata che puoi eseguire per prepararti per un futuro post-quantum
  • I dettagli sui certificati ibridi e su come possono proteggere i sistemi attuali
  • Risorse del toolkit PQC e guida alla configurazione