Una delle convinzioni più radicate nel mondo della sicurezza informatica riguarda la presunta debolezza di AES-128 di fronte alla potenza dei computer quantistici. Si sente ripetere ovunque: quando arriveranno le macchine quantistiche sufficientemente potenti, le chiavi crittografiche simmetriche vedranno dimezzata la loro efficacia, e AES-128 diventerà di fatto obsoleto. Una tesi che, a quanto pare, è molto più fragile di quanto sembri.
Il mito del quantum computing contro la crittografia simmetrica
La narrazione è più o meno sempre la stessa. I computer quantistici, grazie all’algoritmo di Grover, sarebbero in grado di ridurre la sicurezza effettiva di una chiave simmetrica alla metà dei suoi bit. Tradotto in termini pratici, AES-128 passerebbe da 128 bit di sicurezza a soli 64, un livello considerato del tutto insufficiente per gli standard moderni. La conseguenza logica, secondo chi sostiene questa tesi, sarebbe obbligata: tutti dovrebbero migrare verso AES-256 per mantenere un margine di protezione adeguato nell’era post-quantistica.
Eppure questa lettura è stata definita una vera e propria bufala tecnica, e a smontarla è intervenuto uno dei massimi esperti del settore. Il punto chiave è che l’algoritmo di Grover, pur essendo reale dal punto di vista teorico, richiede condizioni operative che oggi sono lontanissime dalla realtà pratica. Parliamo di milioni, se non miliardi, di qubit stabili e corretti, capaci di lavorare senza errori per tempi lunghissimi. Un requisito che nessun hardware quantistico attuale, e nemmeno quello previsto nel prossimo futuro, è in grado di soddisfare.
Perché AES-128 non è davvero a rischio
Quello che spesso sfugge nel dibattito è la differenza enorme tra ciò che è possibile in teoria e ciò che è realizzabile nella pratica. L’attacco di Grover su AES-128 non è qualcosa che si possa semplicemente “eseguire” una volta che esiste un computer quantistico abbastanza grande. La complessità computazionale resta immensa, e la riduzione da 128 a 64 bit di sicurezza è un’approssimazione che ignora fattori decisivi come il costo energetico, la gestione degli errori quantistici e i tempi di esecuzione reali.
In altre parole, presentare AES-128 come una tecnologia destinata a crollare sotto i colpi del quantum computing è fuorviante. E lo è in modo pericoloso, perché spinge aziende e organizzazioni a prendere decisioni affrettate, investendo risorse nella migrazione verso AES-256 quando magari ci sarebbero priorità di sicurezza ben più urgenti da affrontare. Non che AES-256 sia una cattiva scelta, sia chiaro. Ma il passaggio forzato basato su una minaccia quantistica che oggi non esiste, e che potrebbe non materializzarsi nei termini descritti ancora per decenni, distorce le priorità.
Una questione di rigore, non di allarmismo
Il problema di fondo è culturale, prima ancora che tecnico. Nel campo della crittografia, le semplificazioni eccessive fanno danni concreti. Dire che “il quantum dimezza la sicurezza” è una frase che funziona benissimo in un titolo, molto meno in un’analisi seria. E quando queste semplificazioni diventano la base su cui si costruiscono politiche di sicurezza, il rischio è quello di allocare male tempo e budget, trascurando vulnerabilità reali e presenti in favore di scenari futuristici ancora tutti da dimostrare.
La posizione espressa dall’esperto è chiara: AES-128 resta una tecnologia solida, e la sua presunta fragilità di fronte ai computer quantistici è stata enormemente esagerata. La vera sfida della sicurezza post-quantistica riguarda semmai la crittografia asimmetrica, dove algoritmi come RSA ed ECC sono effettivamente vulnerabili all’algoritmo di Shor, quello sì una minaccia concreta per il futuro.
