Chrome introduce certificati TLS resistenti ai computer quantistici: cosa significa

Una modifica strutturale al modo in cui i certificati HTTPS sono distribuiti e verificati è al centro del piano annunciato da Google per preparare Chrome all’arrivo dei computer quantistici. L’obiettivo è preservare la sicurezza delle connessioni TLS senza compromettere prestazioni e compatibilità, due fattori che negli ultimi trent’anni hanno sostenuto l’adozione globale della crittografia sul Web.

Gli attuali schemi basati su crittografia a chiave pubblica, come RSA ed Elliptic Curve Cryptography (metodi che permettono di cifrare e verificare dati usando una coppia di chiavi, una pubblica e una privata), si basano su problemi matematici complessi che l’algoritmo di Shor — eseguibile su computer quantistici sufficientemente avanzati — potrebbe risolvere in tempi realistici, rendendo questi schemi vulnerabili. I certificati digitali X.509 di ultima generazione, cioè i file che attestano l’identità di siti e servizi nelle connessioni sicure, sono oggi piuttosto leggeri e le loro catene di certificazione occupano circa 4 KB, ma il passaggio a algoritmi crittografici resistenti agli attacchi dei computer quantistici comporta certificati molto più grandi e richiede di ripensare l’intera infrastruttura con cui questi certificati vengono distribuiti e gestiti.

Limiti della crittografia classica e rischio quantistico

I certificati TLS oggi utilizzati includono firme digitali e chiavi pubbliche basate su curve ellittiche o RSA. In una tipica catena X.509 si trovano più firme e almeno due chiavi pubbliche, ognuna di poche decine di byte.

La sicurezza di questi sistemi dipende dal fatto che, con i computer tradizionali, è estremamente difficile scomporre numeri molto grandi nei loro fattori primi (fattorizzazione) o calcolare il logaritmo discreto, cioè risalire all’esponente in una potenza modulare.

Se però si diffondessero computer quantistici sufficientemente potenti, l’algoritmo di Shor (un metodo quantistico per risolvere rapidamente i problemi citati) permetterebbe di eseguire tali calcoli in tempi ridotti, rendendo non più affidabili le firme digitali e aprendo la strada alla falsificazione dei certificati. Le conseguenze non si limiterebbero alle comunicazioni future, ma coinvolgerebbero anche i dati già salvati oggi, che potrebbero essere decifrati in seguito.

Dimensioni dei certificati e impatto sulle prestazioni

L’adozione di algoritmi post-quantum comporta chiavi e firme molto più grandi.

Secondo le stime condivise da Google e Cloudflare, il materiale crittografico necessario per rendere pubblici i certificati in modo trasparente potrebbe essere fino a 40 volte più grande rispetto alle implementazioni attuali. Un aumento di tale portata si tradurrebbe in handshake TLS più lenti, maggiore latenza e un impatto significativo su dispositivi con banda limitata.

Inoltre, infrastrutture intermedie come proxy e firewall applicativi, spesso progettate con limiti dimensionali rigidi, potrebbero non gestire correttamente certificati così voluminosi, causando errori o degradazioni di servizio.

Certificati TLS e log trasparenti nell’era post-quantum: Merkle Tree Certificates e firme resistenti al calcolo quantistico

Per ridurre l’impatto delle dimensioni, Google e Cloudflare stanno sperimentando i Merkle Tree Certificates, una soluzione che sfrutta una struttura dati basata su alberi di hash.

Invece di inviare una catena completa di firme per ogni certificato, un’autorità di certificazione firma una singola radice dell’albero, denominata “tree head”, che rappresenta un insieme potenzialmente enorme di certificati. Il browser riceve un certificato accompagnato da una prova di inclusione nell’albero, cioè un insieme compatto di hash che consente di verificare l’appartenenza senza trasmettere tutte le firme.

Il modello di sicurezza dei browser moderni richiede che i certificati TLS siano registrati in log pubblici (Certificate Transparency). Questi registri permettono ai proprietari di domini di verificare che non siano stati emessi certificati fraudolenti a loro nome. L’iniziativa fu introdotta dopo incidenti come la compromissione di DigiNotar nel 2011, che portò alla creazione di centinaia di certificati falsi. Tuttavia, la sicurezza dei log stessi dipende da firme digitali che, se indebolite dal calcolo quantistico, potrebbero essere falsificate per simulare l’inclusione di certificati non legittimi.

Per mitigare questo rischio, Google sta integrando algoritmi resistenti agli attacchi quantistici come ML-DSA nelle strutture di firma dei log e nel nuovo archivio di certificati root. Il progetto, definito quantum-resistant root store, si affianca al Chrome Root Store introdotto nel 2022 e mira a garantire che un attaccante debba compromettere simultaneamente sia schemi classici sia post-quantum per falsificare un certificato valido. L’approccio ibrido consente una transizione graduale, mantenendo compatibilità con i sistemi esistenti mentre si testano le nuove primitive crittografiche.

Implementazione in Chrome e sperimentazioni in corso

Le prime implementazioni dei certificati basati su Merkle Tree sono già presenti in Chrome, sebbene in fase sperimentale.

Cloudflare sta partecipando al progetto con circa 1.000 certificati TLS al fine di valutare l’efficienza delle nuove strutture e misurare l’impatto su handshake e latenza.

Attualmente la generazione del registro distribuito è gestita da Cloudflare, ma l’obiettivo è trasferire la responsabilità alle autorità di certificazione.

Parallelamente, l’Internet Engineering Task Force ha istituito il gruppo di lavoro “PKI, Logs, and Tree Signatures” per definire standard interoperabili e linee guida per l’adozione su larga scala.

La transizione verso certificati resistenti al calcolo quantistico comporta diverse sfide operative. Le implementazioni devono garantire compatibilità con client legacy, evitare regressioni nelle prestazioni e assicurare che i sistemi di caching e i dispositivi intermedi gestiscano correttamente i nuovi formati.

A dispetto di diverse criticità, l’approccio basato su Merkle Tree e root store ibridi rappresenta un percorso concreto per mantenere la fiducia nelle connessioni HTTPS in un contesto tecnologico destinato a evolvere rapidamente.