l'analisi

Post Quantum Cryptography e Quantum Key Distribution: sicurezza digitale nell’era dei computer quantistici



Indirizzo copiato

L’evoluzione delle capacità di calcolo mette sotto pressione i sistemi usati per proteggere scambi, identità e dati. Il confronto si sposta su soluzioni più robuste, tra nuovi standard, gestione delle chiavi e nodi ancora aperti su costi, affidabilità e resilienza

Pubblicato il 8 lug 2026

Maurizio Dècina

Professore Emerito, Politecnico di Milano



maurizio decina
AI Questions Icon
Chiedi all'AI
Riassumi questo articolo
Approfondisci con altre fonti

Punti chiave

  • Il calcolo quantistico minaccia la crittografia: RSA, Diffie–Hellman, ECDSA, ECC (in TLS, HTTPS, SSH, VPN, X.509) via l’algoritmo di Shor con migliaia di qubit logici (Q-Day).
  • Transizione verso la PQC: il NIST ha selezionato soluzioni lattice-based come LWE/MLWE (per ML-KEM, ML-DSA) e alternative come NTRU, FALCON, HQC.
  • La QKD (p.es. BB84, DV‑QKD, CV‑QKD, satelliti come Micius) fornisce chiavi fisiche ma ha limiti (autenticazione, hardware, costi, DoS); servono Quantum repeaters, QEC e memorie per una Quantum Internet su isole.
Riassunto generato con AI


La sicurezza delle comunicazioni digitali è oggi garantita da algoritmi crittografici che si basano su problemi matematici considerati intrattabili per i computer classici. RSA, Diffie–Hellman, ECDSA (Elliptic Curve Digital Signature Algorithm, usato per autenticare i Bitcoin) ed ECC (Elliptic Curve Cryptography) costituiscono la base della sicurezza di protocolli come TLS (Transport Layer Security) , HTTPS (Hyper TexT Protocol Security), SSH (Secure Shell), VPN (Virtual Private Network), firme digitali e certificati digitali del tipo X.509.

Tuttavia, l’avvento dei computer quantistici fault‑tolerant minaccia di rendere vulnerabili questi sistemi. L’algoritmo di Shor permette di fattorizzare numeri interi e risolvere il logaritmo discreto in tempo polinomiale, compromettendo la sicurezza di RSA e ECC.

Per rompere RSA (3.076 bit) o ECDSA (256 bit) servono alcune migliaia di qubit logici.

La corsa verso il cosiddetto Q‑Day, il giorno in cui i computer quantistici saranno in grado di violare la crittografia attuale, è già iniziata.

2. Quantum Computing e sicurezza crittografica

L’algoritmo di Shor e la vulnerabilità dei sistemi attuali

L’algoritmo di Shor e le sue varianti permettono di:

  • fattorizzare numeri interi (RSA ),
  • risolvere il logaritmo discreto (DH, ECDH),
  • violare firme digitali basate su curve ellittiche (ECDSA).

Questi problemi sono considerati intrattabili per i computer classici, ma diventano risolvibili in tempo polinomiale su un computer quantistico con un numero sufficientemente grande di qubit logici .

Qubit logici e qubit fisici

La realizzazione di computer quantistici fault‑tolerant richiede l’uso di codici di Quantum Error Correction (QEC). Con i cosiddetti Surface Code servono ~1.000 qubit fisici per ogni qubit logico; con codici qLDPC (Quantum Low Density Parity Check) ne bastano 50–100.

Questo significa che per ottenere 2.000 qubit logici, necessari per violare RSA‑3072, occorrono:

  • 2 milioni di qubit fisici con Surface Code, che diminuiscono fino a 500.000 se si aggiungono i Color Code
  • 100.000–200.000 qubit fisici con codici qLDPC

Tabella 1 — Capacità previste dei principali player quantistici (2024–2029)

PlayerCode 2024Code target 2029Physical Qubits 2029Logical Qubits 2029Security Target
Google superconductingSC, Surface CodeSC + Color Code~ 500,000~1,000-2,000 (1 log: 250-500 phy)ECDSA – 256 RSA 2,048/3,072
IBM superconductingSC, Surface CodeBB, Bivariate Bicycle Code (qLDPC)~ 10,000~200 (1 log: 50 phy)RSA – 2,048
Iceberg / Pinnacle software layer IonQ, Diraq, PsiQuantum, …SimulationsGB, Generalized Bicycle Code (qLDPC)~100.000~1,000-2,000 (1 log: 50-100 phy)ECDSA – 256 RSA 2,048/3,072
Neutral Atoms Harward, MIT, QuEra, etc.VariousqLDPC non-localNANA (1 log: 3-4 phy)ECDSA – 256 bit RSA 2,048/3,072

Questi dati suggeriscono che la realizzazione di computer quantistici fault‑tolerant capaci di violare RSA e ECDSA è un obiettivo realistico entro il 2029.

3. Internet e sicurezza: un ecosistema crittografico complesso

In Internet svariati protocolli di sicurezza si applicano ai vari livelli del sistema OSI (Open Systems Inter-connection) . A tutti i livelli: i livelli 2 e 3 delle reti, nonché il livello 4 di trasporto e i livelli applicativi.

  • Livelli Applicativi: HTTPS (HyperText Transfer Protocol Secure), S/MIME (Secure Multipurpose Internet Mail Extension), PGP (Pretty Good Privacy), Kerberos, IKE (Internet Key Exchange)
  • Livello 4 – Trasporto: TLS (Transport Layer Security)
  • Gestione Rete: SNMP (Simple Network Management Protocol)
  • Livello 3 – Rete: IPSec, MobileIP
  • Livello 2 -data link: PAP/CHAP (Password Authentication Protocol/ Challenge Authentication Protocol)

La crittografia è diventata oggi una componente essenziale di ogni protocollo usato su Internet, compresi tutti i protocolli di instradamento in rete (routing) .

4. Post‑Quantum Cryptography (PQC) – La risposta del NIST

Il NIST ha selezionato cinque algoritmi che diventeranno gli standard crittografici del futuro. Tre sono già formalmente approvati (FIPS 203–205), mentre due sono in fase avanzata di standardizzazione.

Tabella 2 — Algoritmi PQC selezionati dal NIST

FIPS (Federal Information Processing Standard ), ML (Module-Lattice), KEM (Key Encapsulation Mechanisms), DSA (Digital Signature Algorithm), MLWE (Module-Learning With Errors), SLH (Stateless Hash-based), NTRU (N-th Degree Truncated Polynomial Ring Unit), FALCON (Fast Fourier Lattice-based Compact signatures over NTRU), HQC (Hamming Quasi-Cyclic)

5. Lattice‑based Cryptography

La maggior parte degli algoritmi PQC approvati si basa su lattice (reticolo) cryptography, in particolare sul problema Learning With Errors (LWE) e sulla sua variante Module‑LWE (MLWE).

Lattice: struttura e sicurezza

Un lattice è una griglia regolare di punti nello spazio. La sicurezza deriva dalla difficoltà di ricostruire una “buona” base conoscendo solo una base “cattiva”.

“La base cattiva è usata come chiave pubblica, mentre la buona base è la chiave privata.

 Figura 1 — Buona e cattiva base in un reticolo

Base buona (verde) → vettori corti, struttura semplice

Base cattiva (rossa) → vettori lunghi, intrecciati

Questa struttura garantisce la sicurezza dei sistemi ML‑KEM e ML‑DSA

6. Quantum Key Distribution (QKD)

La QKD offre un approccio fisico alla generazione di chiavi simmetriche, basato sulle leggi della meccanica quantistica.

Il protocollo BB8 (Bennett e Brassard, 1984)

BB84 utilizza fotoni polarizzati in due basi:

  • Rettlineare: ↔ (0), ↕ (1)
  • Diagonale: ↘ (0), ↙ (1)

Figura 2 —Protocollo BB84

Il protocollo permette a due utenti (Alice e Bob) di generare una chiave segreta usando fotoni polarizzati. Ogni fotone codifica un bit (0/1) in una delle due basi: rettangolare (↔/↕) o diagonale (↘/↗). Alice sceglie casualmente sia il bit sia la base; Bob misura ogni fotone scegliendo casualmente la propria base.

Quando le basi coincidono, Bob ottiene il bit corretto; quando differiscono, il risultato è casuale. Dopo la trasmissione, infatti, Alice e Bob comunicano attraverso un canale trasmissivo classico (parallelo al canale quantistico) le basi usate e conservano solo i bit corrispondenti alle basi coincidenti: questa è la raw key.

Per verificare la sicurezza, confrontano una piccola parte della raw key: un eventuale intercettatore (Eve), costretto a misurare i fotoni, introduce errori inevitabili per via del principio di indeterminazione e del teorema di no‑cloning. Se il tasso di errore è basso, applicano correzione degli errori e privacy amplification, ottenendo una chiave finale sicura.

BB84 è considerato sicuro perché la sua protezione deriva da leggi fisiche, non da ipotesi computazionali.

Altri protocolli di QKD sono:

– il BBM92 (Bennett, Brassard e Mermin, 1992), che usa lo stesso schema del BB84, ma impiega l’intreccio quantistico (entanglement) per la trasmissione dei fotoni,

– il protocollo MDI-QKD (Measurement Device Independent), che usa un nodo non fidato come ripetitore tra Alice e Bob e consente la trasmissione in teletrasporto tra i due interlocutori evitando attacchi possibili ai rivelatori dei fotoni,

– infine il protocollo DI-QKD (Device Independent), ancora in fase di “proof of concept.

7. Confronto tra protocolli QKD

Tabella 3— Confronto tra protocolli QKD su fibra

(TRL Technology Readiness Level (da 1 a 9)

8. QKD via satellite

Tabella 4 — Confronto tra DV‑QKD e CV‑QKD su satelliti LEO

Nel caso della trasmissione di fotoni via radio, in particolare tramite satelliti a bassa orbita terrestre LEO (Low Earth Orbit), i protocolli QKD codificano i fotoni secondo due alternative: Discrete Variable (DV) e Continuous Variable (CV). La DV-QKD usa BB84/BBM92, mentre la CV-QKD usa il protocollo GG02 (Grosshans e Grangier, 2002) basato su modulazione di ampiezza e fase di stati coerenti. La DV-QKD è stata realizzata sul satellite LEO cinese Micius con tratte radio fino a oltre 1.000 km.

9. Limiti della QKD

Il Web della NSA (National Security Agency) dal 2021 evidenzia cinque gravi criticità della QKD:

  1. Non risolve l’autenticazione
  2. Richiede hardware dedicato
  3. Aumenta costi e rischi interni
  4. La sicurezza reale dipende dall’ingegneria non dalla teoria
  5. Sensibilità al denial‑of‑service

Questi limiti spiegano perché la QKD non sostituirà la crittografia classica, ma la affiancherà in scenari specifici.

10. Quantum Repeaters e Quantum Internet

La QKD su fibra è limitata a circa 100 km. Per superare questo limite servono:

  • Quantum repeaters, basati su entanglement swapping, memorie quantistiche, purificazione dell’entanglement e codici a correzione degli errori, QEC.
  • Memorie quantistiche, costituiscono il collo di bottiglia dei ripetitori quantistici e della cosiddetta Quantum Internet, non tanto per i tempi di immagazzinamento (storage time) dell’ordine di molti millisecondi, ma a causa del tempo di vita in esercizio che è ben lontano dal minimo di 1-3 anni di un ragionevole target industriale per i ripetitori quantistici. I ripetitori classici per collegamenti in fibra ottica durano un paio di decenni, sia terrestri che sottomarini. I satelliti LEO (ripetitori spaziali) durano 5-7 anni.
  • Distribuzione e purificazione di entanglement su larga scala
  • QEC, quantum error correction

Il futuro sarà un ecosistema integrato:

  • PQC per la sicurezza end‑to‑end su Internet
  • QKD per backbone critici ad alta sicurezza
  • Ripetitori e Commutatori quantistici (impiegano entanglement swapping, banchi di memorie a lungo storage e QEC: sono ordini di grandezza più complessi dei ripetitori)  da impiegare in porzioni limitate di reti quantistiche (Quantum Internet Islands) per offrire servizi quantistici, quali:
    • Calcolo quantistico distribuito per connettere calcolatori quantistici a basso numero di qubit logici
    • Blind Computing per servizi agli utilizzatori non intercettabili neanche dai fornitori del servizio
    • Reti di sensori con uso dell’entanglement per misure di campo elettrico, magnetico, temperatura, ecc.

11. Conclusioni

La transizione verso la sicurezza post‑quantum è inevitabile. La PQC garantirà la sicurezza delle applicazioni Internet, mentre la QKD offrirà protezione fisica per infrastrutture critiche. Il NIST ha definito gli standard, i computer quantistici stanno evolvendo rapidamente e la QKD sta maturando su fibra e via satellite. Il risultato sarà un ecosistema di comunicazione più sicuro e resiliente, pronto per l’era quantistica a partire dal 2030.

Così come il computer quantistico non sostituisce i computer classici, ma fornisce co-processori capaci di risolvere problemi irrisolvibili, l’Internet quantistica non sostituisce l’Internet classica, ma realizza delle co-reti capaci di offrire servizi quantistici innovativi.

Partecipa alla community

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Articoli correlati

0
Lascia un commento, la tua opinione conta.x