Il NIST ha deciso: CRYSTALS-Kyber è l'algoritmo standard per la crittografia post-quantistica

Il governo degli Stati Uniti ha recentemente finalizzato una serie di standard di sicurezza per le trasmissioni di dati su Internet: si tratta di nuovi protocolli concepiti per contrastare i futuri attacchi dei computer quantistici, che rappresentano una minaccia per la maggior parte degli attuali protocolli di sicurezza.

In particolare la finalizzazione riguarda tre algoritmi chiave: uno dedicato alla crittografia per comunicazioni sicure e due progettati per le "firme digitali", essenziali per prevenire l'impersonificazione di utenti o dispositivi da parte di hacker. Questi tre algoritmi sono il frutto di un lungo processo di selezione e collaborazione tra esperti di crittografia, coordinato a partire dal 2016 dal National Institute of Standards and Technology (NIST) degli Stati Uniti e che due anni fa aveva annunciato i risultati di una gara per individuare successivamente quello che, tra quattro algoritmi, sarebbe divenuto lo standard su cui costruire le misure di sicurezza della crittografia post-quantistica.

I tre nuovi standard sono completi di istruzioni per l'implementazione nei prodotti e nei sistemi di cifratura, e possono essere integrati già a partire da ora: il NIST, anzi, consiglia di procedere il prima possibile poiché la piena integrazione è un processo che richiede molto tempo.

La necessità di questi nuovi standard nasce dal fatto che i sistemi di crittografia a chiave pubblica attualmente in uso, che sono alla base della protezione di quasi tutte le comunicazioni e transazioni digitali, dalla navigazione sul web allo shopping online, sono potenzialmente vulnerabili agli attacchi di futuri computer quantistici. Fu Peter Shor, nel 1994, ad elaborare un algoritmo quantistico per la fattorizzazione dei numeri interi in numeri primi a velocità esponenzialmente superiori rispetto alla computazione classica.

Il problema risiede nel fatto che la crittografia a chiave pubblica si basa su presupposto che la fattorizzazione di numeri interi grandi non sia computazionalmente affrontabile con le capacità e le tecnologie di calcolo "tradizionali" e fino ad oggi disponibili, mentre è tranquillamente alla portata di un computer quantistico. In altri termini, sintetici e più comprensibili: la futura diffusione dei computer quantistici renderà l'attuale crittografia a chiave pubblica completamente inutile perché facilmente violabile.

I sistemi quantistici al momento disponibili sono capaci di operare l'algoritmo di Shor su numeri relativamente piccoli, e non rappresentano attualmente una minaccia ai sistemi di crittografia. In ogni caso i primi sistemi in grado di scardinare le difese della crittografia a chiave pubblica potrebbero essere disponibili nel giro di un decennio e gli esperti di sicurezza e crittografia, tra cui lo stesso Shor, avvertono di non sottovalutare la questione sottolineando l'importanza di predisporre per tempo le contromisure necessarie.

Il nuovo algoritmo di crittografia selezionato dal NIST è CRYSTALS-Kyber e si basa su una tecnica proposta nel 2005 dall'informatico Oded Regev della New York University. L'implementazione di questo algoritmo dovrebbe essere relativamente agevole nelle applicazioni più comuni come browser web, app di messaggistica e sistemi di videoconferenza, ma potrebbe richiedere più tempo per i dispositivi e gli apparati di rete, i servizi a supporto delle comunicazioni e per tutto l'universo di oggetti smart che permeano ormai la vita quotidiana.

L'annuncio del NIST ha dato ufficialità a questi nuovi standard, ma è bene osservare che alcune realtà di alto profilo hanno già annunciato l'integrazione di algoritmi di crittografia post-quantistica nei loro sistemi: IBM lo scorso anno ha annunciato i servizi Quantum Safe, Cloudflare ha deciso di offrire gratuitamente la crittografia post-quantistica a tutti i suoi clienti, mentre Apple ha implementato il protocollo crittografico PQ3 nel sistema di messaggistica iMessage.

Il NIST sta comunque valutando altri due set di algoritmi come potenziali standard di "backup" dal momento che nessuno degli algoritmi esistenti, nemmeno CRYSTALS-Kyber nonostante sia progettato per resistere agli attacchi dei computer quantistici, è matematicamente provato come completamente sicuro.