La trappola della decrittografia retroattiva: perché gli aggiornamenti post-quantistici non possono salvaguardare la tua privacy passata

Ridefinizione della finestra di migrazione di 10 anni

Il white paper di Google sulla minaccia quantistica, pubblicato di recente, ha scatenato un intenso dibattito sulle giustificazioni tecniche che hanno portato gli autori ad anticipare in modo aggressivo la scadenza della migrazione al 2029. Mentre alcuni critici hanno liquidato i risultati come allarmistici, un ampio consenso tra gli esperti del settore suggerisce che un avvertimento di questa portata da parte di uno dei principali motori della ricerca quantistica dovrebbe fungere da campanello d’allarme definitivo per gli sviluppatori affinché inizino immediatamente i preparativi post-quantistici.

Guy Zyskind, informatico e fondatore di Fhenix — un progetto che integra la crittografia completamente omomorfica (FHE) nell'ecosistema Ethereum — ha osservato che il white paper ridefinisce efficacemente il dibattito. Secondo Zyskind, la tradizionale finestra di migrazione di 10 anni, che fino a poco tempo fa sembrava pessimistica, appare ora "pericolosamente ottimistica" alla luce delle conclusioni di Google.

Forse l’aspetto più significativo è il peso del messaggero stesso; il fatto che un colosso tecnologico del calibro di Google abbia associato il proprio nome a una tempistica così specifica dovrebbe spingere la comunità blockchain verso un cambiamento architettonico fondamentale. Riguardo al motivo per cui i risultati del white paper hanno guadagnato terreno, Zyskind ha affermato: "I precedenti documenti in questo ambito tendevano ad essere o troppo teorici o troppo ottimistici riguardo ai requisiti dei qubit. Questo sembra colmare il divario in un modo che dovrebbe mettere le persone a disagio." Nel frattempo, la rivelazione principale del white paper di Google ha mandato onde d'urto attraverso la comunità blockchain: i ricercatori hanno dimostrato che un "computer quantistico crittograficamente rilevante" (CRQC) potrebbe raggiungere un tasso di successo del 41% nel dirottare una transazione prima ancora che venga confermata.

I critici avvertono che questa vulnerabilità potrebbe trasformare il mempool in un "centro commerciale" per gli aggressori, che potrebbero ricavare le chiavi private in tempo reale e sostituire i trasferimenti legittimi con quelli fraudolenti. Questo livello di esposizione minaccia di dissolvere la fiducia fondamentale su cui si basa la rete Bitcoin. Per prevenire un crollo totale dell'integrità della rete, alcuni sostenitori stanno ora chiedendo una revisione dell'architettura di finalità della blockchain, passando dai modelli di consenso tradizionali a framework più aggressivi e resistenti ai quantici.

Da parte sua, Zyskind sostiene che spostare l'intero stack richieda la crittografia post-quantistica (PQC), con le costruzioni basate su reticoli che rappresentano l'opzione più matura. Pur ritenendo che una mossa del genere renderebbe nuovamente sicuri i mempool, il fondatore di Fhenix continua a sostenere la loro crittografia.

"Mentre lo facciamo, potremmo anche iniziare a crittografare i mempool con la crittografia PQC e, idealmente, con la crittografia completamente omomorfica", ha spiegato Zyskind. "I mempool crittografati risolvono una serie di altri problemi: front-running, estrazione di MEV e privacy delle transazioni".

Vulnerabilità strutturali: Bitcoin vs. Ethereum

Il white paper di Google ha anche costretto a riesaminare le differenze strutturali tra Bitcoin e l'ecosistema Ethereum. Mentre la preoccupazione principale di Bitcoin rimane il "furto di monete" tramite exploit delle firme, la dipendenza di Ethereum da protocolli complessi — incluse le soluzioni di scalabilità Layer 2 e gli ZK-rollup che spesso utilizzano configurazioni fidate — introduce un profilo di minaccia più intricato.

Alla domanda se queste dipendenze rendano Ethereum fondamentalmente più "fragile" di Bitcoin, Zyskind ha chiarito che la distinzione risiede meno nell'architettura e più nella permanenza dei dati protetti. Zyskind avverte che l'arrivo di un computer quantistico sufficientemente potente non si limiterebbe a "indebolire" gli attuali sistemi a conoscenza zero (ZK) basati sulla crittografia a curve ellittiche; li renderebbe completamente obsoleti.

"Con un computer quantistico sufficientemente potente, qualsiasi sistema basato su ZK e costruito sulla crittografia a curve ellittiche dovrebbe essere considerato completamente compromesso", ha osservato Zyskind. "Un aggressore può dimostrare affermazioni false, il che significa che può mentire sullo stato on-chain e rubare fondi. È una catastrofe."

Tuttavia, ha sottolineato che per le transizioni di stato standard e i trasferimenti di asset, la soluzione è definitiva. Una volta che la rete Ethereum e i suoi vari livelli passeranno alla crittografia sicura post-quantistica (PQ-secure), la minaccia immediata di furto sarà neutralizzata.

Le prospettive sono significativamente più cupe per i protocolli incentrati sulla privacy. Sebbene l'aggiornamento alla PQC possa impedire futuri furti di asset o inflazione nascosta, non può proteggere il passato. Zyskind ha evidenziato un "problema più profondo" inerente alla privacy che non può essere risolto con una semplice patch software: la decrittografia retroattiva.

A differenza di una transazione dirottata, che è un evento una tantum, i dati crittografati memorizzati su un registro pubblico sono permanenti. Un avversario quantistico può aspettare anni per ottenere la potenza di calcolo necessaria a decriptare transazioni storiche che erano destinate a rimanere private per sempre. "Tutti i dati crittografati che sono già sulla catena, tutte le transazioni che avrebbero dovuto essere private: un avversario quantistico potrebbe essere in grado di decriptarli", ha spiegato Zyskind. "Quindi, anche dopo l'aggiornamento, la privacy degli utenti potrebbe essere compromessa in modo permanente." Questa permanenza crea una corsa contro il tempo per qualsiasi protocollo che gestisca dati sensibili oggi. Per Zyskind e il team di Fhenix, ciò giustifica la spinta immediata verso standard di crittografia sicuri a livello quantistico prima che arrivi la scadenza del 2029.

Conclude con un severo monito per il settore: gli utenti dei protocolli di privacy dovrebbero operare partendo dal presupposto che, a meno che tali sistemi non siano costruiti da zero sulla crittografia PQ-secure, i loro dati storici finiranno per essere esposti. Nell'era quantistica, la privacy non riguarda solo la protezione della prossima transazione, ma anche la garanzia che il passato rimanga sepolto.

Domande frequenti ❓

• Perché Google ha fissato il 2029 come termine ultimo per la migrazione? Perché il suo white paper mostra che gli attacchi quantistici potrebbero arrivare prima del previsto, rendendo il tradizionale periodo di 10 anni "pericolosamente ottimistico".
• Qual è il rischio immediato per Bitcoin ed Ethereum? Un computer quantistico con capacità crittografiche potrebbe dirottare le transazioni in tempo reale, minacciando sia la sicurezza delle monete che l'integrità dei protocolli complessi.
• Come dovrebbero reagire ora gli sviluppatori di blockchain? Gli esperti sollecitano l'adozione urgente della crittografia post-quantistica, con schemi basati su reticoli e mempool crittografati come difese principali.
• Gli aggiornamenti PQC possono proteggere i dati passati? No: i protocolli di privacy sono esposti a rischi di decrittografia retroattiva, il che significa che i dati storici on-chain potrebbero essere esposti una volta che la potenza quantistica sarà matura.