Crittografia a 128 bit: perché i computer quantistici non fanno paura

L’idea che i computer quantistici obblighino a raddoppiare subito tutte le chiavi simmetriche circola da anni, ma i documenti tecnici più autorevoli raccontano altro. Il punto centrale è semplice: la minaccia quantistica colpisce in modo diretto la crittografia a chiave pubblica usata per scambio di chiavi e firme digitali, mentre non produce lo stesso effetto sulle primitive simmetriche come AES-128, SHA-256 e SHA-3. La distinzione conta molto oggi, perché la transizione post-quantum ha una scadenza concreta per molti sistemi: il NIST (National Institute of Standards and Technology) indica il 2035 come riferimento per la migrazione federale della crittografia a chiave pubblica. Confondere le priorità rischia di spostare risorse dai componenti davvero esposti.

Una lettura tecnica attenta, come quella proposta da Filippo Valsorda nel suo approfondimento, mostra un quadro meno allarmistico. Valsorda non è una voce qualsiasi: informatico e crittografo italiano, noto soprattutto per il lavoro sulla sicurezza di Go e delle librerie crittografiche open source. In passato ha lavorato come cryptography engineer presso Google, è noto per il suo lavoro su protocolli TLS (da giovanissimo, durante la crisi di Heartbleed, ha sviluppato il sito usato per verificare se un server fosse vulnerabile), auditing crittografico e divulgazione tecnica. Oggi è conosciuto anche come manutentore open source e fondatore di Geomys.

Forza bruta classica vs Grover

Valsorda parte da un confronto intuitivo. Supponiamo di voler violare AES-128 utilizzando un approccio tradizionale basato su forza bruta (brute force), che consiste nel testare sistematicamente tutte le possibili chiavi di cifratura fino a individuare quella corretta; se si hanno a disposizione 2⁴⁰ macchine (cioè circa mille miliardi di sistemi che lavorano in parallelo), il tempo necessario si riduce in modo proporzionale, poiché il carico di lavoro è suddiviso tra tutte le unità, rendendo la parallelizzazione quasi ideale: raddoppiare il numero di macchine significa, in pratica, dimezzare il tempo richiesto per completare l’attacco.

Con l’algoritmo di Grover la dinamica è molto diversa: in teoria consente di effettuare una ricerca in circa 2⁶⁴ operazioni, ma ogni passaggio dipende strettamente dal precedente, impedendo una vera esecuzione parallela efficiente. Non è quindi possibile suddividere il lavoro tra molte macchine quantistiche indipendenti senza perdere parte del vantaggio. Come osserva Valsorda, se lo spazio di ricerca è diviso tra più sistemi, ciascuno opera su una porzione più piccola e il beneficio quadratico – cioè la riduzione drastica del numero di tentativi – si attenua. In sostanza, per ottenere parallelismo si sacrificano in parte le prestazioni.

Ne deriva un risultato poco intuitivo: mentre un attacco classico può essere distribuito facilmente e beneficia direttamente di più hardware, un attacco quantistico è vincolato da limiti strutturali legati alla sequenzialità dell’algoritmo.

L’oracolo AES e il costo occulto dell’attacco quantistico

Un aspetto particolarmente significativo analizzato da Valsorda riguarda l’oracolo, cioè il componente dell’algoritmo quantistico che implementa l’algoritmo AES all’interno della procedura di ricerca. In questo contesto, ogni iterazione dell’algoritmo di Grover non è un’operazione a costo trascurabile: richiede infatti l’esecuzione completa di AES in forma reversibile (una versione adattata per i calcolatori quantistici), comportando un utilizzo molto elevato di T-gate (porte logiche quantistiche costose in termini di correzione degli errori) e di qubit logici (le unità fondamentali di informazione quantistica protette dagli errori).

Valsorda fa riferimento a studi recenti che stimano, per AES-128, un circuito quantistico che necessita di circa 724 qubit logici e una profondità computazionale nell’ordine di 232 T-gate, cioè il numero totale di operazioni sequenziali richieste.

In termini pratici, questo significa che anche un singolo tentativo di verifica di una chiave crittografica è estremamente oneroso, ancora prima di considerare quante volte l’algoritmo di Grover debba essere ripetuto.

Il limite non deriva quindi soltanto da quante chiavi devono essere provate, ma dal costo computazionale di ogni singola verifica.

Un confronto utile si può fare con le funzioni hash come SHA-256: anche qui l’algoritmo di Grover riduce la complessità teorica della ricerca, ma il costo dell’oracolo, cioè dell’implementazione quantistica della funzione stessa, resta il fattore dominante. Per questo motivo, le funzioni hash a 256 bit continuano a garantire un livello di sicurezza elevato anche in uno scenario quantistico.

Differenza tra crittografia simmetrica e asimmetrica e impatto dei computer quantistici

La crittografia simmetrica utilizza un’unica chiave segreta condivisa tra le parti per cifrare e decifrare i dati; esempi tipici includono AES e le funzioni hash come SHA-256.

La sicurezza di questi algoritmi si basa principalmente sulla difficoltà di una ricerca esaustiva nello spazio delle chiavi e sulla resistenza a tecniche crittanalitiche avanzate. Dal punto di vista computazionale, il modello di attacco dominante resta la forza bruta, con complessità esponenziale O(2ⁿ). In ambito quantistico, l’algoritmo di Grover consente una riduzione teorica della complessità a O(2^^n/2), ma senza sfruttare debolezze strutturali dell’algoritmo: come visto in precedenza, richiede infatti la costruzione di un oracolo quantistico che implementa l’intero cifrario in forma reversibile, con costi elevati in termini di profondità del circuito e numero di qubit logici. Inoltre, la natura sequenziale dell’algoritmo limita fortemente la parallelizzazione, rendendo l’attacco difficilmente scalabile in scenari reali.

La crittografia asimmetrica, al contrario, si basa su coppie di chiavi pubblica-privata e su problemi matematici strutturati come la fattorizzazione (RSA) o il logaritmo discreto su curve ellittiche (ECDSA, ECDH). In questo contesto, l’uso dell’algoritmo quantistico di Shor costituisce una minaccia concreta: si tratta di un metodo che, grazie alle proprietà matematiche (struttura algebrica) dei problemi su cui si basano molti sistemi crittografici, è in grado di risolverli in tempo polinomiale, cioè con una complessità che cresce in modo gestibile all’aumentare dei dati, compromettendo di fatto i meccanismi di sicurezza su cui tali sistemi si fondano.

Tutto questo implica che gli schemi asimmetrici attuali diventeranno vulnerabili non appena saranno disponibili computer quantistici sufficientemente grandi e stabili, mentre gli algoritmi simmetrici mantengono un margine di sicurezza significativo.

Cercare l’ago in un pagliaio

La forza bruta classica è come cercare un ago in un pagliaio con milioni di persone: ogni persona si fa carico di una porzione del pagliaio e il lavoro si completa rapidamente.

Con l’algoritmo di Grover, invece, è come avere uno strumento più efficiente per cercare, ma che può essere usato solo da una persona alla volta per ogni porzione di pagliaio. Se si prova a dividere il lavoro tra più persone, ciascuno ottiene un vantaggio minore.

Il risultato e’ che il vantaggio teorico dell’algoritmo quantistico non si traduce automaticamente in un vantaggio pratico su larga scala. La matematica suggerisce un miglioramento; l’ingegneria ne ridimensiona fortemente l’impatto.

Perché AES-128 resta una scelta solida

A questo punto il quadro diventa più chiaro. Anche considerando Grover, AES-128 non diventa improvvisamente debole con l’avvento del quantum computing: il costo totale di un attacco quantistico che sia realistico resta enorme, sia in termini di hardware necessario sia di energia e tempo.

Questo non significa che AES-256 sia inutile: in alcuni scenari ha senso: dati che devono restare segreti per decenni, requisiti normativi stringenti o ambienti ad altissima sicurezza. Ma non è corretto presentarlo come un obbligo universale imposto dai computer quantistici.

Valsorda evidenzia proprio questo punto: molte discussioni tecniche tendono a semplificare eccessivamente il problema, trasformando un’analisi complessa in una regola facile da ricordare ma sbagliata.

La parte più importante del ragionamento riguarda le priorità: come osservato in precedenza, i computer quantistici, quando diventeranno abbastanza potenti, avranno un impatto devastante soprattutto sulla crittografia a chiave pubblica. Algoritmi come RSA ed ECDSA non subiranno una riduzione graduale della sicurezza: smetteranno semplicemente di essere sicuri.

Le organizzazioni devono concentrarsi sulla migrazione verso algoritmi post-quantum per lo scambio di chiavi e le firme digitali: significa aggiornare protocolli, certificati, infrastrutture e librerie crittografiche. Al contrario, intervenire subito sulle primitive simmetriche senza una reale necessità rischia di aggiungere complessità senza migliorare in modo significativo la sicurezza.

Un messaggio più equilibrato sulla sicurezza quantistica

L’analisi di Valsorda aiuta a riportare equilibrio in un dibattito spesso dominato da semplificazioni. I computer quantistici rappresentano una sfida reale, ma non tutte le componenti della crittografia sono esposte allo stesso modo.

Capire questa differenza permette di prendere decisioni più informate: investire dove il rischio è concreto oggi e prepararsi con metodo alla transizione post-quantum, evitando interventi affrettati basati su interpretazioni incomplete.

AES-128 non è insomma un punto debole da risolvere con urgenza. Il vero lavoro da fare riguarda tutto ciò che sta intorno: protocolli, chiavi pubbliche e infrastrutture che, a differenza degli algoritmi simmetrici, non reggeranno l’arrivo del calcolo quantistico su larga scala.