The impact of quantum computing on real-world security: A 5G case study

Questo articolo analizza l'impatto del calcolo quantistico sulla sicurezza delle reti 5G e propone un approccio innovativo a più fasi per aggiornare i sistemi crittografici, garantendo una migrazione fluida verso soluzioni post-quantistiche sfruttando le funzionalità di retrocompatibilità.

L'essenziale

🌐 Il Futuro della Sicurezza 5G: Una Guerra contro i "Super Computer"

Immagina che il mondo della sicurezza informatica sia come un castello medievale. Per secoli, le mura di questo castello (i nostri sistemi di crittografia) sono state costruite con mattoni molto resistenti. Nessuno è mai riuscito a scalarle o a sfondarle.

Ora, però, c'è una notizia che preoccupa gli architetti del castello: qualcuno sta costruendo una nuova macchina, un "martello quantico" (il computer quantico), capace di distruggere queste mura in un battito di ciglia.

Questo documento analizza cosa succederebbe se questo martello venisse usato contro il nostro nuovo castello, il 5G (la nuova generazione di telefonia mobile), e ci dice come rinforzarlo prima che il martello arrivi.

---

1. Il Problema: Le Chiavi Vecchie e il Martello Nuovo

Attualmente, il 5G (così come il 4G e il 3G) si basa su due tipi di "serrature":

1. Chiavi Simmetriche: Una chiave segreta che solo tu e la rete possiedi (come un codice segreto scritto su un foglio).
2. Chiavi Asimmetriche: Una serratura pubblica che chiunque può usare per chiudere un messaggio, ma che solo tu puoi aprire con la tua chiave privata (come una cassetta delle lettere).

Il pericolo del Computer Quantico:

• Contro le chiavi asimmetriche: Il computer quantico ha un "superpotere" (l'algoritmo di Shor) che può trovare la chiave privata partendo da quella pubblica in un istante. È come se il ladro potesse vedere attraverso il muro della cassetta delle lettere e rubare la chiave.
• Contro le chiavi simmetriche: Il computer quantico ha un altro superpotere (l'algoritmo di Grover) che raddoppia la velocità con cui prova le combinazioni. Se la tua chiave è lunga 128 bit (come quella attuale), per un computer quantico è come se fosse lunga solo 64 bit. È come se avessi una serratura con 1000 combinazioni invece di un miliardo: il ladro la apre in pochi secondi.

Il rischio reale:
Se qualcuno registra oggi le tue conversazioni telefoniche o i tuoi dati, e domani costruisce questo computer quantico, potrà decifrare tutto ciò che hai inviato oggi. È come se qualcuno registrasse una conversazione privata in una stanza blindata, aspettasse 10 anni che la serratura arrugginisca, e poi la aprisse per leggere tutto.

---

2. L'Analisi del Castello 5G

L'autore guarda dentro il castello 5G e scopre due punti deboli principali:

1. La Chiave Madre (K): Ogni SIM card (la tessera nel tuo telefono) contiene una chiave segreta di 128 bit. Questa è la radice di tutta la sicurezza. Se un computer quantico trova questa chiave, può aprire tutte le porte del castello di quel cliente.
2. L'Identità Nascosta: Il 5G cerca di non inviare il tuo numero di telefono (SUPI) in chiaro, ma lo cripta usando una chiave pubblica. Se questa chiave pubblica è basata su un vecchio sistema, il computer quantico può svelare la tua identità reale, rendendo inutile la privacy.

---

3. La Soluzione: Un Piano in Tre Fasi (Senza Smontare il Castello)

La cosa bella è che non dobbiamo demolire il castello e ricostruirlo da zero (sarebbe troppo costoso e lento). Possiamo fare dei rinforzi intelligenti sfruttando il fatto che il 5G è già stato progettato per essere flessibile.

Ecco il piano d'azione, spiegato con una metafora:

🚧 Fase 1: Cambiare la "Chiave Madre" (Immediato)

• Cosa fare: Sostituire la vecchia chiave segreta di 128 bit nelle nuove SIM card con una chiave da 256 bit.
• L'analogia: Immagina che la tua chiave di casa sia fatta di un metallo debole. Invece di cambiare l'intera serratura della porta (che costerebbe milioni), il fabbro ti dice: "Metti dentro una chiave nuova, fatta di un metallo super-resistente, ma che ha la stessa forma".
• Perché funziona: La serratura (il telefono e la rete) non deve cambiare. Accetta la chiave nuova senza problemi. Finché la chiave è più lunga e complessa, il computer quantico impiegherebbe un tempo infinito per trovarla.
• Chi deve agire: Gli operatori di rete e chi produce le SIM. I tuoi telefoni non devono cambiare nulla.

🛡️ Fase 2: Usare la "Chiave Doppia" (Futuro prossimo)

• Cosa fare: Il sistema 5G ha un trucco nascosto. Quando la SIM parla col telefono, invia due chiavi vecchie (CK e IK) che insieme formano una chiave più grande. Se la "Chiave Madre" è già stata aggiornata alla Fase 1, queste due chiavi unite diventano una chiave da 256 bit sicura.
• L'analogia: È come se la SIM card consegnasse al telefono due chiavi piccole. Se le unisci, formano una chiave gigante. Se le chiavi piccole sono state rafforzate nella Fase 1, la chiave gigante è invincibile.
• Perché funziona: Possiamo aggiornare il software dei telefoni e delle torri cellulari per usare questa "chiave gigante" senza toccare la SIM card. È un aggiornamento software, non hardware.

🔐 Fase 3: Cambiare le Serrature Pubbliche (Futuro)

• Cosa fare: Aggiornare i sistemi che proteggono la tua identità (la chiave pubblica) usando nuovi algoritmi resistenti ai computer quantici (quelli che l'NIST sta selezionando).
• L'analogia: Sostituire la vecchia cassetta delle lettere con una nuova, indestruttibile, che nessun ladro può forzare, nemmeno con il martello quantico.
• Quando: Appena i nuovi standard saranno pronti (tra qualche anno).

---

4. Conclusione: Non Panico, ma Azione

Il messaggio finale del paper è rassicurante: non serve il panico, serve la prudenza.

Il 5G è stato progettato con una "via di fuga" (la retrocompatibilità) che ci permette di aggiornare la sicurezza in modo graduale.

• Oggi: Possiamo già iniziare a mettere le chiavi più lunghe (256 bit) nelle nuove SIM.
• Domani: Aggiorniamo i telefoni per usare queste chiavi in modo più intelligente.
• Dopodomani: Cambiamo le serrature pubbliche.

Se facciamo questi piccoli passi ora, quando arriverà il "martello quantico", il nostro castello 5G sarà già rinforzato e nessuno riuscirà a rubare i nostri dati, nemmeno guardando nel passato. È come installare un antifurto moderno in una casa vecchia: non devi costruire una nuova casa, devi solo cambiare la serratura e aggiungere una telecamera.

Sommario tecnico

1. Il Problema

Il documento analizza l'impatto critico dell'avvento del calcolo quantistico su larga scala (definito come era PQ, Post-Quantum) sulla sicurezza delle reti di telecomunicazione mobile di nuova generazione, in particolare il 5G.

Sebbene i computer quantistici su larga scala non siano ancora una realtà operativa, la loro eventualità futura minaccia gli attuali schemi crittografici:

• Algoritmi Asimmetrici: L'algoritmo di Shor renderebbe insicuri tutti gli schemi basati sulla fattorizzazione di interi o sui logaritmi discreti (inclusa la crittografia a curva ellittica), utilizzati per la cifratura e lo scambio di chiavi.
• Algoritmi Simmetrici: L'algoritmo di Grover riduce efficacemente la sicurezza degli algoritmi a chiave simmetrica, dimezzando la lunghezza della chiave (es. una chiave a 128 bit offrirebbe una sicurezza equivalente a una chiave a 64 bit classica).

Il problema specifico per il 5G è che, sebbene il sistema utilizchi chiavi di derivazione a 256 bit, la sua fondazione poggia su una chiave segreta a lungo termine (K) di 128 bit memorizzata nella scheda USIM. Se un avversario quantistico riuscisse a estrarre questa chiave K, l'intera sicurezza del sistema verrebbe compromessa, permettendo la decrittazione di traffico passato e futuro e il clonaggio delle SIM.

2. Metodologia

L'autore adotta un approccio analitico strutturato in tre fasi principali:

1. Analisi Crittografica: Esame dettagliato dei protocolli di sicurezza 5G (basati sulla Release 15 del 3GPP), focalizzandosi sui meccanismi di autenticazione (5G AKA), derivazione delle chiavi, confidenzialità dell'identità mobile e protezione della sessione.
2. Valutazione delle Vulnerabilità PQ: Simulazione teorica di attacchi quantistici sui componenti specifici del 5G. L'autore valuta quanto tempo e risorse sarebbero necessari per violare le chiavi attuali (K, CK, IK, ecc.) utilizzando gli algoritmi di Shor e Grover.
3. Proposta di Migrazione: Sviluppo di una strategia di aggiornamento in fasi (phased approach) che sfrutta le funzionalità di retrocompatibilità intrinseche nel design del 5G (ereditato da 3G e 4G) per permettere una transizione fluida verso la sicurezza post-quantistica senza richiedere la sostituzione immediata di tutta l'infrastruttura o dei terminali.

3. Contributi Chiave e Risultati Tecnici

Analisi delle Vulnerabilità

• Chiave K (128 bit): È il punto debole principale. In un'era PQ, l'intercettazione di una singola coppia sfida-risposta (AKA Challenge-Response) permetterebbe a un attaccante di dedurre la chiave K con complessità $O(2^{64})$, rendendo possibile la decrittazione di tutto il traffico associato e il clonaggio della SIM.
• Crittografia Asimmetrica (Identità): La protezione dell'identificatore permanente dell'utente (SUPI) tramite SUCI utilizza schemi asimmetrici (es. ECIES). Se questi schemi sono vulnerabili a Shor, la privacy dell'identità di milioni di utenti potrebbe essere compromessa con un singolo attacco alla chiave privata dell'operatore.
• Chiavi Operative: Le chiavi effettive usate per cifrare il traffico (NAS, RRC, User Plane) sono derivate da K. Sebbene siano lunghe 256 bit nella gerarchia di derivazione, vengono spesso troncate a 128 bit per l'uso con algoritmi esistenti, mantenendo la vulnerabilità.

Proposte di Soluzione (Roadmap in Fasi)

L'autore propone un piano di aggiornamento graduale per mitigare i rischi senza interrompere i servizi esistenti:

Fase 1: Aggiornamento delle Chiavi a Lungo Termine (Simmetrica)

• Obiettivo: Aumentare la lunghezza della chiave segreta K nella USIM da 128 a 256 bit.
• Implementazione: Modifica minima degli standard per permettere chiavi a 256 bit nelle nuove USIM e nell'ARPF (Authentication credential Repository and Processing Function).
• Vantaggio: Non richiede modifiche agli smartphone o all'infrastruttura di rete esistente. Una chiave K a 256 bit resiste agli attacchi di Grover (richiederebbe $O(2^{128})$ operazioni quantistiche, computazionalmente impraticabile).
• Nota: Le funzioni di derivazione (f1-f5) devono essere aggiornate per accettare input a 256 bit.

Fase 2: Aggiornamento della Crittografia Operativa (Simmetrica)

• Obiettivo: Sfruttare la retrocompatibilità per utilizzare chiavi operative a 256 bit senza cambiare l'interfaccia USIM-ME.
• Meccanismo: Poiché la USIM restituisce due chiavi a 128 bit (CK e IK), la loro concatenazione può essere trattata come una singola chiave a 256 bit.
• Implementazione: Modificare l'infrastruttura di rete e i terminali per utilizzare le chiavi derivate (KSEAF, KAMF, ecc.) nella loro forma completa a 256 bit, evitando il troncamento a 128 bit e aggiornando gli algoritmi di cifratura e MAC per supportare chiavi più lunghe.

Fase 3: Aggiornamento della Crittografia Asimmetrica

• Obiettivo: Sostituire gli schemi di cifratura asimmetrica (attualmente ECIES) con algoritmi resistenti al quantum (PQC).
• Implementazione: Aggiornare gli standard 3GPP per includere nuovi schemi di cifratura asimmetrica (in attesa della standardizzazione NIST) per la protezione del SUPI/SUCI. Questo è necessario solo per il 5G e può essere introdotto quando gli algoritmi PQC saranno standardizzati (previsto entro 2-3 anni dal 2019).

4. Significato e Implicazioni

• Mitigazione del Rischio: Il documento dimostra che non è necessario un "salto" tecnologico traumatico per proteggere il 5G. Attraverso piccoli aggiornamenti agli standard e un approccio graduale, è possibile rendere il sistema resistente agli attacchi quantistici.
• Costi e Compatibilità: La strategia proposta minimizza i costi economici e tecnici. Sfruttando la retrocompatibilità, si evita la necessità di sostituire immediatamente le USIM esistenti o di riscrivere l'intera architettura di rete, permettendo una coesistenza di sistemi 128-bit e 256-bit durante la transizione.
• Impatto su 3G/4G: Le raccomandazioni della Fase 1 si applicano anche alle reti 3G e 4G, offrendo una protezione immediata per le infrastrutture legacy che rimarranno operative per anni.
• Reputazione e Sicurezza: Prevenire la compromissione della privacy degli utenti (tramite il furto di identità o il clonaggio) è cruciale per mantenere la fiducia nel 5G, specialmente considerando che i dati sensibili potrebbero essere intercettati oggi e decrittati in futuro (harvest now, decrypt later).

In conclusione, il paper fornisce una roadmap pratica e tecnicamente fondata per gli operatori di rete e gli enti di standardizzazione (3GPP, NIST) per garantire che le infrastrutture di telecomunicazione globali rimangano sicure nell'era del calcolo quantistico.