La Post-Quantum Cryptography (PQC) si pone l'obiettivo di sviluppare algoritmi/protocolli crittografici resistenti agli attacchi eseguibili su computer quantistici. Tra queste tecniche emergenti, un ruolo chiave è svolto proprio dalla homomorphic encryption (crittografia omomorfica).
Perché ci sarà bisogno di una crittografia “post-quantum”?
Gli algoritmi crittografici utilizzati adesso, come RSA o ECC (Elliptic Curve Cryptography), si basano sulla difficoltà di problemi matematici come la fattorizzazione in numeri primi o il logaritmo discreto. Per un computer classico infatti questi problemi sono risolvibili unicamente tentando tutte le possibili combinazioni, di conseguenza se il numero di combinazioni è abbastanza elevato siamo tranquilli che nessuno abbia il tempo di provarle tutte, anche con computer particolarmente potenti.
Tuttavia già negli anni ‘90 (prima che esistesse qualsiasi realizzazione di un computer quantistico) Peter Shor presenta l'algoritmo di Shor: un algoritmo quantistico in grado di risolvere il problema della fattorizzazione, alla base di RSA, in un tempo molto inferiore a quello richiesto da un computer classico. Ciò renderebbe alcuni protocolli utilizzati attualmente non più sicuri a computer quantistici di dimensioni sufficienti.
Per contrastare questa minaccia, i crittografi hanno identificato alcuni problemi in grado di resistere persino agli attacchi da parte di computer quantistici, nasce così la PQC.
Tra questi problemi troviamo:
Crittografia basata su reticoli (Lattice-based cryptography)
Crittografia basata su codici (Code-based cryptography)
Crittografia basata su funzioni hash (Hash-based cryptography)
Crittografia basata su multivariate polynomials
In particolare la crittografia basata su reticoli ha generato molto interesse grazie alla possibilità di realizzare con essa schemi omomorfici, che consentono di eseguire operazioni tra due valori criptati senza mai esporre il dato.
Perché non passiamo tutti alla crittografia post-quantum?
Anzitutto bisogna specificare che la minaccia dei computer quantistici al momento non è ancora realistica, almeno stando allo stato della ricerca pubblicamente disponibile. Principalmente perché le dimensioni e l’efficienza dei computer quantistici attuali non consentono ancora di eseguire l’algoritmo di Shor per numeri sufficientemente grandi.
Ciò non toglie che alcune grandi aziende come Apple abbiano già iniziato ad integrare nei loro servizi tecniche di crittografia post-quantum, per evitare il cosiddetto “harvest now, decrypt later” cioè la raccolta di messaggi cifrati con le tecniche attuali per poi decifrare in un secondo momento, quando effettivamente i computer quantistici lo dovessero consentire.
Ci sono poi altri due fattori da tenere in considerazione: Il primo è lo sviluppo di uno standard, un passo cruciale per la diffusione di ogni schema crittografico è infatti la certificazione di quali schemi sono abbastanza sicuri per poter effettivamente essere adottati. Solo nel 2022 il NIST ha pubblicato una prima lista di quali potrebbero essere gli schemi PQC standard (link), e tutt’ora va avanti il lavoro di standardizzazione.
Il secondo possibile problema è la dimensione delle chiavi crittografiche, che per molti schemi PQC è significativamente più grande di quella degli schemi classici.
Questo significa che per quanto gli schemi post-quantum sono una strada necessaria la loro adozione di massa viene posticipata per motivi di efficienza e costo.
PCQ e crittografia omomorfica (HE)
Tra i possibili problemi matematici proposti per realizzare crittografia post-quantum gli schemi basati su reticoli (lattices) risultano particolarmente promettenti, tanto che due dei tre schemi proposti come standard dal NIST sono lattice-based.
Un vantaggio di utilizzare problemi su reticoli è che lavorano su vettori di grandi dimensioni, su cui possiamo fare le operazioni classiche di somma e moltiplicazione. Questa è l’idea su cui si appoggiano tutti gli schemi di crittografia omomorfica più usati, e grazie a ciò possiamo eseguire operazioni su informazioni criptate senza mai rivelare l’informazione.
Non bisogna però confondere i due termini: qualsiasi tecnica crittografica che consente di fare operazioni su dati criptati si può chiamare crittografia omomorfica, esistono infatti alcuni schemi di crittografia omomorfica che si appoggiano su problemi di crittografia classica.
Concentriamoci però momentaneamente sugli schemi HE più popolari basati su PQC, e cerchiamo di capire come questi schemi possono essere utili: Come anticipato prima molti schemi PQC hanno chiavi particolarmente grandi, e questo è il caso anche quando si tratta di alcuni schemi di crittografia omomorfica. In particolare per la crittografia omomorfica il tema dell’efficienza è centrale, siccome le operazioni criptate tra vettori sono molto costose se confrontate con le operazioni crittografiche classiche.
Esistono però specifici casi in cui questi schemi sono necessari: ad esempio per le grandi o piccole organizzazioni che gestiscono dati molto sensibili e hanno bisogno di standard di sicurezza forti accoppiati con necessità di elaborazione sicura dei dati.
È anche importante sottolineare che grandi passi avanti sono stati fatti nel migliorare l’efficienza di questi schemi e si sta lavorando per creare architetture hardware ad hoc in grado di accelerare notevolmente le operazioni. Non è quindi scontato che schemi di crittografia omomorfica non possano entrare anche nelle applicazioni crittografiche più comuni in un domani non troppo lontano.
TL;DR
La Post-Quantum Cryptography (PQC) nasce per sviluppare algoritmi resistenti agli attacchi dei computer quantistici, che minacciano la sicurezza di protocolli tradizionali come RSA ed ECC, ed in minore misura AES (link).
L'algoritmo di Shor, teorizzato nel 1994, potrebbe infatti rendere inefficaci molti schemi crittografici attuali in un futuro non lontanissimo.
Tuttavia, l'adozione su larga scala è rallentata da problemi di costo ed efficienza: gli algoritmi post-quantum hanno generalmente chiavi più pesanti rispetto a quelli classici. Anche il problema dello sviluppo attuale di uno standard rallenta l’adozione immediata.
Per questo, la transizione avverrà gradualmente, con un focus iniziale su settori con esigenze di sicurezza elevate.
🔐 Preparati oggi alla sicurezza di domani
In un mondo in cui la minaccia quantistica non è più solo teoria, è essenziale anticipare il cambiamento. Dhiria sviluppa soluzioni di machine learning privacy-preserving integrate con tecniche crittografiche avanzate, come la crittografia omomorfica. Offriamo alle organizzazioni gli strumenti per elaborare dati sensibili in modo sicuro, compliance-ready e a prova di futuro.
👉 Scopri come possiamo aiutarti a proteggere i tuoi dati anche nell’era del quantum computing.
Contattaci su www.dhiria.com o scrivici a info@dhiria.com per una demo personalizzata.
