Maurizio Artoni Applicazione, in campo militare, delle tecniche di … · 2019-11-27 · sottoposto...
81
CENTRO ALTI STUDI PER LA DIFESA CENTRO MILITARE DI STUDI STRATEGICI Maurizio Artoni Applicazione, in campo militare, delle tecniche di crittografia quantistica associate alle comunicazioni satellitari per garantire comunicazioni strategico- operative sicure e capaci di adeguarsi efficacemente ad un moderno scenario net-centrico (Codice AO-SMD-06) )
Transcript of Maurizio Artoni Applicazione, in campo militare, delle tecniche di … · 2019-11-27 · sottoposto...
CENTRO ALTI STUDI
PER LA DIFESA
CENTRO MILITARE
DI STUDI STRATEGICI
Maurizio Artoni
Applicazione, in campo militare, delle tecniche di
crittografia quantistica associate alle comunicazioni
satellitari per garantire comunicazioni strategico-
operative sicure e capaci di adeguarsi efficacemente
ad un moderno scenario net-centrico
(Codice AO-SMD-06)
)
Il Centro Militare di Studi Strategici (Ce.Mi.S.S.), costituito nel 1987 e situato presso Palazzo
Salviati a Roma, è diretto da un Generale di Divisione (Direttore), o Ufficiale di grado
equivalente, ed è strutturato su due Dipartimenti (Monitoraggio Strategico - Ricerche) ed un
Ufficio Relazioni Esterne. Le attività sono regolate dal Decreto del Ministro della Difesa del
21 dicembre 2012.
Il Ce.Mi.S.S. svolge attività di studio e ricerca a carattere strategico-politico-militare, per le
esigenze del Ministero della Difesa, contribuendo allo sviluppo della cultura e della
conoscenza, a favore della collettività nazionale.
Le attività condotte dal Ce.Mi.S.S. sono dirette allo studio di fenomeni di natura politica,
economica, sociale, culturale, militare e dell'effetto dell'introduzione di nuove tecnologie,
ovvero dei fenomeni che determinano apprezzabili cambiamenti dello scenario di sicurezza.
Il livello di analisi è prioritariamente quello strategico.
Per lo svolgimento delle attività di studio e ricerca, il Ce.Mi.S.S. impegna:
a) di personale militare e civile del Ministero della Difesa, in possesso di idonea esperienza
e qualifica professionale, all'uopo assegnato al Centro, anche mediante distacchi
temporanei, sulla base di quanto disposto annualmente dal Capo di Stato Maggiore dalla
Difesa, d'intesa con il Segretario Generale della difesa/Direttore Nazionale degli
Armamenti per l'impiego del personale civile;
b) collaboratori non appartenenti all'amministrazione pubblica, (selezionati in conformità alle
vigenti disposizioni fra gli esperti di comprovata specializzazione).
Per lo sviluppo della cultura e della conoscenza di temi di interesse della Difesa, il
Ce.Mi.S.S. instaura collaborazioni con le Università, gli istituti o Centri di Ricerca, italiani o
esteri e rende pubblici gli studi di maggiore interesse.
Il Ministro della Difesa, sentiti il Capo di Stato Maggiore dalla Difesa, d'intesa con il
Segretario Generale della difesa/Direttore Nazionale degli Armamenti, per gli argomenti di
rispettivo interesse, emana le direttive in merito alle attività di ricerca strategica, stabilendo
le lenee guida per l'attività di analisi e di collaborazione con le istituzioni omologhe e
definendo i temi di studio da assegnare al Ce.Mi.S.S..
I ricercatori sono lasciati completamente liberi di esprimere il proprio pensiero sugli
argomenti trattati, il contenuto degli studi pubblicati riflette esclusivamente il pensiero dei
singoli autori, e non quello del Ministero della Difesa né delle eventuali Istituzioni militari e/o
civili alle quali i Ricercatori stessi appartengono.
(Codice AO-SMD-06)
Maurizio Artoni
CENTRO ALTI STUDI
PER LA DIFESA
CENTRO MILITARE
DI STUDI STRATEGICI
Applicazione, in campo militare, delle tecniche di
crittografia quantistica associate alle comunicazioni
satellitari per garantire comunicazioni strategico-
operative sicure e capaci di adeguarsi efficacemente
ad un moderno scenario net-centrico
NOTA DI SALVAGUARDIA
Quanto contenuto in questo volume riflette esclusivamente il pensiero dell’autore, e non
quello del Ministero della Difesa né delle eventuali Istituzioni militari e/o civili alle quali
l’autore stesso appartiene.
NOTE
Le analisi sono sviluppate utilizzando informazioni disponibili su fonti aperte.
Questo volume è stato curato dal Centro Militare di Studi Strategici
Direttore f.f.
Col. AArnn (Pil.) Marco Francesco D’Asta
Vice Direttore - Capo Dipartimento Ricerche Col. c.(li.) s.SM Andrea Carrino
Progetto grafico
Massimo Bilotta - Roberto Bagnato
Autore
Maurizio Artoni
Stampato dalla tipografia del Centro Alti Studi per la Difesa
Centro Militare di Studi Strategici Dipartimento Ricerche
Palazzo Salviati Piazza della Rovere, 83 - 00165 – Roma
tel. 06 4691 3205 - fax 06 6879779 e-mail [email protected]
chiusa a novembre 2019
ISBN 978-88-31203-29-6
Applicazione, in campo militare, delle tecniche di crittografia
quantistica associate alle comunicazioni satellitari per garantire
comunicazioni strategico-operative sicure e capaci di adeguarsi
efficacemente ad un moderno scenario net-centrico
INDICE SOMMARIO 7
ABSTRACT 10
INDICE DELLE FIGURE 13
1. SICUREZZA INFORMATICA ED AMBIENTE ELETTROMAGNETICO 14
Bibliografia 1. 21
2. LA CRIPTOGRAFIA 23
2.1. Criptografia convenzionale: Basics. 24
2.2. Criptografia quantistica: Basics. 25
2.3. Criptografia convenzionale vs. quantistica: “la differenza”. 26
2.4. La criptografia quantistica: schemi. 30
2.5. La distribuzione a chiave quantistica (QKD): Il protocollo BB84. 31
2.6. Il protocollo BB84: Sommario. 33
2.7. Un prototipo commerciale QKD. 34
Bibliografia 2. 37
3. Le sfide attuali della distribuzione a chiave quantistica: una panoramica 39
Bibliografia 3. 41
3.1. La distribuzione a chiave quantistica: le sfide. 41
3.2. QKD sicura con dispositivi imperfetti: sorgenti a singolo fotone difettose.
42
Bibliografia 3.2. 43
3.3. QKD sicura con dispositivi imperfetti: Rivelatori di singolo-fotone difettosi.
44
Bibliografia 3.3 45
3.4. Perdite e decoerenza nelle reti in fibra ottica: rete metropolitano e rete
dorsale. 46
Bibliografia 3.4 49
3.5. Perdite e decoerenza nelle reti satellitari: free-space QKD. 50
Bibliografia 3.5 53
4. Difesa e potenziali applicazioni militari della QKD: una prospettiva 54
4.1. L’intercettatore (eavesdropper) può essere individuato. 54
Bibliografia 4.1 55
4.2. Sicurezza incondizionata ed a prova di futuro. 55
Bibliografia 4.2 56
4.3. A prova di criptoanalisi quantistica…. 56
Bibliografia 4.3 57
4.4. La distribuzione a chiave quantistica (QKD) “point-to-point”. 57
Bibliografia 4.4 58
4.5. La distribuzione a chiave quantistica (QKD) “net-centrica”. 58
4.6. La distribuzione a chiave quantistica (QKD) “mobile”. 59
Bibliografia 4.6 60
4.7. Convenienza e praticità della distribuzione a chiave quantistica (QKD). 61
Bibliografia 4.7 62
4.8. Verifica, validazione e conformità d’implementazione. 63
Bibliografia 4.8 64
4.9 Un possibile scenario di QKD mobile e….ulteriori questioni. 65
Bibliografia 4.9 67
5. Una panoramica globale 70
Bibliografia 5. 77
NOTA SUL Ce.Mi.S.S. e NOTA SULL’AUTORE 79
7
SOMMARIO
La criptografia, con cui è possibile codificare un messaggio in modo tale che solo la
persona a cui è indirizzato possa leggerlo, ha inizio almeno 2000 anni fà. Gran parte della
società odierna dipende dalla criptografia per servizi di sicurezza, riservatezza, integrità,
autenticazione etc. ed è quindi ampiamente usata da organizzazioni finanziarie, governi ed
organizzazioni militari. In particolare, comunicazioni militari sicure sono senza dubbio di
cruciale importanza poiché la mancanza di sicurezza può influire su operazioni militari
critiche (comando, controllo, ecc.) alterando in modo inaspettato l’esito di una missione ... o
perfino di un conflitto.
L'arte della criptografia è una battaglia che viene combattuta da secoli tra chi
“codifica” dati e chi li “decifra”. Code-breaking in ambito militare è ben noto come la "nota di
Zimmermann" [3] ed il "codice Enigma" [4], giusto per citare due esempi famosi. Quando il
primo criptogramma ("Zimmermann") fu decifrato (1917), gli Americani appresero che la
Germania ad es. aveva cercato di convincere il Messico ad unirsi al loro fianco, il che
convinse ancor più gli Stati Uniti ad entrare in guerra. L’altro criptogramma ("Enigma"), un
noto brevetto di ingegneri tedeschi verso la fine della prima guerra mondiale che venne
decifrato da una squadra segreta a Bletchley Park (UK), permise agli alleati di leggere la
maggior parte dei messaggi segreti condivisi dagli eserciti Tedeschi e Giapponesi ... con un
significativo impatto sull'esito della guerra!
L'esempio del codice Enigma evidenzia tuttavia una debolezza cruciale ed intrinseca
a "qualsiasi" metodo di criptografia classica, vale a dire, non v'è "alcun modo" di sapere se
una terza parte indesiderata o “intruso” (eavesdropper) stia intercettando la comunicazione.
Un’ulteriore debolezza intrinseca alle tecniche di criptografia classica, come ad es. le forme
più sicure di criptografia a chiave pubblica, è costituita dal computer quantistico (quantum
computer) il cui avvento potrebbe metterle fuori uso in pochissimo tempo. Sebbene il
computer quantistico non sia ancora una realtà assodata, i principi di base sono già stati
dimostrati in vari laboratori con progressi che procedono in modo abbastanza costante.
È di buon auspicio tuttavia sapere che i progressi nel campo delle comunicazioni
quantistiche degli ultimi decenni hanno condotto ad un’importante tecnologia che ci
permette di superare queste due debolezze. Si tratta della “Distribuzione a Chiave
Quantistica” o Quantum Key Distribution (QKD), un metodo di comunicazione sicuro che
implementa un protocollo criptografico che consente a due parti di produrre una chiave
segreta casuale (random secret key), condivisa e nota solo ad entrambe e che verra’ poi
utilizzata per codificare e decifrare i loro messaggi. Le chiavi vengono generate tramite un
8
processo di convergenza di operazioni casuali condotte direttamente dalle stazioni del
mittente e del destinatario in modo che né il mittente né il destinatario possano determinare
quale sarà la chiave fino al completamento dell'intero processo. C'è una caratteristica in più
ed unica della tecnologia QKD, vale a dire, la sicurezza del protocollo viene garantita
“indipendentemente” dalle risorse dell’intruso [1,2]. In effetti, tale intruso può avere una
potenza computazionale illimitata, una memoria di archiviazione illimitata o qualsiasi
dispositivo concepibile ed immaginabile, tuttavia la condivisione della chiave criptografica
segreta viene garantita in modo perfettamente sicuro.
Il settore militare trarrebbe beneficio certo da una tale forma di criptografia ed è
opinione diffusa che essa favorirà applicazioni atte a migliorare le prestazioni di servizi
d’informazioni sicure (secure communications), facilitando anche una migliore condivisone
di situazioni militari sensibili.
Oltre ad un iniziale accenno (i.) all'ambiente della cybersecurity militare ove la
criptografia QKD può essere di sicuro aiuto, l'obiettivo del presente studio è d’illustrare (ii) i
principi di base della criptografia QKD assieme ad un analisi (iii.) di uno schema operativo
ben consolidato della criptografia QKD. Il lavoro comprenderà inoltre (iv.) un prospetto sullo
stato attuale delle implementazioni QKD delineando benefici e svantaggi dal punto di vista
delle operazioni militari, come espressamente richiesto dal “Centro Militare di Studi
Strategici” (CEMISS). Si illustreranno inoltre (v.) le principali sfide pratiche per i nuovi
networks QKD su larga scala, comprese le ultime acquisizioni sui free-space QKD networks.
Quest’ultimi risultano particolarmente adatti alla tecnologia dell'informazione all'interno di
una struttura net-centric delle operazioni militari (net-centric warfare).
Ciascun capitolo si presta ad un lettura sufficientemente indipendente e con una
stesura concepita appositamente per esser d’aiuto anche al lettore che desideri informazioni
su specifici argomenti piuttosto che sull’intero corpo della ricerca. Abbiamo, inoltre, ritenuto
che potesse essere pertinente menzionare le direttive dei principali attori sulla scena e ciò
viene fatto in una (vi.) sezione finale, non per questo meno importante, del lavoro. Diverse
nazioni stanno investendo pesantemente infatti nella tecnologia quantistica onde poter
migliorare il loro potere economico-militare e tra di esse gli Stati Uniti e la Cina si posizionano
di certo come principali fautrici. Il rapido sviluppo della Cina nelle tecnologie quantistiche
potrebbe avere un impatto sul loro futuro equilibrio strategico, forse anche superando i
tradizionali vantaggi militare-tecnologici degli Stati Uniti, che mantiene tuttavia un primato
militare.
Ciò detto ed a latere del punto di vista tecnologico, è altrettanto importante
sottolineare alcuni aspetti della sicurezza. L’analisi della sicurezza costituisce una
9
problematica comune a "qualsiasi" sistema criptografico, indipendentemente dal fatto che
si basi sulla "meccanica quantistica" o sulla "complessità computazionale" [7-9]. In quanto
dispositivi criptografici ad alta sicurezza, un sistema criptografico QKD dovrebbe essere
sottoposto a valutazioni del grado di sicurezza così come a processi di certificazione per
verificare la possibilita’ ad es. di attacchi fisici, di manipolazione dei dati, di analisi delle
perdite, ecc. Tutti aspetti che dovrebbero apparire nella forma di certificazioni internazionali
condivise sulla verifica dei sistemi criptografici e sullo sviluppo di dispositivi, il cui errato
funzionamento potrebbe influire sulla sicurezza delle persone. All'interno della comunità
QKD sembra al momento esserci poca discussione al riguardo mentre il progresso verso
processi di certificazione che siano indipendenti appare lento.
L'ambiziosa missione d’implementare cybersecurity in campo militare via
criptografia-QKD a supporto ad es. del decision-making a tutti i livelli di comando, della
valutazione d’operazioni di dissuasione, del controllo delle informazioni sensibili in un tipico
scenario di warfare, giusto per citare alcuni esempi…, suggerisce che le sfide
dell’Intelligence non siano solo nel concetto ma anche nell'infrastruttura organizzativa.
Affrontare questa missione richiede un’ampia gamma di attività dell’Intelligence ed
un’altrettanta ampia serie di programmi di formazione che contemplino nuovi skills. Far
fronte ai sistemi di gestione di un network quantistico può essere piuttosto costoso e spesso
complesso. La complessità risiede principalmente nei protocolli di gestione di tale network
e nella gestione dati. Ciò richiedera’ formazione, coaching ed orientamento, oltre ad un
miglioramento della consapevolezza e delle capacità non solo di dipendenti, ma anche
appaltatori, fornitori di servizi, partners ed altri, a seconda dei casi. All’altra estremità, ovvero
sulla linea di combattimento, sono altrettanto richiesti cyber-soldati, armati di tastiere, codici
e strumenti elettromagnetici a supporto d’operazioni militari tradizionali. Ancora una volta
sarà necessario personale con formazione specializzata per configurare, mantenere e
utilizzare in modo efficace sistemi d’arma (weapon systems) di nuove generazione e
particolarmente sofisticati.
Un congruo addestramento delle risorse umane unito al progresso tecnologico sono
"entrambi" elementi cruciali nel perseguire l'efficacia di una nuova tecnologia informatica
che è destinata ad essere importante in un quadro moderno e net-centric delle operazioni
militari
10
ABSTRACT
Cryptography began at least 2000 years ago playing an important role ever since [1].
Much of our society relies on cryptography to provide security services, including
confidentiality and integrity, hence it is widely employed by financial organizations [2],
governments and military organizations. Secure military communications, in particular, are
unquestionably important as failures may indeed affect critical military operations
(command, control, etc.) with a concomitant unexpected outcome of a mission…or even of
a conflict.
Cryptography is also a centuries old battle between “code-maker” and “code-breaker”
[1]. Most ubiquitous code breaking include, e.g., the “Zimmermann note” [3] and the ‘Enigma
code” [4]. When the “Zimmermann” cryptogram was broken (1917), Americans learned that
Germany e.g. had tried to convince Mexico to join the war, an event that built on propelling
the U.S. into World War I. The other code (‘Enigma”) [4], a known cryptogram patented by
German engineers at the end of World War I, was broken instead by a secret team at
Bletchley Park (UK) and allowed the allies to read most of the secret messages shared by
the Germans and Japanese armies with a significant effect on the outcome of the war.
The Enigma code example e.g. highlights an inherent and crucial weakness of “any”
classical encryption technique, that is, there is “no way” of knowing that there is unwanted
eavesdropper. Quantum computers hold a further threat to classical encryption techniques,
such as e.g. the most secure forms of public-key cryptograph, which a quantum computer
could break in almost no time. Though quantum computing is not yet a set reality, the basic
principles have been proven in laboratories already and advances are progressing fairly
steadily.
It’s reassuring to know that important advances in quantum communications, namely
Quantum Key Distribution (QKD), just happen to provide us with a new technology to deal
with these two weaknesses. Quantum key distribution (QKD) is a secure communication
method which implements a cryptographic protocol enabling two parties to produce a shared
random secret key known only to them, which can then be used to encrypt and decrypt
messages. The keys are generated from a convergence of random operations conducted at
the sender and the receiver stations so that neither the sender nor the receiver can
determine what the key will be until the entire process has reached completion.
There is an additional and unique feature of QKD namely the protocol security can
be guaranteed regardless of the eavesdropper’s resources [1,2]. An eavesdropper can have
unlimited computational power, unlimited storage memory and any conceivable device yet
11
the transmission of the cryptographic keys through an open channel can be guaranteed to
be perfectly secure.
The military sector would benefit from such a novel form of cryptography and it is a
widespread belief that it will foster applications apt to improve the performance of secure
information services but also ease specific sharing of military situational awarenesses.
After starting with a brief aim at today’s (i.) specific military cybersecurity issues QKD
cryptography may address, the present study intends to analyze (ii.) basic principles of QKD
enabled cryptography along with (iii.) the illustration of a well established operational
scheme of QKD enabled cryptography. The report also encompasses (iv.) an outlook on the
current status of QKD implementations outlining benefits and drawbacks from the
perspective of military operations, as requested by the “Centro Militare di Studi Strategici”
(CEMISS). Major practical challenges (v.) for large-scale quantum key distribution networks
will also be outlined, including the latest breakthroughs on free-space quantum key
distribution networks. These networks are certainly well poised to leverage the power of
information technology within a network-centric framework for military operations (net-
centric warfare) [4].
Last, yet not the least, we felt it could be germane to make a mention of the bearings
of the major key players; several nations are heavily investing on quantum research to
enhance both economic and military dimensions of national power, with U.S. and China
being powerhouses in quantum technologies. This is swiftly done through a (vi.) global
overview ending section. China’s rapid development in quantum technologies could impact
their future strategic balance perhaps even overtaking the traditional military-technological
advantages of the U.S., which maintains however an overall military primacy.
All that being said from a technology point of view, we reckon to likewise important
to stress on “security analysis” issues. This is actually a common tread of “any” crypto-
system regardless of whether it is based on “quantum mechanics” or on “computational
complexity” [7-9]. QKD enabled cryptography, as a high-security crypto system, should
undergo formal security assessments and certification processes to address e.g. physical
attacks, side channel analysis data manipulation, etc. all aspects that ought to be
overviewed by international safety certifications. At the moment within the QKD community
there seem to be a little concern on the matter along with an arguably sluggish progress
towards independent certification processes.
The ambitious tasks of implementing QKD cryptography within the military sector in
support e.g. of decision-making, of assessing deterrence operations, of guiding information
warfare, just to mention a few, suggests that the challenge for the Army Intelligence is not
12
only in the concept but also the organisation infrastructure. The broad range of Intelligence
work that goes into these missions requires equally broad training programs through which
new skills will be thought. Coping with the management of quantum network systems can
be quite expensive and often complex. The complexity mainly arises from the network’s
quantum protocols and data management which will require training, coaching and
guidance, besides enhancing awareness and capability of employees, contractors, service
providers and others, as appropriate. On the opposite side end of the front lines of combat,
cyber soldiers, armed with keyboards, codes and electromagnetic tools to support traditional
military operations are likewise in large request. Again personnel with specialized training to
effectively configure, maintain and operate these ever more sophisticated tools are needed.
Clearly congruous training and technical advances are “both” crucial in pursuing the
effectiveness of a new information technology bound to be relevant for modern network-
centric framework for military operations.
13
INDICE DELLE FIGURE
1. SICUREZZA INFORMATICA ED AMBIENTE ELETTROMAGNETICO
Fig. 1 Arte della guerra elettronica (EW) nei conflitti moderni.
Fig. 2 Lo Spettro Elettromagnetico (EMS).
Fig. 3 Software e Componenti IT incorporati in un sistema d’arma.
Fig. 4 Sistemi d'arma collegati a reti che possono connettersi a diversi altri sistemi.
Fig. 5 Possibili interfacce d’accesso al weapon system.
2. LA CRIPTOGRAFIA.
Fig. 1 Comunicazione ed intrusione classica.
Fig. 2 Lo stato di polarizzazione di un singolo-fotone (Principio di misura).
Fig. 3 Meccanismo di funzionamento del PBS (single-photon polarizing beam splitter).
Fig. 4 Non-clonazione.
Fig. 5 Encoding secondo il protocollo BB84.
Fig. 6 Piattaforma criptografica “Plug & Play” modulare Clavis 300.
Tab. 1 Le due basi (⊕ e ⊗) di polarizzazione del fotone per il protocollo BB84.
Tab. 2 Sequenza di generazione di una chiave privata/segreta nel protocollo BB84.
Tab. 3 Piattaforma Clavis 300 (Specs).
3. LE SFIDE ATTUALI DELLA DISTRIBUZIONE A CHIAVE QUANTISTICA: UNA
PANORAMICA.
Fig. 1 La struttura della dorsale QKD (backbone) Pechino-Shanghai.
Fig. 2 Network metropolitano QKD di Jinan.
Fig. 3 Micius il primo satellite quantistico cinese.
Fig. 4 Efficienze a confronto.
Fig. 5 Foto criptata OTP con una chiave sicura (QKD) e condivisa tra Pechino e Vienna.
4. DIFESA E POTENZIALI APPLICAZIONI MILITARI DELLA QKD: UNA PROSPETTIVA.
Fig. 1 Rete QKD mobile (rendering).
Fig. 2 Rete free-space QKD alle grandi distanze (Principio di funzionamento).
Tab. 1 Crittografia a chiave pubblica vs crittografia QKD.
5. UNA PANORAMICA GLOBALE
Tab. 1 Scienza & Tecnologia Quantistica in China (Plans and Policies).
14
1. SICUREZZA INFORMATICA ED AMBIENTE ELETTROMAGNETICO
Quando si parla di un conflitto moderno, la maggior parte degli esperti è concorde nel
ritenere che esso sia combattuto in ogni possibile dimensione ovvero per terra, per mare,
per aria così come nello spazio. Mentre le nazioni continuano a sviluppare armi per
combattere in ognuna di queste dimensioni, la North Atlantic Treaty Organization (NATO)
svolge un compito di sorveglianza sui potenziali pericoli insiti in operazioni militari in ognuna
di queste dimensioni. Il cyberspazio è diventato una nuova ed importante dimensione del
combattimento, ed una su cui la NATO si sta focalizzando con sempre maggior interesse.
Gli eserciti attuali conducono operazioni che dipendono sempre più da sofisticate
strumentazioni atte a guidare armi con sufficiente accuratezza ed il cui funzionamento
dipende spesso o quasi esclusivamente dall’uso di onde elettromagnetiche (segnali).
L’impiego di tali segnali in networks militari sta diventando costantemente sempre più
rilevante e al fine di migliorarne l’abilità di controllo in operazioni militari che coinvolgano
segnali elettromagnetici devono essere introdotti nuovi strumenti e servizi [1,2].
Fig.1 Arte della guerra elettronica (EW) nei conflitti moderni.
15
La guerra elettronica “EW” (Electronic Warfare) è un’azione militare che sfrutta
energia di natura elettromagnetica, sia passiva che attiva, al fine di creare effetti difensivi
ed offensivi. Un tipico scenario è illustrato in Fig.1. Una guerra EW si svolge in un
environment di tipo elettromagnetico “EME” (Electromagnetic Environment) che comporta
sia (i.) vulnerabilità sia (ii.) opportunità. Una tale guerra comporta l'uso militare dell'energia
elettromagnetica per ridurre o prevenire addirittura l'uso dello spettro elettromagnetico
(EMS) da parte del nemico, proteggendone invece l'uso per sé. Poiché le forze militari di
oggi sono tenute ad operare in un ambiente elettromagnetico sempre più complesso,
quest'ultimo è stato riconosciuto a tutti gli effetti come un ambiente operativo militare “OE”
(Operating Environment). L'ambiente operativo OE militare viene definito secondo la NATO
[2] come un insieme di condizioni e circostanze che influenzano l'impiego delle capacità
militari, incluse le decisioni del comandante.
Poiché le operazioni militari vengono eseguite in un ambiente EME sempre più
complicato, la capacità di gestire con successo operazioni di carattere elettromagnetico è
fondamentale per ogni missione militare moderna al fine di mantenere il passo con i vantaggi
avversari. La mancanza o l'insufficiente comprensione e competenza nel comando e
controllo di operazioni di natura elettromagnetica può avere un impatto significativo sull’esito
della missione. Un avversario che riesca ad es. a controllare le proprie comunicazioni o che
Fig. 2 Lo Spettro Elettromagnetico (EMS)
16
riesca ad annientare la propria capacità di comunicare o navigare può rivelarsi una
catastrofe. Allo stesso modo, è altamente indesiderabile che un avversario conosca
posizione e spostamenti delle forze amiche in base alla trasmissione di loro segnali; ciò le
metterebbe in una situazione di grave svantaggio.
Primissimi casi di electronic warfare (telegrafia senza fili, radio) vengono
contemplati durante la guerra Russia-Giappone (1904), quando i russi riuscirono a bloccare
le comunicazioni della marina giapponese nello scontro a Port Arthur [3] risalendo così fino
alla seconda guerra mondiale quando intensivi attacchi radar, interferenza e distorsione di
onde radio impiegate nei sistemi di comunicazione e di navigazione erano pratiche comuni
sia per le forze Alleate che per quelle dell'Asse [4]. Da allora in poi, ogni conflitto militare ci
ha insegnato che il dominio ed il controllo dell'ambiente elettromagnetico (EME) sono
cruciali per la maggior parte delle operazioni militari. Importanti esempi di guerra elettronica
(EW) si sono verificati durante la guerra del Vietnam [1955-1975], durante la Guerra del
Golfo [1990-1991] fino ai più recenti conflitti in Iraq o in Afghanistan, quando le forze della
coalizione e.g. hanno impiegato la guerra elettronica (EW) principalmente per sconfiggere
la minaccia di dispositivi esplosivi che venivano controllati in remoto. Vale sicuramente la
pena ricordare anche gli attacchi online condotti qualche mese fa dal Cyber Command
statunitense contro un gruppo di intelligence iraniano ritenuto responsabile della
pianificazione degli attacchi contro petroliere…ed anche alla caduta di un DRONE
americano [5].
La capacità di gestire operazioni in un ambiente elettromagnetico (EME) è
fondamentale per le missioni militari a protezione della riservatezza e dell'integrità delle
informazioni sensibili necessarie per portare a compimento la missione. La gestione di tali
operazioni è ancor più cruciale per sistemi d’armi (weapon systems) che si avvalgono di
qualsiasi sistema integrato, solitamente computerizzato, e progettato per controllare le
specifiche sue operazioni. Sebbene alcuni weapon systems siano semplici implementazioni
di architetture IT (Information Technology) altri, al contrario, come alcuni missili e navi non
lo sono. Quest’ultimi a volte vengono anche chiamati “cyber-physical systems" [6]. Tra di
essi si contemplano missili balistici intercontinentali, bombardieri a lungo raggio, missili anti-
ballistici etc. e sono armamenti che vengono definiti di natura “strategica" (strategic weapon
systems). Missili guidati che operano a corto raggio come ad es. armi antiaeree o missili
che operano sul campo di battaglia oppure missili aria-aria o aria-superficie costituiscono
invece armamenti di natura “tattica" (tactical weapon systems) [7]. Attacchi ad armamenti
17
sia strategici che tattici possono avvenire attraverso l'accesso, la modifica o la distruzione
delle informazioni operative e possono colpire qualsiasi sottosistema del sistema d’arma
che dipenda da software. Tali attacchi portano potenzialmente all’impossibilità di completare
la missione militare o addirittura a malfunzionamenti del sistema d’arma. In questo caso gli
attacchi sono chiamati “cyber-attacks" e le conseguenze possono essere più gravi di quelle
derivanti da attacchi ad altri weapon systems. Esempi di funzioni “abilitate” da software —
e potenzialmente suscettibili di manipolazioni — includono l'accensione e lo spegnimento
del sistema d'arma, il puntamento di un missile, il mantenimento dei livelli di ossigeno di un
pilota, etc… L’aggressore malintenzionato potrebbe potenzialmente manipolare i dati gestiti
da questo software onde manipolare il funzionamento delle funzioni abilitate dal software
oppure riuscire ad ottenere un funzionamento imprevisto o non pianificato addirittura. In
generale, attacchi ad un cyber-physical system ha conseguenze fisiche che possono anche
portare alla perdita della vita.
La pratica di proteggere sistemi, networks e programmi da cyber-attacks viene
chiamata “sicurezza informatica” (cyber-security). Poiché i weapon systems sono in realtà
sistemi complessi con una varietà di forme e dimensioni, con funzionalità variabili [8] gli uni
dagli altri, essi mostrano vulnerabilità altamente specifiche cosicché i problemi di sicurezza
informatica possono variare molto da un weapon system all’altro. I moderni sistemi d'arma
mostrano tuttavia qualche similarità; essa consente di classificare [9] in senso lato i problemi
di sicurezza informatica in termini di (i.) vulnerabilità informatica (cyber-vulnerability), ovvero
una debolezza del sistema che potrebbe essere sfruttata per accedere o influenzarne
l’integrità del sistema d’arma, in termini di (ii.) minaccia alla sicurezza informatica (cyber-
security threat), vale a dire qualsiasi cosa che possa sfruttare una vulnerabilità per
danneggiare un sistema (intenzionalmente o accidentalmente) e in termini di (iii.) rischio alla
sicurezza informatica (cyber-security risk), ovvero una conseguenza della minaccia o della
vulnerabilità (intrinseca o introdotta).
18
Numerosi fattori [8] rendono sempre più difficile gestire la cyber-security nei weapon
systems tra cui:
1. La natura sempre più "computerizzata" dei weapon systems, che dipendono sempre più
da software e architetture IT per raggiungere le prestazioni previste. Quasi tutte le loro
funzioni sono controllate da computers e vanno da elementari funzioni di life-support,
come il mantenimento di livelli stabili dell’ossigeno nell’aereo fino all'intercettazione dei
missili in arrivo. La quantità di software nei sistemi d’arma attuali sta crescendo in modo
esponenziale ed è incorporata in un gran numero di sottosistemi tecnologicamente
complessi, che includono sia hardware che una varietà di componenti IT, come illustrato
in Fig. 3. Tale tendenza, che storicamente deriva dallo sforzo verso l'automazione, ha
trasformato le capacità caratteristiche dei sistemi d'arma. Per decenni la Marina Militare
americana, ad es. ha cercato di ridurre le dimensioni dell'equipaggio della nave
basandosi, in parte, sul presupposto che alcuni compiti manuali potevano essere
automatizzati con la conseguente riduzione del personale operativo sulla nave [10].
2. La natura sempre più “in-rete" dei weapon systems, progressivamente sempre più
connessi in rete, che introduce vulnerabilità e rende i sistemi più difficili da difendere. Quasi
ogni componente di un weapon system è collegato ad un fitto set di networks [11] del DOD
(Department of Defence Information Network) e talvolta sono connessi anche a networks
gestiti da appalti esterni al Ministero della Difesa. Il supporto tecnologico, la logistica, il
FIG. 3 SOFTWARE E COMPONENTI IT INCORPORATI IN UN SISTEMA D'ARMA.
19
personale ed altre entità business-related si collegano a volte agli stessi networks usati dai
weapon systems. Quest’ultimi potrebbero addirittura non connettersi in rete ama di altri
sistemi di comunicazione afferenti direttamente alla rete pubblica di internet pubblico, e.g.,
come illustrato nella Fig. 4.
Queste connessioni aiutano a facilitare gli scambi di informazioni a beneficio dei vari
weapon systems e dei loro operatori in vari modi (comando delle armi, controllo delle armi,
comunicazioni, etc.), tuttavia le medesime connessioni possono essere utilizzate come un
“percorso” per un attacco. Se gli aggressori riuscissero ad accedere ad una di queste
connessioni potrebbero poi essere in grado di raggiungerne qualsiasi sistema d’arma
attraverso connessioni già esistenti. Il Defence Science Board (DSB) degli Stati Uniti,
attraverso tests operativi scoprì già diversi anni fa (2013) che alcune reti non erano
“survivable” in caso di guerra informatica (cyber-war) [11,12], sostenendo che "l'avversario
sia già nelle nostre reti". Qualsiasi scambio di informazioni è un potenziale punto di accesso
per l’avversario. Anche i sistemi "air gapped", non collegati direttamente ad internet per
motivi di sicurezza, potrebbero essere potenzialmente accessibili con altri mezzi, come
dispositivi hard (USB, compact disc, etc…).
3. La dipendenza dei weapon systems dal software, con soluzioni software e architetture IT
che si affidano quasi sempre a pacchetti software commerciali ed open source, quindi
soggetti a tutte le vulnerabilità informatiche che ne derivano.
La tendenza in costante crescita rappresentata dai punti 1-3 sopra ha un prezzo!
Fig. 4. Sistemi d'arma collegati a reti che possono connettersi a diversi altri sistemi.
20
La grande varietà di interfacce dei weapon systems, alcuni delle quali non sempre
ovvie ma pur sempre usate dagli avversari come percorsi d’attacco (Vedi Fig. 5) espande
in modo significativo la superficie di attacco. La "superficie di attacco" è la somma dei diversi
punti (attacks vectors) in cui un malintenzionato può tentare di immettersi oppure estrarre
dati sensibili. I weapon systems con grandi superfici di attacco sono più difficili da difendere
perché chiaramente hanno più punti di accesso da proteggere. Dispositivi “intelligenti"
(smart devices), ad es., collegati ad internet, espandono la superficie di attacco. Così come
in una casa… l'inclusione di termostati, forni, televisori e altoparlanti tutti “smart”, ne
espande la superficie di attacco. Spesso anche il software per il controllo della sicurezza ed
altre funzioni rende i weapon systems più vulnerabili agli attacchi [13].
Fig. 5. Possibili interfacce d’accesso al weapon system.
21
4. La dipendenza dei weapon systems da “firewalls” contro gli attacchi informatici. Un
firewall consente oppure blocca il traffico basandosi su un "insieme di regole” pre-fissate.
Poiché è impossibile definire una regola per ogni scenario, gli aggressori cercheranno modi
“non-contemplati” dalle regole per poter accedere. Un esempio a noi tutti familiare è quello
di un firewall che può sistematicamente bloccare il traffico proveniente da uno specifico
Paese, quando gli aggressori possono “apparire” come se si trovassero in un Paese diverso
(non bloccato). Gli aggressori possono utilizzare strumenti per by-passare il firewall, come
incorporare software dannoso in un messaggio di posta elettronica ed attendere che un
utente lo apra ed inavvertitamente lo installi.
5. I controlli di sicurezza sui weapon systems. I controlli di sicurezza sono garanzie o
contromisure per proteggere la riservatezza e l'integrità di un sistema e delle sue
informazioni, ma possono essere aggirati quando il sistema non sia configurato
correttamente. In definitiva i controlli di sicurezza possono potenzialmente essere usati per
perseguire attacchi informatici.
6. Elevato numero di persone che gestiscono i weapon systems. Chiaramente le persone
sono un’ulteriore fonte significativa di vulnerabilità alla cyber-security [14].
7. La dipendenza dei weapon systems da dispositivi esterni, come i sistemi di
posizionamento e navigazione, nonché i dispositivi di comando e controllo ... tutti necessari
allo svolgimento di una missione. Un attacco riuscito a uno di questi sistemi esterni o
sottosistemi può potenzialmente limitare l'efficacia di un weapon system impedendogli di
raggiungere lo scopo della sua missione.
Bibliografia 1.
1. La guerra elettronica (EW) è una delle varie aree in cui la NATO continua con impegno a perseguire i suoi compiti fondamentali garantendo e sostenendo i suoi principi fondatori. Vedi ad es. “The future of electronic warfare in Europe", Army Technology, 13 Jun. 2018 & ”The 106th NATO Electronic Warfare Advisory Committee (NEWAC)", Brussels, 05 Jun. 2019; M. Spreckelsen, “Electronic Warfare–The Forgotten Discipline”, The Journal of the Joint Air Power Competence Centre (JAPCC) January 17, 2019
2. NATO Electronic Warfare Policies, 1956-09-14, Military Committee Series MC 0064, NATO Archives Online. "Future Command and Control of Electronic Warfare", The Journal of the JAPCC, Edition 28, Spring/Summer 2019.
3. “The Russo-Japanese War at Sea 1904-5”: Volume 1-Port Arthur, the Battles of the Yellow Sea and Sea of Japan by Vladimir Semenoff, Leonaur, 2014 (ISBN: 978-1782823414).
4. Nella prima parte della seconda guerra mondiale i Tedeschi iniziarono a usare un sistema di onde radio direzionali (raggi) che avevano iniziato a sviluppare a partire dalla metà degli anni Trenta. Si trattava di un sistema di guida, che utilizzava raggi-radio intersecanti per dirigere gli aeromobili verso un obiettivo ed in particolare in Gran Bretagna. I raggi-radio venivano trasmessi da un sito sulle coste dell'Europa occupata, indicando una città bersaglio in Inghilterra. Un bombardiere poteva volare lungo questo raggio e quando raggiungeva il suo obiettivo un ulteriore raggio (radio) lo segnalava, ed era dove venivano sganciate le bombe. All'inizio del 1940 molte città britanniche furono bombardate con ragionevole precisione causando molti
22
morti e distruzione. Un brillante scienziato (R. Jones) della British Intelligence e responsabile dello studio sull'applicazione tedesca di questo sistema riusci’ a scoprire un modo per contrastare l’aviazione Tedesca, facendo deviare i raggi-radio che segnalavano i bersagli. Winston Churchill si riferiva a tale fase della guerra come la ‘Battle of the Beams’.
5. “U.S. Carried Out Cyberattacks on Iran”, New York Times June 22, 2019. 6. Un sistema cyber-fisico è una rete interagente co-ingegnerizzata con componenti "fisici" e
“computazionali". 7. Un’arma strategica è qualsiasi sistema d'arma progettato per colpire un nemico sia militarmente,
economicamente che politicamente. Ciò significa ad es. distruggere le città, le fabbriche, le basi militari, le infrastrutture di trasporto e di comunicazione di una nazione così come a volte anche la sede del governo. Un'arma tattica invece è progettata per un uso offensivo o difensivo a distanza relativamente breve con conseguenze relativamente immediate. Includono armi usate per assalto anticarro, difesa antiaerea, supporto sul campo di battaglia, combattimento aereo o combattimento navale (Encyclopedia Britannica)
8. Si veda e.g. “Weapon Systems Annual Assessment: Knowledge Gaps Pose Risks to Sustaining Recent Positive Trends”, The U.S. Government Accountability Office (GAO), GAO-18-360SP (Washington, D.C.: April, 2018); “Weapon systems cybersecurity”, GAO-19-128 (Washington, D.C.: October, 2018).
9. Si veda ad es. ”Unclassified terms and definitions from classified report". National Research Council of the National Academies, A Review of U.S. Navy Cyber Defense Capabilities (Washington, D.C.: National Academies Press; 2014).
10. Navy Force Structure: Actions Needed to Ensure Proper Size and Composition of Ship Crews, U.S. Government Accountability Office (GAO), GAO-17-413 (Washington, D.C.: May 18, 2017)
11. Secondo il Defense Science Board (DSB) degli Stati Uniti, quasi ogni possibile componente nel Department of Defense (DOD) è in rete. Vedi ad es “Resilient Military Systems and the Advanced Cyber Threat”, Department of Defense, Defense Science Board, Task Force Report, Washington, D.C.: Dec. 2015. (ISBN- 978-1519669858)
12. “Survivable” significa che una rete è in grado di mantenere le sue capacità critiche sotto l’incombenza di una minaccia. Si parla di un cyber-environment a rischio quando uno o più avversari tentano di cambiare il risultato di una missione negando, degradando, interrompendo o distruggendo le capacità informatiche o alterando l'utilizzo o la nostra fiducia in tali capacità. Si veda ad es. “Resilient Military Systems and the Advanced Cyber Threat”, Department of Defense, Defense Science Board, Task Force Report, Washington, D.C.: Dec. 2015. (ISBN- 978-1519669858)
13. Si veda ad es. Vehicle Cybersecurity: DOT and Industry Have Efforts Under Way, but DOT Needs to Define Its Role in Responding to a Real-world Attack, GAO-16-350 (Washington, D.C.: Mar. 24, 2016)
14. Information Security: Agencies Need to Improve Controls over Selected High- Impact Systems, GAO-16-501 Washington, D.C.: May 18, 2016.
23
2. LA CRIPTOGRAFIA
L'arte della criptografia, attraverso la quale si può codificare un messaggio in modo
tale che solo la persona a cui è indirizzato possa leggerlo, è iniziata almeno 2000 anni fa
[1]. La criptografia è ampiamente utilizzata da organizzazioni finanziarie per prevenire le
frodi nelle transazioni così come da governi ed organizzazioni militari. Oggi gran parte della
società moderna dipende dalla criptografia per fornire servizi di sicurezza tra cui
riservatezza, integrità, autenticazione e non ripudio [2].
Consideriamo il caso di un soldato sul fronte di battaglia che voglia inviare un
importante messaggio al suo quartier generale senza il rischio che il nemico ne apprenda il
contenuto. Non può trasmettere il messaggio in modo semplice poiché il nemico potrà
facilmente capirne il contenuto. Il nemico potrebbe infatti avere un team di criptografi
appositamente addestrati a decifrare codici ed il soldato dovrà pertanto usare i codici in
modo che il nemico troverà molto difficile decifrarli.
Forse uno dei criptogrammi più famosi, la nota "Zimmermann" [3], spinse gli Stati
Uniti a prender parte alla prima guerra mondiale. Quando il criptogramma fu decifrato nel
1917, gli Americani ad es. appresero che la Germania aveva cercato di convincere il
Messico a unirsi ai suoi sforzi bellici promettendo in cambio territori messicani negli Stati
Uniti. Un altro esempio di criptogramma ben noto è il codice "Enigma" [4] brevettato dagli
ingegneri tedeschi alla fine della prima guerra mondiale e messo sul mercato intorno al
1923. Poiché gli avversari avrebbero probabilmente intercettato i segnali radio, i messaggi
dovevano essere protetti con una codifica sicura. Il codice Enigma prevedeva l'uso di una
macchina portatile per generarlo. Esso fu adottato dalla Marina tedesca all'inizio del 1926,
dall’esercito e dell’aeronautica tedesca poco dopo. Fu quindi utilizzato durante la seconda
guerra mondiale divenendo ben noto negli ambienti militari. Queste codifiche non erano
affatto facili da decifrare. In effetti, il compito di decifrare codici sempre più complicati è stato
uno dei fattori che hanno stimolato lo sviluppo dei primi computer elettronici. Come è ormai
noto, tuttavia, una squadra segreta che lavorava a Bletchley Park (UK) riusci’ a decifrare il
codice [5], il che ebbe un effetto significativo sull'esito della guerra. Gli Alleati infatti furono
in grado di leggere la maggior parte dei messaggi segreti trasmessi e condivisi dagli eserciti
tedeschi e giapponesi. Questo esempio, tuttavia, mette in luce una debolezza intrinseca di
qualsiasi metodo di criptografia classica, ovvero "non c'è modo" di sapere se una terza parte
indesiderata abbia una copia del codice.
L'unico modo per il mittente di essere totalmente sicuro che una terza parte non
possa decifrare il messaggio è utilizzare un nuovo codice per ogni messaggio. Uno schema
24
di criptografia basato su questo metodo è chiamato “one-time-pad” ed è stato proposto per
la prima volta da Gilbert Vernam nel 1917 [6]. Esso è anche chiamato cifrario di Vernam. In
questo cifrario il mittente e il destinatario condividono un codice comune chiamato "chiave".
La chiave dovrebbe essere (i.) una sequenza casuale di bit binari (0 "e 1”) utilizzata (ii.) una
sola volta e lunga (iii.) almeno quanto il messaggio stesso. Il testo del messaggio viene
prima tradotto in una stringa binaria con un algoritmo noto dopodiché la chiave viene
aggiunta per produrre una nuova stringa di bit che comprende il messaggio codificato. Il
destinatario deve solo sottrarre la chiave dal messaggio codificato per recuperare il testo
originale. Un semplice esempio [7] può servire a illustrare come funziona questo cifrario.
Il metodo “one-time-pad” è in linea di principio perfettamente sicuro. Non ci sono
schemi che i criptografi possano riconoscere perché la chiave è "casuale" ed "unica" per
ogni messaggio. Tuttavia, il codice one-time-pad non è pratico da usare poiché mittente e
destinatario devono condividere una chiave comune per ogni messaggio. Ciò richiede un
metodo semplice e sicuro per il mittente e il destinatario onde poter scambiare la chiave
senza essere intercettati da (terze) parti indesiderate. Non esiste però un metodo pratico
per scambiare chiavi con i requisiti di cui sopra…ed è probabilmente per questo che soldati
e diplomatici hanno continuato a fare affidamento su cifrari più deboli con chiavi più brevi.
2.1. Criptografia convenzionale: Basics.
Esistono due opzioni elementari per inviare in modo rapido ed efficace un elevato
numero di informazioni sensibili [8].
La prima opzione prevede che il mittente ed il destinatario scambiano una “chiave
segreta” (secret-key) in modo sicuro, ad es. incontrandosi ad una riunione privata, per poi
utilizzarla per tutti i loro messaggi seguenti perlomeno fino a quando non avranno la
possibilità di scambiare una nuova chiave segreta. Ciò è tuttavia destinato a produrre
messaggi non sicuri che possono essere decifrati tramite routines di “pattern-spotting”
causa l'uso ripetuto della stessa chiave.
La seconda opzione consiste nell’uso della criptografia a "chiave pubblica” (Public-
Key Cryptography) (PKC). Ciò comporta in realtà l’uso di due chiavi: una “chiave privata"
(private-key) e una “chiave pubblica” (public-key). La chiave privata è nota solo all'utente
mentre la chiave pubblica è nota a tutti. L'utente genera la chiave privata che viene utilizzata
per generare la chiave pubblica che viene pubblicamente resa nota ed utilizzata per criptare
tutti i messaggi scambiati con l'utente. L’algoritmo di criptografia si basa in genere sul fatto
che alcune funzioni matematiche sono molto difficili da invertire e quindi i messaggi possono
essere facilmente de-criptati solo con l'aiuto della chiave privata. Tuttavia, solo l’utente
25
conosce la chiave privata e solo l’utente potrà quindi invertire facilmente i messaggi criptati
[9].
Lo schema criptografico utilizzato per la sicurezza di Internet, ad es. è un noto
esempio di criptografia a chiave pubblica. L'algoritmo matematico utilizzato per generare la
chiave pubblica potrebbe essere ad es. il prodotto di due “numeri primi” abbastanza grandi
e che comprendono anche la chiave privata nota solo all'utente. La sicurezza dello schema
si basa sul fatto che il tempo impiegato per trovare i fattori primi di un intero di grandi
dimensioni aumenta esponenzialmente con il numero delle cifre, pertanto il processo di
criptografia non può essere invertito rapidamente a meno che questi numeri primi non siano
noti. Il messaggio così criptato è solo difficile da decifrare non impossibile; sebbene non vi
sia alcuna prova matematica che non esista un algoritmo per trovare i fattori primi di un
numero di tante cifre, occorre notare che solo computer quantistici [10], quando
diventeranno operativi, potranno essere in grado di trovare i fattori primi in breve tempo.
2.2. Criptografia quantistica: Basics.
È chiaro che l'intero processo criptografico sarebbe molto più sicuro se le parti
interessate potessero criptare il loro messaggio con una "chiave privata segreta", ovvero
conosciuta "solo" a loro, piuttosto che con una chiave pubblica nota a tutti. È in questo
contesto che la criptografia quantistica entra in gioco fornendo un metodo affidabile per (1.)
“condividere” una chiave segreta e per (2.) “sapere” che nessuno l'ha intercettata. La
distribuzione a chiave quantistica (Quantum Key Distribution-QKD) è un processo che
consente di condividere una tale "chiave segreta privata" in un "modo sicuro".
Una tecnologia criptografica basata sulla distribuzione a chiave quantistica è quindi
importante per organizzazioni governative, militari e finanziarie visto che fornisce un metodo
sicuro per trasmettere chiavi private con la certezza di sapere se vi sono intercettazioni da
parte di terzi. Questo spiega l'interesse che l'argomento ha suscitato negli ultimi anni.
L'archetipo dei dispositivi criptografici quantistici:
(i.) Impiega singoli fotoni di luce [11].
(ii.) Sfrutta il principio di indeterminazione di Heisenberg [12].
i. Singoli fotoni.
I fotoni sono minuscoli pacchetti di radiazione elettromagnetica. Un fotone ha
un’energia che dipende dalla frequenza (colore) della radiazione mentre tutti i fotoni
viaggiano alla stessa velocità della luce. Esistono pertanto fotoni di tutte le
energie…partendo da fotoni molto energetici (raggi gamma, raggi X, etc.), a fotoni di luce
visibile giù fino a fotoni di bassa energia (raggi infrarossi, onde radio, etc.). Il concetto di
26
“fotone”, usato da Einstein per spiegar l'effetto fotoelettrico (1905) ha in effetti origine con
Planck (1900) che postula l’esistenza di pacchetti di energia discreti per spiegare
l’emissione (assorbimento) della radiazione termica di un corpo.
Sorgenti che emettono singoli-fotoni di radiazione sono chiamate sorgenti a singolo
fotone e sono distinte da sorgenti di luce coerente (ad es. laser) e da sorgenti di luce termica
(ad es. lampadina a incandescenza). Un fotone generato da sorgenti a singolo-fotone ha
caratteristiche tipicamente quantistiche ed è a tutti gli effetti un sistema quantistico.
ii. Il principio di indeterminazione.
Secondo il principio di indeterminazione, la misura di un sistema quantistico in
generale lo disturba e fornisce informazioni incomplete sul suo stato "prima" della misura.
L’intrusione su un canale in cui il dato sia codificato e trasmesso da una particella quantistica
(quantum channel) è un tipico esempio di misura di un sistema quantistico ad es. il singolo
fotone e quindi provoca un inevitabile disturbo; è proprio questo che avvisa gli utenti legittimi
dell’intrusione. La criptografia quantistica sfrutta questo effetto per consentire a due parti
“Alice” e “Bob” (utenti legittimi), che non si sono mai incontrati e che non hanno mai
condiviso informazioni segrete prima, di comunicare in assoluta segretezza in presenza di
un intruso.
2.3. Criptografia convenzionale vs. quantistica: “la differenza”.
Supponiamo ora che Alice voglia inviare un messaggio a Bob usando un sistema di
comunicazione convenzionale ad es. in fibra come mostrato in Fig. 1. I dati potrebbero
essere inviati nella forma di impulsi di luce lungo una fibra ottica. Impulsi forti rappresentano
l’entità binaria "1", mentre gli impulsi deboli, o nessun impulso, rappresentano l’entità binaria
"0". In questo non c'è nulla che Alice e Bob possano fare per impedire a Eva (eavesdropper)
di rubare una copia dei dati mentre vengono trasferiti, ovvero intercettando l’impulso di luce
(segnale) e conservandone una copia senza rivelare la sua presenza a Bob. La Fig. 1
mostra schematicamente che ciò potrebbe essere fatto attraverso un beam-splitter (50/50)
seguito da un amplificatore. Il segnale ricevuto da Bob in questo modo è "inalterato" dalla
presenza di Eva che ha intanto ottenuto una copia del segnale di Alice e che può quindi
elaborare usando il proprio sistema di rilevamento. In linea di principio non è possibile che
Alice e Bob siano consapevoli della presenza di Eva allorché si trasmettano segnali con
canali classici. Questo perché non esiste una legge fisica che ci impedisca di misurare un
segnale classico, farne un duplicato esatto e disturbare il processo di trasmissione.
Al contrario, la meccanica quantistica ci insegna che non è possibile effettuare una
misura su una singola particella quantistica senza alterarne lo stato. Non possiamo pertanto
27
rivelare una particella quantistica come il singolo-fotone, estrarre da esso tutte le
informazioni e poi trasmetterne un altro che sia una copia “esatta” del primo, come fatto nel
caso precedente. Questa fondamentale proprietà della meccanica quantistica va sotto il
nome di teorema della non-clonazione [13] (quantum no-cloning theorem). Qualunque
intruso (Eva) che effettui una misura sulla “particella quantistica” che codifica il dato da
trasmettere paleserà la propria presenza a Bob proprio attraverso la misura che effettua.
Questa è la differenza sostanziale con la criptografia classica.
Possiamo illustrare il principio alla base della criptografia quantistica considerando lo
schema sperimentale di Fig. 2 [11,14-15] ideato per misurare lo stato di polarizzazione di
un singolo fotone. Questo è, infatti, uno dei metodi di codifica dei dati con singoli-fotoni.
L'apparato è costituito da un beam splitter polarizzatore (PBS) (si veda Fig. 3) e due
rivelatori di singolo-fotone D1 e D2. Il beam splitter PBS ha la proprietà di trasmettere la
luce polarizzata verticalmente ma devia la luce polarizzata orizzontalmente di 90 °. Se θ =
0◦ il fotone (polarizzato verticalmente) verrà registrato dal rivelatore D1. Allo stesso modo,
se θ = 90◦, il fotone (polarizzato orizzontalmente) verrà registrato dal rivelatore D2. D'altra
parte, se il fotone in arrivo è polarizzato linearmente con il suo vettore di polarizzazione che
FIG1. (A) COMUNICAZIONE CLASSICA. ALICE INVIA UN MESSAGGIO A BOB TRASMETTENDO IMPULSI DI LUCE AD ALTA POTENZA TRAMITE FIBRA OTTICA. ESSI NON HANNO MODO DI SAPERE SE EVA ABBIA INTERCETTATO IL SEGNALE O MENO. (B) EVA PUÒ RUBARE UNA COPIA DEI DATI SENZA CHE BOB SE NE ACCORGA, USANDO UNO SPLITTER 50: 50 (BS) E UN AMPLIFICATORE OTTICO CON UN GUADAGNO PARI A 2.
28
forma un angolo non noto θ rispetto all'asse
verticale, dovremo risolvere la polarizzazione
(vettore) del fotone nelle sue componenti
orizzontali e verticali. I tre possibili risultati di
misure effettuate sul singolo-fotone sono
schematicamente illustrati nella Fig. 3 [14,17],
dove il cristallo di calcite viene usato come
PBS. Se i simboli | ⇕⟩ e | ⇔⟩ denotano
rispettivamente gli stati di fotoni polarizzati
“verticalmente" ed “orizzontalmente”,
possiamo scrivere lo stato quantistico | θ⟩ di
un singolo-fotone con polarizzazione non nota
θ come sovrapposizione dei due stati
(ortogonali) di polarizzazione secondo:
|θ⟩ = cos θ |↕⟩ + sin θ |↔⟩.
La probabilità che il fotone sia rivelato da D1 è data da:
Pv = |⟨↕ |θ⟩|2
= cos2 θ.
La probabilità che il fotone sia trasmesso su D2 è data da:
Ph = |⟨↔ |θ⟩|2
= sin2 θ.
Fig2. Schema per misurare lo stato di polarizzazione di un singolo fotone. Si usa un beam splitter polarizzatore (PBS) e due single-photon detectors (D1, D2). Il fotone in arrivo ha polarizzazione lineare ove il suo vettore di polarizzazione forma un angolo θ rispetto all'asse verticale.
29
Supponiamo ora che Eva voglia intercettare quanto inviato da Alice. Eva dovrebbe
determinare l’angolo di polarizzazione θ e trasmettere a Bob un altro fotone con lo stesso
angolo di polarizzazione θ. In ciascuna delle misure fatte da Eva, l'unica informazione cui
ella potrà accedere è se il rilevatore D1 o il rilevatore D2 registra un “click”, segnalando così
che il fotone è arrivato. Il rivelatore D1 registrerà un click però con una probabilità uguale a
cos2 θ mentre D2 registrerà un click con una probabilità uguale a sin2 θ. Pertanto la cosa
più sensata che Eva possa fare è di trasmettere a Bob un fotone polarizzato verticalmente
se vede “scattare" il rivelatore D1 oppure un fotone polarizzato orizzontalmente se vede
“scattare" il rivelatore D2. Si noti pertanto che lo stato del (secondo) fotone inviato a Bob
sarà lo stesso del primo fotone ricevuto da Alice “solo” per i casi speciali in cui θ = 0◦ o 90◦.
Per tutti gli altri valori di θ, il (secondo) fotone che Eva trasmetterà a Bob avrà un angolo di
polarizzazione θ ′ diverso dal primo. Ciò implica che lo stato del (secondo) fotone in uscita
Fig3. Meccanismo di funzionamento di un single-photon polarizing beam splitter (PBS). Un cristallo di calcite ad es. puo’ essere usato per selezionare fotoni polarizzati orizzontalmente e verticalmente. I fotoni con polarizzazione orizzontale passano direttamente, mentre i fotoni con polarizzazione verticale vengono deviati. I fotoni con polarizzazione diagonale entrano nel cristallo e vengono ri-polarizzati “a caso” in direzione verticale o orizzontale e pertanto seguono cammini diversi.
30
generato da Eva produrrà nell’apparato di misura di Bob risultati diversi da quelli del fotone
originale inviato da Alice (Si veda Fig. 4).
La conclusione è che non è possibile estrarre l’informazione corretta senza alterare
lo stato del fotone. Questa è una tipica conseguenza della natura “invasiva” di una misura
fatta su una particella quantistica, come il singolo-fotone in questo caso. L’intruso (Eva)
rivela la sua presenza attraverso il disturbo prodotto dalla sua misura e tale disturbo
influenzerà i risultati delle successive misure fatte da Bob. Si noti che per quanto l’intruso
(Eva) possa escogitare un modo più sofisticato per attingere allo stato corretto del fotone,
ella sarà pur sempre soggetta ai principi generali della meccanica quantistica e,
indipendentemente da quanto ci provi, altererà i risultati delle misure di Bob ogniqualvolta
si tratti di una polarizzazione non nota (θ).
2.4. La criptografia quantistica: schemi.
Esistono essenzialmente due schemi per implementare la criptografia quantistica; il
primo si basa sui principi della misura quantistica di single-photons [11], mentre il secondo
si basa sui principi della misura quantistica di entangled-photons [17]. Discuteremo ora del
primo schema poiché esso è il più comune. Abbiamo tipicamente due utenti Alice (A) e Bob
(B) che desiderano scambiare informazioni mentre Eva (E) è l’intruso (eavesdropper) che
vuole intercettare il messaggio, senza rivelare la sua presenza. La criptografia quantistica
non protegge dagli attacchi d’intrusione, ma fornisce un "modo per sapere" quando c’è
l’intruso quando Alice e Bob se ne accorgono essi semplicemente scartano le misure fatte
e ricominceranno tutto da capo. Al contrario, quando sapranno di non essere stati
intercettati, useranno le informazioni scambiate per condividere una chiave privata.
Fig. 4. Per estrarre informazioni utili dai dati codificati da Alice (singolo fotone), Eva (eavesdropper) deve cercare di determinare l'angolo di polarizzazione sconosciuto θ del fotone inviato da Alice ed inviare poi a Bob un secondo fotone con lo "stesso" valore di θ. La meccanica quantistica lo vieta e quindi l'angolo di polarizzazione θ‘ del fotone inviato da Eva a Bob non sarà uguale a θ in generale.
31
Essa potrà essere usata per criptare tutti i messaggi segreti che vorranno trasmettere
attraverso canali pubblici.
In particolare, se fossero così veloci da riuscire a creare una “nuova chiave” privata
per ogni “nuovo messaggio” da trasmettere, utilizzerebbero a tutti gli effetti un encoding del
tipo “one-time-pad” ed in questo modo il loro messaggio sarebbe totalmente sicuro contro
intercettazioni da parte di terzi indesiderati (hackers).
2.5. La distribuzione a chiave quantistica (QKD): Il protocollo BB84.
La tecnologia QKD (Quantum Key Distribution) è adatta a qualsiasi circostanza che
richieda elevati requisiti di sicurezza nella distribuzione di una chiave privata condivisa tra
due parti geograficamente separate [18-19]. Tale distribuzione può essere implementata in
diversi modi e ci limiteremo nel seguito ad illustrarne uno di essi, il protocollo Bennett-
Brassard 84 (BB84), sufficiente per spiegare i principi di base della Quantum Key
Distribution [14].
L’idea iniziale risale a S. Wiesner, che sviluppò la tecnica del “quantum conjugate
coding” alla fine degli anni '60 [20]. Il suo approccio utilizza fotoni polarizzati in basi
coniugate come qubit (quantum bit) per codificare le informazioni da trasmettere [21].
La tecnica di Wiesner porta Charles Bennett e Giles Brassard a ideare un sistema
criptografico basato sulle leggi della meccanica quantistica [15] ovvero il protocollo BB84
ove i dati da trasmettere sono codificati come "stati di polarizzazione" di un singolo-fotone.
Se θ indica l'angolo di polarizzazione di un singolo fotone (Si veda Fig. 4), si potrebbe
associare alla polarizzazione verticale (θ = 0) il binario '1' ed alla polarizzazione orizzontale
il binario '0' (θ = 90◦). Nel protocollo BB84 vengono utilizzati due "sets" di stati di
polarizzazione ortogonale chiamati
(Tab. 1):
• Base ⊕: Binario “1” e “0”
corrispondono a fotoni con angoli di
polarizzazione 0◦ e 90◦. Denotiamo gli
stati delle due polarizzazioni con | ↕⟩
and | ↔⟩.
• Base ⊗ : Binario “1” e “0”
corrispondono a fotoni con angoli di
polarizzazione 45◦ and 135◦.
TAB.1. LE DUE BASI (⊕ E ⊗) DI POLARIZZAZIONE DEL FOTONE USATE PER IL PROTOCOLLO BB84. Θ E’ L’ANGOLO DI POLARIZZAZIONE DEL FOTONE DEFINITO IN FIG.2
32
Denotiamo gli stati delle due polarizzazioni con | ↗⟩ and | ↘⟩.
Il protocollo BB84 con codifica (Alice) e decodifica (Bob) è mostrato in Fig. 5, dove
l'apparato di Alice è costituito da una sorgente di fotoni polarizzati verticalmente ed una cella
di Pockels (PC1) [11,15]. Alice sincronizza la sua cella Pockels con la sorgente a singolo
fotone per generare fotoni con angoli di polarizzazione (θ) di 0◦, 45◦, 90◦ o 135◦ scelti peroò
“a caso”. In questo modo Alice può inviare una stringa di dati binari codificata in una delle
due basi di polarizzazione (⊕ o ⊗).
I fotoni inviati da Alice vengono ricevuti da Bob che ne misura la polarizzazione con
un apparato simile. L'apparato di Bob comprende una seconda cella di Pockels (PC2) posta
di fronte al beam splitter polarizzatore (PBS). Bob usa questa cella per ruotare il vettore di
polarizzazione del fotone in arrivo di 0◦ o −45◦, dove 0◦ equivale a rilevare nella base ⊕ e
−45◦ nella base ⊗. È importante notare che Bob “non conosce” la base con cui Alice ha
scelto di codificare i singoli-fotoni, quindi sceglie “a caso” tra le due basi ⊕ e ⊗. Se Bob
“indovina” la base giusta registrerà il risultato corretto. Ciò si verifica quando Alice sceglie
la base ⊕ e Bob sceglie di misurare l'angolo di 0◦ ed anche quando Alice sceglie la base ⊗
e Bob sceglie l'angolo −45◦. Se la scelta della base da parte di Alice è casuale, questa
Fig. 5. Encoding dei dati secondo il protocollo BB84. Alice ha una sorgente di fotoni con polarizzazione verticale. La Pockels cell (PC1) ruota per ogni fotone il vettore di polarizzazione di un angolo di 0◦, 45◦, 90◦ o 135◦ a caso. Il fotone viene quindi trasmesso a Bob che lo rileva utilizzando un beam-splitter polarizzatore (PBS) e due single-photon detectors D1 e D2 simili a quelli in Fig.2. L'apparato di Bob include una seconda Pockels cell (PC2) che può ruotare il vettore di polarizzazione del fotone in arrivo di un angolo di 0◦ o −45◦ a scelta di Bob.
33
corrispondenza corretta delle basi avverrà in media il 50% delle volte. Per il restante 50%
delle volte Bob rileverà la base sbagliata e quindi registrerà un risultato non corretto [22].
2.6. Il protocollo BB84: Sommario.
Riassumiamo il protocollo BB84 nella Tabella 2 [11,14-15]. Si delineano inoltre i
passaggi principali sotto.
Step 1: Alice genera e invia dati (riga da 1 a 3).
Un bit (cifra binaria), la più piccola unità di dati, ha un singolo valore binario (0 o 1) e qui
corrisponde all'angolo di polarizzazione (θ) di un fotone secondo i criteri della Tabella 1.
Alice genera una sequenza di bit (prima riga), alternando casualmente tra le basi ⊗ e ⊗
(seconda riga). Viene inoltre mostrata la codifica nell’angolo (θ) corrispondente alla
polarizzazione di ciascun singolo fotone inviato (terza riga). Alice trasmette ogni fotone a
Bob a "intervalli di tempo" regolari. A questo punto Alice non dice a nessuno cosa sta
facendo.
Step 2: Bob riceve i dati (riga da 4 a 5).
Bob riceve i fotoni di Alice. Bob registra i risultati della misura di polarizzazione
usando una scelta "casuale" delle basi di rilevamento ⊕ e ⊗ (4a fila) [23]. A priori, Bob “non
sa” quale base abbia scelto Alice e può solo scegliere "casualmente" una delle due
possibilità ⊕ e ⊗. I dati misurati di Bob (5a fila) coincideranno "in media" con i dati di Alice
per la metà delle volte. In questi casi Bob registrerà il risultato corretto, a condizione che
non sia presente alcun intruso (Eva).
TAB. 2. SEQUENZA DI GENERAZIONE DI UNA CHIAVE SEGRETA NEL PROTOCOLLO
BB84. Θ È L'ANGOLO DI POLARIZZAZIONE SECONDO LO SCHEMA DI CODIFICA
RIPORTATO NELLA TAB. 1.
34
Step 3: Bob e Alice confrontano le loro basi (riga da 6 a 7).
Bob annuncia ad Alice su un canale pubblico la sua “scelta di basi”, senza rivelare i
risultati della sua misura. Alice “confronta” le scelte di basi di Bob rispetto alle sue ed
identifica le volte in cui entrambi hanno scelto la stessa base. Indica a Bob sul canale
pubblico quali degli "intervalli di tempo" hanno la stessa scelta di base, identificata con
l'etichetta "y" (riga 6). Sia Alice che Bob scartano gli altri casi mentre ciò che rimane ad
entrambi sono i “sifted bits” o “sifted key” (Riga 7).
Step 4: Analisi errori e chiave segreta (riga da 8 a 9)
Bob ora invia un "sottoinsieme" dei suoi “sifted bits” ad Alice, ad es. invia solo quelli
“alterni” (nona riga) cosicché Alice può confrontarli (sulla propria lista) ed eseguire un'analisi
d’errori. Questo è il punto in cui l’intruso rivela la sua presenza! Se il tasso di errore è
inferiore al 25% [24], Alice deduce che non si è verificata alcuna intercettazione da parte di
Eva e che pertanto la comunicazione quantistica è sicura. Alice e Bob sono quindi in grado
di conservare i bit rimanenti come "chiave privata".
2.7. Un prototipo commerciale QKD.
I sistemi criptografici commerciali utilizzano in genere QKD come mezzo per produrre
chiavi segrete/private condivise
necessarie negli algoritmi di
criptografia simmetrica di massa,
come ad es. Advanced Encryption
Standard (AES). Nella maggior parte
dei casi, la chiave generata tramite
QKD viene aggiornata
frequentemente; sebbene gli utenti
considerino aggiornamenti frequenti
delle chiavi un miglioramento rispetto
ai tipici aggiornamenti che avvengono
giornalmente (o mensilmente), i sistemi criptografici commerciali basate su QKD non sono
“unconditionally sicure”. Sistemi commerciali QKD sono disponibili presso i rivenditori in
Europa (ad es. ID Quantique-IDQ, SeQureNet, etc.), in Australia (Quintessence Labs), in
Nord America (MagiQ), in Asia (Quantum Communication Technology Co., Ltd.) ... ecc.
Anche settori più istituzionali hanno da tempo aderito in tutto il mondo a missioni di National
Security basate sulla criptografia quantistica mettendo a punto sistemi criptografici QKD
FIG. 6. PIATTAFORMA CRIPTOGRAFICA “PLUG
& PLAY” MODULARE CLAVIS 300 (ID QUANTIQUE)
35
particolarmente avanzati come è avvenuto ad es. al Quantum Institute del Los Alamos
National Laboratory (U.S.) [25].
Oltre alle soluzioni commerciali, sono disponibili anche protocolli e architetture QKD
che forniscono una distribuzione delle chiavi "unconditionally secure". Un dispositivo "plug
& play" ad es. è stato proposto, costruito e distribuito con successo per una distribuzione di
chiavi incondizionatamente sicure tra due centri di ricerca collegati per molti mesi attraverso
un lago in Svizzera già all'inizio degli anni 2000. Ancora in Svizzera (2001) “ID Quantique
(IDQ)” ha offerto e venduto il primo sistema QKD disponibile in commercio. Questo fu al
tempo uno sviluppo significativo poiché chiunque poteva acquistare un sistema criptografico
“unconditionally secure” per circa mezzo milione di dollari. Oggi IDQ è uno dei leader
mondiali nelle soluzioni di criptografia quantistiche sicure, fornendo “quantum-safe network
encryption” e “QKD Service & Solutions” per l'industria finanziaria, le imprese e le
organizzazioni governative di tutto il mondo.
La Fig. 6 mostra una tipica piattaforma criptografica "plug & play" completa
(Clavis300
) che esegue QKD "punto a punto" modulare o QKD a “lungo raggio” con “relais-
nodes”. Si riescono a distribuire chiavi sicure con rates di generazione fino a 10 kb/s (o più)
e perdite di collegamento di 10 dB (link loss) che corrisponde a circa 100 km di distanza a
seconda della qualità delle fibre. Nell'elaborazione criptografica gli intervalli morti
(encryption processing latency) sono inferiori a 10 microsecondi mentre le chiavi possono
essere distribuite fino a un massimo di 80 utenti. L’algoritmo di codifica Korean LEA (Light
Encryption Algorithm) consente un encryption rate di 4x10 Gbps [26]. Le piattaforme
criptografiche quantistiche commerciali sono progettate con configurazioni variabili a
seconda dello specifico task criptografico richiesto. Le specifiche di una tipica piattaforma
Clavis300
sono riportate in Tab. 3 a titolo illustrativo.
36
Tab.3 Piattaforma Clavis 300 (Specs)
37
Bibliografia 2.
1. Simon Singh, The Code Book: The Science of Secrecy from Ancient Egypt to Quantum Cryptography, Knopf Doubleday Publishing Group, Jan 26, 2011. (ISBN 9780307787842)
2. Elaine B. Barker, William C. Barker, Guideline for Using Cryptographic Standards in the Federal Government: Directives, Mandates and Policies, Special Publication (NIST SP) - 800-175A Report Number: 800-175A, Published: August 22, 2016
3. Il messaggio sotto forma di un telegramma in codice fu inviato da Arthur Zimmermann, allora funzionario al Ministero degli Esteri dell'Impero tedesco. Si veda ad es. Katz, Friedrich, The Secret War in Mexico: Europe, the United States, and the Mexican Revolution, University of Chicago Press (1984) (ISBN 978-0226425894)
4. La macchina “Enigma” era un dispositivo criptografico utilizzato per proteggere le comunicazioni commerciali, diplomatiche e militari. Fu ampiamente impiegato dalla Germania nazista durante la seconda guerra mondiale, in tutti i settori dell'esercito tedesco. Vi furono altre macchine di cifratura tedesche come ad es. il “Lorenz cipher” usata nella seconda guerra mondiale per criptare i messaggi di alto livello del personale. Si veda [1].
5. I matematici e i criptografi polacchi (Polish Cipher Bureau) per primi usarono la teoria delle permutazioni e dei difetti per decifrare le chiavi dei messaggi criptati dai militari tedeschi con Enigma. Più tardi, un massiccio sforzo intrapreso dal British Government Code e la Cypher School di Bletchley Park (U.K.) permise la decodifica dei cifrari tedeschi Enigma e Lorenz utilizzate per le comunicazioni segrete delle Potenze dell'Asse.
6. In questo periodo Gilbert S. Vernam dell’American Telephone and Telegraph Company e il maggiore Joseph O. Mauborgne del Unites States Army Signal Corps svilupparono il primo codice davvero inattaccabile chiamato "Vernam cipher" [S. Vernam, brevetto USA 1.310.719, Secret Signaling System (1918) e brevetto USA 1.416.765, Ciphering Device (1920)].
7. Si consideri un codice elementare in cui le lettere sono rappresentate da numeri binari “a cinque bit” da 1 a 26 secondo la sequenza dell'alfabeto. Quindi A è 00001, B è 00010 e Z è 11010. Il processo di criptografia è l'aggiunta modulo 2 e la chiave casuale è "111011000111001". Ad esempio, il messaggio "110111111000001" può essere decodificato eseguendo la sottrazione modulo 2: 110111111000001 ⊖ 111011000111001 001100111111000. I primi cinque bit del messaggio decifrato sono 00110, che riconosciamo come "F", la sesta lettera dell'alfabeto. Allo stesso modo, i secondi cinque bit sono 01111 = 15 che riconosciamo come "O", ecc. Una caratteristica distintiva del codice è la necessità di una chiave che non sia "mai riutilizzata" per inviare un altro messaggio; ecco perché si chiama "one-time-pad".
8. W. Stallings, “Cryptography and Network Security: Principles and Practice”. Prentice Hall. p. 165 (1990). (ISBN 9780138690175).
9. I crypto-sistemi a chiave pubblica sono particolarmente adatti per criptare la posta elettronica e le transazioni commerciali, che spesso si verificano tra parti che, a differenza di diplomatici e spie, non hanno anticipato la necessità di comunicare in segreto. L'idea di PKC (Public Key Cryptography) è che un utente, che chiamiamo "Alice", scelga casualmente una coppia di trasformazioni matematiche reciprocamente inverse da utilizzare per la criptare e de-criptare (decodifica). Alice pubblica quindi le istruzioni per criptare ma non la "decodifica". Un altro utente, Bob, può utilizzare l'algoritmo di criptografia pubblica di Alice per preparare un messaggio che solo Alice può peroò de-codificare. Si veda ad es. E. Rieffel, “Quantum computing” in The Handbook of Technology Management, Vol III, 1st ed., H. Bidgoli, Ed. Wiley, 2009 .
10. Arute, F., Arya, K., Babbush, R. et al. Quantum supremacy using a programmable superconducting processor. Nature 574, 505–510 (2019) doi:10.1038/s41586-019-1666-5
11. See e.g. M. Fox, ”Quantum Optics: An Introduction”, Oxford Master Series in Physics, OUP Oxford, 2006 (ISBN-13: 978-0198566731) and also F. Kaneda, P. G. Kwiat, “High-efficiency single-photon generation via large-scale active time multiplexing”, Sci. Adv.5, eaaw 8586 (2019).
12. L.D. Landau, E. M. Lifshitz (1977). “Quantum Mechanics: Non-Relativistic Theory”. Vol. 3 (3rd ed.). Pergamon Press. (ISBN 978-0-08-020940-1)
13. W. K. Wootters & W. H. Zurek, “A single quantum cannot be cloned”, Nature volume 299, pages802–803 (1982)
38
14. C. H. Bennett, G. Brassard and A. K. Ekert, “Quantum Cryptography,” Sci Am, vol. 1, pp. 50-57, 1992.
15. Nielson, Michael A. and Chuang, Issac L. (2000). “Quantum computation and quantum information”. Cambridge University Press, Cambridge. Hughes, R. J., Alda, D. M., Dyer, P., Luther, G. G., Morgan, G. L., and Schauer, M. (1995). “Quantum cryptography”. Contemp. Phys. 36, 149–63. Hughes R. and Nordholt J. (1999) & “Quantum cryptography takes to the air”,Phys. World 12(5), 31–5.
16. C. H. Bennett and G. Brassard. "Quantum cryptography: Public key distribution and coin tossing". In Proceedings of IEEE International Conference on Computers, Systems and Signal Processing, volume 175, page 8. New York, (1984). Il protocollo BB84, sviluppato da Charles Bennett e Gilles Brassard nel 1984, è il primo protocollo conosciuto di criptografia quantistica QKD.
17. Bouwmeester, D. et al. (2000). “Quantum cryptography with entangled photons” Phys. Rev. Lett. 84, 4729–32.
18. M. R. Grimaila, J. D. Morris and D. Hodson, “Quantum key distribution, a revolutionary security technology” The ISSA Journal, vol. 27, pp. 20-27, 2012.
19. Altri protocolli importanti possono essere implementati come ad es. il protocollo Bennett 92 (B92). Vedi ad es.C. H. Bennett, Phys. Rev. Lett,68, 3121 (1992).
20. S.J. Wiesner, "Conjugate Coding", SIGACT News 15:1, pp. 78–88, (1983). Sebbene questo lavoro sia rimasto inedito per oltre un decennio, il manoscritto aveva una circolazione sufficiente per stimolare l'emergere della scienza dell'informazione quantistica intorno agli anni '80 e ’90.
21. J. D. Morris et al., “A survey of quantum key distribution (qkd) technologies” in Emerging Trends in ICT Security, 1st ed., B. Akhgar and H. R. Arabnia, Eds. Waltham, MA: Elsevier, 2013, pp. 141.
22. Ad esempio, se il fotone in arrivo è polarizzato a + 45◦ e Bob sta rilevando sulla base ⊕ (angolo di rotazione = 0◦), registrerà i risultati su uno dei suoi rivelatori con una probabilità uguale del 50%.
23. Questo viene fatto scegliendo “casualmente” l'angolo di rotazione di una cella di Pockels (Vedi Fig. 5) per cui l'angolo di rotazione 0◦ corrisponde alla base ⊕ e la rotazione −45◦ corrisponde alla base ⊗
24. Eva potrebbe rivelare i fotoni di Alice (usando una copia dell'apparato di Bob) e trasmettere nuovi fotoni a Bob (usando una copia dell'apparato di Alice). Poiché Eva non può sapere quale base stia usando Alice, deve scegliere la sua base "a caso". La metà delle volte Eva indovinerà "correttamente", ma per la metà delle volte indovinerà "in modo errato". In un caso Eva determina il corretto stato di polarizzazione del fotone ovvero invierà a Bob un fotone polarizzato in modo identico a quello che avrebbe inviato Alice senza che nessuno se ne accorga. Nell'altro caso indovinerà "in modo errato" e invierà quindi a Bob un fotone polarizzato diversamente da quello di Alice. Poiché Eva sceglie in modo errato il 50% delle volte (in media), ella modificherà l'angolo di polarizzazione del fotone per il 50% delle volte. Quando Bob ha scelto la "stessa" base di Alice mentre Eva hanno scelto "in modo errato", Bob registrerà risultati casuali sui suoi rilevatori con una probabilità del 50%. La probabilità complessiva di errore è:
25. Nel 2014, Los Alamos National Laboratory ha concesso in licenza i risultati dei loro 20 anni di
ricerca sulla criptografia quantistica a Whitewood Encryption Systems, Inc. principalmente per “quantum-based encryption systems” and “random number generators” necessari a generare le “random keys”.
26. L’ “encryption rate” è il tempo di elaborazione richiesto dall'algoritmo per criptare i dati. Esso dipende dalla dimensione dei dati, dalla velocità del processore, dalla complessità dell'algoritmo ecc.
39
3. LE SFIDE ATTUALI DELLA DISTRIBUZIONE A CHIAVE
QUANTISTICA: UNA PANORAMICA
La criptografia è una battaglia secolare tra creatore di codice e decodificatore [1].
Come si evince dai capitoli precedenti, la combinazione tra Quantum Key Distribution (a.) e
metodi One-Time-Pad (OTP) (b.) fornisce un metodo di comunicazione sicuro.
(a) In realtà, solo gli algoritmi OTP (chiave simmetrica) producono realmente "informazioni
sicure", mentre tutti gli altri sistemi criptografici sono decifrabili da un avversario che
disponga di una quantità sufficiente di testo cifrato, risorse computazionali e tempo.
Malgrado siano sicuri, tuttavia, i metodi OTP non sono comunemente usati, a causa di
alcuni problemi nella generazione e nella distribuzione delle chiavi sicure. Queste ultime
dovrebbero essere casuali, di lunghezza pari al messaggio, e non dovrebbero mai
essere riutilizzate. Tali requisiti pongono limitazioni significative alla maggior parte delle
implementazioni pratiche dell’algoritmo One-Time-Pad.
(b) A differenza degli algoritmi OTP, ben consolidati sin dalle prime applicazioni del cifrario
di Vernam, la Quantum Key Distribution (QKD) è un'area di ricerca emergente e
piuttosto complessa [2]. Gli schemi QKD assicurano la segretezza della chiave generata
e fanno sì che eventuali intercettazioni da parte di terzi introducano errori rilevabili.
Per elaborare le informazioni, questi metodi sfruttano la meccanica quantistica anziché
la meccanica classica, con conseguenze potenzialmente rivoluzionarie per le tecnologie
informatiche, di comunicazione e criptografiche su cui fanno affidamento le
organizzazioni che lavorano con stringenti requisiti di sicurezza. La QKD ha già trovato
applicazione, ad esempio, nelle transazioni finanziarie e nelle comunicazioni elettorali,
con un ventaglio di altri possibili utilizzi in ambito governativo e militare.
(c) In questo contesto il Quantum Computing (QC), uno dei più importanti traguardi
tecnologici del nostro tempo, può fornire ulteriori sviluppi in grado di incidere sulla
sicurezza militare strategica. In effetti, la capacità dei computer quantistici di effettuare
ricerche in modo efficiente in elenchi di dati di grandi dimensioni può consentire a ogni
sistema che utilizza database o metodi di archiviazioni di dati di ridurre i "tempi di
risposta" e di valutare "maggiori quantità" di dati con efficienza superiore. Ovviamente,
tutto ciò è ancora più importante quando si tratta di archiviazione di dati nel cloud. In
generale, qualsiasi processo che richiede grandi quantità di tempo di elaborazione o
massicce ricerche di dati (data search) può trarre beneficio dallo sviluppo dei computer
quantistici.
40
D’altro canto, l’implementazione dei computer quantistici comporterà un gran
numero di rischi in termini di sicurezza, dato che il calcolo quantistico sarebbe in grado di
decifrare i sistemi di criptografia odierni praticamente in tempo reale. Ogni organizzazione
che abbia requisiti di sicurezza dovrà quindi premunirsi rispetto all’avvento di una potenza
di calcolo in grado di rendere obsoleti gli attuali algoritmi di criptografia. In campo militare,
ciò può tradursi nella pratica a dover costringere amici e avversari ad investire nello sviluppo
di protocolli di criptografia capaci di resistere al calcolo quantistico.
La combinazione di Quantum Key Distribution (a.) e metodi One-Time-Pad (OTP)
(b.) può rivelarsi vantaggiosa per operazioni di tipo militare. In particolare, lo sviluppo di un
sistema di distribuzione di chiavi quantistiche che si traducesse in un sistema criptografico
pratico da utilizzare e sicuro su ampia scala potrebbe condurre a tecnologie innovative per
le guerre che vengono combattute nell’era moderna dell'informazione.
In linea di principio, i canali di comunicazione protetti da QKD potrebbero collegare
nodi di comando e di controllo, mettendo in contatto i comandanti con altri alti ufficiali delle
forze armate ed a loro volta col loro staff sia attraverso (i.) circuiti terrestri ad es. reti di "fibre"
ottiche, sia attraverso (ii.) circuiti terra-spazio ad es. "satelliti" che si muovono su orbite
terrestri basse e collegati a stazioni a terra. I satelliti, che trasportano dispositivi QKD, in
questo caso distribuirebbero nuove chiavi private a contingenti di ufficiali così come a
personale predisposto alla supervisione delle operazioni di campo purchè situati in qualsiasi
punto del campo visivo delle piattaforme. Ad esempio, nel caso di Micius, il primo satellite
quantistico cinese (si veda omonimo paragrafo), sono state create delle chiavi segrete tra
Cina ed Europa in posizioni distanti circa 7000 km l'una dall'altra per mezzo di un network
satellitare (civile) per la crittografia QKD intercontinentale [3]. I futuri tentativi di realizzare
una rete QKD "globale" [4] sfrutteranno senza dubbio la potenza della tecnologia
dell'informazione in un quadro di operazioni militari incentrate sulla rete (net-centric warfare)
[5].
In teoria, i metodi QKD possono anche rappresentare una protezione contro le
capacità di decodifica di un computer quantistico. Per esempio, aumentando la velocità di
generazione delle chiavi nei sistemi QKD fino a valori compatibili con la criptografia OTP, si
potrebbe sventare il rischio di decodifica da parte dei computer quantistici. Poiché la velocità
di generazione dell'ordine dei kbps (kilo bit al secondo) sufficienti per la codifica OTP sono
già raggiungibili [6] (Si veda anche “Clavis𝟑𝟎𝟎
"), l’attuale tecnologia QKD è potenzialmente
41
in grado di sviluppare un metodo criptografico resistente agli attacchi dei computer
quantistici.
In pratica, comunque, tutto ciò richiederebbe la messa in opera di una nuova
generazione di hardware criptografico in tutto l'esercito, con canali di comunicazione protetti
da crittografia QKD.
Bibliografia 3.
1. Simon Singh, “The Code Book: The Science of Secrecy from Ancient Egypt to Quantum Cryptography”, Knopf Doubleday Publishing Group, Jan 26, 2011. (ISBN 9780307787842)
2. J. D. Morris et al., “A survey of quantum key distribution technologies” in Emerging Trends in ICT Security, 1st ed., B. Akhgar and H. R. Arabnia, Eds. Waltham, MA: Elsevier, 2013.
3. Un tale risultato pone chiaramente le basi per un’efficiente rete quantistica globale a “doppio-uso” (dual-use), il che significa che può essere di supporto per applicazioni sia militari che civili.
4. Q. Zhang et al., Large scale quantum key distribution: challenges and solutions, Optics Express 24261, Vol. 26, No. 18 (2018)
5. Negli anni '90, il Dipartimento della Difesa degli Stati Uniti (DoD) apri’ ad un approccio di guerra basato sulla rete (Net-centric warfare) ovvero ad una guerra network-centrica … o anche guerra digitale. Esso contemplava l’impiego dell’informatica onde ottenere un vantaggio militare competitivo nei confronti del nemico. Un tale approccio, che inizialmente contemplava reti di computers efficientemente connessi tra forze geograficamente disperse e ben informate, ha col tempo acquisito il significato più generale della capacità di raggiungere una superiorità derivante dai vantaggi della tecnologia informatica onde dominare lo spazio di battaglia a partire dalle operazioni di pace fino all'applicazione diretta del potere militare.
6. H.-L. Yin, et al.“Measurement-device-independent quantum key distribution over a 404 km optical fiber” Phys. Rev. Lett. 117(19), 190501 (2016).
3.1. La distribuzione a chiave quantistica: le sfide.
Sebbene negli ultimi decenni siano stati fatti progressi significativi, le reti di
distribuzione di chiavi quantistiche su larga scala hanno ancora alcuni ostacoli davanti a sè.
I più rilevanti per le applicazioni militari saranno esaminati nei prossimi paragrafi, seguiti da
una panoramica delle possibili applicazioni. Verranno anche tratteggiati vantaggi e
svantaggi della distribuzione di chiavi quantistiche dal punto di vista delle operazioni militari.
Il primo ostacolo da superare è il divario tra teoria e pratica nelle attuali
implementazioni della QKD [1], che è idealmente sicura solo quando utilizza sorgenti a
singolo fotone ideali e rivelatori “ideali”. Purtroppo nella realtà i dispositivi ideali non
esistono: le loro imperfezioni possono quindi aprire falle di sicurezza o canali secondari,
compromettendo all’atto pratico la sicurezza di un protocollo QKD [2-4]. Sono stati proposti
diversi protocolli QKD che non risentono delle imperfezioni del dispositivo [5,6] ed alcuni
sono già stati dimostrati con esperimenti di successo e riguardano metodi QKD "con stato
42
esca" (decoy state) [7,8] e metodi QKD "indipendenti dal dispositivo di misura”
(Measurement Device Independent-MDI) [9].
3.2. QKD sicura con dispositivi imperfetti: sorgenti a singolo fotone difettose.
Il protocollo QKD più noto è il BB84, in cui Alice (mittente) codifica i suoi numeri
casuali in una sequenza di singoli fotoni preparati in basi di polarizzazione scelte a caso e
Bob (ricevitore) misura ogni singolo fotone in ingresso utilizzando una delle due basi,
anch’essa scelta a caso. Successivamente, durante la riconciliazione delle basi, Alice e Bob
sacrificano una porzione scelta in modo casuale dei dati rimanenti per stimare il tasso di
errore del bit quantistico (QBER). Se quest’errore è maggiore di un valore-soglia
predeterminato, interrompono il protocollo, altrimenti usano le classiche tecniche di post-
selezione per generare una chiave segreta. Nelle implementazioni reali, è strato dimostrato
inoltre che la criptografia QKD è sicura per mittente e destinatario a condizione che i
dispositivi da essi utilizzati siano gli stessi del modello teorico. In pratica, tuttavia, il modello
potrebbe non essere soddisfatto, lasciando a Eva scappatoie per fare “hacking" sui canali
di comunicazione QKD.
La prima strategia nota per l'hacking quantistico è l'attacco “photon number splitting"
(PNS) [10]. Il protocollo BB84 richiede una sorgente a singolo fotone, che tuttavia con la
tecnologia attuale non è "ideale". Inoltre le attuali sorgenti a singolo fotone generalmente
sono voluminose, costose e poco efficienti, perciò per le implementazioni pratiche della QKD
vengono usati impulsi coerenti deboli prodotti da laser fortemente attenuati. Poiché anche
in un impulso di intensitàà molto bassa esiste una probabilità non nulla di trovare 2 o più
fotoni, Eva può trattenere una parte dell'impulso a più fotoni ed inviare l'altra parte a Bob. In
questo modo durante il processo di riconciliazione delle basi, Alice e Bob non possono
accorgersi dell'esistenza di Eva!
In pratica, l'attacco PNS limita la distanza per una QKD sicura a meno di 30 km [11].
Alcuni gruppi [12] hanno implementato la QKD con impulsi coerenti deboli fino a 100 km,
ma questi sistemi QKD non sono sicuri sotto un attacco PNS. Per contrastare questo tipo di
attacco, negli scorsi decenni sono stati proposti numerosi protocolli QKD e, in particolare,
quello basato sul cosiddetto “decoy state” [13] (stato esca). In questo metodo, oltre al
normale stato del segnale, Alice prepara alcuni decoy states. Gli stati esca sono “uguali"
allo stato del segnale, ad eccezione del numero previsto di fotoni. Questi decoy states
aggiuntivi vengono usati solo per rilevare gli attacchi di Eva, mentre gli stati di segnale
servono per generare la chiave privata. A “ciascun impulso” generato da Alice è assegnato
lo "stato di segnale" o lo “stato esca" in modo casuale dopodiché Alice modula l'intensità di
43
ogni impulso e lo invia a Bob. Allorché Bob annuncia di aver ricevuto tutti i segnali, Alice gli
comunica mediante un canale classico quali sono gli stati di “segnale".
Diversi esperimenti hanno dimostrato che il BB84 con decoy state è sicuro e può
essere applicato in condizioni realistiche. Rosenberg et al. [14] e Peng et al. [15] hanno
implementato la decoy state QKD attraverso 100 km di fibra, superando per la prima volta
i 30 km previsti come distanza-limite per rimanere indenni da un attacco PNS. In seguito,
Schmitt-Manderbach et al. sono riusciti a realizzare una decoy state QKD su 144 km nello
spazio [16]. Altri test sperimentali su questo tipo di QKD sono stati effettuati coinvolgendo
vari laboratori ed eseguendo varie prove sul campo [17]. Alla luce di questi risultati, la
comunità di criptografia quantistica ha maturato la convinzione che sia possibile rendere
sicura la distribuzione delle chiavi quantistiche anche se si dispone di dispositivi imperfetti
[18].
Bibliografia 3.2.
1. H.-K. Lo, M. Curty, and K. Tamaki, “Secure quantum key distribution”, Nat. Photonics 8(8), 595–604 (2014).
2. 1. Y. Zhao, C. Fung, B. Qi, C. Chen, and H.-K. Lo, “Quantum hacking: experimental demonstration of time-shift attack against practical quantum-key-distribution systems”, Phys. Rev. A 78(4), 042333 (2008).
3. 3. N. Jain, et al.“Device calibration impacts security of quantum key distribution” Phys. Rev. Lett. 107(11), 110501 (2011).
4. 4. Y.-L. et al., “Source attack of decoy-state quantum key distribution using phase information” Phys. Rev. A 88(2), 022308 (2013).
5. 5. V. Scarani, A. Acín, G. Ribordy, and N. Gisin, “Quantum cryptography protocols robust against photon number splitting attacks for weak laser pulse implementations” Phys. Rev. Lett. 92(5), 057901 (2004).
6. 6. D.Gottesman, H.-K.Lo, N.Lütkenhaus and J.Preskill, “Security of quantum key distribution with imperfect devices” in Proceedings of International Symposium on Information Theory (IEEE, 2004).
7. A.Acín, N.Brunner, N.Gisin, S.Massar, S.Pironio and V.Scarani, “Device-independent security of quantum cryptography against collective attacks” Phys. Rev. Lett. 98(23), 230501 (2007).
8. 21. H.-K.Lo, X.Ma and K.Chen, “Decoy state quantum key distribution”, Phys.Rev.Lett.94 (23), 230504 (2005).
9. 22. H.-K. Lo, M. Curty, and B. Qi, “Measurement-device-independent quantum key distribution”, Phys. Rev. Lett. 108(13), 130503 (2012).
10. G.Brassard, N.Lütkenhaus, T.Mor and B.C.Sanders, “Limitations on practical quantum cryptography”, Phys. Rev. Lett. 85 (6), 1330 (2000).
11. D.Gottesman, H.K.Lo, N.Lütkenhaus and J.Preskill, “Security of quantum key distribution with imperfect devices” in Proceedings of International Symposium on Information Theory (IEEE, 2004), pp. 136.
12. 13. C.Gobby, Z.L.Yuan and A.J.Shields, “Quantum key distribution over 122 km of standard telecom fiber”, Appl. Phys. Lett. 84(19), 3762–3764 (2004).
13. 14. X.-B.Wang,“Beating the photon-number splitting attack in practical quantum cryptography”, Phys.Rev.Lett. 94(23), 230503 (2005).
14. D. Rosenberg et. al, “Long-distance decoy-state quantum key distribution in optical fiber”, Phys. Rev. Lett. 98(1), 010503 (2007).
44
15. C.-Z. Peng, et al., “Experimental long-distance decoy-state quantum key distribution based on polarization encoding”, Phys. Rev. Lett. 98(1), 010505 (2007).
16. T.Schmitt-Manderbach et al. “Experimental demonstration of free-space decoy-state quantum key distribution over 144 km”, Phys. Rev. Lett. 98(1), 010504 (2007).
17. A. R. Dixon, Z. L. Yuan, J. F. Dynes, A. W. Sharpe, and A. J. Shields, “Gigahertz decoy quantum key distribution with 1 Mbit/s secure key rate”, Opt. Express 16(23), 18790–18797 (2008).
18. Q. Zhang et al., Large scale quantum key distribution: challenges and solutions, Optics Express 24261, Vol. 26, No. 18 (2018)
3.3. QKD sicura con dispositivi imperfetti: Rivelatori di singolo-fotone difettosi.
Delle falle di sicurezza si possono aprire anche sul fronte della misura (detection).
L’esistenza di numerose possibilità di attacco a rivelatori di sistemi QKD sia sviluppati a
scopo di ricerca che commerciali è stata dimostrata sperimentalmente più di dieci anni fa
(2008-2011). A titolo di esempio, citiamo brevemente il cosiddetto attacco di “accecamento
del rivelatore” [1] (blinding), tralasciando diversi altri tipi ben noti d’attacco [2].
I rivelatori più utilizzati da Bob sono diodi a valanga a singolo-fotone (Single Photon
Avalanche Diode o “SPAD”). Quando l'intensità in ingresso è a livello di singolo fotone il
rivelatore funziona correttamente, ma all’aumentare dell'intensità diventa "cieco" e inizia a
funzionare in modo diverso: l'uscita sarà direttamente proporzionale alla potenza ottica in
ingresso (regime lineare). Di conseguenza Eva può effettuare un attacco di "intercettazione
e rinvio", intercettando gli impulsi di Alice e misurandoli. Dopodiché, prima invia una luce
intensa per accecare tutti i rivelatori di Bob e poi, basandosi sulle misure effettuate, gli invia
un'altra luce di intensità opportunamente calibrata in modo che i suoi rivelatori possano
scattare solo quando seleziona la stessa base di Eva. In questo modo Eva è in grado di
rubare le informazioni chiave senza farsi scoprire.
Una soluzione praticabile per difendersi dagli attacchi sulla misura è offerta dai
metodi QKD “indipendenti dal dispositivo di misurazione” (Measurement Device
Independent o “MDI”). Secondo la procedura MDI, sia Alice sia Bob sono mittenti e
trasmettono segnali a una terza persona non affidabile, Eva, che in questo caso dovrebbe
effettuare una misura specifica (“stato di Bell”). Tale misura fornisce un risultato che potrà
essere verificato da Alice e da Bob. Pertanto, la MDI-QKD riesce ad eliminare canali
secondari di perdite nella fase del processo di misura. Per maggiori dettagli sui metodi QKD
indipendenti dal dispositivo di misurazione rimandiamo il lettore ad alcuni lavori recenti
sull'argomento [3-6].
A partire dal 2013, vari gruppi di ricerca hanno implementato con successo la MDI-
QKD [3]. Ai fini dell’utilizzo pratico del sistema sono particolarmente importanti le
dimostrazioni condotte da Liu et al con stati esca [4] e da Tang et al con fonti imperfette [5].
45
L’importanza della MDI-QKD risiede non solo nel fatto che è sicura nei confronti degli
attacchi in fase di misura, ma anche nella sua praticità. Infatti può essere implementata con
laser coerenti deboli facilmente disponibili, è in grado di resistere a elevate perdite durante
la comunicazione che pertanto rimane efficace anche sulle lunghe distanze. Recenti studi
hanno dimostrato la possibilità di realizzare protocolli MDI-QKD che utilizzano una fibra a
bassa perdita (0,16 dB / km) su una distanza di 400 km [6]. È importante sottolineare che la
velocità di generazione delle chiavi raggiunta in questo esperimento è di circa 3 kbps a una
distanza di circa 100 km, sufficiente ad es. per la codifica One Time Pad di un messaggio
vocale. Nel frattempo, anche tentativi di raggiungere una velocità di 1 Mbps utilizzando un
protocollo QKD-MDI hanno avuto esito positivo. Date le distanze coinvolte, tutti questi
esperimenti dimostrano che la QKD-MDI è adatta a una rete QKD metropolitana [7].
Bibliografia 3.3
1. L. Lydersen, C. Wiechers, C. Wittmann, D. Elser, J. Skaar, and V. Makarov, “Hacking commercial quantum cryptography systems by tailored bright illumination” Nat. Photonics 4(10), 686–689 (2010).
2. Altre tipologie di attacchi includono ad es. “time-shift” attack, “dead-time” attack etc. 3. T. F. da Silva, et al, “Proof-of- principle demonstration of measurement-device-independent
quantum key distribution using polarization qubits” Phys. Rev. A 88(5), 052303 (2013). 4. Y. Liu et al., “Experimental measurement-device-independent quantum key distribution” Phys.
Rev. Lett. 111(13), 130502 (2013). 5. Z. Tang, K. Wei, O. Bedroya, L. Qian, and H.-K. Lo, “Experimental measurement-device-
independent quantum key distribution with imperfect sources” Phys. Rev. A 93(4), 042308 (2016).
6. H.-L. Yin et al., “Measurement-device-independent quantum key distribution over a 404 km optical fiber” Phys. Rev. Lett. 117(19), 190501 (2016).
7. L. C. Comandar et al., “Quantum key distribution without detector vulnerabilities using optically seeded lasers” Nat. Photonics 10(5), 312–315 (2016).
Il secondo ostacolo è il decadimento del rate con cui si generano le chiavi private
nelle realizzazioni pratiche della QKD. Sebbene l'attuale record di distanza in fibra per la
QKD sia di circa 400 km [1] e la proposta di un nuovo protocollo per estenderla di altri 100
km [2] sia già stata avanzata, la velocità di generazione delle chiavi private in fibra cala
drasticamente su lunghe distanze. Una soluzione è rappresentata dal ripetitore quantistico,
benché la sua applicazione pratica risenta ancora delle prestazioni limitate delle memorie
quantistiche [3]. In attesa che questo inconveniente venga superato, al posto del ripetitore
quantistico si può utilizzare lo schema del relè affidabile (trusted relay), esso può essere
implementato nella tecnologia attuale ma che richiede una "protezione" su tutti i nodi di relè
[4].
46
3.4. Perdite e decoerenza nelle reti in fibra ottica: rete metropolitano e rete dorsale.
Storicamente, la prima prova sul campo documentata per la QKD con fibre ottiche è
stata eseguita nel 1965 dal British Telecom Lab, nel Suffolk (UK) [5]. Il test prevedeva la
partecipazione di quattro utenti, un’Alice e tre Bob, e l’utilizzo di un impulso coerente debole.
La lunghezza del collegamento in fibra era di diverse centinaia di chilometri, con un rate di
generazione di chiavi sicure di circa 1
kbps. Un altro risultato di rilievo fu messo
a segno dal DARPA a Boston (USA). In
questo caso la rete è un “mix” di BB4 con
impulsi coerenti deboli e di protocolli
basati sull’entanglement. Molti anni dopo,
a Vienna è stata creata una rete QKD
europea basata su fibra (2009), seguita da
un’altra rete analoga a Tokyo (2011) [7].
Più o meno nello stesso periodo (2009-
2011) è stata costruita una rete QKD per
applicazioni civili nella città di Hefei, in
Cina [8], in cui il segnale telefonico vocale
veniva codificato e decodificato da chiavi
quantistiche abbinate al metodo OTP. Reti
quantistiche sono state costruite anche a
Ginevra (2011) e a Durban, in Sudafrica
(2010), sulla base di protocolli QKD “plug
& play” BB84.
Oltre alla criptografia OTP, la generazione di chiavi quantistiche è stata anche
combinata con il sistema Advanced Encryption Standard (ASE) per aumentare la velocità
di comunicazione, anche se al prezzo di una minore sicurezza rispetto alla criptografia OTP.
È pure possibile integrare sistemi crittografici QKD in una rete di telecomunicazione a fibra
singola per dati classici; questa possibilità consente di ridurre significativamente i costi,
aumentando al contempo la robustezza e la praticità della crittografia QKD [9]. Di recente
(2018) in Cina è stata dimostrata la possibilità di realizzare una QKD integrata con dati di
comunicazione in fibra ottica convenzionale con un traffico dati da 3,6 Tbps su una distanza
di 66 km [10].
Anche se la tendenza attuale è quella di voler integrare la criptografia QKD con reti
standard di comunicazione ottica in fibra per trasmissioni di dati sicuri su larga scala, la
FIG. 1 LA STRUTTURA DELLA DORSALE QKD (BACKBONE) PECHINO-SHANGHAI (~ 2000 KM)
47
perdite e decoerenza tipiche delle fibre ottiche riducono tuttavia esponenzialmente non solo
l'intensità ma anche la fedeltà del segnale quantistico. A differenza di un segnale ottico
classico, infatti, il segnale quantistico non può essere né clonato perfettamente (teorema di
non clonazione) né amplificato senza introdurre errori. In tal senso, il metodo del ripetitore
ottico classico non funziona per canali di comunicazione quantistica. Di conseguenza, la
realizzazione di una rete QKD a lunga distanza rappresenta tuttora una sfida difficile da
vincere. Si elencano di seguito alcune soluzioni.
• “Quantum repeaters”. Una via percorribile può essere quella di utilizzare dei "ripetitori
quantistici" [11]. Per quanto siano stati fatti enormi progressi in questa direzione, la
realizzazione pratica di un ripetitore quantistico è ancora fuori dalla portata dell'attuale
tecnologia [12].
• “Trusted relays”. Una soluzione più praticabile per realizzare reti in fibra ottica che
colleghino utenti remoti può essere quella di usare “relè affidabili (trusted relays). In questo
caso, Alice e Bob condividono una chiave segreta mediante un trusted relay centrale, che
annuncerà pubblicamente i risultati di entrambe le chiavi (XOR-gate [13]), in modo che Alice
e Bob possano conoscere l’uno la chiave dell’altro. Lo svantaggio di questo metodo è che
sia Alice sia Bob devono "fidarsi" del relay che, per garantire una comunicazione sicura,
dovrebbe essere fisicamente "ben isolato". Il vantaggio consiste nella riduzione dei costi e
della complessità rispetto ad una configurazione punto-punto (point-to-point). Il metodo dei
trusted relays permette inoltre d’estendere la distanza di trasmissione.
FIG. 2. NETWORK METROPOLITANO QKD DI JINAN
48
È importante notare che la Cina ha costruito la rete “dorsale” di comunicazione
quantistica (backbone) sicura più lunga del mondo, da Pechino a Shanghai (Si veda Fig. 1),
con una distanza in fibra superiore a 2000 km [4]. Tale network include 32 nodi e collega
quattro reti metropolitane: Pechino, Jinan, Hefei e Shanghai. Ciascuna di esse ha più di 10
nodi con topologie diverse. Ad esempio, la topologia della rete dorsale QKD (backbone QKD
network) di Jinan è illustrata in Fig. 2. Durante il funzionamento della rete dorsale di Pechino-
Shanghai, la QKD viene implementata tra “ogni coppia di nodi adiacenti”, senza la necessità
di ripetitori quantistici né di memorie quantistiche. Tutti e 32 i nodi sono "nodi fidati", cosicché
in ciascuno di essi la chiave quantistica viene ricevuta e trasmessa lungo la linea dorsale
mediante un'operazione XOR [13]. La rete dorsale di Pechino-Shanghai, insieme alle
quattro reti metropolitane, si è rivelata utile ai fini di molte applicazioni pratiche nel settore
bancario, finanziario e assicurativo che sono attualmente già in fase di collaudo. Tutte le reti
QKD metropolitane e dorsali prese in esame fino ad ora si basano su trusted relays e di
conseguenza la sicurezza dipende in modo cruciale dal fatto che ciascun nodo di relay sia
affidabile mentre verrebbe meno se uno di essi dovesse dimostrarsi inaffidabile o
compromesso.
• “Untrusted relays”. Relays non-affidabili sono una soluzione molto più promettente e di
ampia portata per la realizzazione di una futura rete QKD. Il protocollo MDI-QKD descritto
in precedenza è intrinsecamente adatto a un'architettura di rete di telecomunicazione “a
stella” (star network) in cui i dispositivi di misurazione sono posizionati sul relay centrale
"non affidabile", ovvero un server di rete a cui tutti gli utenti circostanti semplicemente
trasmettono segnali quantistici [14]. Ogni coppia di utenti che vuole condividere chiavi
segrete tramite QKD verrà indirizzata al relay centrale "non affidabile", che su loro richiesta
eseguirà una specifica misura [15].
Tipicamente, la parte più costosa di un sistema QKD è rappresentata dai rivelatori a
singolo fotone (ricevitore). Per aumentare la scalabilitàà della rete, spesso le architetture
sono condivise, e una rete a stella viene progettata in modo da poter condividere i rivelatori
(a singolo fotone), ovvero la risorsa più costosa. I nodi della rete MDI-QKD diventano quindi
"mittenti", con la riduzione del costo dell'intero sistema. Con una tale struttura "topologica"
diventa semplice aggiungere direttamente più utenti, mantenendo al contempo bassi
requisiti hardware.
Ad esempio, Tang et al. hanno eseguito nella cittàà di Hefei la prima
implementazione di una rete MDI-QKD di questo tipo [16] con una topologia star network a
quattro nodi, di cui uno “di relay” e gli altri tre “di utente”. Non è necessario che il nodo
49
centrale di relay sia affidabile [17]. La rete a stella per la distribuzione di chiave quantistica
indipendente dal dispositivo di misurazione è stata costruita su un'area metropolitana di 200
chilometri quadrati. In tutti i test effettuati sul campo, lo schema criptografico ha funzionato
continuativamente per una settimana con una velocità di generazione di chiavi sicure 10
volte maggiore rispetto ai risultati ottenuti in precedenza. Nel complesso questi risultati
dimostrano che, tra i vari tipi di possibili protocolli QKD, le reti MDI-QKD coniugano
sicurezza e praticitàà e costituiscono una soluzione allettante per proteggere comunicazioni
metropolitane.
Bibliografia 3.4
1. H.-L. Yin et al., “Measurement-device-independent quantum key distribution over a 404 km optical fiber”, Phys. Rev. Lett. 117(19), 190501 (2016).
2. M. Lucamarini, Z. L. Yuan, J. F. Dynes, and A. J. Shields, “Overcoming the rate-distance limit of quantum key distribution without quantum repeaters” Nature 557 (7705), 400–403 (2018).
3. N.Sangouard, C.Simon, H.DeRiedmatten and N.Gisin, “Quantum repeaters based on atomic ensembles and linear optics” Rev. Mod. Phys. 83(1), 33–80 (2011).
4. J.Qiu, “Quantum communications leap out of the lab”, Nature 508 (7497), 441–442(2014). 5. P.D.Townsend, S.J.D. Phoenix,K.J.Blow, and S.M.Barnett, “Design of quantum cryptography
systems for passive optical networks” Electron. Lett. 30(22), 1875–1877 (1994). 6. C.Elliott, A.Colvin, D.Pearson, O.Pikalo, J.Schlafer and H.Yeh “Current status of the DARPA
quantum network” in Quantum Information and Computation III 5815, 138–150 (2005)
7. Entrambi networks comprendono 6 nodi e contengono protocolli QKD di diverso tipo, tra cui ad es. il “plug & play”, il “decoy-state BB84”, protocolli basati sull “entanglement”, il “coherent one way (COW)”, il “differential phase shift (DPS)” così come protocolli a “variabile continua (CV)”.…
8. T.-Y. Chen et al., “Metropolitan all-pass and inter-city quantum communication network” Opt. Express 18(26), 27217–27225 (2010).
9. L’idea di adattare schemi di criptografia QKD alle linee convenzionali di trasmissione dati è stato introdotto per la prima volta da Townsend nel 1997. Si veda PD Townsend, “Simultaneous quantum cryptographic key distribution and conventional data transmission over installed fibre using wavelength-division multiplexing” Electronics Letters 33(3), 188 (1997). Successivamente, diversi esperimenti QKD hanno dimostrato la fattibilità dell'integrazione di vari protocolli QKD con i canali di telecomunicazione classici.
10. Y. Mao, B.-X et al, “Integrating quantum key distribution with classical communications in backbone fiber network”, Opt. Express 26(5), 6010–6020 (2018).
11. H.-J. Briegel, W. Dür, J. I. Cirac, and P. Zoller, “Quantum repeaters: the role of imperfect local operations in quantum communication”, Phys. Rev. Lett. 81(26), 5932–5935 (1998).
12. S. Muralidharan, L. Li, J. Kim, N. Lütkenhaus, M. D. Lukin, and L. Jiang, “Optimal architectures for long distance quantum communication”, Sci. Rep. 6(1), 20463 (2016).
13. Questo può essere fatto con una porta XOR (Exclusive or or exclusive disjunction), un’operazione logica che fornisce uscite "corrette" solo quando gli ingressi differiscono (….il numero di ingressi è dispari).
14. H.-K. Lo, M. Curty, and K. Tamaki, “Secure quantum key distribution”, Nat. Photonics 8(8), 595–604 (2014).
15. Il relay centrale fara’ una misura di uno stato di Bell (Bell state measurement). Si veda ad es. [4].
16. Y.-L. Tang et al., “Measurement-device- independent quantum key distribution over un-thrustful metropolitan network” Phys. Rev. X 6(1), 011024 (2016).
50
17. In pratica, quando il relè (relay) centrale può essere considerato “attendibile”, si può anche riconfigurare la rete MDI-QKD per adattarla a protocolli diversi di comunicazione quantistica.
3.5. Perdite e decoerenza nelle reti satellitari: free-space QKD.
In generale, il rate di generazione delle chiavi segrete in fibra diminuisce linearmente
con la trasmissione lungo la fibra, il che rappresenta una grave limitazione su distanze molto
lunghe. Nell’atmosfera l'attenuazione è molto minore che in fibra ottica, con perdita di canale
e decoerenza notevolmente inferiori, cosicché la comunicazione quantistica basata su
satellite risulta essere una soluzione più promettente. L’attenuazione nella regione del vuoto
al di sopra dell'atmosfera terrestre (il cui spessore verticale effettivo è di circa 5-10 km da
terra) è invece trascurabile. Di conseguenza, è possibile utilizzare i satelliti come nodi
intermedi affidabili per la comunicazione tra postazioni a terra. Entro il limite di
sopravvivenza dei singoli fotoni una volta penetrati nell'atmosfera terrestre, i collegamenti
QKD di tipo terra-satellite possono essere di gran lunga più efficienti dei collegamenti in
fibra! È un campo straordinariamente promettente per la comunicazione quantistica su scala
globale, nel quale recentemente sono stati fatti notevoli progressi [1,2].
Perdite per assorbimento da parte dell’atmosfera.
Il primo esperimento in cui sia mai stato verificato il principio della free-space QKD è
stato effettuato su un collegamento di 32 cm (1992), mentre per la dimostrazione della
fattibilità della QKD nello spazio su distanze dell’ordine dei chilometri si sono dovuti
aspettare ancora diversi anni (1998-2002). Ad ogni modo, la maggior parte di quei primi
tests ha dimostrato che gli stati quantistici possono sopravvivere alla propagazione
nell’atmosfera, confermando così la fattibilità della comunicazione quantistica nello spazio
basata ad es. su satelliti terrestri. Prima di lanciare un satellite è stata effettuata anche
un’importante serie di prove a terra, come ad es. la distribuzione di chiavi (QKD) con decoy
states su un collegamento free-space di 144 km (2007) [3], con una velocità di generazione
delle chiavi sicure di 12,8 bit/s, un'attenuazione di circa 35 dB su una distanza di oltre 100
km (2012) [4].
Sebbene tali esperimenti dimostrino che la QKD è in grado di sopravvivere
all'assorbimento dell'atmosfera, non simulano tuttavia un reale collegamento tra un satellite
"in rapido movimento" ed una stazione terrestre. Una seconda generazione di esperimenti
[5] ha pertanto impiegato un apparato criptografico montato su piattaforme girevoli o
addirittura una mongolfiera testando in tal modo le prestazioni di comunicazione criptata
(QKD) in condizioni di rapido movimento, brusche variazioni di altitudine, vibrazioni,
movimento casuale dei satelliti ecc. tutte circostanze che corrispondono a parametri
51
realistici di comunicazione con satelliti in basse orbite terrestri (LEO) (Vedi anche il
paragrafo: "Micius; il primo satellite quantistico cinese"). Nel frattempo è stata fornita
un’eclatante prova di criptografia QKD tra un aereo ed una stazione terrestre [6] così come
di una dimostrazione della trasmissione diretta terra-satellite di una sorgente a quasi-
singolo-fotone (weak laser pulse) generata e riflessa sulla terra da un retro-riflettore posto
su un satellite [7].
Perdite geometriche e di accoppiamento.
Oltre alle perdite per assorbimento, esistono anche perdite geometriche, ottiche,
di/per accoppiamento etc., che si traducono in una perdita di canale complessiva tra un
satellite LEO e la Terra, o tra satelliti LEO, di circa 40-45 dB [8]. I parametri tipici per questi
tipi di perdite sono riportati nel prossimo paragrafo (Micius).
3.6 Micius: Il primo satellite quantistico cinese.
Il primo satellite quantistico “Micius” è stato lanciato a Jiuquan (Cina) nel 2016.
Si tratta di un satellite LEO in orbita ad un'altitudine di circa 500 km (Si veda Fig. 3).
Un trasmettitore QKD con stato esca (decoy) viene installato su uno dei payload satellitari
di Micius che esegue il downlink QKD inviando i segnali quantistici al ricevitore di Xinglong
(stazione a terra). La possibilità di decoy-state QKD è stata dimostrata con codifica di
polarizzazione dal satellite a terra, con una velocità di 1 kbps su una distanza fino a 1200
km [1]. Il test QKD è stato ripetuto 23 volte in giorni sempre diversi, ed è stato riscontrato
FIG. 3. LE TRE STAZIONI DI TERRA (GRAZ, NANSHAN E XINGLONG) CONNESSE DAL SATELLITE MICIUS. SONO ELENCATI I PERCORSI UTILIZZATI PER LA GENERAZIONE DELLA CHIAVE PRIVATA E LA CORRISPONDENTE LUNGHEZZA FINALE DELLA CHIAVE.
52
che i tassi di errore dei bit quantistici e il rate di generazione delle chiavi sicure variavano al
variare della distanza e delle condizioni
meteorologiche. In Fig.4 è mostrata
l'efficienza del collegamento QKD terra-
satellite per distanze tra 645 e 1200 km e
confrontate col metodo convenzionale
tramite fibre ottiche. Nonostante il breve
tempo di copertura (273 secondi al giorno) e
la necessitàà di condizioni meteorologiche
ragionevolmente buone, il satellite Micius
garantisce un enorme miglioramento
dell'efficienza rispetto alle fibre. A 1200 km
di distanza, l'efficienza del canale
quantistico nei 273 secondi di copertura
supera di circa 20 ordini di grandezza
quanto riportato in precedenza per la QKD.
Successivamente, il satellite Micius è stato utilizzato come trusted relay per distribuire
chiavi private tra più postazioni remote in Cina e in Europa [9]. Cina e Austria hanno
utilizzato questo collegamento QKD quantistico per scambiare dati criptografati con One
Time Pad, trasferendo immagini (Si veda Fig. 5) dalla Cina all'Austria e viceversa. Le tre
stazioni terrestri che hanno collaborato erano situate a Xinglong, Nanshan e Graz; le prime
due città (Xinglong-Nanshan) si trovano a 2500 km di distanza, mentre le altre due
(Nanshan-Graz) distano 7600 km. In questo esperimento Micius seguiva un'orbita
sincronizzata con il Sole, ruotando attorno alla Terra ogni 94 minuti. Ogni notte, a partire
dalle 0:50 circa (ora locale), il satellite passava sopra le tre stazioni terrestri consentendo
d’effettuare un downlink QKD per una durata di ~300 s. In condizioni meteorologiche
ragionevolmente buone, si sono potute ottenere sistematicamente chiavi (sifted keys) a ~3
kbps per ~1000 km di distanza di separazione fisica e a ~9 kbps per circa 600 km di distanza
FIG. 4. EFFICIENZE A CONFRONTO. TRASMISSIONE DIRETTA VIA FIBRA OTTICA (ROSSO) E VIA TERRA-SATELLITE (BLUE).
53
(al massimo angolo di
elevazione). La prima
comunicazione quantistica
intercontinentale è stata
quindi portata a termine con
successo usando il satellite
Micius come trusted relay.
Bibliografia 3.5
1. S.-K. Liao, et al. “Satellite-to-ground quantum key distribution”, Nature 549 (7670), 43 (2017). 2. J.-G. Ren, et al., “Ground-to-satellite quantum teleportation”, Nature 549 (7670), 70 (2017). 3. R. Ursin, et al., “Entanglement-based quantum communication over 144 km” Nat. Phys. 3(7),
481 (2007). 4. J. Yin et al. “Quantum teleportation and entanglement distribution over 100-kilometre free-
space channels” Nature 488 (7410), 185 (2012). 5. J.-Y. Wang et al. “Direct and full-scale experimental verifications towards ground-satellite
quantum key distribution”, Nat. Photonics 7(5), 387 (2013). 6. S. Nauerth et al., “Air-to-ground quantum communication”, Nat. Photonics 7(5), 382 (2013). 7. J. Yin et al., “Experimental quasi-single-photon transmission from satellite to earth”, Opt.
Express 21(17), 20032 (2013). 8. M. Pfennigbauer, W. R. Leeb, M. Aspelmeyer, T. Jennewein, and A. Zeilinger, “Free-space
optical quantum key distribution using inter-satellite links” in Proceedings of the CNES - Intersatellite Link Workshop, (2003).
9. S.-K. Liao, et al., “Satellite-relayed intercontinental quantum network”, Phys. Rev. Lett. 120(3), 030501 (2018).
FIG. 5. Una foto JPG di Micius (filosofo) e Schrödinger (fisico), criptata OTP con una chiave sicura (5,34 o 4,9 kB) garantendo una sicurezza incondizionata, è stata condivisa tra Pechino e Vienna. Immagine binaria delle foto e delle chiavi. Le immagini sono state criptate (de-cifrate) sia a Pechino che a Vienna con una operazione operazione XOR.
54
4. DIFESA E POTENZIALI APPLICAZIONI MILITARI DELLA QKD: UNA
PROSPETTIVA
Nuovi sviluppi nel settore militare e della difesa in genere sono attesi dalla scienza
dell'informazione quantistica. Anche se tali applicazioni vengono definite “quantistiche” in
generale meritano tuttavia un’analisi più specifica. In particolare, la distribuzione a chiave
quantistica (Quantum Key Distribution o QKD) e la criptoanalisi quantistica sono destinate
ad influenzare significativamente la sicurezza militare strategica in vari modi.
Lo scopo di questa sezione è di riassumere lo stato attuale della “sicurezza
dell’informazione” in uno schema criptografico QKD per un pubblico di non specialisti,
descrivendo le migliori pratiche da adottare nel settore militare, inteso nella accezione più
ampia del termine come richiesto dal CEMISS. Per preservare la leggibilità del testo,
chiariremo in che modo l'implementazione possa influire sulla sicurezza senza fornirne
un'analisi dettagliata, per la quale si rimanda il lettore ai capitoli precedenti. Alla fine della
sezione viene presentato, sotto forma di tabella (Si veda Tab. 1) anche un confronto con un
protocollo criptografico standard.
4.1. L’intercettatore (eavesdropper) può essere individuato.
La criptografia QKD è protetta dalle leggi della fisica quantistica e garantisce
che "qualsiasi" intercettazione verrà rilevata. Una criptografia di questo tipo è
particolarmente importante in campo militare, per impedire che vengano intercettate
informazioni riservate.
In una situazione tipica, in cui due elementi distanti (Alice e Bob) usano i loro
dispositivi criptografici QKD per ottenere una stringa di bit (chiave), un intercettatore (Eva)
può tentare di ricavare informazioni sui bits misurando i segnali che viaggiano lungo il canale
di comunicazione che collega Alice e Bob. Poiché nella fisica classica non c'è nulla che
impedisca ad Eva di copiare il segnale classico (chiave) durante il suo passaggio da Alice
a Bob, tutti i metodi classici per distribuire una chiave sicura sono "intrinsecamente" insicuri.
Quando invece Eva legge il segnale inviato attraverso il canale criptografico QKD di
Alice nel tentativo di copiarne la chiave, ella aggiungerà inevitabilmente rumore alla
trasmissione del segnale stesso, proprio in virtu’ della natura quantistica del segnale che
viene impiegato. Misurando tale rumore Alice e Bob possono stimare la massima quantità
di informazioni che Eva ha acquisito sulla serie di bit e quindi possono rilevare la presenza
di Eva. Di conseguenza la QKD consente a Bob e Alice di appurare se la loro chiave
55
condivisa sia “assolutamente sicura” o se Eva sta “origliando”, nel qual caso non la
useranno.
Un'altra caratteristica unica della QKD è che la sicurezza del protocollo è garantita
indipendentemente dalle risorse a disposizione di Eva [1,2]: anche se ella disponesse di
potenza computazionale illimitata, memoria di archiviazione illimitata e ogni dispositivo
possibile e immaginabile, in questo tipo di criptografia la trasmissione delle chiavi potrebbe
avvenire in modo assolutamente sicuro mediante un qualsiasi canale aperto, perfino se
fosse totalmente controllato da Eva.
È il caso di sottolineare, comunque, che la criptografia QKD non risolve altri aspetti
cruciali della sicurezza, come la verifica dell'identità o il controllo dell'accesso [3]. Rispetto
alle firme digitali convenzionali, le firme digitali quantistiche sono note [4] e vengono
utilizzate nel trasferimento dei dati per impedire il disconoscimento e la manomissione dei
messaggi, con la sicurezza garantita dai limiti teorici della meccanica quantistica.
Bibliografia 4.1
1. Alléaume, et al., “Using quantum key distribution for cryptographic purposes: A survey”. Theoretical Computer Science, 560 (2014).
2. Government Office for Science. “The Quantum Age: technological opportunities” (The Blackett Review of quantum technologies). 2016.
3. European Telecommunications Standards Institute. “Implementation Security of Quantum Cryptography: Introduction, challenges, solutions”. ETSI, 2018.
4. Tests preliminari in cui vengono distribuite firme quantistiche (quantum signatures) ad es. da un mittente a due destinatari si sono rivelati a prova di falsificazione. Si veda ad es. P.J. Clarke et al., "Experimental demonstration of quantum digital signatures using phase-encoded coherent states of light", Nat. Commun. 3, 1174 (2012).
4.2. Sicurezza incondizionata ed a prova di futuro.
La criptografia QKD offre una sicurezza "teorica delle informazioni” assoluta.
Attualmente l’One Time Pad (OTP) è l'unico schema di criptografia non de-codificabile
conosciuto e la criptografia QKD, sfruttando le leggi della meccanica quantistica, è l'unica
in grado di produrre quantità illimitate di materiale di codifica simmetrico necessario per
utilizzare efficacemente un cripto-sistema OTP. Di conseguenza, la QKD è in grado di
garantire una sicurezza teorica delle informazioni molto superiore a quella offerta dalle
tecniche di criptografia classiche, basate sulla complessità computazionale. La sicurezza
teorica delle informazioni è di estrema importanza per la segretezza di dati militari sensibili.
La QKD ha anche il vantaggio di essere “a prova di futuro” [1] (future proof security).
Infatti, a differenza di quanto avviene nel caso di una distribuzione classica delle chiavi, il
56
teorema di non clonazione quantistica [2,3] impedisce a un intercettatore di "conservare"
una trascrizione delle informazioni che sono state codificate mediante un processo QKD.
Ciò rende la criptografia QKD un elemento imprescindibile di qualsiasi infrastruttura di
archiviazione di dati militari segreti di cui si voglia garantire la sicurezza nel futuro.
Per questo motivo la QKD si è imposta a livello mondiale come principale forma di
criptografia quantistica e come tecnologia emergente per la sicurezza informatica.
Bibliografia 4.2
1. D. Unruh, IACR Cryptology ePrint Archive p. 177 (2012). 2. W. K. Wootters and W. H. Zurek, “A single quantum cannot be cloned”, Nature 299, 802 (1982). 3. D. Dieks, “Communication by EPR devices”,Phys. Lett. 92A, 271 (1982).
4.3. A prova di criptoanalisi quantistica….
Come abbiamo già detto, il calcolo quantistico potrebbe decodificare praticamente in
tempo reale i messaggi cifrati con tecniche di criptografia tradizionali basate sulla
complessità computazionale, come le forme più sicure di criptografia a chiave pubblica. Gli
attuali standard criptografici per la codifica dei dati si basano su algoritmi matematici
effettivamente inviolabili su un periodo di tempo ragionevole. La criptografia AES (Advanced
Encryption Standard) a 256 bit, adottata dall’esercito degli Stati Uniti [1], teoricamente
richiederebbe miliardi di anni perché i computer attuali riuscissero a decifrare il codice
utilizzando metodi basati sulla “forza bruta”, ovvero procedendo per "tentativi ed errori" alla
ricerca di tutte le possibili soluzioni. I computer quantistici, invece, sostituendo i metodi
sequenziali di tentativi ed errori con tecniche alternative, saranno in grado di effettuare la
decodifica in pochissimo tempo [2]. La criptografia QKD fornisce una protezione contro le
capacità di decodifica degli attuali algoritmi matematici, di nuovi algoritmi più potenti e dei
computer di prossima generazione, tra cui, in particolare, i computer quantistici attesi nel
prossimo futuro.
L’avvento della criptoanalisi quantistica [3] avrà pesanti ripercussioni sulle relazioni
internazionali, dal momento che le comunicazioni intercettate diventeranno decifrabili [4].
Per i paesi che garantiscono la sicurezza delle proprie operazioni militari o della
comunicazione di dati diplomatici sensibili per mezzo della criptografia standard, ciò
segnerà una svolta epocale: la criptografia QKD sarà allora un metodo efficace per
continuare a proteggere operazioni e dati.
Inoltre, esistono dati riservati che devono essere tenuti segreti per decenni [5]. I dati
trasmessi nel 2019 ad es. sono "vulnerabili" ai progressi tecnologici futuri: Eva potrebbe
57
semplicemente infatti salvarne le trascrizioni in memoria e aspettare il momento in cui verrà
costruito un computer quantistico capace di decifrarli, magari tra dieci anni! Ciò è altamente
probabile [6]. I dati criptati mediante QKD invece non sono accessibili e resteranno sicuri
anche a distanza di decenni.
Bibliografia 4.3
1. "Guideline for Using Cryptographic Standards in the Federal Government: Cryptographic Mechanisms” Elaine Barker, NIST Special Publication 800-175B (July 2019)
2. Anche se ancora non sappiamo quando saranno disponibili i computer quantistici, alcuni malintenzionati “gamblers” stanno già raccogliendo dati che accumulano aspettando il giorno in cui un computer quantistico sarà in grado di de-cifrare in pochi minuti gli attuali standard di criptografia. Gartner stima che entro il 2023, il 20% di tutte le organizzazioni avrà già investito in comunicazioni di criptografia quantistica e che il mercato globale delle “quantum cryptography communications” crescerà fino a $ 24,75 miliardi nel 2025 (Market Research Media). Si veda ad es. ”Quantum Xchange breaks final barriers to make QKD commercially viable with launch of Phio TX”, Press release from Quantum Xchange, September 9th 2019.
3. La “Criptoanalisi quantistica” è l'uso del computer quantistico specificatamente per de-cifrare messaggio criptati.
4. La promessa della criptoanalisi quantistica è così allettante che in alcune nazioni si stanno già raccogliendo comunicazioni militari sensibili criptate di altri nazioni con l'aspettativa di essere poi in grado di decifrarne il contenuto in un futuro non lontano.
5. Dati segreti come ad es. i dati del censimento in Canada vengono depositati negli archivi nazionali solo dopo 92 anni dalla data di raccolta. Si veda ad es. “Release of personal data after 92 years” in http://www12.statcan.gc.ca/census-recensement/2011/ref/about-apropos/personal- personnels-eng.cfm
6. La NSA degli Stai Uniti (U.S. National Security Agency) ha preso sul serio la minaccia del quantum computing ed ha recentemente annunciato piani di transizione verso algoritmi “quantum-resistant”.
4.4. La distribuzione a chiave quantistica (QKD) “point-to-point”.
Come si è già detto, le comunicazioni cifrate mediante QKD sono iniziate tempo
addietro (1992) con un collegamento free-space “punto-punto" lungo 30 cm...e ci sono voluti
ben due decenni prima che si riuscisse a estenderlo a distanze di chilometri! In effetti,
l’estensione della distanza dei collegamenti QKD è potuta avvenire solo grazie a eclatanti
sviluppi tecnologici. Attualmente, uno dei fattori critici per le implementazioni pratiche dei
collegamenti punto-punto è il "livello di rumore" dei rivelatori a singolo fotone [1]. I rivelatori
a singolo fotone a nanofili (nanowire) superconduttori [2,3], operano con un'elevata
efficienza quantica (93%) alle lunghezze d'onda delle telecomunicazioni e con perdite
relativamente basse (72 dB) [4]. Ciò consente di garantire la sicurezza dei collegamenti di
comunicazione fino a una distanza di 360 km in fibra monomodale standard o di circa 450
km in fibre a bassissima perdita. Vale la pena di notare, tuttavia, che estendere ulteriormente
la distanza punto-punto, per quanto tecnologicamente possibile, non è interessante ai fini
58
pratici, perché la perdita del canale ridurrebbe inevitabilmente la velocità di generazione
delle chiavi, rendendola di scarsa utilità. Infatti la distanza di comunicazione e la velocità di
generazione delle chiavi sono inversamente proporzionali: maggiore è la distanza tra
mittente e destinatario, minore sarà la velocità di generazione delle chiavi.
Fondamentalmente, i protocolli di comunicazione QKD punto-punto sono progettati
per funzionare solo per due utenti, perciò sono perfetti per un collegamento tra due siti in
modo da criptare, ad es., le comunicazioni vocali tra un’unità di governo ed un'unità militare,
o tra due unità militari. Benché la criptografia punto-punto QKD sia irrealizzabile tra due
unità distanti, è possibile utilizzare collegamenti QKD punto-punto per creare connessioni
tra più di due siti non troppo distanti, in modo da formare una piccola rete. La prima rete
QKD in assoluto è stata realizzata sfruttando la rete commerciale in fibra di China Netcom
Company a Pechino (2007) e ha consentito di effettuare comunicazioni quantistiche sicure
tra i quattro elementi (utenti) della rete.
Bibliografia 4.4
1. B. Korzh et al. “Provably Secure and Practical Quantum Key Distribution over 307 km of Optical Fibre”, Nature Photon. 9, 163 (2015).
2. F. Marsili et al., “Detecting Single Infrared Photons with 93% System Efficiency”, Nature Photon. 7, 210 (2013
3. L.C.Comandar et al. “Gigahertz-gated InGaAs/InP single-photon detector with detection efficiency exceeding 55% at 1550 nm”, J. Appl. Phys. 117, 083109 (2015).
4. H. Shibaba, T. Honjo, and K. Shimizu, “Ultimate low system dark-count rate for superconducting nanowire single-photon detector”,Opt. Lett. 39, 5078 (2014).
4.5. La distribuzione a chiave quantistica (QKD) “net-centrica”.
I collegamenti QKD punto-punto diventano ingredienti essenziali per
l'implementazione della criptografia QKD su larga scala, purché sia possibile creare una
topologia di rete (network topology) in grado di consentire l'accesso di molti utenti, come ad
es. la rete QKD completata nel 2012 a Hefei [1], che collega 40 telefoni e 16 videocamere
installate presso uffici municipali, dipartimenti militari e istituti finanziari [2]. Una rete civile
analoga, completata nel 2014, collega circa 90 utenti a Jinan. Le strutture con “topologia a
stella” (star network) sono le più adatte per la realizzazione di reti QKD di questo tipo e ne
sono state date diverse dimostrazioni sperimentali utilizzando fibre ottiche [3] o relè affidabili
(trusted relays) nello spazio. Soprattutto, le reti a stella hanno permesso di rendere più
ampia la copertura geografica.
Infatti, installando nodi affidabili, diciamo ogni 50 km, per "trasmettere" informazioni
segrete è possibile ottenere comunicazioni sicure su grandi distanze [4]. La rete QKD tra
59
Shanghai e Pechino è un esempio di tale approccio ed è la più lunga e sofisticata del mondo.
Serve come collegamento portante tra quattro reti quantistiche a Pechino, Shanghai, Jinan
(provincia dello Shandong) e Hefei (provincia dell’Anhui).
Varie prove di QKD terra-satellite [5], in cui uno (o alcuni) satelliti affidabili (trusted)
sono stati utilizzati con successo come stazioni di trasmissione, hanno dimostrato che è
possibile raggiungere distanze ancora maggiori, estendendo la sicurezza della crittografia
QKD su scala "globale". A questo scopo, sono state realizzate diverse comunicazioni QKD
nello spazio tra la terra e satelliti in basse orbite terrestri (LEO), per mezzo di una tecnologia
in cui la Cina è ora leader mondiale, a partire dal lancio del proprio satellite nell'agosto 2016
[6,7].
Questi successi hanno impartito una brusca accelerazione allo sviluppo di sistemi di
distribuzione a chiave quantistica terra-satellite, e altre nazioni, tra cui UE, Canada e Stati
Uniti, sono attualmente impegnati in progetti a lungo termine altrettanto ambiziosi che
coinvolgono comunicazioni criptografiche quantistiche ultra-sicure via satelliti LEO.
La criptografia QKD implementata su satelliti è potenzialmente in grado di favorire
l’affermazione di una rete quantistica su scala globale, con un sostanziale cambiamento
d’approccio nelle modalità di comunicazione, a favore di connessioni sicure in rete. In termini
operativi, l’implementazione su satelliti necessita di un servizio in cui le informazioni
possano essere indirizzate e raccolte in modo efficiente, resiliente e sicuro così da garantire
sia la gestione che la distribuzione delle chiavi tra tutti i partecipanti della rete che vogliano
"inviare" e "ricevere" dati critici (ad es. tra aeromobili, aeromobili e terra, aeromobili e risorse
spaziali ecc.). Ciò prevede che unità operative con requisiti di sicurezza stringenti, come
settori militari e governativi, o anche fornitori di infrastrutture critiche, collaborassero con
una strategia di informazione incentrata sulla rete, il che migliorerebbe non solo la sicurezza
dei servizi d’informazione ma anche la gestione delle prestazioni.
4.6. La distribuzione a chiave quantistica (QKD) “mobile”.
La maggior parte delle reti quantistiche sviluppate fino ad ora possiedono canali
cablati (fibre) e nodi in posizioni fisse. D'altra parte, terminali mobili come satelliti, droni,
automobili, ecc. recentemente hanno fatto notevoli progressi. Piccoli veicoli aerei senza
equipaggio (Unmanned Aerial Vehicles o “UAV”) come ad es. i droni, grazie alla loro
capacità di muoversi in ogni direzione o addirittura di restare fermi a mezz’aria, prospettano
la possibilità di realizzare una connettività on-demand economicamente vantaggiosa
all'interno di reti flessibili. UAV di dimensioni maggiori, che continuano a volare nella
stratosfera per molti anni sfruttando l'energia solare, hanno già consentito di realizzare
60
piattaforme ad alta quota (High Altitude Platforms o “HAP”) dedicate al rilevamento e alla
comunicazione. La disponibilità di satelliti di piccole dimensioni e poco costosi, unita alla
possibilità di effettuare lanci a basso costo, ha condotto da tempo ad un aumento di
programmi satellitari per analoghi scopi di comunicazione e rilevamento.
In un momento in cui la trasmissione di dati mediante bande RF congestionate si sta
facendo sempre più difficile, i sistemi di gestione dei big data montati su un terminale mobile
e coadiuvati da sistemi di comunicazione ottica nello spazio (Free-Space Optical o “FSO”)
dovrebbero produrre un throughput elevato ed adatto a collegamenti dati satellite-satellite,
collegamenti dati terra-satellite e anche collegamenti dati ad hoc tra piccoli UAV (droni).
Se generatori di numeri casuali con scambio di chiavi segrete ad alta velocità potessero
inoltre essere implementati in terminali QKD mobili…quest’ultimi potrebbero effettivamente
motivare la realizzazione di reti wireless quantistiche. L'integrazione di "nodi QKD mobili"
per la distribuzione di chiavi segrete impartirebbe sicuramente una grande flessibilità alle
connessioni di una rete criptografica QKD [8].
In ambito militare, tutto ciò può
risultare utile per molte applicazioni, come le
comunicazioni tra una nave e l’altra, o tra
veicoli militari che hanno bisogno di inviare e
ricevere dati critici. In questo caso, la
mobilità delle piattaforme QKD può
richiedere una rete altamente riconfigurabile,
nel senso che gli utenti QKD dovrebbero
essere in grado di determinare
automaticamente la rotta QKD ottimale in
tempo reale in base alla loro posizione [9].
Rappresentiamo in Fig. 1 un’ipotetica rete
QKD di questo tipo, che dovrebbe garantire
una copertura geografica ancora più
capillare, impossibile da ottenere mediante
una rete in fibra.
Bibliografia 4.6
1. Wang, S. et al., ‘Field and long-term demonstration of a wide area quantum key distribution network’, Optics Express Vol. 22, Issue 18, pp. 21739-21756, (2014)
2. The declared cost for the Hefei network’s was around 9 million USD!
FIG. 1. Rendering ipotetico di una rete QKD mobile. Satelliti, HAP, UAV, droni ecc. incorporano nodi QKD mobili per la distribuzione di chiavi private.
61
3. Y.-L. Tang et al. “Measurement-Device-Independent Quantum Key Distribution over Untrustful Metropolitan Network”, Phys. Rev. X 6, 011024 (2016).
4. M. Sasaki, et al, “Field test of quantum key distribution in the Tokyo QKD Network”, Optics Express Vol. 19, Issue 11, pp. 10387-10409 (2011)
5. Wang J, et al. “Direct and full-scale experimental verifications towards ground-satellite quantum key distribution”, Nat Photonics 2013;7(5):38793.
6. Gibney, E. “One giant step for quantum internet”, Nature News, 27 July 2016. 7. Qiu, J, ”Quantum communications leap out of the lab: China begins work on super-secure
network as ‘real-world’ trial successfully sends quantum keys and data”, Nature, 508, 7497 (2014).
8. Eleni Diamanti, Hoi-Kwong Lo, Bing Qi & Zhiliang Yuan, “Practical challenges in quantum key distribution”, npc Quantum Information, volume 2, 16025 (2016). Poiché la rete mobile QKD (mobile QKD network) è particolarmente adatta allo scambio di chiavi-private su (i.) lunghe distanze e ad (ii.) alta-velocità, potrebbe anche esserne appropriato l’uso per la criptografia multipla, ovvero il processo di criptare una o più volte ancora un messaggio già criptato, utilizzando lo stesso oppure un diverso algoritmo (physical layer cryptography).
9. Sistemi di tracciamento rapido (beam tracking), la cui tecnologia è disponibile, sono necessari in questo caso.
4.7. Convenienza e praticità della distribuzione a chiave quantistica (QKD).
Sembra alquanto improbabile che si riesca a contenere o ridurre il costo degli attuali
sistemi criptografici QKD, per quanto la tecnologia impiegata sia già piuttosto ben
consolidata. Diversi governi già attivi nello sviluppo di una tale criptografia (government
security centers) pubblicano reviews ove si raccomanda di perseguire ricerca e sviluppo nel
campo della criptografia quantistica mirate a garantire applicazioni che da un lato riducano
i costi e dall’altro ne aumentino la praticità d’implementazione [1].
Nel lungo termine ogni utente di un network QKD potrebbe ad es. usare un "semplice
trasmettitore" e rilegare tutti i complicati dispositivi necessari per il controllo e misura ad un
operatore di rete…possibilmente anche untrusted [2] (untrusted network operator). Poiché
per una tale configurazione risulterebbe necessario un set unico di dispositivi per la misura,
il costo per utente a fronte di un numero elevato di utenti, potrebbe essere mantenuto
relativamente basso. D'altra parte, il fornitore della rete (network provider) sarebbe in una
posizione più vantaggiosa per poter investire in tecnologie all'avanguardia onde migliorare
sia (i) le prestazioni che (ii.) le attivitàà di gestione del network.
Sforzi in questa direzione sono particolarmente evidenti nel settore dalle fotonica [3],
ben nota per essere un ottimo compromesso tra costi ed possibilità d'integrazione su chips.
Chiaramente, ciò richiamerebbe un alto livello di miniaturizzazione con il conseguente
risultato di moduli QKD compatti e leggeri da poter essere prodotti in serie (basso costo).
Le principali piattaforme di integrazione attualmente in fase di studio sono il silicio (Si) [4] e
il fosfuro di indio (InP) [5]. “Chips trasmettitori” per protocolli criptografici QKD, riconfigurabili
in modo da potersi adattare alla preparazione di stati quantistici di fotoni per diversi protocolli
(decoy-state BB84, COW e DPS, etc.) sono stati recentemente sviluppati con successo
62
utilizzando InP [6]. Anche lo sviluppo di “chips ricevitori" per la rivelazione di singoli fotoni
nei protocolli QKD sta progredendo in modo rilevante. Si sono integrati con successo ad es.
rivelatori a singolo-fotone in circuiti planari (PLC) a basse perdite impiegando lo state of the
art della tecnologia silica-on-silicon [7].
Anche se lo sviluppo di piattaforme QKD su chip è ancora in una fase iniziale, esse
rimangono la strada maestra onde poter accedere a sistemi completamente integrati ed a
basso costo. Tali sforzi contribuiranno a rendere più pratica la criptografia QKD.
Bibliografia 4.7
1. Una “review” del governo britannico (2106) sulle tecnologie quantistiche, ad es. raccomanda che i gruppi di ricerca sulle comunicazioni e criptografia quantistica dovrebbero lavorare uniti portando a sviluppi tecnici congiunti della criptografia quantistica QKD così come ad altri usi
Tab 1. crittografia a chiave pubblica vs crittografia QKD
QKD Public Key
CON Richiede “ad hoc” hardware, linee
di comunicazione, etc.
Standard hardware, linee, etc sono
sufficienti PRO
PRO La sicurezza si basa su principi che non richiedono cambiamenti in futuro
Richiede l'uso di chiavi sempre piu’ complesse all'aumentare della potenza dei computers
CON
PRO
La sicurezza del protocollo è garantita indipendentemente dalle risorse di Eva (potenza computazionale, memoria di archiviazione, ecc.)
La sicurezza del protocollo dipende dalle risorse di Eva (potenza di calcolo, memoria di archiviazione, ecc.)
CON
PRO Sicuro sulla base di leggi di fisica ben consolidate
Basato su algoritmi che non possono essere facilmente risolti, cui tuttavia è possibile trovare una soluzione
CON
CON Per ora costoso... ma migliorerà Sostanzialmente a disposizione di chiunque
PRO
PRO Sarà sicuro anche quando verrà costruito un computer quantistico
Un computer quantistico, sarà in grado di decifrare qualsiasi codice in pochissimo tempo
CON
CON Tecnologia ancora in forte sviluppo…
Tecniche comprovate da tempo… PRO
? Il rate con cui si generano le chiavi-private continua ad aumentare….
Richiede una notevole quantità di potenza di calcolo, funziona bene dati con “standard” chiavi-private, ma poco pratico con dati “più grandi”…
CON
CON Ad oggi funziona solo in networks specifici..
Funziona con networks comuni PRO
PRO Può essere utilizzato con One-Time-Pad (OTP), l'unico algoritmo crittografico sicuro…
Non può essere utilizzato con One-Time-Pad… CON
63
della tecnologia quantistica. La suddetta review è pubblicata in: Government Office for Science. The Quantum Age: technological opportunities (The Blackett Review of quantum technologies) 2016.
2. “Untrusted networks” hanno l’importante vantaggio che il gestore del network può non essere “affidabile” senza con questo compromettere la sicurezza dell’intero network. Untrusted networks vengono usati ad es. nei network con topologia a “stella” in cui vi sia al massimo un nodo intermedio tra due utenti qualsiasi. Un tale approccio è già stato dimostrato. Si ved ad es. il protocollo MDI-QKD al par. Metropolitan e Backbone.
3. R. J. Hughes et al. “Alternative techniques include lithium niobate (LiNbO3) integration and glass waveguide technologies” arXiv:1305.0305 [quant-ph] (2013).
4. A. E.-J. Lim, J. Song, Q. Fang, C. Li, X. Tu, N. Duan, K. K. Chen, R. P.-C. Tern, and T.-Y. Liow, IEEE J. Sel. Topics Quantum Electron. 20, 405 (2014).
5. M. Smit et al., “An introduction to InP-based generic integration technology”, Semicond. Sci. Technol. 29, 083001 (2014).
6. P. Sibson et al., “Chip-based Quantum Key Distribution”, Nature Communications, Vol. 8, 13984 (2017).
7. Y. Nambu, K. Yoshino, and A. Tomita, “Quantum encoder and decoder for practical quantum key distribution using a planar lightwave circuit”, J. Mod. Opt. 55, 1953 (2008).
4.8. Verifica, validazione e conformità d’implementazione.
La sicurezza di un sistema criptografico può avere delle falle quando la sua
implementazione si discosta significativamente dai modelli ideali utilizzati per l'analisi della
sicurezza. Anche per la criptografia QKD [1,2], per quanto essa sia incondizionatamente
sicura da un punto di vista “teorico” (information-theoretic security), la sicurezza dal punto
di vista “pratico" (information-practical security) dipende da una sua corretta
implementazione. Quest’ultima è fortemente soggetta ad es. all’hardware che viene
impiegato, il che chiaramente offre a qualunque avversario tutta una serie di possibili canali
d’attacco (eavesdropper), alcuni dei quali già ben noti da quasi un decennio. Come visto in
precedenza, questo hardware "non ideale" include emettitori on-demand a singolo-fotone,
links fotonici tra mittente e destinatario, rilevatori di singoli fotoni, allineamento (ottico) della
base mittente-destinatario, etc ... Tali "non idealità" [3] portano a problemi di sicurezza
dell’informazione chiamati col nome generico di "hacking quantico” (quantum hacking).
Pertanto, se l'analisi della sicurezza nell'implementazione di un sistema criptografico
(implementation security) è importante, questo vale ancor di più per la criptografia QKD ove
la sicurezza dipende in gran parte dall’apparecchiatura locale degli utenti
(mittente/destinatario). Compito fondamentale dell’implementation security nella criptografia
quantistica QKD è quello di stimare la quantità di informazione che trapela ad un potenziale
avversario attraverso tale apparecchiatura. Quando le perdite rimangono al di sotto di una
determinata soglia, è possibile fare un assessment della sicurezza [4,5]. I problemi relativi
alla sicurezza dell’implementazione devono essere ben studiati e valutati attraverso
consolidati principi di progettazione e di disegno, progetti verificabili ed infine attraverso
64
configurazioni garantite a fornire un sistema criptografico affidabile ed operativo per
“qualunque utente”.
A tal fine è comunque altrettanto importante sottolineare che l'analisi della sicurezza
resta tuttavia una minaccia comune a "qualsiasi" sistema criptografico, indipendentemente
dal fatto che si basi sulla "meccanica quantistica" o sulla "complessità computazionale" [6-
8]. Come per tutti i dispositivi criptografici ad alta sicurezza, anche i sistemi criptografici QKD
dovrebbero quindi essere sottoposti a valutazioni formali della sicurezza con processi di
certificazione che permettano di poter fare un assessment delle vulnerabilità attraverso
l'analisi dei canali di perdita dati e manipolazione dati. Al momento non sembra esserci una
sufficiente discussione al riguardo all'interno della comunitàà criptografia QKD…mentre
appare ancora lento il progresso verso processi indipendenti di certificazione.
L’adeguata caratterizzazione di un sistema criptografico realistico è cruciale per
garantire un livello di sicurezza quanto più prossimo al valore atteso del protocollo teorico.
Un'attenta analisi del livello di sicurezza (security statement) di un sistema di criptografia
QKD risulta essere specificatamente rilevante in quanto esso non cambia con l’avanzare
dei progressi tecnologici e, alla pari di altre tecnologie quantistiche, la criptografia
quantistica QKD è "a duplice uso", nel senso che ha applicazioni sia militari che civili. Questo
richiama pertanto ad un buon coordinamento tra queste due controparti con la possibilità di
poter dotare ogni protocollo QKD di una "validazione" indipendente [9].
Una tale convalida (validation) dovrebbe inoltre inglobare i principi di "innovazione
responsabile" [10]. Per alcuni governi, le tecnologie quantistiche occupano un posto
speciale in tema d'innovazione responsabile, poiché esse sono nuove ed ancora emergenti.
Bibliografia 4.8
1. V. Scarani, H. Bechmann-Pasquinucci, N. J. Cerf, M. Dušek, N. Lütkenhaus and M. Peev, “The security of practical quantum key distribution”, Rev. Mod. Phys. 81, 1301 (2009).
2. V. Scarani and C. Kurtsiefer, “The black paper of quantum cryptography: real implementation problems”, Theor. Comput. Sci. 560, 27 (2014).
3. “Quantum key distribution”, White paper on quantum key distribution (QKD). National Cyber Security Centre Quantum key distribution, 2016.
4. “Public attitudes to quantum technology”, Sciencewise (2014). 5. Una sequenza di bit parzialmente segreta può essere ad es. compressa in una chiave sicura.
In questo caso il grado di compressione dipende dalla perdita stimata d’informazioni (amplificazione della privacy).
6. I “timing attacks” ad es. possono essere un pericolo per sistemi sia quantici che non quantistici. 7. Si veda ad es. P. Kocher, “Timing attacks on implementations of Diffie-Hellman, RSA, DSS and
other systems”. CRYPTO’96, LNCS, vol. 1109, pp. 104–113 (1996) for the non-quantum case 8. Si veda ad es. Qi, B., et al., “Time-Shift Attack in Practical Quantum Crypto-systems”, Quantum
Information Computation, 7, (2007) 73-82 for the quantum case. 9. Vale la pena notare che il ”Quantum Communications Hub (York)“ attualmente ha una
Partnership Resource che lavora esattamente su tale validazione ad es. per i “Quantum
65
Random Number Generators”. Tale partnership coinvolge il National Physical Laboratory (NPL), un organismo di validazione indipendente, e la British Telecom (BT) con supervisione da parte del National Cyber Security Centre (NCSC).
10. ”Innovazione responsabile” (Responsible Innovation) consiste in un insieme di pratiche che sono state sviluppate per aiutare tutte le parti interessate a considerare questioni sociali ed etiche di una nuova tecnologia, onde garantire che esse vengano sviluppate nell'interesse pubblico, siano eticamente accettabili, economicamente, socialmente e ambientalmente sostenibili.
4.9 Un possibile scenario di QKD mobile e….ulteriori questioni.
La discussione dei paragrafi precedenti (§ 4.1-4.8) sembra indicare che la criptografia
QKD possa offrire un vantaggio a breve termine e piuttosto realistico sulla sicurezza nelle
comunicazioni militari di natura sensibile. Al fine di poter illustrarne i meriti descriviamo di
seguito un semplice esempio di best-practice d’impiego della criptografia QKD in campo
militare. Lo scenario descritto è chiaramente ipotetico ed inteso per un audience piuttosto
generica [1].
Scenario:
“Immaginiamo una crisi che colpisca gli Stati Uniti nel prossimo futuro. Il presidente
entra nel suo centro di comando, ricevendo informazioni da tutto il mondo trasmesse da
satelliti. Prese le decisioni, il presidente e collaboratori passano al Pentagono le istruzioni
segrete ove vengono criptate da dispositivi QKD con chiavi private (secret-keys) ottenute
con dispositivi di rete a criptografia veloce (large-bit network encryptors). Questi dispositivi
cambiano le loro “secret keys” più volte al secondo, rendendo praticamente impossibile per
i cyber-avversari decodificarne i messaggi.
Le istruzioni segrete, una volta giunte al Pentagono, sono coordinate attraverso piani
di emergenza che generano ordini per i contingenti militari sparsi sui diversi fronti di
battaglia. Una volta che tali ordini e piani saranno pronti, le informazioni verranno criptate,
usando di nuovo circuiti protetti con criptografia QKD, ed inviate. I collegamenti terra-satellite
saranno difficili da intercettare in quanto i dati (sensibili) vengono criptati utilizzando gli stessi
network encryptors così come i messaggi inviati dai satelliti verso terra. Sul campo, gli
avversari potranno ascoltare le comunicazioni “spazio-terra”, ma con la chiave criptografica
(secret-key) così lunga e che cambia così rapidamente, è impossibile de-cifrarne il
contenuto.
La natura incondizionatamente sicura delle chiavi generate con criptografia-QKD
rende quest’ultima attraente per gli elevati requisiti di sicurezza che spesso s’incontrano nel
settore militare”.
66
Principio di funzionamento alle grandi distanze:
La natura “free-space” dei moderni networks QKD rende la criptografia-QKD
particolarmente attraente per le grandi distanze d’operazione che spesso separano non solo
i vari contingenti operativi tra loro ma anche dal centro decisionale. Mirando di nuovo ad un
pubblico generico, illustriamo di seguito l’essenziale di un archetipo di criptografia di dati
sicuri su grandi distanze.
Le stazioni di terra A e B, con requisiti di sicurezza molto elevati, rappresentano due
nodi “distanti” del network (Fig. 2). Un satellite passa sopra A e B una volta al giorno e
consente loro di condividere un segreto comune che verrà quindi utilizzato in uno schema
(simmetrico) di criptografia per garantire la trasmissione dei dati tra loro nonostante la
grande separazione geografica.
I due siti remoti [2] sono serviti, uno dopo l'altro, tramite un collegamento free-space
QKD ad es. da un aereo [3] o anche da un satellite che si muova su orbite relativamente
basse (LEO) [4] facilitato dal fatto che l'attenuazione è significativamente più bassa nello
spazio libero rispetto all'atmosfera terrestre. Una variante di questa configurazione potrebbe
coinvolgere anche più di un satellite LEO, purché interconnessi tramite collegamenti “free-
space" e in grado di scambiare in modo efficiente chiavi-private a velocità molto elevate.
Piattaforme mobili HAP (high altitude platforms) che funzionano come nodi QKD volanti
(flying QKD nodes) potrebbero rappresentare un’ulteriore variante [4].
A e B sono inoltre dotati di telescopi direzionali mobili in grado di puntare e localizzare
un bersaglio C che si muove nel cielo e trasporta un sistema QKD “affidabile e sicuro” (Flying
trusted node). “Prima”, C passa sopra la stazione di terra A e scambia una chiave “a” (mutual
symmetric) con A (Fig. 2a). Successivamente, C passa sopra la stazione B e fa altrettanto
ovvero scambia un’altra chiave "b" (mutual symmetric) con B (Fig. 2b). Quindi C usa “b” per
criptare (One-Time-Pad) la chiave segreta (“a”) precedentemente scambiata con A e passa
il criptogramma (a xor b) a B attraverso un canale di comunicazione classico convenzionale.
A questo punto B può recuperare la chiave segreta "a" che A già possiede (Fig.2c).
Le stazioni di terra A e B ora condividono una chiave segreta comune (“a”) che possono
utilizzare per criptare qualsiasi comunicazione (Fig.2d).
Vantaggi.
L'operazione consente la distribuzione di una chiave privata (secret key) con (i.)
massima sicurezza, (ii.) tra siti remoti (A e B) posti a distanze “arbitrarie" e (iii.) senza la
necessità di svariati nodi intermedi. In linea di principio, le stazioni possono infatti trovarsi in
67
“qualsiasi” punto sulla superficie terrestre, possono anche essere "stazionarie" o "in
movimento" sulla superficie, purché coperte dal target C.
Nella fattispecie A e B, con requisiti di sicurezza molto elevati, possono essere
“qualsiasi” due contingenti militari, un contingente ed un centro di comando etc. o possono
essere due unità appartenenti ad un settore governativo, militare, etc.
ll target (C) potrebbe anche non appartenere a settori istituzionali ma potrebbe essere
ad es. un fornitore di infrastrutture critiche, un fornitore di servizi (service provider, operatore
etc…).
Qualità del servizio.
L'indice di rifrazione dell'aria nell'atmosfera varia poiché esistono strati di diversa
temperatura e di diversa umiditàà oppure varia a causa di condizioni meteorologiche
avverse, a causa dell’inquinamento, etc… La criptografia free-space QKD è suscettibile alle
condizioni atmosferiche. La forte luce dell’ambiente ostacola inoltre la misura di segnali
estremamente deboli (singoli-fotoni). Questi fenomeni possono ridurre significativamente
l’efficienza ed il rate di generazione delle chiavi-private. Anche il "movimento rapido" del
target (C) potrebbe influire sulla efficacia di generazione.
In un free-space QKD network la difficoltà d’accesso al target C sarebbe un’ulteriore
svantaggio ad es. in caso di guasti che richiedano riparazioni mentre la disponibilitàà di
canali aggiuntivi all’interno di un network QKD a lunga distanza (long-haul), ovviamente
“indispensabili” nel caso di operazioni militari, dovrebbe essere garantita nel caso di un
eventuale “fall-back”.
Bibliografia 4.9
1. J. D. Morris et al., “A military QKD usage scenario”, in Emerging Trends in ICT Security, 1st ed., B. Akhgar and H. R. Arabnia, Eds. Morgan Kaufmann Publishing, Waltham, MA (2013). 4.9.2 Bibliografia.
2. Si fa riferimento qui a due “utenti remoti” a differenza del caso in cui le parti comunicanti sono direttamente connesse tramite collegamenti QKD o tramite un'infrastruttura di rete intermedia per la distribuzione delle chiavi.
68
Fig. 2a: A e C scambiano una chiave segreta “a” (secret key)
Fig. 2b: B e C scambiano una chiave segreta “b”
Fig. 2c: C scambia (One-Time-Pad-encryption) la chiave “A” con B attraverso un canale classico (“A” xor “B”).
Fig. 2d: A e B condividono la chiave segreta “A”.
69
3. Si possono invece usare aerei o eventualmente piattaforme ad alta quota HAP (high altitude platforms) come ad es. velivoli con raggio di crociera limitato che operano ad altezze di circa 10-20 km. Gli HAP possono “servire” una tipica area metropolitana fornendo chiavi-private dall'alto, così coprendo un'area potenzialmente più ampia di quella che si potrebbe ottenere sulla superficie dell’area (direct line of sight).
4. I satelliti LEO (Low Earth Orbit) sono utilizzati per reti pubbliche e per scopi scientifici. La comunicazione via satellite inizia solo quando il satellite si trova nella loro “regione di visibilità “delle stazioni terrestri e ad un’altitudine di circa 300-1000 chilometri. La durata della visibilità e della comunicazione non è mai stessa ma varia per ciascun passaggio del satellite sulla stazione. L’area di copertura del satellite è definita come una regione della Terra in cui il satellite è visto con un angolo di elevazione “minimo” predefinito. Satelliti geostazionari, d’altra parte, non sono una soluzione in quanto orbitano ad un’altitudine compresa tra 36 000 km (orbita circolare) e 42000 km (orbita inclinata) il che richiederebbe telescopi ottici con aperture impraticabili di circa 10 metri.
70
5. UNA PANORAMICA GLOBALE
Le sviluppo delle tecnologie quantistiche è ancora abbastanza “in salita” e restano
quindi aperte ad una serie di futuri possibili, alcuni più alettanti di altri. È quindi questo il
momento più opportuno per soffermarsi sul potenziale impatto di tali tecnologie nel settore
militare e nella sicurezza nazionale, sebbene previsioni troppo precise non siano al
momento possibili. Quando si considera il futuro impatto di una nuova tecnologia, esiste
inoltre sempre un dilemma [1] vale a dire è difficile prevederne l’impatto, in quanto non
ancora ampiamente sviluppata ed utilizzata, mentre al contrario cambiamenti diventano
difficili una volta che la tecnologia si sia radicata.
Inutile dire che l'integrazione delle tecnologie quantistiche rappresenta attualmente
per le forze armate uno dei progressi più attesi. La generazione di una chiave casuale OTP
(One Time Pad) mediante Quantum Key Distribution (QKD) rappresenta un sistema
criptografico inattaccabile; esso offre la massima protezione disponibile con comprovata
sicurezza anche contro il computer quantistico [2]. Questa nuova forma di criptografia
quantistica si adatta tuttavia a fatica all'interno delle comuni infrastrutture delle reti di
comunicazione.
A tal fine sono stati creati con successo networks di nuova generazione ove si possa
sfruttare la moderna criptografia QKD tramite fibre ottiche a bassissime perdite o terminali
(mobili) dei nuovi networks free-space. Come illustrato nei capitoli precedenti, gli ultimi
decenni hanno visto risultati straordinari che porteranno certamente nuove soluzioni anche
per i futuri sistemi di comunicazione militare. Vista la velocità con cui avvengono tali
progressi, ci sono pochi dubbi, sostengono gli esperti della sicurezza, che la criptografia
quantistica QKD avrà un effetto dirompente allorché verrà impiegata a regime. Le principali
potenze militari del mondo si stanno preparando a questi importanti cambiamenti, spesso
con ingenti investimenti, onde ottenerne un vantaggio sia economico che militare e di cui
faremo nel seguito una breve panoramica.
Gli Stati Uniti e la Cina si posizionano come principali potenze nelle tecnologie
quantistiche. Sebbene esse continuino ad accumulare capacità militari offensive sempre più
sofisticate, i recenti progressi della Cina potrebbero comunque avere un impatto sul futuro
equilibrio strategico delle due super-potenze, forse anche superando i tradizionali vantaggi
71
militare-tecnologici degli Stati Uniti, che mantengono pur tuttavia un primato militare
complessivo.
Negli ultimi anni, infatti, i ricercatori cinesi hanno conseguito una serie di progressi
consistenti nel campo della criptografia quantistica. Molte di queste scoperte sono il frutto
di una complessa agenda di ricerca e sviluppo [3] (si veda Tab. 1) che ha visto una
straordinaria dedizione ai migliori talenti oltre che ad ingenti finanziamenti. La lunga ascesa
della Cina è stata coronata dal lancio (2016) del primo satellite quantistico "Micius" (Mozi,
墨子). La Cina ha inoltre realizzato il primo collegamento di comunicazione quantistica
“terrestre” a lunga distanza tra Pechino e Shanghai (2017). Il completamento del laboratorio
nazionale per le scienze dell'informazione quantistica a Hefei, nella provincia di Anhui e con
un costo complessivo di 10 miliardi di dollari, testimonia l'impegno della nazione per le
tecnologie quantistiche. Gli importanti successi cinesi nella scienza dell'informazione
quantistica [4], hanno motivato il lancio di ulteriori "mega-progetti" nazionali nelle
comunicazioni quantistiche con l'obiettivo di raggiungere importanti traguardi entro il 2030.
Tali sforzi chiaramente sottolineano l’altissima priorità che Pechino pone nell'innovazione di
tecnologie atte a rafforzare le capacità militari della Cina. Rappresentano peraltro iniziative
di riferimento a garanzia della sicurezza nazionale ed, in particolare, della privacy del
governo contro l’ingerenza straniera.
72
Già nel 2015 McKinsey & Company collocava la Cina tra i principali investitori in
tecnologie quantistica “non-classified”, seconda solo agli Stati Uniti, ma davanti a Canada,
Australia, Giappone e Russia [4]. Sempre nel 2015, la Cina è stata prima al mondo per
applicazioni di brevetti per la criptografia quantistica (367 applicazioni) pur essendo secondi
solo agli Stati Uniti per brevetti di sensori quantistici e tuttavia quinta per quanto riguarda i
brevetti che riguardavano il computer quantistico [4]. I finanziamenti in Cina sembrano
essere sostanzialmente in aumento dal 2015 e questo sforzo non è limitato al governo.
Tab. 1. Scienza & Tecnologia Quantistica in China (Plans and Policies).
73
Anche il settore privato cinese sta infatti investendo in tecnologie quantistiche, tra cui ad es.
Alibaba Quantum Computing Lab, che nasce (2015) da una collaborazione congiunta tra il
cloud computing di Alibaba Group (Aliyun) e l'Accademia Cinese delle Scienze (CAS) per
esplorare e sviluppare applicazioni commerciali di calcolo quantistico [5].
I leader politici cinesi d’altronde sono ben consci del potenziale strategico che le
scienze e le tecnologia quantistiche rivestono per il potere militare ed economico della
nazione. Il Presidente Xi Jinping ha recentemente sottolineato l'importanza strategica di tali
tecnologie per la sicurezza nazionale e, in particolare, per la sicurezza informatica [6].
Questa attenzione di alto livello ha dimostrato il chiaro riconoscimento da parte di Pechino
delle potenziali implicazioni strategiche delle tecnologie quantistiche per il futuro campo di
battaglia in rete (networked battlefield) [6]. Gli strateghi cinesi sembrano fiduciosi che le
comunicazioni quantistiche possano essere dispiegate anche per "guerre locali" come ad
es. nei mari vicini, sebbene in questa fase sia chiaramente prematuro predire la traiettoria
completa delle capacità quantistiche della Cina [7].
Al contrario, gli Stati Uniti e l'Esercito americano non sembrano aver ancora fatto
altrettanti significativi investimenti nello sviluppo dei sistemi di comunicazione quantistica,
con il presupposto apparente che questa tecnologia non possa migliorare significativamente
la sicurezza della comunicazione [8]. Secondo una percezione diffusa, la sicurezza
incondizionata promessa dalla criptografia quantistica potrebbe non essere realizzabile in
pratica [8]. Rimpiazzare i sistemi criptografici convenzionali con la criptografia QKD non
eliminerebbe, secondo tale percezione, altre debolezze e vulnerabilità nella sicurezza.
Date le notevoli difficoltà logistiche e tecnologiche, la criptografia QKD, secondo la
valutazione iniziale di un Scientific Advisory Board dell'Aeronautica statunitense (U.S. Air
Force), non sembra conferire un vantaggio di sicurezza sufficiente a giustificare la
complessità aggiuntiva necessaria per il suo utilizzo, relativamente al migliori alternative
classiche disponibili [8,9].
A sostegno di tale percezione, i più diffidenti segnalano anche una serie di sfide
pratiche d’implementazione che la criptografia QKD ha affrontato [10] così come alcune
dimostrazioni di pirateria (hacking) per falsificare o interferire con sistemi di criptografia
quantistica commerciale, come ad es. attraverso attacchi del tipo side-channel, attacchi
d’intercettazione che rimangono al di sotto della soglia di errore prevista, attacchi con
74
repliche nascoste di dati etc. [11]. La percezione che la promessa di "perfetta" sicurezza
non possa essere realizzata appieno ha fatto sì che sostanziali finanziamenti per ricerche
di tecnologia quantistica da parte dall’Army Research Office ad es. siano iniziati solo da
poco!
Recente è pure l’intenzione del DoD (Department of Defense) d’intraprendere ad es.
un analisi dell'utilità delle attuali forme di criptografia quantistica e comunicazioni per
proteggere i sistemi di informazione militari con l’auspicio che man mano che i risultati
diventano più maturi, sia presa nella dovuta considerazione la sperimentazione di queste
tecnologie [3]. È sempre abbastanza recente l’espressa volontà che gli Stati Uniti hanno di
valutare costi e tempi associati ad una transizione a livello militare-governativo dalle forme
di criptografia attuali ad un nuovo regime, anche se ciò potrebbe richiedere notevoli
modifiche alle varie infrastrutture di comunicazione. Identica volontà è stata espressa per la
navigazione quantistica (quantum navigation) ovvero radar quantistici (quantum radar),
imaging quantistici (quantum imaging), rilevamento quantico (quantum sensing) etc. [3]
È altresì vero che la navigazione basata su criptografia e computazione quantistica
(quantum navigation) potrebbe consentire alla Cina una maggiore indipendenza dai sistemi
spaziali mentre l’avvento di radar quantistici, imaging quantistico e rilevamento quantico etc.
potrebbe migliorare la procedura di targeting. Numerosi analisti esterni hanno avvertito che
i progressi della Cina nell’ambito della tecnologia quantistica per uso militare potrebbe forse
esporre le comunicazioni militari statunitensi a nuove vulnerabilità in tempo di pace
anticipando, a loro volta, che durante un conflitto o una crisi queste vulnerabilità potrebbero
rendere l'equilibrio di informazioni asimmetrico in favore di Pechino [12-13]. Allo stesso
modo, se la Cina dovesse diventare un leader indiscusso nel campo del computer
quantistico, il possesso di tali immense capacità di calcolo potrebbe portare un vantaggio
strategico. È stato anche drasticamente affermato [14] che se la Cina diventasse la prima
potenza quantistica del mondo metterebbe a rischio i sistemi di informazione sensibili,
sfidando al contempo il dominio tecnologico degli Stati Uniti in tutte le forme di guerra in rete
(info-centric networked warfare) ed, in particolare, le reti satellitari militari [13-14].
Un funzionario della Casa Bianca ha recentemente ammonito che le “ways of war"
incentrate sull'informazione in America sono sempre più sotto assedio dai progressi della
75
tecnologia quantistica della Cina, minacciando di compensare il vantaggio militare e
tecnologico degli Stati Uniti [13-14].
È tuttavia importante sottolineare che gli Stati Uniti hanno comunque una lunga storia
di ricerca ed innovazione nell'area delle informazione quantistica, in particolare della
criptografia quantistica. I ricercatori del Los Alamos National Laboratory, infatti, furono i primi
ad inviare una chiave quantistica lungo una fibra ottica di 31 miglia, nel lontano 1999!
Gli stessi ricercatori svilupparono anche un sistema di criptografia quantistica free-space in
grado di inviare chiavi a distanze fino a 10 miglia [15]. Apparentemente anche gli Stati Uniti
hanno fatto progressi sostanziali nella scienza dell'informazione quantistica ed un recente
rapporto della “Science, Homeland and National Security” sottolinea che il progresso della
scienza dell'informazione quantistica rimane una priorità per investimenti federali [16].
Alcune agenzie federali statunitensi hanno effettivamente sviluppato programmi di ricerca
nelle tecnologie quantistiche per oltre due decenni con finanziamenti annuali di circa 200
milioni di dollari per la ricerca di base e applicata [16]. Il Dipartimento della Difesa degli Stati
Uniti attraverso la Defense Advanced Research Projects Agency (DARPA) e il National
Institute of Standards and Technology (NIST) hanno finanziato la ricerca di base (2018) per
la scienza dell'informazione quantistica mentre il Department of Energy (DOE) e la National
Science Foundation (NSF) hanno finanziato ulteriori $ 250 milioni per ricerche sul
rilevamento quantistico, l'informatica e le comunicazioni sotto forma di grants quinquennali
oltre ad integrare risorse esistenti all'interno del governo, del mondo accademico e
dell'industria nell'ambito della National Strategic Computing Initiative [17].
Inoltre, alcuni colossi nel settore privato, come ad es. IBM, hanno più di trent'anni di
esperienza in ricerca nelle tecnologie quantistiche, mentre giganti come Google, Microsoft
e Intel stanno attualmente investendo abbondantemente in scienze quantistiche
dell'informazione e tecnologie correlate. In Occidente, compagnie private come ad es. D-
Wave Systems (Canada) stanno guidando lo sviluppo di computer quantistici che
potrebbero far funzionare le piattaforme militari del futuro. Non c'è dubbio che gli Stati Uniti
godano di un fertile ecosistema innovativo [18] che manca invece alla Cina e che a lungo
termine il successo della Cina dipenderà dalla sua capacità di sviluppare un ecosistema più
forte e con il coinvolgimento del mondo accademico ed industriale, oltre al saldo sostegno
del governo.
76
Gli Stati Uniti e la Cina non sono chiaramente gli unici attori in questo enorme sforzo.
Collettivamente, le nazioni europee hanno una riconosciuta eccellenza scientifica nelle
tecnologie quantistiche con una competenza tecnica di livello mondiale come si può
dimostrare ad es. dal numero di pubblicazioni di alto livello. Tale eccellenza è stata
promossa da programmi come ad es. l'iniziativa “Future and Emerging Technologies"
dell'Unione europea, a sostegno della ricerca sulle tecnologie quantistiche dal Quinto
Programma Quadro (1998). Negli ultimi due decenni, il finanziamento totale in questo
settore ha raggiunto quasi 550 milioni di euro [19]. Il programma "Quantum-Technologies
Flagship" (2018) della Commissione europea [20] è un'altra iniziativa di ricerca su larga
scala che comporta fondi di gran lunga superiori a 1 miliardo di euro su un arco di dieci anni.
L'iniziativa è concentrata su quattro principali aree della tecnologia quantistica:
comunicazione, calcolo, simulazione e rilevamento e chiaramente mira a rafforzare
l'eccellenza scientifica europea nella ricerca e nelle tecnologie quantistiche.
Il Regno Unito ha invece impegnato £ 270 milioni per un programma nazionale
quinquennale sulle tecnologie quantistiche (2013) [21] destinato a costruire quattro nuovi
hubs per sensori e metrologia, imaging quantistico, tecnologie di informazione quantistica
in rete e tecnologie di comunicazione quantistica [22]. Questo programma dovrebbe anche
capitalizzare sulla duplice esperienza del mondo accademico e dell'industria onde garantire
che i risultati dei laboratori di ricerca vengano trasformati in prodotti industriali.
Tale programma è stato anche oggetto di un’interessante indagine parlamentare nel Regno
Unito (fine 2018).
Il presidente francese Macron ha firmato un memorandum d'intesa (2018) con l'allora
primo ministro australiano Turnbull in una joint-venture per lo sviluppo e la
commercializzazione di un circuito integrato al silicio per tecnologie quantistiche e che
combina gli sforzi del Silicon Quantum Computing (Australia) e del Commissariat à l’Énergie
Atomique et aux Énergies Alternatives (CEA-France).
Infine, la Germania ha annunciato nuovi finanziamenti (2018) per la ricerca sulle
tecnologie quantistiche per un valore di 650 milioni di euro per il periodo 2018-2022.
Anche la Russia sta investendo in tecnologia quantistica ma non ha impegnato lo
stesso livello di risorse di altre nazioni e chiaramente in ritardo rispetto a Cina e Stati Uniti.
Ciò potrebbe essere parzialmente correlato al declino generale della capacità di ricerca
77
scientifica russa dagli anni '90, nonostante il presidente Putin abbia di recente aumentato la
spesa nazionale in ricerca e sviluppo (R&S) all’1% del prodotto interno lordo della Russia
($ 3 miliardi) nel 2018.
Bibliografia 5.
1. Questo è indicato come il "dilemma di Collingridge" in base al quale gli sforzi per influenzare o controllare l'ulteriore sviluppo della tecnologia vanno incontro ad un problema a doppio vincolo. Vedi ad es. Collingridge, D., “The social control of technology”. Pinter, London, (1980).
2. “Quantum Technology Is Beginning to Come into Its Own” The Economist, October 8 (2017). I. Friedson, “The Quantum Computer Revolution Is Closer than You May Think” National Review, May 2, (2017). Arute, F., Arya, K., Babbush, R. et al. Quantum supremacy using a programmable superconducting processor. Nature 574, 505–510 (2019) doi:10.1038/s41586-019-1666-5.
3. Elsa B. Kania & John K. Costello, “Quantum Hegemony? China’s Ambitions and the Challenge to U.S. Innovation Leadership”, September 2018.
4. Sei veda e.g J. Costello e E. Kania, “Quantum Leap (Part 1): China’s Advances in Quantum Information Science, China Brief 16, no. 18 (2016), 11–6. La scienza dell'informazione quantistica comprende non solo la criptografia quantistica ma anche la navigazione quantistica (quantum navigation) i cui progressi sono ben noti nel campo del radar quantistico, il rilevamento quantistico, l'imaging quantistico etc.. Gli sforzi cinesi nella direzione della quantum information ed artificial intelligence (AI) sono aumentati di importanza in seguito alle vicende di Edward Snowden presso la National Security Agency (NSA) e Central Intelligence Agency (CIA), vicende che hanno mostrato la disparità in termini di cyber-war tra le capacità offensive dell’esercito popolare di liberazione cinese (PLA) e gli Stati Uniti.
5. “Aliyun and Chinese Academy of Sciences Sign MoU for Quantum Computing Laboratory” Alibaba Group press release, July 30, (2015).
6. Nel 2013 e.g. President Xi ha visitato Anhui Quantum Communication Technology Co. Ltd. per una sessione di studio. Lì incontrò Pan Jianwei, il vice direttore del nuovo Northern Theatre Command del PLA [5-bis]. Vedi ad es. “Anhui Quantum Communication Innovation Achievement Debut: Central Politburo Team Learning Event” QuantumCTek, September, (2013). Successivamente (2015) durante il 5 ° Plenum del 18 ° Congresso del Partito Cinese (China’s 18th Party Congress’ 5th Plenum), Xi ha incluso la comunicazione quantistica come obiettivo strategico di ricerca prioritaria per "major breakthroughs" entro il 2030. Vedi ad es. J. Costello, and E. Kania, “Quantum Leap (Part 1): China’s Advances in Quantum Information Science” China Brief 16, no. 18 (2016), 11–6. [5-bis]. L'esercito popolare di liberazione cinese (PLA) è un'organizzazione unificata delle forze militari terrestri, marittime ed aeree della Cina. Il PLA risale al 1927 ed è una delle più grandi forze militari del mondo (britannica.com).
7. Nel 2017, il DoD degli Stati Uniti ha riferito che la Cina ha fatto "notevoli progressi nella ricerca sulla criptografia", il che avrebbe implicazioni significative per l'esercito cinese, in particolare per le comunicazioni sicure. Si veda Military and security developments involving the Peoplès Republic of China, Office of the Secretary of Defense, U.S. Department of Defense, 2017, 34.
8. Il valore della criptografia quantistica per uso militare è stato soggetti di alcuni dibattiti: la sostituzione della tecnologia di criptografia standard con varianti quantistiche non rimuove le vulnerabilità di base inerenti ai sistemi di comunicazione. Si veda ad es. Mehta, A. “Air force study shows potential limits of quantum technology”, Defense News, 9 August 2015.
9. USAF Scientific Advisory Board, “Utility of Quantum Systems for the Air Force” August 19, (2016).
10. Si veda ad es. E. Diamanti et al., “Practical challenges in quantum key distribution,” Quantum Information, November 8, (2016) [https://www.nature.com/articles/npjqi201625].
11. “Canadian researchers claim Chinese quantum network might not be hack proof after all” in South China Morning Post, June 12, (2017).Si veda anche “Commercial Quantum Cryptography System Hacked” MIT Technology Review, May 17 (2010).
78
12. Si veda e.g. J. Wang, “Quantum Technology: Informatization and the Changing face of Warfare” PLA Press, September 27, 2015.
13. M. Ravindranath, “America’s lead in quantum computing is ’under siege” Defense One, December 7 (2106).
14. J. Costello, and E. Kania, “Quantum Leap (Part 2): The Strategic Implications of Quantum Technologies” China Brief 16, no. 19 (2016).
15. “Quantum Cryptography,” Los Alamos National Laboratory, accessed January 24, (2018). 16. “Advancing Quantum Information Science: National Challenges and Opportunities”, joint report
of the Committee on Science and Committee on Homeland, National Security of the National Science and Technology Council, Washington, DC, July (2016).
17. “The National Strategic Computing Initiative” Networking and Information Technology Research and Development Program, accessed January 24 (2018).
18. Durante una recente sessione del Defense Innovation Board (DIB) parte del DoD, è stato lanciato un appello per una maggiore collaborazione tra i settori privato-governativo per lo studio di nuove tecnologie innovative all'avanguardia per applicazioni militari ed in particolare su artificial-intelligence (AI) e Machine Learning (ML). Si veda ad es. C. Pellerin, “Defense Innovation Board Makes Interim Recommendations” DoD News, Defense Media Activity, October 5, (2016).
19. “Commission Staff Working Document on Quantum Technologies” COM (2016) 178 (European Commission, Brussels), 4.
20. “European Commission Will Launch €1 Billion Quantum Technologies Flagship,” European Commission, May (2016).
21. “Overview of Programme,” UK National Quantum Technologies Programme, accessed January 24, (2018).
22. “UK National Quantum Technologies Programme”, January 24, (2018)
79
NOTA SUL Ce.Mi.S.S. e NOTA SULL’AUTORE
Ce.Mi.S.S.1
Il Centro Militare di Studi Strategici (Ce.Mi.S.S.) è l'Organismo che gestisce, nell'ambito e
per conto del Ministero della Difesa, la ricerca su temi di carattere strategico.
Costituito nel 1987 con Decreto del Ministro della Difesa, il Ce.Mi.S.S. svolge la propria
opera valendosi si esperti civili e militari, italiani ed esteri, in piena libertà di espressione di
pensiero.
Quanto contenuto negli studi pubblicati riflette quindi esclusivamente l'opinione del
Ricercatore e non quella del Ministero della Difesa.
Maurizio ARTONI (*)
M. Artoni, Ph.D. The City University (New York, 1990), National Academy of Science Fellow
& Goddard Space Flight Center (NASA, Washington, 1991-93), Research Officer (1993-99)
The University of Essex (UK) e Consejo Superior de Investigationes Cientificas (Spagna),
Laboratorio Europeo di Spettroscopia non Lineare (LENS, 2000-02), Professore (2002,
Università di Brescia), Ricercatore associato (LENS ed Istituto nazionale di ottica (2005).
I suoi interessi fino ad oggi includono l'ottica quantistica, coerenza quantistica in strutture
atomiche e fotoniche a bassa dimensionalità, aree di ricerca svolte in collaborazione con
teams nazionali e internazionali (Scuola Normale Superiore (Pisa), Essex, St. Andrews,
Exeter e York University (UK), Universitat Autonoma de Barcelona (Spagna), Jilin University
e Center for Quantum Sciences (Cina) etc.). Ha coordinato progetti nazionali (PRIN-MIUR,
PAISS-INFM”, etc…) e progetti internazionali (“Action Integrada” Italia-Spagna, “CRUI-
British Council”, progetti Grande Rilevanza Italia-Cina del Ministero degli Affari Esteri
italiano e della National Science Foundation of China, etc…). Responsabile esterno nella
valutazione della ricerca per principali iniziative scientifiche e tecnologiche nazionali e
internazionali (Comissió d'Avaluació de la Recerca a AQU Catalunya (Spagna), John D. e
Catherine T. MacArthur Foundation (US), NASA-Goddard Space Flight Center (US),
l'Istituto Nazionale di Scienze dell'Educazione e della Ricerca (NISER) del Governo
dell’India, Ministero dell'Istruzione, dell'Università e della Ricerca (MIUR) etc.)
(*) Per maggiori dettagli si rimanda al sito ugov dell'unibsphotos.
1 http://www.difesa.it/SMD_/CASD/IM/CeMiSS/Pagine/default.aspx
Stampato dalla Tipografia delCentro Alti Studi per la Difesa
