AES 128: perché la crittografia standard resiste anche al quantum computing

Il mito da sfatare: AES 128 è ancora sicuro

Con l’avanzare delle ricerche sul quantum computing e le sue potenziali minacce alla crittografia moderna, l’ingegnere crittografo Filippo Valsorda interviene per dissipare un equivoco diffuso: AES 128 non è vulnerabile come molti credono.

Cos’è AES 128 e perché è così diffuso

AES 128 è la variante più utilizzata dello Advanced Encryption Standard, uno standard di cifratura a blocchi adottato ufficialmente dal NIST nel 2001. Nonostante la specifica preveda anche chiavi a 192 e 256 bit, AES 128 si è imposto come scelta preferita per il rapporto ottimale tra sicurezza e risorse computazionali.

In oltre 30 anni di storia, AES 128 non ha mai mostrato vulnerabilità note. L’unico metodo per violarlo rimane un attacco brute-force, che richiederebbe di provare tutte le possibili combinazioni di chiavi (2¹²⁸, ovvero 3,4 × 10³⁸ possibilità).

Per dare un’idea della sua inviolabilità: anche sfruttando l’intera potenza di calcolo del mining Bitcoin prevista per il 2026, un attacco del genere impiegherebbe circa 9 miliardi di anni.

Il falso allarme di Grover: perché AES 128 resiste al quantum

Negli ultimi anni, alcuni crittografi amatoriali hanno diffuso la teoria secondo cui un computer quantistico crittograficamente rilevante (CRQC) potrebbe rendere AES 128 vulnerabile. Secondo loro, Grover’s algorithm ridurrebbe l’efficacia della chiave a soli 2⁶⁴, rendendola teoricamente violabile in meno di un secondo con le stesse risorse del mining Bitcoin (solo a scopo illustrativo, poiché un CRQC non potrebbe eseguire cluster di ASIC Bitcoin né parallelizzare il lavoro come ipotizzato).

Tuttavia, questa tesi contiene gravi semplificazioni:

• Grover’s algorithm non dimezza la sicurezza di AES 128 in modo lineare, ma richiede un aumento esponenziale delle risorse computazionali per essere efficace.
• Un computer quantistico in grado di sfruttare Grover’s algorithm dovrebbe comunque superare sfide tecnologiche ancora irrisolte, come la correzione degli errori quantistici.
• La parallelizzazione del lavoro, come ipotizzato dagli scettici, non è fattibile con le attuali (e future) architetture quantistiche.

Le dichiarazioni di Valsorda

«AES 128 non è a rischio nel mondo post-quantum. Le preoccupazioni derivano da una semplificazione eccessiva di come funzionano gli algoritmi quantistici e le loro applicazioni pratiche. Fino a quando non avremo computer quantistici in grado di eseguire milioni di qubit stabili, AES 128 rimane una delle soluzioni crittografiche più sicure disponibili».

Conclusione: AES 128 resta una scelta affidabile

Nonostante le paure diffuse, AES 128 continua a essere una delle opzioni crittografiche più solide, sia per la sua resistenza agli attacchi classici che per la sua invulnerabilità dimostrata contro le minacce quantistiche attuali. La sua adozione diffusa nelle infrastrutture di sicurezza globale ne attesta ulteriormente l’affidabilità.