“Non si può ingannare la fisica”: Artur Ekert spiega perché solo la crittografia quantistica può garantire la sicurezza

07 Luglio 2025
La conferenza John von Neumann di quest'anno ha esplorato il tema della “Privacy per i paranoici”, ma la paranoia non è il punto centrale. Il punto è vincere un gioco antico.
Illustration of a strong link between two separate particles
L'entanglement è il cuore della distribuzione quantistica delle chiavi, una tecnologia che promette di garantire la sicurezza delle informazioni.

Dimenticate l’idea geniale di una singola mente: quanti ambiti accademici occorrono per cambiare le regole del gioco della crittografia? Non è semplice: nell'era quantistica, progettare una sicurezza assoluta potrebbe richiedere l'utilizzo di una vasta gamma di specializzazioni. È questo che rende questo campo così interessante, secondo l'eminente crittografo e pioniere dell'informatica quantistica Artur Ekert.

“Da bambino, mi interessava la crittografia come rompicapo matematico”, racconta. “Poi è arrivata la crittografia a chiave pubblica. Fino ad allora, la teoria dei numeri era considerata matematica pura, qualcosa che non poteva essere contaminata da applicazioni; e invece ecco che arriva la crittografia che la utilizza per comunicazioni sicure! E poi c'è il collegamento con la fisica quantistica: la casualità pura, combinata con strumenti matematici, era davvero affascinante”. 

Questo è diventato il campo di specializzazione di Artur “solo per divertimento”, come lui stesso afferma. “Era il mio dottorato di ricerca, ma non avrei mai pensato che potesse avere un'applicazione pratica. All'epoca, quasi 30 anni fa, la tecnologia quantistica non era così avanzata. Ma mi ha sempre affascinato: la bellissima teoria dei numeri e la parte più interessante della fisica!”.

L'intersezione di discipline diverse spesso offre un terreno fertile per la ricerca, ma la struttura del mondo accademico può renderla difficile.

"Ci specializziamo. E istituzionalizziamo le specializzazioni. Quindi abbiamo dipartimenti di fisica, matematica, biologia... Era un modo produttivo di lavorare, ma così facendo abbiamo spinto le nostre conoscenze in diverse direzioni. E questo crea delle lacune. Se si riesce a collegare tutto, se si riesce a uscire da questi compartimenti stagni e a utilizzare una serie di strumenti diversi, c'è spazio per imparare molto di più sul mondo”.

La scienza itinerante

È un caso, dice Artur, che essere a Oxford abbia rappresentato un vantaggio in questo senso.

“Sei membro di un college, con colleghi e colleghe di tutte le discipline possibili. A pranzo puoi parlare con qualcuno che si occupa di letteratura medievale o di rappresentazioni archeologiche della gravidanza nell'Africa meridionale... C'è tutto!”. Tutte queste connessioni facilmente accessibili hanno aiutato Artur a seguire idee al di fuori della sua disciplina principale. “Forse non conoscevano le risposte alle mie domande, ma potevano parlarmi di sviluppi interessanti e indirizzarmi verso altre persone a cui chiedere. Gran parte della mia carriera è consistita proprio nel porre le domande giuste alle persone giuste“.

Professor Artur Ekert
Professor Artur Ekert

Artur si descrive come uno scienziato nomade, che divide il suo tempo tra Oxford e l'Asia (è stato direttore fondatore del Centre for Quantum Technologies di Singapore ed è ora professore a contratto presso l'interdisciplinare Okinawa Institute of Science & Technology). Chi ha bisogno di un ufficio fisso? 

”Non so come si fa ad avere un ufficio. Il mio ufficio al CQT era pieno di attrezzatura subacquea, non era molto presentabile. E se hai un ufficio, la gente sa quando non ci sei!” Ma lo stile di vita da caffè si adatta chiaramente anche al suo modo preferito di lavorare, che consiste nel relazionarsi con le persone, durante il pranzo o in altre occasioni. Ciò suggerisce un'analogia con l'MBWA, un approccio gestionale che potremmo definire ‘scienza itinerante’.

“È molto difficile promuovere il lavoro interdisciplinare con un approccio dall'alto verso il basso”, afferma Artur. “Forse si potrebbe ottenere un effetto simile al sistema dei college di Oxford attraverso l'architettura, con una caffetteria ben posizionata o qualcosa del genere. Basta mettere insieme un gruppo di persone interessanti e offrire loro un caffè”.

Questo istinto sociale, il desiderio produttivo di condividere idee, è ovviamente anche uno dei motivi principali per cui abbiamo bisogno della crittografia.

“Le nostre vite sono sempre più online. In passato si usava una cassaforte per proteggere i propri oggetti di valore, ma ora tutto passa attraverso Internet. La crittografia sostituisce serrature, casseforti e muri”, afferma. “Come esseri umani siamo socievoli. Ci piace condividere. Ma come individui, ci sono alcune cose che ci rendono ciò che siamo e che vogliamo proteggere.

“Personalmente, non mi preoccupa molto che qualcuno cerchi di hackerare la mia casella di posta elettronica. Ma la crittografia mi interessa come esercizio accademico. Nella vita professionale, quando si vuole progettare qualcosa che garantisca la sicurezza assoluta delle comunicazioni, diventa un gioco. Immagini che tutti siano contro di te. A quel punto puoi progettare un sistema che ti dia un grado di perfezione con il minimo numero di ipotesi”.

Un gioco antico in una nuova era

Questo gioco di crittografia, che si svolge tra chi crea e chi decodifica i codici, è forse giunto a un punto di svolta. Per capirne il motivo, dobbiamo ricordare che l'informazione è fisica.

“Le conseguenze di questo non sono banali”, afferma Artur. “Ogni singolo bit di dati ha una rappresentazione fisica. Un dispositivo è carico o scarico, rappresentando uno zero o un uno. Quindi il calcolo è un processo fisico: funziona secondo le leggi della fisica. In ogni caso, non è possibile violare queste leggi. Ma quando scopriamo nuove leggi, abbiamo a disposizione una serie di strumenti più interessanti con cui giocare. Ogni volta che facciamo progressi nella fisica, possiamo anche fare progressi nel calcolo, perché possiamo calcolare in modo diverso”.

Questo è il punto cruciale. Si parla spesso del quantum computing come di una questione essenzialmente di potenza, e questo rappresenta una minaccia per la crittografia: un aumento esponenziale della potenza di calcolo dei dispositivi significa che problemi precedentemente molto difficili diventano banali. Quindi, se la sicurezza del vostro codice si basa su un problema difficile da risolvere, allora è destinata a fallire una volta che i computer saranno abbastanza potenti. 

"Problemi come la fattorizzazione giocano un ruolo enorme nella crittografia. Sono difficili da risolvere, ma facili da verificare“, spiega Artur. In effetti, ciò significa creare un lucchetto difficile da scassinare: la soluzione brute force, che consiste nel calcolare tutte le possibili risposte e provarle una per una, richiede semplicemente troppo tempo... almeno con la tecnologia e la matematica attualmente disponibili. 

”Per i matematici, la fattorizzazione è imbarazzante, perché semplicemente non sappiamo se sia davvero difficile o meno”, commenta Artur. “Molti hanno provato a trovare un algoritmo efficiente per la fattorizzazione, ma non ci sono riusciti. Questo però non significa che non esista”.

Quindi il quantum computing non è l'unica minaccia per i sistemi di sicurezza basati sulla fattorizzazione; c'è anche il rischio di una svolta matematica. Ma anche se questa potrebbe non arrivare mai, oggi riteniamo che la minaccia quantistica sia solo una questione di tempo; il che significa che, al momento, i decodificatori sembrano avere il sopravvento.

“Nel 1994, Peter Shor ha ideato un algoritmo efficiente per la fattorizzazione quantistica. Ciò significa che una volta costruito un computer quantistico, potremo distruggere i sistemi a chiave pubblica attualmente in uso”.

In risposta a questo rischio, i crittografi “post-quantistici” (“probabilmente il nome peggiore che si potesse dare”, brontola Artur, ma è il più comune) stanno cercando sistemi matematici alternativi che possano garantire la sicurezza su problemi più complessi. Come nel caso della fattorizzazione, però, esiste una vulnerabilità legata alla difficoltà di valutare realmente la complessità di tali problemi.

“L'Agenzia per la sicurezza nazionale americana (NSA) ha indetto un concorso pubblico per stabilire il nuovo standard nella crittografia post-quantistica. È emerso che alcune delle proposte selezionate erano in realtà vulnerabili, anche sui computer classici. Ciò ha dimostrato quanto sia difficile valutare se qualcosa è sicuro o meno”.

È stato scelto un nuovo standard basato sui reticoli, ma si dimostrerà davvero resistente al quantum? “Non mi è affatto chiaro se questo tipo di crittografia sarà sempre immune agli attacchi quantistici. Probabilmente sì, ma è certamente possibile che troveremo un algoritmo quantistico in grado di violarlo. In tal caso, dovremo semplicemente rivedere l'intero sistema di crittografia post-quantistica”.

Si vede la fine?

Questa è l'ultima versione di un ciclo molto antico nel gioco della crittografia: i creatori di codici propongono un sistema che prima o poi viene violato. Ma con la crittografia quantistica (non post-quantistica o resistente ai quanti!), quel ciclo è destinato a finire. Perché non si può ingannare la fisica. 

La particolarità del quantum computing è che contiene calcoli classici, ma aggiunge nuove possibilità più potenti. Ricordate che Artur sottolineava che l'informazione è sempre fisica? Nella costruzione di dispositivi quantistici, possiamo sfruttare la fisica quantistica. Ciò significa che il gioco non riguarda più solo la potenza di calcolo: riguarda le leggi fondamentali.

"In termini di teorema di Bell (preso in prestito dalla fisica quantistica fondamentale), gli scienziati informatici hanno iniziato a rappresentare questo concetto come un gioco non locale, con due giocatori in luoghi distanti che ricevono sfide da una terza parte. Possiamo dimostrare che le risorse quantistiche offrono un vantaggio: hanno più possibilità di vincere se possono utilizzare l'entanglement. "

Quindi, con l'entanglement, la pura casualità può essere utilizzata per creare sistemi sicuri: il libero arbitrio lo rende possibile, come spiegato in un articolo pubblicato su Nature che Artur ha scritto insieme a Renato Renner dell'ETH. (Come se la fisica fondamentale, la matematica all'avanguardia e l'informatica non fossero sufficienti per la crittografia quantistica, ora si aggiungono anche la teoria dei giochi e il libero arbitrio, l'economia e la filosofia).

L'altro vantaggio che ci offre la fisica quantistica è la possibilità di sapere quando la sicurezza è stata violata. Come nel caso del gatto di Schrödinger, l'osservazione della situazione la modifica; Artur propone quindi di utilizzare le disuguaglianze di Bell (un concetto mutuato dalla fisica quantistica fondamentale) per mostrarci quando qualcuno sta intercettando la comunicazione.

“L'intercettazione è pericolosa perché non si sa che qualcuno sta ascoltando. La mia proposta consente di stimare la quantità di informazioni che vengono divulgate. Possiamo eseguire un test statistico che fornisce una misurazione; se si ottiene il numero massimo, si sa che non c'è stata alcuna intercettazione. Con numeri inferiori, forse c'è stata un'intercettazione o forse si tratta solo di rumore, ma è possibile stimare lo scenario peggiore. Non si può mai essere ingannati”.

Solo la fisica è davvero a prova di futuro

Non siamo ancora nell'era dell'informatica quantistica, il che significa che la crittografia quantistica è ancora in gran parte teorica. Mentre i crittografi corrono per progettare sistemi in grado di resistere agli attacchi quantistici, l'approccio matematico ha un fascino immediato: è facile collegare nuovi software a dispositivi vecchi, ma è molto più difficile costruire dispositivi completamente nuovi basati sulla meccanica quantistica. Questa dipendenza da nuovi hardware può anche significare che la crittografia quantistica ha un'applicabilità limitata, oltre ad essere più costosa. Il dominio della crittografia quantistica basata sulla fisica, tuttavia, è l'unico che ha il potenziale per offrire una sicurezza davvero a prova di futuro, resistendo sia alle scoperte matematiche che a quelle informatiche. 

“Gli studi storici sulla crittografia dimostrano che, indipendentemente da quanto si sia intelligenti e da quanto sia ingegnoso il sistema inventato, prima o poi ci sarà qualcuno, anche meno intelligente, in grado di violarlo”, sottolinea Artur. “Ma con la crittografia quantistica stiamo arrivando alla fine di questo ciclo. Perché in questo caso la protezione deriva dalle leggi della fisica stessa. Forse scopriremo una nuova fisica, entreremo in un nuovo paradigma fisico, ma le cose basate sulle vecchie leggi saranno ancora sicure. La scoperta della fisica quantistica non ha reso meno sicuro volare in aereo”.

Nell'antico gioco della creazione e della decifrazione dei codici, potremmo finalmente essere vicini alla vittoria.

La conferenza annuale John von Neumann è organizzata dal NCCR Automation e dal Zurich Center for Market Design dell'Università di Zurigo. Dal 2020 invitiamo ricercatrici e  ricercatori di spicco nel campo della teoria dei giochi, dell'informatica e in altri settori in cui Von Neumann era un leader. Le interviste precedenti sono disponibili qui: 

Eva Tardos (2024)
Yurii Nesterov (2023)