Google abbassa l’asticella, e non di poco

Google ha pubblicato ieri un whitepaper che accorcia sensibilmente l’orizzonte per bitcoin e per diverse altre criptovalute. Secondo i ricercatori di Google Quantum AI, per violare la crittografia che protegge molte monete digitali, tra cui bitcoin ed ether, potrebbe bastare un computer quantistico con meno di 500.000 qubit fisici. Tradotto in linguaggio meno ottimistico del solito: circa 20 volte meno rispetto alle stime precedenti, come riporta Forbes.

Il quadro si fa ancora più interessante, se per “interessante” si intende “leggermente inquietante”, con le dichiarazioni di Justin Drake, uno degli autori del paper. Drake sostiene che la finestra temporale per il cosiddetto Q-Day, cioè il momento ipotetico in cui un computer quantistico abbastanza potente riuscirebbe a rompere gli algoritmi di crittografia a chiave pubblica usati in larga parte dalla sicurezza digitale moderna, potrebbe arrivare molto prima del previsto.

In un messaggio pubblicato su X, Drake ha scritto che la sua fiducia in un Q-Day entro il 2032 è aumentata in modo significativo e che, a suo avviso, esiste almeno un 10% di probabilità che entro quella data un computer quantistico riesca a recuperare una chiave privata secp256k1 ECDSA da una chiave pubblica esposta.

Perché il numero di qubit conta, ma non da solo

Per dare un minimo di contesto, il chip quantistico più potente di Google oggi è Willow, con 105 qubit. IBM, dal canto suo, è arrivata prima a superare quota 1.000 con il processore Condor, che conta 1.121 qubit.

Ma il conteggio grezzo dei qubit è un indicatore piuttosto rozzo. Google sottolinea che Willow, pur avendo molti meno qubit di altri sistemi, è in diversi aspetti più capace proprio perché lavora con livelli di affidabilità molto elevati: 99,97% per i gate a singolo qubit, 99,88% per quelli di entanglement e 99,5% per la lettura su tutta l’array da 105 qubit.

In altre parole, 1.000 qubit scadenti possono essere meno utili di 100 qubit molto affidabili. Non è esattamente una scoperta che salva il mondo, ma nel settore quantistico è ormai chiaro che il numero assoluto dice poco. Per questo l’industria sta spostando l’attenzione sui qubit logici, cioè gruppi di qubit fisici corretti dagli errori, considerati una misura più utile della potenza reale di una macchina.

Q-Day non significa “tutto distrutto”, ma quasi

È importante anche chiarire cosa significherebbe davvero Q-Day. Non vuol dire che da un giorno all’altro ogni forma di sicurezza digitale collassi in blocco. Le principali categorie di crittografia funzionano in modo diverso.

La crittografia a chiave pubblica è il bersaglio vero

La crittografia a chiave pubblica si basa su problemi matematici difficili, come la fattorizzazione di numeri enormi e i logaritmi discreti. I computer quantistici, almeno in teoria, possono risolverli con l’algoritmo di Shor. Ed è proprio questo il tipo di sicurezza che Q-Day metterebbe in crisi.

Crittografia simmetrica e hashing resistono meglio

Diverso il discorso per la crittografia simmetrica e gli hash, come AES e SHA-2. Questi strumenti risultano indeboliti dall’algoritmo di Grover, che non li annienta ma ne riduce l’efficacia, dimezzando di fatto la forza della protezione. Per esempio, AES-256 verrebbe ricondotto a un livello paragonabile ad AES-128. Non è ideale, ma non è nemmeno la fine del mondo: basta usare chiavi più lunghe per recuperare gran parte della sicurezza.

Quindi Q-Day sarebbe meno una fine totale della crittografia e più una brutta giornata per la crittografia a chiave pubblica, mentre il resto del sistema andrebbe incontro a un indebolimento gestibile, sebbene tutt’altro che comodo.

Perché le criptovalute sono più esposte

Secondo Forbes, il whitepaper di Google evidenzia che le criptovalute sono esposte in modo particolare perché si affidano proprio a questo tipo di crittografia. Le blockchain usano chiavi ellittiche che, a parità di livello di sicurezza, sono quasi un ordine di grandezza più piccole delle chiavi RSA. In pratica, serve un computer quantistico meno potente per attaccarle.

E rispetto alla finanza tradizionale, qui c’è un problema supplementare: le blockchain non offrono veri margini di recupero contro una transazione fraudolenta. Una firma falsificata può tradursi in un furto definitivo. Nessun servizio clienti, nessuna seconda possibilità. Un sistema estremamente elegante, finché non smette di esserlo.

Google prepara già la transizione

Il nuovo studio, intitolato “Securing Elliptic Curve Cryptocurrencies against Quantum Vulnerabilities”, cambia anche il senso di un’altra recente dichiarazione dell’azienda, secondo cui Google si sta di fatto preparando al cosiddetto “quantum apocalypse” e punta a passare a misure di sicurezza post-quantum entro il 2029.

Per ora, però, siamo ancora nel campo delle previsioni. Nessuno ha costruito un computer quantistico che si avvicini davvero al numero di qubit, persino ridotto, ipotizzato nel paper. Ma la sensazione è che Q-Day stia assumendo un comportamento irritante: invece di restare sempre un po’ più in là, come fanno tante tecnologie future quando conviene parlarne, sembra avvicinarsi davvero.

E se bitcoin non è ancora sotto assedio, almeno la conversazione su quanto dureranno le difese attuali è appena diventata molto meno comoda.