Il fabbisogno di qubit dell’algoritmo di Shor per fattorizzare RSA-2048 è sceso di un ordine di grandezza in meno di un anno

La crittografia che protegge l’infrastruttura digitale moderna non collassa nel momento in cui viene costruito un computer quantistico. Collassa nel momento in cui gli avversari acquisiscono capacità quantistica sufficiente per decifrare i dati già raccolti. Questa inversione temporale — la minaccia arriva prima della macchina — definisce la struttura reale del problema del Q-Day e spiega perché il deficit di preparazione misurato oggi si traduce direttamente in una violazione della sicurezza misurata in anni.

Il meccanismo a rischio non è oscuro. La crittografia RSA, lo standard dominante a chiave pubblica, si basa su un’unica asimmetria matematica: moltiplicare due grandi numeri primi è computazionalmente banale, ma recuperare quei fattori dal loro prodotto scala in difficoltà in modo così pronunciato che nessun computer classico può invertire l’operazione per chiavi di 2048 bit o più entro un lasso di tempo pratico. Gli handshake TLS che proteggono il traffico web, le autorità di certificazione che autenticano le identità, le firme digitali che validano le transazioni finanziarie: tutta l’architettura della comunicazione digitale di fiducia poggia su questa asimmetria.

L’algoritmo di Shor, formalizzato nel 1994, dimostrò che il calcolo quantistico dissolve questa asimmetria completamente. Sfruttando la sovrapposizione quantistica e le trasformate di Fourier quantistiche per trovare il periodo di una funzione aritmetica modulare che codifica il problema della fattorizzazione, un computer quantistico sufficientemente grande potrebbe recuperare chiavi private RSA in ore, non nei miliardi di anni che richiederebbe una macchina classica. L’algoritmo è noto da tre decenni. Ciò che è cambiato nell’ultimo anno è la stima delle risorse necessarie per eseguirlo.

Ti potrebbe interessare ancheI link naturali e l’amore romantico

I requisiti hardware di un computer quantistico crittograficamente rilevante erano, fino a poco tempo fa, così enormi da funzionare come barriera pratica. Le stime iniziali collocavano il numero di qubit fisici necessari per fattorizzare RSA-2048 intorno al miliardo. Entro il 2021, Gidney ed Ekerå avevano ridotto quella stima a circa venti milioni di qubit che operano per otto ore. Poi, in meno di dodici mesi tra il 2024 e il 2025, tre avanzamenti algoritmici hanno fatto crollare la stima di un altro ordine di grandezza.

Il primo fu una ristrutturazione di come viene eseguita l’esponenziazione modulare, l’operazione computazionale centrale nell’algoritmo di Shor. L’approccio classico richiedeva registri quantistici abbastanza grandi da contenere simultaneamente interi a 2048 bit. L’aritmetica modulare approssimata, sviluppata da Chevignard, Fouque e Schrottenloher, sostituì ciò con un approccio segmentato che calcola l’esponenziazione in pezzi usando registri molto più piccoli, tollerando errori controllati che possono essere corretti successivamente. Il computer quantistico non ha più bisogno di tenere l’intero problema in memoria contemporaneamente. Il secondo avanzamento affrontò il collo di bottiglia dominante nel calcolo quantistico tollerante ai guasti: la generazione degli stati quantistici di risorse speciali necessari per le operazioni di gate non correggibili per errore. La magic state cultivation, sviluppata presso Google Quantum AI, fa crescere stati ad alta fedeltà da stati di qualità inferiore con un overhead drasticamente ridotto rispetto alla distillazione tradizionale. Il terzo avanzamento, sintetizzato in un articolo di Craig Gidney nel 2025, combinò entrambe le tecniche e ridusse il numero totale di operazioni di gate Toffoli richieste da circa due trilioni a circa 6,5 miliardi, un miglioramento di più di cento volte nell’efficienza computazionale.

Il risultato combinato: fattorizzare RSA-2048 appare ora tecnicamente fattibile con circa un milione di qubit fisici che operano per circa una settimana. Il divario hardware tra questo requisito e i sistemi esistenti rimane reale, ma la traiettoria di compressione è cambiata qualitativamente. Ridurre da un miliardo a venti milioni di qubit richiese dodici anni; ridurre da venti milioni a meno di un milione richiese meno di uno. Questa accelerazione è il segnale analiticamente importante.

Gli avanzamenti paralleli dell’hardware rafforzano questa traiettoria. Il chip Willow di Google, dimostrato alla fine del 2024, fornì la prima conferma sperimentale che la correzione degli errori quantistici può sopprimere il rumore al di sotto della soglia del codice di superficie, la prova fisica che le ipotesi di rumore sottostanti a tutte le stime delle risorse sono fisicamente raggiungibili. La roadmap pubblicata da IBM proietta il primo computer quantistico tollerante ai guasti su larga scala, con circa 200 qubit logici, per il 2029. Più piattaforme indipendenti hanno dimostrato fedeltà di gate a due qubit del 99,9% o superiore. Il divario tra i requisiti teorici di risorse e la capacità hardware dimostrata si è compresso da più ordini di grandezza a qualcosa di vicino a uno solo.

Questa compressione conferisce urgenza materiale a una minaccia trattata finora come comodamente lontana: raccogliere ora, decifrare dopo. Gli attori statali e non statali sofisticati che raccolgono traffico di rete cifrato da anni detengono testo cifrato che diventa leggibile nel momento in cui esiste un computer quantistico crittograficamente rilevante. Il quadro temporale appropriato per valutare il rischio del Q-Day non è quando verranno costruiti i computer quantistici, ma per quanto tempo i dati cifrati oggi dovranno rimanere riservati.

La risposta crittografica a questa minaccia ha un nome, un insieme di standard e un calendario di conformità. La crittografia post-quantistica sostituisce i problemi di fattorizzazione di interi e logaritmi discreti sottostanti a RSA e alla crittografia su curve ellittiche con strutture matematiche ritenute resistenti agli attacchi sia classici che quantistici. La famiglia principale adottata dagli enti di normalizzazione globali è la crittografia basata su reticoli, che fonda la propria sicurezza sulla difficoltà del problema del vettore più corto e sfide geometriche correlate in spazi ad alta dimensione. Nell’agosto 2024, il NIST ha finalizzato tre standard crittografici post-quantistici. Nel marzo 2025 è stato selezionato un quinto algoritmo, HQC, come alternativa basata su codici a ML-KEM.

Letture consigliateLo strato d’identità che internet non ha mai avuto si costruisce adesso, sotto pressione sintetica

L’esistenza di standard non risolve il problema della migrazione. Lo avvia. Le transizioni crittografiche di questa portata hanno storicamente richiesto da quindici a vent’anni per una penetrazione completa nell’infrastruttura, e questa migrazione è strutturalmente più complessa di qualsiasi precedente. L’infrastruttura a chiave pubblica deve essere riprogettata ad ogni livello: i moduli di sicurezza hardware che memorizzano e gestiscono le chiavi devono essere sostituiti o aggiornati; le autorità di certificazione devono emettere nuove gerarchie di credenziali; le implementazioni TLS su miliardi di endpoint devono essere aggiornate; i protocolli incorporati in sistemi embedded, infrastrutture di controllo industriale e sistemi finanziari di lunga durata devono essere controllati e sostituiti. Molti di questi sistemi mancano dell’agilità crittografica che renderebbe la migrazione diretta.

Il quadro normativo ha risposto con una tempistica compressa che riflette l’urgenza della traiettoria hardware. La CNSA 2.0 della NSA impone che tutti i nuovi sistemi di sicurezza nazionale siano quantum-safe entro gennaio 2027. Il calendario di deprecazione del NIST prevede di rimuovere gli algoritmi vulnerabili ai quantum dagli standard approvati dopo il 2035. Il Gruppo di Cooperazione NIS dell’Unione Europea ha pubblicato nel 2025 una roadmap di implementazione coordinata. L’Italia, con la sua tradizione di eccellenza matematica e la crescente partecipazione a consorzi europei di ricerca sulla sicurezza informatica, si trova di fronte alla stessa urgenza strutturale. La valutazione della preparazione quantistica dell’IBM Institute for Business Value del 2025 ha rilevato un punteggio medio globale di soli 25 su 100.

Il settore finanziario affronta una complessità particolare. L’infrastruttura bancaria globale instrada transazioni attraverso decine di migliaia di endpoint crittografici, con profonde dipendenze da moduli di sicurezza hardware, stack di protocolli di pagamento e framework di conformità normativa non progettati con l’agilità algoritmica in mente. L’obbligo normativo di migrazione verso la PQC si scontra con processi di gestione del cambiamento che operano tipicamente su scale temporali di più anni anche per aggiornamenti minori dei protocolli.

Il consiglio pratico che emerge da questo panorama tecnico non è il panico, ma un’azione graduale e prioritizzata. L’inventario crittografico è il prerequisito. I sistemi che gestiscono dati con lunghi orizzonti di riservatezza devono essere prioritizzati per una migrazione anticipata. I deployment crittografici ibridi, che combinano ML-KEM con algoritmi classici di scambio di chiavi in parallelo, offrono un ponte pratico: i dati protetti da uno schema ibrido richiedono che un avversario rompa simultaneamente i componenti classici e post-quantistici, elevando sostanzialmente il costo di qualsiasi attacco di raccolta e decifratura differita.

Ciò che gli sviluppi algoritmici del 2024 e del 2025 hanno fondamentalmente alterato è la distribuzione dell’incertezza intorno al Q-Day. Il consenso precedente collocava comodamente il calcolo quantistico crittograficamente rilevante negli anni 2030, con barre di errore significative che si estendevano verso gli anni 2040. La compressione delle stime di risorse a meno di un milione di qubit, combinata con la roadmap di IBM per il 2029 e la conferma sperimentale di Google della correzione degli errori al di sotto della soglia, ha spostato significativamente in avanti le stime credibili e ristretto l’intervallo di incertezza.

La transizione alla crittografia post-quantistica non si conclude con il deployment di algoritmi basati su reticoli. Crea una nuova superficie crittografica la cui sicurezza a lungo termine dipende da ipotesi sulla difficoltà di problemi geometrici in spazi ad alta dimensione — ipotesi che hanno resistito a decenni di crittoanalisi classica ma che non sono ancora state sottoposte alla prova dei computer quantistici che esisteranno infine su larga scala. Ciò che il momento presente richiede non è la certezza su quando maturerà il calcolo quantistico, ma una valutazione lucida di cosa significhi costruire un’istituzione la cui postura di sicurezza è ancora fondata sull’assunzione che fattorizzare grandi numeri primi sia difficile. Quell’assunzione ha una data di scadenza.

Altri articoli simili

StoneHold svelato: un ibrido tra MOBA d’azione e gioco di carte collezionabili

Hexstrike-AI: L’Alba dello Sfruttamento Autonomo di Vulnerabilità Zero-Day

Apple Fitness+ Svela Entusiasmanti Novità per il 2025

È Arrivato il Momento di Guidare nel Selvaggio con “Alaskan Road Truckers: Highway Edition”

La tecnologia di live streaming trasforma i casinò online in piattaforme di intrattenimento interattive

Samsung amplia la sua gamma di PC AI con i nuovi Galaxy Book5 Pro e Galaxy Book5 360