La sicurezza delle comunicazioni digitali è oggi garantita da algoritmi crittografici che si basano su problemi matematici considerati intrattabili per i computer classici. RSA, Diffie–Hellman, ECDSA (Elliptic Curve Digital Signature Algorithm, usato per autenticare i Bitcoin) ed ECC (Elliptic Curve Cryptography) costituiscono la base della sicurezza di protocolli come TLS (Transport Layer Security) , HTTPS (Hyper TexT Protocol Security), SSH (Secure Shell), VPN (Virtual Private Network), firme digitali e certificati digitali del tipo X.509.
Tuttavia, l’avvento dei computer quantistici fault‑tolerant minaccia di rendere vulnerabili questi sistemi. L’algoritmo di Shor permette di fattorizzare numeri interi e risolvere il logaritmo discreto in tempo polinomiale, compromettendo la sicurezza di RSA e ECC.
Per rompere RSA (3.076 bit) o ECDSA (256 bit) servono alcune migliaia di qubit logici.
La corsa verso il cosiddetto Q‑Day, il giorno in cui i computer quantistici saranno in grado di violare la crittografia attuale, è già iniziata.
2. Quantum Computing e sicurezza crittografica
L’algoritmo di Shor e la vulnerabilità dei sistemi attuali
L’algoritmo di Shor e le sue varianti permettono di:
- fattorizzare numeri interi (RSA ),
- risolvere il logaritmo discreto (DH, ECDH),
- violare firme digitali basate su curve ellittiche (ECDSA).
Questi problemi sono considerati intrattabili per i computer classici, ma diventano risolvibili in tempo polinomiale su un computer quantistico con un numero sufficientemente grande di qubit logici .
Qubit logici e qubit fisici
La realizzazione di computer quantistici fault‑tolerant richiede l’uso di codici di Quantum Error Correction (QEC). Con i cosiddetti Surface Code servono ~1.000 qubit fisici per ogni qubit logico; con codici qLDPC (Quantum Low Density Parity Check) ne bastano 50–100.
Questo significa che per ottenere 2.000 qubit logici, necessari per violare RSA‑3072, occorrono:
- 2 milioni di qubit fisici con Surface Code, che diminuiscono fino a 500.000 se si aggiungono i Color Code
- 100.000–200.000 qubit fisici con codici qLDPC
Tabella 1 — Capacità previste dei principali player quantistici (2024–2029)
| Player | Code 2024 | Code target 2029 | Physical Qubits 2029 | Logical Qubits 2029 | Security Target |
| Google superconducting | SC, Surface Code | SC + Color Code | ~ 500,000 | ~1,000-2,000 (1 log: 250-500 phy) | ECDSA – 256 RSA 2,048/3,072 |
| IBM superconducting | SC, Surface Code | BB, Bivariate Bicycle Code (qLDPC) | ~ 10,000 | ~200 (1 log: 50 phy) | RSA – 2,048 |
| Iceberg / Pinnacle software layer IonQ, Diraq, PsiQuantum, … | Simulations | GB, Generalized Bicycle Code (qLDPC) | ~100.000 | ~1,000-2,000 (1 log: 50-100 phy) | ECDSA – 256 RSA 2,048/3,072 |
| Neutral Atoms Harward, MIT, QuEra, etc. | Various | qLDPC non-local | NA | NA (1 log: 3-4 phy) | ECDSA – 256 bit RSA 2,048/3,072 |
Questi dati suggeriscono che la realizzazione di computer quantistici fault‑tolerant capaci di violare RSA e ECDSA è un obiettivo realistico entro il 2029.
3. Internet e sicurezza: un ecosistema crittografico complesso
In Internet svariati protocolli di sicurezza si applicano ai vari livelli del sistema OSI (Open Systems Inter-connection) . A tutti i livelli: i livelli 2 e 3 delle reti, nonché il livello 4 di trasporto e i livelli applicativi.
- Livelli Applicativi: HTTPS (HyperText Transfer Protocol Secure), S/MIME (Secure Multipurpose Internet Mail Extension), PGP (Pretty Good Privacy), Kerberos, IKE (Internet Key Exchange)
- Livello 4 – Trasporto: TLS (Transport Layer Security)
- Gestione Rete: SNMP (Simple Network Management Protocol)
- Livello 3 – Rete: IPSec, MobileIP
- Livello 2 -data link: PAP/CHAP (Password Authentication Protocol/ Challenge Authentication Protocol)
La crittografia è diventata oggi una componente essenziale di ogni protocollo usato su Internet, compresi tutti i protocolli di instradamento in rete (routing) .
4. Post‑Quantum Cryptography (PQC) – La risposta del NIST
Il NIST ha selezionato cinque algoritmi che diventeranno gli standard crittografici del futuro. Tre sono già formalmente approvati (FIPS 203–205), mentre due sono in fase avanzata di standardizzazione.
Tabella 2 — Algoritmi PQC selezionati dal NIST

FIPS (Federal Information Processing Standard ), ML (Module-Lattice), KEM (Key Encapsulation Mechanisms), DSA (Digital Signature Algorithm), MLWE (Module-Learning With Errors), SLH (Stateless Hash-based), NTRU (N-th Degree Truncated Polynomial Ring Unit), FALCON (Fast Fourier Lattice-based Compact signatures over NTRU), HQC (Hamming Quasi-Cyclic)
5. Lattice‑based Cryptography
La maggior parte degli algoritmi PQC approvati si basa su lattice (reticolo) cryptography, in particolare sul problema Learning With Errors (LWE) e sulla sua variante Module‑LWE (MLWE).
Lattice: struttura e sicurezza
Un lattice è una griglia regolare di punti nello spazio. La sicurezza deriva dalla difficoltà di ricostruire una “buona” base conoscendo solo una base “cattiva”.
“La base cattiva è usata come chiave pubblica, mentre la buona base è la chiave privata.

Figura 1 — Buona e cattiva base in un reticolo
Base buona (verde) → vettori corti, struttura semplice
Base cattiva (rossa) → vettori lunghi, intrecciati
Questa struttura garantisce la sicurezza dei sistemi ML‑KEM e ML‑DSA
6. Quantum Key Distribution (QKD)
La QKD offre un approccio fisico alla generazione di chiavi simmetriche, basato sulle leggi della meccanica quantistica.
Il protocollo BB8 (Bennett e Brassard, 1984)
BB84 utilizza fotoni polarizzati in due basi:
- Rettlineare: ↔ (0), ↕ (1)
- Diagonale: ↘ (0), ↙ (1)

Figura 2 —Protocollo BB84
Il protocollo permette a due utenti (Alice e Bob) di generare una chiave segreta usando fotoni polarizzati. Ogni fotone codifica un bit (0/1) in una delle due basi: rettangolare (↔/↕) o diagonale (↘/↗). Alice sceglie casualmente sia il bit sia la base; Bob misura ogni fotone scegliendo casualmente la propria base.
Quando le basi coincidono, Bob ottiene il bit corretto; quando differiscono, il risultato è casuale. Dopo la trasmissione, infatti, Alice e Bob comunicano attraverso un canale trasmissivo classico (parallelo al canale quantistico) le basi usate e conservano solo i bit corrispondenti alle basi coincidenti: questa è la raw key.
Per verificare la sicurezza, confrontano una piccola parte della raw key: un eventuale intercettatore (Eve), costretto a misurare i fotoni, introduce errori inevitabili per via del principio di indeterminazione e del teorema di no‑cloning. Se il tasso di errore è basso, applicano correzione degli errori e privacy amplification, ottenendo una chiave finale sicura.
BB84 è considerato sicuro perché la sua protezione deriva da leggi fisiche, non da ipotesi computazionali.
Altri protocolli di QKD sono:
– il BBM92 (Bennett, Brassard e Mermin, 1992), che usa lo stesso schema del BB84, ma impiega l’intreccio quantistico (entanglement) per la trasmissione dei fotoni,
– il protocollo MDI-QKD (Measurement Device Independent), che usa un nodo non fidato come ripetitore tra Alice e Bob e consente la trasmissione in teletrasporto tra i due interlocutori evitando attacchi possibili ai rivelatori dei fotoni,
– infine il protocollo DI-QKD (Device Independent), ancora in fase di “proof of concept.
–
7. Confronto tra protocolli QKD
Tabella 3— Confronto tra protocolli QKD su fibra

(TRL Technology Readiness Level (da 1 a 9)
8. QKD via satellite
Tabella 4 — Confronto tra DV‑QKD e CV‑QKD su satelliti LEO

Nel caso della trasmissione di fotoni via radio, in particolare tramite satelliti a bassa orbita terrestre LEO (Low Earth Orbit), i protocolli QKD codificano i fotoni secondo due alternative: Discrete Variable (DV) e Continuous Variable (CV). La DV-QKD usa BB84/BBM92, mentre la CV-QKD usa il protocollo GG02 (Grosshans e Grangier, 2002) basato su modulazione di ampiezza e fase di stati coerenti. La DV-QKD è stata realizzata sul satellite LEO cinese Micius con tratte radio fino a oltre 1.000 km.
9. Limiti della QKD
Il Web della NSA (National Security Agency) dal 2021 evidenzia cinque gravi criticità della QKD:
- Non risolve l’autenticazione
- Richiede hardware dedicato
- Aumenta costi e rischi interni
- La sicurezza reale dipende dall’ingegneria non dalla teoria
- Sensibilità al denial‑of‑service
Questi limiti spiegano perché la QKD non sostituirà la crittografia classica, ma la affiancherà in scenari specifici.
10. Quantum Repeaters e Quantum Internet
La QKD su fibra è limitata a circa 100 km. Per superare questo limite servono:
- Quantum repeaters, basati su entanglement swapping, memorie quantistiche, purificazione dell’entanglement e codici a correzione degli errori, QEC.
- Memorie quantistiche, costituiscono il collo di bottiglia dei ripetitori quantistici e della cosiddetta Quantum Internet, non tanto per i tempi di immagazzinamento (storage time) dell’ordine di molti millisecondi, ma a causa del tempo di vita in esercizio che è ben lontano dal minimo di 1-3 anni di un ragionevole target industriale per i ripetitori quantistici. I ripetitori classici per collegamenti in fibra ottica durano un paio di decenni, sia terrestri che sottomarini. I satelliti LEO (ripetitori spaziali) durano 5-7 anni.
- Distribuzione e purificazione di entanglement su larga scala
- QEC, quantum error correction
Il futuro sarà un ecosistema integrato:
- PQC per la sicurezza end‑to‑end su Internet
- QKD per backbone critici ad alta sicurezza
- Ripetitori e Commutatori quantistici (impiegano entanglement swapping, banchi di memorie a lungo storage e QEC: sono ordini di grandezza più complessi dei ripetitori) da impiegare in porzioni limitate di reti quantistiche (Quantum Internet Islands) per offrire servizi quantistici, quali:
- Calcolo quantistico distribuito per connettere calcolatori quantistici a basso numero di qubit logici
- Blind Computing per servizi agli utilizzatori non intercettabili neanche dai fornitori del servizio
- Reti di sensori con uso dell’entanglement per misure di campo elettrico, magnetico, temperatura, ecc.
11. Conclusioni
La transizione verso la sicurezza post‑quantum è inevitabile. La PQC garantirà la sicurezza delle applicazioni Internet, mentre la QKD offrirà protezione fisica per infrastrutture critiche. Il NIST ha definito gli standard, i computer quantistici stanno evolvendo rapidamente e la QKD sta maturando su fibra e via satellite. Il risultato sarà un ecosistema di comunicazione più sicuro e resiliente, pronto per l’era quantistica a partire dal 2030.
Così come il computer quantistico non sostituisce i computer classici, ma fornisce co-processori capaci di risolvere problemi irrisolvibili, l’Internet quantistica non sostituisce l’Internet classica, ma realizza delle co-reti capaci di offrire servizi quantistici innovativi.





Partecipa alla community