La crittografia post-quantistica (PQC, Post-Quantum Cryptography) è l’insieme degli algoritmi crittografici progettati per resistere agli attacchi condotti con computer quantistici di sufficiente potenza. Non è crittografia quantistica (come la Quantum Key Distribution, QKD) — è crittografia classica, eseguibile su hardware convenzionale, ma basata su problemi matematici che i computer quantistici non sanno risolvere efficientemente.
La minaccia quantistica
I computer quantistici minacciano la crittografia asimmetrica classica in modo strutturale. L’algoritmo di Shor (1994) risolve in tempo polinomiale su un computer quantistico i due problemi difficili su cui si basa tutta la crittografia asimmetrica classica: la fattorizzazione di interi (RSA) e il logaritmo discreto (Diffie-Hellman, ECC). Un computer quantistico con abbastanza qubit stabili renderebbe RSA ed ECC crittograficamente rotti, compromettendo TLS, SSH, firme digitali, PKI e tutto ciò che ne dipende.
La crittografia simmetrica è molto meno vulnerabile: l’algoritmo di Grover offre una accelerazione quadratica per il brute force, dimezzando la sicurezza effettiva in bit. AES-256 scende a ~128 bit di sicurezza equivalente — ancora computazionalmente sicuro. La risposta è usare chiavi da 256 bit invece di 128.
La minaccia “harvest now, decrypt later”
Anche senza computer quantistici operativi oggi, la minaccia è già attuale: attori statali potrebbero raccogliere e archiviare traffico cifrato con TLS classico oggi, in attesa di decifrarlo quando i computer quantistici saranno disponibili. Dati con requisiti di riservatezza a lungo termine (segreti di Stato, proprietà intellettuale, dati medici) devono essere protetti con algoritmi post-quantistici già ora.
Standardizzazione NIST
Il NIST ha condotto un processo di standardizzazione durato 8 anni (2016–2024) per selezionare gli algoritmi post-quantistici da standardizzare. I vincitori, pubblicati come standard FIPS nel 2024:
| Standard | Tipo | Problema difficile | Algoritmo originale |
|---|---|---|---|
| ML-KEM (FIPS 203) | KEM / scambio chiavi | Reticoli (Module-LWE) | CRYSTALS-Kyber |
| ML-DSA (FIPS 204) | Firma digitale | Reticoli (Module-LWE/SIS) | CRYSTALS-Dilithium |
| SLH-DSA (FIPS 205) | Firma digitale | Funzioni hash | SPHINCS+ |
Un quarto standard basato su reticoli NTRU (FN-DSA / FALCON) è in corso di finalizzazione. Gli algoritmi basati su reticoli offrono il miglior compromesso tra dimensione delle chiavi, velocità e sicurezza dimostrabile.
Migrazione
La migrazione verso la PQC è un processo pluriennale che richiede l’aggiornamento di protocolli (TLS, SSH, S/MIME), librerie (OpenSSL, BoringSSL, liboqs), infrastrutture PKI e hardware (HSM, smart card). La strategia raccomandata è la crypto-agilità: progettare i sistemi per poter sostituire gli algoritmi crittografici senza ristrutturazione architetturale, e adottare ibridi (classico + post-quantistico) durante la transizione per mantenere la sicurezza anche se un algoritmo risultasse vulnerabile.