La sicurezza delle comunicazioni digitali è oggi garantita da algoritmi crittografici che si basano su problemi matematici considerati intrattabili per i computer classici. RSA, Diffie–Hellman, ECDSA (Elliptic Curve Digital Signature Algorithm, usato per autenticare i Bitcoin) ed ECC (Elliptic Curve Cryptography) costituiscono la base della sicurezza di protocolli come TLS (Transport Layer Security) , HTTPS (Hyper TexT Protocol Security), SSH (Secure Shell), VPN (Virtual Private Network), firme digitali e certificati digitali del tipo X.509.Tuttavia, l’avvento dei computer quantistici fault‑tolerant minaccia di rendere vulnerabili questi sistemi. L’algoritmo di Shor permette di fattorizzare numeri interi e risolvere il logaritmo discreto in tempo polinomiale, compromettendo la sicurezza di RSA e ECC.Per rompere RSA (3.076 bit) o ECDSA (256 bit) servono alcune migliaia di qubit logici.La corsa verso il cosiddetto Q‑Day, il giorno in cui i computer quantistici saranno in grado di violare la crittografia attuale, è già iniziata.2. Quantum Computing e sicurezza crittograficaL’algoritmo di Shor e la vulnerabilità dei sistemi attualiL’algoritmo di Shor e le sue varianti permettono di:fattorizzare numeri interi (RSA ),risolvere il logaritmo discreto (DH, ECDH),violare firme digitali basate su curve ellittiche (ECDSA).Questi problemi sono considerati intrattabili per i computer classici, ma diventano risolvibili in tempo polinomiale su un computer quantistico con un numero sufficientemente grande di qubit logici .Qubit logici e qubit fisiciLa realizzazione di computer quantistici fault‑tolerant richiede l’uso di codici di Quantum Error Correction (QEC). Con i cosiddetti Surface Code servono ~1.000 qubit fisici per ogni qubit logico; con codici qLDPC (Quantum Low Density Parity Check) ne bastano 50–100.Questo significa che per ottenere 2.000 qubit logici, necessari per violare RSA‑3072, occorrono:2 milioni di qubit fisici con Surface Code, che diminuiscono fino a 500.000 se si aggiungono i Color Code100.000–200.000 qubit fisici con codici qLDPCTabella 1 — Capacità previste dei principali player quantistici (2024–2029)PlayerCode 2024Code target 2029Physical Qubits 2029Logical Qubits 2029Security TargetGoogle superconductingSC, Surface CodeSC + Color Code~ 500,000~1,000-2,000 (1 log: 250-500 phy)ECDSA – 256 RSA 2,048/3,072IBM superconductingSC, Surface CodeBB, Bivariate Bicycle Code (qLDPC)~ 10,000~200 (1 log: 50 phy)RSA – 2,048Iceberg / Pinnacle software layer IonQ, Diraq, PsiQuantum, …SimulationsGB, Generalized Bicycle Code (qLDPC)~100.000~1,000-2,000 (1 log: 50-100 phy)ECDSA – 256 RSA 2,048/3,072Neutral Atoms Harward, MIT, QuEra, etc.VariousqLDPC non-localNANA (1 log: 3-4 phy)ECDSA – 256 bit RSA 2,048/3,072Questi dati suggeriscono che la realizzazione di computer quantistici fault‑tolerant capaci di violare RSA e ECDSA è un obiettivo realistico entro il 2029.3. Internet e sicurezza: un ecosistema crittografico complessoIn Internet svariati protocolli di sicurezza si applicano ai vari livelli del sistema OSI (Open Systems Inter-connection) . A tutti i livelli: i livelli 2 e 3 delle reti, nonché il livello 4 di trasporto e i livelli applicativi.Livelli Applicativi: HTTPS (HyperText Transfer Protocol Secure), S/MIME (Secure Multipurpose Internet Mail Extension), PGP (Pretty Good Privacy), Kerberos, IKE (Internet Key Exchange)Livello 4 – Trasporto: TLS (Transport Layer Security)Gestione Rete: SNMP (Simple Network Management Protocol)Livello 3 – Rete: IPSec, MobileIPLivello 2 -data link: PAP/CHAP (Password Authentication Protocol/ Challenge Authentication Protocol)La crittografia è diventata oggi una componente essenziale di ogni protocollo usato su Internet, compresi tutti i protocolli di instradamento in rete (routing) .4. Post‑Quantum Cryptography (PQC) – La risposta del NISTIl NIST ha selezionato cinque algoritmi che diventeranno gli standard crittografici del futuro. Tre sono già formalmente approvati (FIPS 203–205), mentre due sono in fase avanzata di standardizzazione.Tabella 2 — Algoritmi PQC selezionati dal NISTFIPS (Federal Information Processing Standard ), ML (Module-Lattice), KEM (Key Encapsulation Mechanisms), DSA (Digital Signature Algorithm), MLWE (Module-Learning With Errors), SLH (Stateless Hash-based), NTRU (N-th Degree Truncated Polynomial Ring Unit), FALCON (Fast Fourier Lattice-based Compact signatures over NTRU), HQC (Hamming Quasi-Cyclic)5. Lattice‑based CryptographyLa maggior parte degli algoritmi PQC approvati si basa su lattice (reticolo) cryptography, in particolare sul problema Learning With Errors (LWE) e sulla sua variante Module‑LWE (MLWE).Lattice: struttura e sicurezzaUn lattice è una griglia regolare di punti nello spazio. La sicurezza deriva dalla difficoltà di ricostruire una “buona” base conoscendo solo una base “cattiva”.“La base cattiva è usata come chiave pubblica, mentre la buona base è la chiave privata. Figura 1 — Buona e cattiva base in un reticoloBase buona (verde) → vettori corti, struttura sempliceBase cattiva (rossa) → vettori lunghi, intrecciatiQuesta struttura garantisce la sicurezza dei sistemi ML‑KEM e ML‑DSA6. Quantum Key Distribution (QKD)La QKD offre un approccio fisico alla generazione di chiavi simmetriche, basato sulle leggi della meccanica quantistica.Il protocollo BB8 (Bennett e Brassard, 1984)BB84 utilizza fotoni polarizzati in due basi:Rettlineare: ↔ (0), ↕ (1)Diagonale: ↘ (0), ↙ (1)Figura 2 —Protocollo BB84Il protocollo permette a due utenti (Alice e Bob) di generare una chiave segreta usando fotoni polarizzati. Ogni fotone codifica un bit (0/1) in una delle due basi: rettangolare (↔/↕) o diagonale (↘/↗). Alice sceglie casualmente sia il bit sia la base; Bob misura ogni fotone scegliendo casualmente la propria base.Quando le basi coincidono, Bob ottiene il bit corretto; quando differiscono, il risultato è casuale. Dopo la trasmissione, infatti, Alice e Bob comunicano attraverso un canale trasmissivo classico (parallelo al canale quantistico) le basi usate e conservano solo i bit corrispondenti alle basi coincidenti: questa è la raw key.Per verificare la sicurezza, confrontano una piccola parte della raw key: un eventuale intercettatore (Eve), costretto a misurare i fotoni, introduce errori inevitabili per via del principio di indeterminazione e del teorema di no‑cloning. Se il tasso di errore è basso, applicano correzione degli errori e privacy amplification, ottenendo una chiave finale sicura.BB84 è considerato sicuro perché la sua protezione deriva da leggi fisiche, non da ipotesi computazionali.Altri protocolli di QKD sono:– il BBM92 (Bennett, Brassard e Mermin, 1992), che usa lo stesso schema del BB84, ma impiega l’intreccio quantistico (entanglement) per la trasmissione dei fotoni,– il protocollo MDI-QKD (Measurement Device Independent), che usa un nodo non fidato come ripetitore tra Alice e Bob e consente la trasmissione in teletrasporto tra i due interlocutori evitando attacchi possibili ai rivelatori dei fotoni,– infine il protocollo DI-QKD (Device Independent), ancora in fase di “proof of concept.–7. Confronto tra protocolli QKDTabella 3— Confronto tra protocolli QKD su fibra(TRL Technology Readiness Level (da 1 a 9)8. QKD via satelliteTabella 4 — Confronto tra DV‑QKD e CV‑QKD su satelliti LEONel caso della trasmissione di fotoni via radio, in particolare tramite satelliti a bassa orbita terrestre LEO (Low Earth Orbit), i protocolli QKD codificano i fotoni secondo due alternative: Discrete Variable (DV) e Continuous Variable (CV). La DV-QKD usa BB84/BBM92, mentre la CV-QKD usa il protocollo GG02 (Grosshans e Grangier, 2002) basato su modulazione di ampiezza e fase di stati coerenti. La DV-QKD è stata realizzata sul satellite LEO cinese Micius con tratte radio fino a oltre 1.000 km.9. Limiti della QKDIl Web della NSA (National Security Agency) dal 2021 evidenzia cinque gravi criticità della QKD:Non risolve l’autenticazioneRichiede hardware dedicatoAumenta costi e rischi interniLa sicurezza reale dipende dall’ingegneria non dalla teoriaSensibilità al denial‑of‑serviceQuesti limiti spiegano perché la QKD non sostituirà la crittografia classica, ma la affiancherà in scenari specifici.10. Quantum Repeaters e Quantum InternetLa QKD su fibra è limitata a circa 100 km. Per superare questo limite servono:Quantum repeaters, basati su entanglement swapping, memorie quantistiche, purificazione dell’entanglement e codici a correzione degli errori, QEC.Memorie quantistiche, costituiscono il collo di bottiglia dei ripetitori quantistici e della cosiddetta Quantum Internet, non tanto per i tempi di immagazzinamento (storage time) dell’ordine di molti millisecondi, ma a causa del tempo di vita in esercizio che è ben lontano dal minimo di 1-3 anni di un ragionevole target industriale per i ripetitori quantistici. I ripetitori classici per collegamenti in fibra ottica durano un paio di decenni, sia terrestri che sottomarini. I satelliti LEO (ripetitori spaziali) durano 5-7 anni.Distribuzione e purificazione di entanglement su larga scalaQEC, quantum error correctionIl futuro sarà un ecosistema integrato:PQC per la sicurezza end‑to‑end su InternetQKD per backbone critici ad alta sicurezzaRipetitori e Commutatori quantistici (impiegano entanglement swapping, banchi di memorie a lungo storage e QEC: sono ordini di grandezza più complessi dei ripetitori) da impiegare in porzioni limitate di reti quantistiche (Quantum Internet Islands) per offrire servizi quantistici, quali:Calcolo quantistico distribuito per connettere calcolatori quantistici a basso numero di qubit logiciBlind Computing per servizi agli utilizzatori non intercettabili neanche dai fornitori del servizioReti di sensori con uso dell’entanglement per misure di campo elettrico, magnetico, temperatura, ecc.11. ConclusioniLa transizione verso la sicurezza post‑quantum è inevitabile. La PQC garantirà la sicurezza delle applicazioni Internet, mentre la QKD offrirà protezione fisica per infrastrutture critiche. Il NIST ha definito gli standard, i computer quantistici stanno evolvendo rapidamente e la QKD sta maturando su fibra e via satellite. Il risultato sarà un ecosistema di comunicazione più sicuro e resiliente, pronto per l’era quantistica a partire dal 2030.Così come il computer quantistico non sostituisce i computer classici, ma fornisce co-processori capaci di risolvere problemi irrisolvibili, l’Internet quantistica non sostituisce l’Internet classica, ma realizza delle co-reti capaci di offrire servizi quantistici innovativi.
Post Quantum Cryptography e Quantum Key Distribution: sicurezza digitale nell’era dei computer quantistici - CorCom
L’evoluzione delle capacità di calcolo mette sotto pressione i sistemi usati per proteggere scambi, identità e dati. Il confronto si sposta su soluzioni più robuste, tra nuovi standard, gestione delle chiavi e nodi ancora aperti su costi, affidabilità e resilienza







