Scambio di chiavi quantistico via satellite: Colt, Honeywell e Nokia ci provano. Ma ha senso?

Colt Technologies, Honeywell e Nokia hanno annunciato una collaborazione su una sperimentazione per usare la distribuzione quantistica delle chiavi (in breve QKD, dall'inglese "quantum key distribution") su reti satellitari come mezzo per trasmettere in maniera sicura le chiavi crittografiche e stabilire comunicazioni sicure.

Colt, Honeywell e Nokia insieme per la distribuzione quantistica delle chiavi

La crittografia a chiave pubblica su cui si basano le comunicazioni oggigiorno (dalla semplice visita di questa pagina con un browser allo scambio d'informazioni sensibili tra enti governativi) non funzionerà più una volta che entreranno in funzione computer quantistici sufficientemente potenti da rompere tali cifrari. Sono già stati approvati, a seguito di una collaborazione internazionale, i primi cifrari post-quantistici che superano queste limitazioni e consentono di continuare a comunicare in maniera sicura anche dopo l'arrivo dei computer quantistici su larga scala.

Il problema che la crittografia a chiave pubblica cerca di risolvere è il seguente: com'è possibile che Alice possa comunicare con Bob in maniera sicura e tale per cui nessun altro possa intromettersi? Con gli approcci tradizionali (RSA, ad esempio) si crea una coppia di chiavi, una pubblica e una privata; Alice usa la chiave pubblica di Bob per inviargli un messaggio e Bob usa la sua chiave privata per decifrarlo. Dato che è privata, nessun altro potrà decifrare il messaggio. Dall'altro lato, la risposta che Bob invia è sicuramente stata inviata da lui in quanto Alice può decifrarla usando la sua chiave pubblica; altrimenti ciò non sarebbe possibile e Alice saprebbe subito che la risposta non arriva da Bob. Questo meccanismo viene sfruttato per scambiare una chiave di un cifrario simmetrico (come, ad esempio, AES) e continuare la comunicazione in maniera sicura.

Un approccio alternativo consiste nello scambio di chiavi sfruttando le proprietà quantistiche, ad esempio della luce: la QKD si basa sul fatto che un qualunque attaccante debba leggere il messaggio inviato da Alice per poterne conoscere il contenuto, ma la sola azione di lettura fa sì che lo stato quantistico originale venga modificato irrimediabilmente. Se Eve legge il messaggio di Alice e lo invia a Bob, quest'ultimo vedrà subito il tentativo di spionaggio. È proprio questo aspetto a rendere sicura, almeno in teoria, la QKD.

È per questo motivo che Colt, Honeywell e Nokia hanno unito le forze per una sperimentazione che proverà a usare satelliti nella bassa orbita terrestre per trasmettere in maniera sicura informazioni, superando così le limitazioni dei canali tradizionali che arrivano a poche centinaia di chilometri. L'uso dei satelliti dovrebbe portare a trasmissioni transatlantiche e intercontinentali.

Quanto senso ha la QKD?

Resta, però, il problema alla base della QKD: è poco pratica e troppo costosa per quello che offre. Il motivo è che, così come nella crittografia tradizionale, non c'è un modo per sapere se il messaggio che si è ricevuto arrivi veramente da un certo mittente. Se Alice aspetta un messaggio da Bob, non ha nessun modo di verificare che tale messaggio arrivi effettivamente da Bob (e non da Eve, che vuole intercettare tale messaggio senza essere scoperta) senza aver stabilito precedentemente qualche tipo di codice per verificare l'identità del mittente. Tale codice è tuttavia verosimilmente stabilito con un canale di comunicazione autenticato di tipo tradizionale, in cui le parti sono già in grado di comunicare informazioni in maniera sicura: qui sta il punto debole della QKD, perché se tale canale esiste già, non ha senso usare la QKD per replicarne le funzioni.

Oltre a ciò, la dipendenza della QKD da hardware specializzato fa sì che tale hardware abbia l'accuratezza necessaria a rilevare interferenze (fatto non scontato: già in passato questo aspetto è stato sfruttato con successo per attaccare la QKD), non contenga difetti (una vulnerabilità richiederebbe di cambiare l'infrastruttura, con costi significativi e tempi d'intervento lunghi) e non sia controllabile da un avversario (che potrebbe semplicemente implementare un attacco di tipo "denial of service" e impedire la comunicazione). Tutte queste debolezze della QKD sono superate dall'implementazione in software dei protocolli crittografici e dei cifrari post-quantistici al posto di quelli attuali.

Torniamo dunque alla domanda iniziale nel titolo: chi conosce la legge dei titoli di Betteridge saprà già che la risposta è, probabilmente, "no", come evidenziato anche dal fatto che molti enti governativi (tra cui l'Agenzia per la Cybersicurezza dell'Unione Europea, la NSA statunitense, il Segretariato per la Sicurezza e la Difesa francese e il Centro per la Cybersicurezza Nazionale britannico) raccomandano l'uso dei cifrari post-quantistici al posto della QKD.

Ben vengano le sperimentazioni come quella di Colt, Honeywell e Nokia, ma resta il dubbio: se le principali agenzie sconsigliano l'uso della QKD, perché i clienti di tali aziende dovrebbero usarla?