La crittografia a 128 bit è davvero a rischio con l’arrivo dei computer quantistici? Da anni circola l’idea che serva raddoppiare subito tutte le chiavi simmetriche per stare al sicuro, ma i documenti tecnici più autorevoli raccontano una storia parecchio diversa. Il punto centrale, a ben guardare, è piuttosto semplice: la minaccia quantistica colpisce in modo diretto la crittografia a chiave pubblica, quella usata per lo scambio di chiavi e le firme digitali. Sulle primitive simmetriche come AES-128, SHA-256 e SHA-3 l’effetto è tutt’altra cosa. Una distinzione che conta eccome, soprattutto perché la transizione post-quantum ha una scadenza concreta: il NIST (National Institute of Standards and Technology) indica il 2035 come riferimento per la migrazione federale della crittografia a chiave pubblica. Confondere le priorità rischia di spostare risorse dai componenti davvero esposti.
Una lettura tecnica approfondita, come quella proposta da Filippo Valsorda, mostra un quadro decisamente meno allarmistico. Valsorda non è una voce qualsiasi: informatico e crittografo italiano, noto soprattutto per il lavoro sulla sicurezza di Go e delle librerie crittografiche open source, in passato ha operato come cryptography engineer presso Google. È conosciuto per il lavoro su protocolli TLS (da giovanissimo, durante la crisi di Heartbleed, sviluppò il sito usato per verificare se un server fosse vulnerabile), auditing crittografico e divulgazione tecnica. Oggi è anche manutentore open source e fondatore di Geomys.
Valsorda parte da un confronto intuitivo. Per violare AES-128 con un approccio classico basato su forza bruta (testare tutte le possibili chiavi fino a trovare quella giusta), avendo a disposizione circa mille miliardi di macchine in parallelo, il tempo necessario si riduce in modo proporzionale: raddoppiare il numero di macchine significa dimezzare il tempo. Con l’algoritmo di Grover la dinamica cambia radicalmente: in teoria permette una ricerca in circa 2⁶⁴ operazioni, ma ogni passaggio dipende dal precedente, impedendo una vera parallelizzazione efficiente. Se lo spazio di ricerca viene diviso tra più sistemi quantistici, ciascuno opera su una porzione più piccola e il beneficio quadratico si attenua. Per ottenere parallelismo, in sostanza, si sacrificano le prestazioni.
Il costo nascosto di ogni singolo tentativo quantistico
Un aspetto particolarmente rilevante riguarda il cosiddetto oracolo, cioè il componente dell’algoritmo quantistico che implementa AES all’interno della procedura di ricerca. Ogni iterazione dell’algoritmo di Grover non è un’operazione leggera: richiede l’esecuzione completa di AES in forma reversibile, adattata per i calcolatori quantistici, comportando un utilizzo molto elevato di T-gate (porte logiche quantistiche costose per la correzione degli errori) e di qubit logici. Studi recenti stimano, per AES-128, un circuito quantistico che necessita di circa 724 qubit logici e una profondità computazionale nell’ordine di 2³² T-gate. Anche un singolo tentativo di verifica di una chiave crittografica risulta quindi estremamente oneroso, ancora prima di considerare quante volte l’algoritmo di Grover debba essere ripetuto.
Lo stesso principio vale per le funzioni hash come SHA-256: l’algoritmo di Grover riduce la complessità teorica della ricerca, ma il costo dell’oracolo resta il fattore dominante. Per questo le funzioni hash a 256 bit continuano a garantire sicurezza elevata anche in uno scenario quantistico.
La crittografia asimmetrica, invece, si basa su problemi matematici strutturati come la fattorizzazione (RSA) o il logaritmo discreto su curve ellittiche. Qui l’algoritmo di Shor rappresenta una minaccia concreta: è in grado di risolvere questi problemi in tempo polinomiale, compromettendo di fatto i meccanismi di sicurezza. Gli schemi asimmetrici attuali diventeranno vulnerabili non appena saranno disponibili computer quantistici sufficientemente grandi e stabili, mentre gli algoritmi simmetrici mantengono un margine significativo.
Dove concentrare davvero gli sforzi
AES-128 non diventa improvvisamente debole con l’avvento del quantum computing: il costo totale di un attacco quantistico realistico resta enorme, sia per hardware necessario sia per energia e tempo. Questo non rende AES-256 inutile: ha senso per dati che devono restare segreti per decenni, requisiti normativi stringenti o ambienti ad altissima sicurezza. Ma presentarlo come un obbligo universale imposto dai computer quantistici è scorretto.
I computer quantistici, quando diventeranno abbastanza potenti, avranno un impatto devastante soprattutto sulla crittografia a chiave pubblica. Algoritmi come RSA ed ECDSA non subiranno una riduzione graduale della sicurezza: smetteranno semplicemente di essere sicuri. Le organizzazioni devono concentrarsi sulla migrazione verso algoritmi post-quantum per lo scambio di chiavi e le firme digitali, aggiornando protocolli, certificati, infrastrutture e librerie crittografiche. Al contrario, intervenire subito sulle primitive simmetriche senza una reale necessità rischia di aggiungere complessità senza migliorare in modo significativo la sicurezza.
AES-128 non è un punto debole da risolvere con urgenza. Il vero lavoro da fare riguarda tutto ciò che sta intorno: protocolli, chiavi pubbliche e infrastrutture che, a differenza degli algoritmi simmetrici, non reggeranno l’arrivo del calcolo quantistico su larga scala.
