Quantum key distribution e quantum communication. La valutazione critica di M. Dècina e M. Martinelli di tecnologie, protocolli e livelli di prontezza

  ICT, Rassegna Stampa
image_pdfimage_print

Le tecnologie di quantum communication promettono una sicurezza incondizionata fondata sulle leggi fondamentali della fisica, tuttavia il loro percorso verso l’effettiva implementazione rimane gravato da rilevanti sfide ingegneristiche e architetturali. Il presente lavoro fornisce un’analisi esaustiva del panorama della quantum communication, che spazia dai principi fondamentali del quantum computing — che motivano la crittografia post-quantistica — fino ai protocolli, ai dispositivi e alle architetture di rete necessari per una futura quantum internet.

Si esamina dapprima la minaccia rappresentata dai computer quantistici per gli attuali sistemi crittografici, ponendo in rilievo le recenti previsioni secondo cui RSA-2048 ed ECDSA-256 potrebbero essere violati già nel 2029 grazie ai progressi nei codici di correzione degli errori quantistici, quali i codici quantum low-density parity-check (qLDPC) di tipo bivariate bicycle e generalized bicycle. Si fornisce quindi un’analisi tecnica dettagliata dei protocolli di quantum key distribution (QKD) BB84 e BBM92, dei meccanismi di Bell State Measurement e dei circuiti di teletrasporto quantistico. Il lavoro valuta criticamente le limitazioni pratiche della QKD individuate dalla U.S. National Security Agency, fra cui l’assenza di autenticazione nativa, la vulnerabilità ad attacchi di tipo denial-of-service e la rigidità delle implementazioni hardware. Si esaminano le architetture dei quantum repeater attraverso tre generazioni, evidenziando il collo di bottiglia rappresentato dalla tecnologia di quantum memory, e si valutano le architetture di quantum networking, inclusi i nodi di commutazione e gli sforzi di standardizzazione. Infine, si applica il framework Technology Readiness Level (TRL) per mappare la maturità di ciascuna tecnologia, rivelando che, mentre la QKD BB84 con decoy state ha raggiunto un TRL 8–9, i quantum repeater rimangono al TRL 3–4 e il quantum networking al TRL 2–3, con una piena maturità prevista non prima del 2045. La nostra analisi conclude che, sebbene il settore offra un potenziale trasformativo, le tempistiche realistiche di implementazione del quantum networking superano i vent’anni, e le esigenze di sicurezza a breve termine sono meglio soddisfatte dagli standard di crittografia post-quantistica.

Parole chiave: Quantum Key Distribution, BB84, BBM92, Bell State Measurement, Quantum Repeater, Quantum Internet, Technology Readiness Level, Post-Quantum Cryptography

1. Introduzione

La sicurezza delle moderne comunicazioni digitali poggia su assunzioni di natura computazionale — in particolare, sull’intrattabilità dei problemi di fattorizzazione di interi e di logaritmo discreto per i computer classici. L’avvento di un quantum computing scalabile minaccia di invalidare tali assunzioni, poiché l’algoritmo di Shor è in grado di risolvere entrambi i problemi in tempo polinomiale su un computer quantistico di dimensioni sufficienti [1]. Questa minaccia incombente, talvolta indicata come «Q-Day», ha catalizzato due direttrici di ricerca parallele: la post-quantum cryptography (PQC), che sviluppa algoritmi classici resistenti agli attacchi quantistici, e la quantum communication, che sfrutta i fenomeni della meccanica quantistica per conseguire una sicurezza di tipo information-theoretic.

Il National Institute of Standards and Technology (NIST) ha già standardizzato tre algoritmi PQC: CRYSTALS-Kyber per lo scambio di chiavi, CRYSTALS-Dilithium e SPHINCS+ per le firme digitali, con FALCON e HQC quali standard futuri [2]. Parallelamente, la quantum key distribution (QKD) è progredita dalle dimostrazioni di laboratorio fino a sistemi commerciali punto-punto, mentre la più ampia visione di una quantum internet rimane nelle fasi iniziali della ricerca.

Il presente lavoro propone una rassegna critica e tecnicamente rigorosa delle tecnologie di quantum communication, attingendo alle più recenti proiezioni sulle tempistiche del quantum computing, ad un’analisi dettagliata dei protocolli e ad una valutazione sistematica della maturità tecnologica. Il nostro contributo è triplice: (i) contestualizziamo la minaccia del quantum computing con previsioni specifiche al 2029 dei principali operatori industriali; (ii) forniamo una trattazione tecnica unificata dei protocolli QKD, del Bell State Measurement e delle architetture di quantum repeater; e (iii) applichiamo un rigoroso framework TRL che rivela il significativo divario fra la promessa teorica e la realtà ingegneristica.

Il presente lavoro è organizzato come segue. La Sezione 2 esamina i fondamenti del quantum computing rilevanti per la sicurezza delle comunicazioni. La Sezione 3 illustra in dettaglio i protocolli QKD BB84 e BBM92. La Sezione 4 esamina il Bell State Measurement e fornisce una rassegna critica della QKD. La Sezione 5 affronta le architetture dei quantum repeater. La Sezione 6 discute il quantum networking. La Sezione 7 presenta la valutazione di prontezza tecnologica, e la Sezione 8 conclude.

2. Quantum Computing

2.1 Complessità Computazionale e Vantaggio Quantistico

Il quantum computing trae la propria potenza dallo sfruttamento di fenomeni meccanico-quantistici — sovrapposizione, entanglement e interferenza — per risolvere determinate classi di problemi in modo esponenzialmente più rapido rispetto ai computer classici. Nell’ambito della teoria della complessità computazionale, i computer classici risolvono efficientemente problemi appartenenti alla classe P (tempo polinomiale), mentre molti problemi rilevanti dal punto di vista crittografico appartengono alla classe NP (non-deterministic polynomial time). I computer quantistici non risolvono efficientemente tutti i problemi NP; piuttosto, affrontano una specifica sottoclasse nota come BQP (Bounded-error Quantum Polynomial time) [3].

Figura 1– Dove si colloca BQP nel mondo delle classi di complessità

Gli algoritmi quantistici più rilevanti per la sicurezza crittografica sono l’algoritmo di Shor, basato sulla phase estimation, che fattorizza interi di grandi dimensioni e calcola logaritmi discreti in tempo polinomiale, e l’algoritmo di Grover, basato sull’amplitude amplification, che fornisce un’accelerazione quadratica per problemi di ricerca non strutturata. Le quantum walks costituiscono un terzo paradigma algoritmico con applicazioni che spaziano dall’ottimizzazione ai problemi su grafi.

2.2 La Minaccia Quantistica per gli Attuali Sistemi Crittografici

L’attuale sicurezza di Internet si fonda sulla crittografia asimmetrica (RSA, Diffie-Hellman, Elliptic Curve Cryptography) per lo scambio delle chiavi e per le firme digitali, e sulla crittografia simmetrica (AES, SHA) per la cifratura di massa e l’hashing. In base all’algoritmo di Shor, violare RSA con una chiave a 3.072 bit richiede un computer quantistico dotato di alcune migliaia di qubit logici [4]. Lo stesso ordine di qubit logici è sufficiente per violare ECDSA-256, lo schema di firma alla base dell’autenticazione dei Bitcoin.

Il parametro critico che lega i qubit logici a quelli fisici è l’overhead della quantum error correction (QEC). Utilizzando QEC basata su Surface Code, sono necessari circa 1.000 qubit fisici per qubit logico. I recenti progressi nei codici quantum Low Density Parity-Check (qLDPC) — segnatamente i codici Bivariate Bicycle (BB) e Generalized Bicycle (GB) — riducono drasticamente tale rapporto a circa 50–100 qubit fisici per qubit logico, entrambi con tassi di errore obiettivo compresi fra 10⁻³ e 10⁻⁵ [4].

2.3 Proiezioni Temporali: Q-Day entro il 2029

Le recenti proiezioni dei principali operatori del quantum computing suggeriscono che computer quantistici crittograficamente rilevanti potrebbero comparire entro il 2029. Google, impiegando qubit superconduttori con una un QEC composto da Surface Code e Color Code, prevede circa 500.000 qubit fisici che producono 1.000–2.000 qubit logici (con un rapporto di 250–500 fisici per ciascun logico), sufficienti a violare sia ECDSA-256 sia RSA-2.048/3.072. IBM, anch’essa orientata a tecnologie superconduttive ma in transizione verso codici BB qLDPC, punta a circa 10.000 qubit fisici per 200 qubit logici (50 fisici per logico), con obiettivo RSA-2.048 oltre il 2030. Altri approcci basati su codici Generalized Bicycle prevedono circa 100.000 qubit fisici per 1.000–2.000 qubit logici, mentre le piattaforme ad atomi neutri (Harvard, MIT, QuEra) esplorano architetture qLDPC non locali capaci di rapporti contenuti fino a 3–4 qubit fisici per qubit logico [4].

Tali proiezioni implicano che il NIST potrebbe dover accelerare la propria roadmap di migrazione alla PQC dal 2035 al 2030, rappresentando una rilevante sfida di policy e di ingegneria per le infrastrutture globali delle telecomunicazioni.

2.4 I Tre Pilastri della Tecnologia Quantistica

La tecnologia quantistica comprende tre principali pilastri: quantum computing, quantum communications e quantum sensing. Mentre il quantum computing si avvicina alla maturità industriale entro il decennio corrente, e i sensori quantistici raggiungono già una precisione straordinaria (10⁻¹⁸–10⁻²⁴), le quantum communications — in particolare oltre la QKD punto-punto — rimangono significativamente meno mature, come dimostreranno le sezioni successive.

3. Protocolli QKD: BB84 e BBM92

3.1 Il Protocollo BB84: Prepare-and-Measure

Il protocollo BB84, proposto da Bennett e Brassard nel 1984 [5], costituisce il primo e più ampiamente diffuso schema di QKD. Esso opera secondo un paradigma prepare-and-measure che non richiede entanglement, risultando dunque tecnicamente più semplice da implementare.

Descrizione del Protocollo. BB84 impiega due basi coniugate per la codifica dell’informazione su singoli fotoni:

  • La base rettilinea utilizza polarizzazioni orizzontale (→) e verticale (↑), rappresentanti rispettivamente i bit 0 e 1.
  • La base diagonale utilizza polarizzazioni a 45° (↗) e 135° (↖), rappresentanti rispettivamente i bit 0 e 1.

Alice seleziona casualmente una base e un valore di bit per ciascun fotone che trasmette a Bob attraverso un canale quantistico (tipicamente una fibra ottica). Bob seleziona indipendentemente e casualmente una base di misura per ciascun fotone ricevuto. Dopo la trasmissione, Alice e Bob utilizzano un canale classico autenticato per confrontare le rispettive scelte di base (senza rivelare i valori dei bit). Conservano soltanto i bit per i quali le basi coincidono, formando la cosiddetta «sifted key». Un sottoinsieme della sifted key viene confrontato pubblicamente per stimare il quantum bit error rate (QBER); qualora il QBER superi una soglia indicativa di eavesdropping, il protocollo viene abortito. In caso contrario, le procedure di privacy amplification ed error correction producono la chiave segreta finale.

Fondamento di Sicurezza. La sicurezza di BB84 deriva dal teorema di no-cloning quantistico: un eavesdropper (Eve) non può copiare uno stato quantistico ignoto senza perturbarlo. Qualsiasi misura effettuata da Eve su un fotone codificato in una base che ella non abbia indovinato correttamente introduce errori rilevabili.

Miglioramento Pratico: Decoy State. Le implementazioni reali sono esposte all’attacco di photon number splitting (PNS), nel quale impulsi multi-fotone provenienti da sorgenti single-photon non ideali consentono ad Eve di estrarre informazione senza essere rilevata. Il protocollo decoy-state affronta questa vulnerabilità variando casualmente l’intensità degli impulsi trasmessi, permettendo ad Alice e Bob di stimare un limite superiore alla frazione di eventi a singolo fotone e di rilevare attacchi PNS [6].

Figura 2- Protocollo Schematico BB84

3.2 Il Protocollo BBM92: Entanglement-Based

Nel 1992, Bennett, Brassard e Mermin dimostrarono che il protocollo BB84 poteva essere riformulato impiegando coppie di fotoni entangled [7]. In BBM92, una sorgente genera coppie di fotoni entangled in uno stato di Bell (ad esempio |Φ⁺⟩), distribuendone uno ad Alice e uno a Bob. Entrambe le parti scelgono indipendentemente e casualmente le basi di misura. A causa delle correlazioni intrinseche allo stato entangled, quando Alice e Bob effettuano la misura nella medesima base, i loro esiti risultano perfettamente correlati (o anti-correlati, a seconda dello stato di Bell).

Il protocollo BBM92 è operativamente equivalente a BB84 in termini di procedura di distillazione della chiave — basis reconciliation, stima dell’errore e privacy amplification procedono in modo identico. Esso offre tuttavia vantaggi distintivi:

  • Potenziale sicurezza device-independent: poiché le correlazioni derivano dall’entanglement, la sicurezza può in linea di principio essere verificata tramite la violazione delle disuguaglianze di Bell, senza necessità di confidare nei dispositivi di misura.
  • Architettura simmetrica: nessuna delle due parti deve preparare gli stati; entrambe sono ricevitori da una sorgente entangled centrale.

3.3 Analisi Comparativa

I due protocolli differiscono significativamente nell’implementazione pratica:

Il BB84 con decoy state rimane l’unica tecnologia QKD industrialmente matura, raggiungendo key rate dell’ordine di kbit/s–Mbit/s su distanze in fibra metropolitane di 50–100 km. BBM92, pur teoricamente elegante e suscettibile di evoluzione verso una sicurezza device-independent, consegue attualmente key rate inferiori e si scontra con la sfida pratica di generare, distribuire e preservare coppie entangled con fedeltà sufficiente.

3.4 Ulteriori Varianti di QKD

  • Oltre a BB84 e BBM92, il panorama della QKD include:
  • Measurement-Device-Independent QKD (MDI-QKD): Alice e Bob inviano stati quantistici ad un nodo centrale non fidato di Bell State Measurement (Charlie), estraendo chiavi sicure da pattern di correlazione. Tale schema elimina tutti gli attacchi lato rivelatore, raggiungendo uattualmente un TRL 4–6.
  • Device-Independent QKD (DI-QKD): fondata su test di Bell loophole-free, non richiede alcuna fiducia nei dispositivi. Attualmente a TRL 2–3, con key rate praticamente troppo bassi.

4. Bell State Measurement e Rassegna della QKD

4.1 Fondamenti di Entanglement e Stati di Bell

L’entanglement quantistico, identificato per la prima volta da Einstein, Podolsky e Rosen (EPR) nel 1935, descrive un fenomeno per il quale due particelle quantistiche manifestano correlazioni non spiegabili dalla fisica classica. Quando due qubit sono entangled, la misura di uno determina istantaneamente lo stato dell’altro, indipendentemente dalla separazione spaziale — ciò che Einstein definì celeberrimamente «spooky action at a distance».

Uno stato di Bell descrive lo stato quantistico di due qubit entangled. Esistono quattro stati di Bell ortogonali, che formano una base completa per lo spazio di Hilbert a due qubit:

  • |Φ⁺⟩: entrambi i qubit misurati come 00 o 11
  • |Φ⁻⟩: entrambi i qubit misurati come 00 o 11 (con fase relativa)
  • |Ψ⁺⟩: qubit misurati come 01 o 10
  • |Ψ⁻⟩: qubit misurati come 01 o 10 (con fase relativa)

4.2 Bell State Measurement (BSM)

Con Bell State Measurement si intende il processo di proiezione di due qubit su uno dei quattro stati di Bell. Il BSM costituisce un’operazione critica nel teletrasporto quantistico, nell’entanglement swapping e nei quantum repeater.

Implementazione Fisica. I Bell State Analyzer sfruttano l’effetto Hong-Ou-Mandel (HOM) utilizzando i seguenti componenti [8]:

  • Un beam splitter 50/50 in cui due fotoni entrano simultaneamente attraverso le due porte di ingresso
  • Polarizing beam splitter (PBS) che ordinano i fotoni in base alla polarizzazione verticale od orizzontale
  • Rivelatori di singolo fotone (sensori ad alta sensibilità che registrano gli arrivi di fotoni individuali)

La Logica del «Click». Quando due fotoni interferiscono al beam splitter, si verifica un «bunching» o un «anti-bunching» a seconda del loro stato quantistico congiunto. Rivelazioni in coincidenza su porte di uscita differenti identificano lo stato |Ψ⁻⟩, mentre specifiche combinazioni di polarizzazione identificano altri stati.

Limite Fondamentale. Utilizzando esclusivamente ottica lineare (beam splitter e specchi), soltanto due dei quattro stati di Bell possono essere distinti in modo non ambiguo. Ciò impone un massimo teorico del 50% di tasso di successo per la BSM in ottica lineare. Quando la misura fornisce un risultato ambiguo, il protocollo deve essere ritentato, limitando in modo fondamentale il throughput delle reti basate su repeater.

4.3 Teletrasporto Quantistico

Il teletrasporto quantistico consente la trasmissione di un qubit ignoto |ψ⟩ senza il trasferimento fisico della particella che codifica l’informazione [9]. Il protocollo richiede tre ingredienti:

  1. Sorgente e destinazione condividono una coppia di qubit entangled (richiedendo un canale di comunicazione quantistica per la distribuzione);
  2. Operazioni circuitali quantistiche locali sia in sorgente sia in destinazione (gate di Hadamard H, gate CNOT, gate di correzione X e Z);
  3. Trasmissione di due bit classici dalla sorgente alla destinazione tramite un canale convenzionale.

Il circuito di teletrasporto opera come segue: Alice possiede il qubit ignoto |ψ⟩ e una delle due metà di una coppia entangled EPR |Φ⁺⟩. Effettua una BSM sui propri due qubit, ottenendo due bit classici. Tali bit vengono trasmessi a Bob, il quale applica la corrispondente correzione unitaria (X, Z, o entrambe) alla propria metà della coppia entangled, recuperando esattamente |ψ⟩. Il qubit originale presso Alice viene distrutto in conformità al teorema di no-cloning.

Figura 3- Diagramma Circuito Teletrasporto Quantistico

4.4 Superdense Coding

Il superdense coding rappresenta il duale del teletrasporto: con entanglement precondiviso, la trasmissione di un singolo qubit consente la comunicazione di due bit classici, poiché i quattro stati di Bell codificano quattro messaggi distinti. Ciò non viola tuttavia il teorema della capacità di canale di Shannon, dato che l’entanglement precondiviso richiede a sua volta la distribuzione di un qubit. Il trasferimento netto di informazione resta vincolato ai limiti classici — un bit per fotone trasmesso quando si tiene conto di tutte le risorse [10].

4.5 Revisione Critica della QKD: La valutazione della NSA

La U.S. National Security Agency ha identificato cinque problematiche fondamentali della QKD che ne limitano l’applicabilità quale soluzione di sicurezza general-purpose [11]:

  1. La QKD è solo una soluzione parziale. La QKD genera materiale di chiave per la cifratura ma non offre alcun mezzo per autenticare la sorgente della trasmissione. L’autenticazione richiede crittografia asimmetrica o chiavi pre-distribuite — precisamente le tecnologie che la QKD intende sostituire.
  2. La QKD richiede apparati dedicati. Non può essere implementata in software, non può essere offerta come servizio di rete, e non può essere integrata agevolmente negli apparati di rete esistenti. Le implementazioni hardware difettano di flessibilità per aggiornamenti o patch di sicurezza.
  3. La QKD accresce i costi infrastrutturali e i rischi di insider threat. La necessità di canali quantistici dedicati e di trusted node introduce ulteriori superfici di attacco e oneri di costo.
  4. Mettere in sicurezza e validare la QKD costituisce una sfida significativa. La sicurezza effettiva non coincide con la sicurezza incondizionata teorica derivante dalla fisica, bensì con la sicurezza limitata conseguibile attraverso la progettazione hardware e ingegneristica. La tolleranza all’errore in ambito di sicurezza crittografica è di diversi ordini di grandezza inferiore rispetto ai tipici scenari di ingegneria fisica, e specifici componenti hardware possono introdurre vulnerabilità.
  5. La QKD accresce il rischio di denial of service. La stessa sensibilità all’eavesdropping che fornisce il fondamento teorico della sicurezza implica che qualsiasi perturbazione fisica — un jammer alla frequenza satellitare che provochi un’attenuazione di 10 dB, oppure luce iniettata in una fibra — distrugga tutti i qubit, rendendo banali gli attacchi di denial-of-service.

4.6 Valutazione di Applicabilità Pratica

Alla luce di tali limitazioni, la QKD trova la propria applicazione più credibile in scenari controllati di tipo punto-punto: ad esempio, due sedi di un medesimo istituto finanziario collegate da un link in fibra dedicato e fisicamente protetto, in cui gli endpoint siano pre-autenticati attraverso misure di sicurezza fisica. L’impiego sull’Internet aperta, al servizio di miliardi di utenti che richiedono autenticazione dinamica, resta impraticabile con la tecnologia QKD attuale o prevedibile.

5. Quantum Repeater

5.1 Il Problema della Distanza

La comunicazione quantistica su fibra ottica subisce un’attenuazione esponenziale del segnale (circa 0,2 dB/km alle lunghezze d’onda telecom). A differenza dei segnali classici, gli stati quantistici non possono essere amplificati a causa del teorema di no-cloning. La QKD BB84 è dunque limitata a circa 50–100 km senza trusted node intermedi. Estendere la quantum communication a distanze continentali o intercontinentali richiede quantum repeater — dispositivi che estendono l’entanglement attraverso una catena di link più brevi senza misurare (e quindi distruggere) l’informazione quantistica.

5.2 Entanglement Swapping: Il Meccanismo Fondamentale

L’operazione fondamentale di un quantum repeater è l’entanglement swapping. Si considerino tre nodi: Alice (A), Charlie (C, il repeater) e Bob (B). Il protocollo procede come segue:

  1. Viene generata una coppia entangled |Φ⁺_AC⟩ fra Alice e Charlie.
  2. Viene generata una coppia entangled |Φ⁺_CB⟩ fra Charlie e Bob.
  3. Charlie effettua una Bell State Measurement sui propri due qubit locali (uno per ciascuna coppia).
  4. Il risultato della BSM (due bit classici) viene comunicato a Bob.
  5. Bob applica la correzione opportuna, producendo entanglement end-to-end |Φ⁺_AB⟩ fra Alice e Bob.

Tale processo — l’entanglement swapping — «teletrasporta» di fatto l’entanglement attraverso il nodo intermedio senza che alcun qubit attraversi l’intera distanza. Il medesimo meccanismo trova applicazione nei satelliti che fungono da nodi di relay per link quantistici terra-terra.

Figura 4- Circuito Entanglement Swapping per Quantum Repeater

5.3 Il Ruolo Critico della Quantum Memory

La natura probabilistica della generazione di entanglement e il tasso di successo del 50% della BSM determinano una necessità fondamentale di quantum memory. La sequenza operativa illustra tale requisito:

  1. I nodi A e B tentano di stabilire entanglement con il nodo C. Il link A–C ha successo.
  2. Il nodo C immagazzina il qubit A–C nella quantum memory.
  3. Il link C–B fallisce ripetutamente (potenzialmente 10 o più tentativi).
  4. Il link C–B ha infine successo.
  5. Il nodo C recupera il qubit immagazzinato ed effettua il BSM.

In assenza di memoria, entrambi i link dovrebbero avere successo simultaneamente — evento esponenzialmente improbabile per catene lunghe. Le attuali tecnologie di quantum memory includono:

  • Diamond Color Centers (Nitrogen-Vacancy/Tin-Vacancy): candidati di punta per l’integrazione on-chip, con funzionamento a temperatura relativamente elevata.
  • Trapped Ions: il gold standard in termini di fedeltà, adatti a backbone ad alta sicurezza che richiedono tassi di swap success prossimi al 100%.
  • Rare-Earth Ion Crystals: in grado di multiplexing spettrale (immagazzinamento di centinaia di modi quantistici in un singolo cristallo).

Tecnologie di supporto includono la quantum frequency conversion (QFC) per la traslazione delle lunghezze d’onda native delle memorie (ad esempio 637 nm) verso la O-band telecom (~1310 nm), i superconducting nanowire single-photon detectors (SNSPDs) per la rilevazione heralded, e la stabilizzazione attiva della fase per compensare le perturbazioni in fibra.

Limitazione Critica. Le attuali quantum memory raggiungono tempi di coerenza dell’ordine dei millisecondi. Tale valore risulta insufficiente per applicazioni che richiedano memorizzazione di chiavi a lungo termine (ore o mesi) e appena adeguato alla latenza della comunicazione classica nelle catene di repeater che si estendono per centinaia di chilometri. Inoltre le quantum memory hanno un tempo di vita molto limitato che si stima dell’ordine dei giorni/settimane.

5.4 Quantum Repeater di Generazione Zero: Stato dell’Arte

Una recente dimostrazione sperimentale di un quantum repeater (di generazione zero, privo di quantum memory) è stata riportata da Thomas et al. su Optica (2024) [12]. Il sistema opera con:

  • Generazione di fotoni entangled a 1290 nm e 1310 nm
  • Comunicazione classica in banda C (~1550 nm) e comunicazione quantistica in banda O (~1310 nm)
  • Interferenza HOM fra due fotoni a 1290 nm presso il nodo centrale Charlie
  • Un filtro da 60 pm per aumentare la lunghezza di coerenza
  • Compensazione di polarizzazione e correzione di rotazione a due bit
  • Estensione totale di circa 48–60 km (24 km per ciascun lato)

L’apparato rimane estremamente complesso, di scala laboratoriale e lontano dal costituire un’infrastruttura schierabile.

5.5 Tre Generazioni di Quantum Repeaters

Nessun quantum repeater di prima generazione è stato ad oggi dimostrato in ambito di ricerca. I repeater di terza generazione prefigurano una rete pienamente sincrona (sincronizzata a livello di picosecondo) che effettui streaming di blocchi di fotoni — un requisito che presenta sfide ingegneristiche straordinarie data la realtà di jitter, dispersione in fibra e sincronizzazione globale su collegamenti terrestri lunghi fino a 25.000 km (connessione ipotetica di riferimento dell’ITU).

5.6 Approcci Satellite-Based

La comunicazione quantistica via satellite costituisce un’alternativa alla fibra per i link a lunga distanza. Il satellite LEO (Low Earth Orbit) cinese Micius ha dimostrato la QKD su distanze superiori a 1.000 km tra satellite e ground station [13]. Tanto gli approcci discrete-variable (DV-QKD) quanto quelli continuous-variable (CV-QKD) sono in fase di esplorazione per piattaforme satellitari:

La DV-QKD su satellite fornisce sicurezza quantistica incondizionata attraverso i protocolli BB84 o BBM92 ed è stata dimostrata in scenari LEO-terra. La CV-QKD offre compatibilità con ricevitori coerenti classici, ma consegue soltanto una sicurezza classica (limite di Shannon) e tollera perdite moderate.

La QKD satellitare eredita tuttavia la vulnerabilità al denial-of-service: un jammer operante alla frequenza satellitare può distruggere i segnali quantistici con potenza modesta, e il satellite stesso agisce come trusted node (e non come vero quantum repeater) nelle implementazioni attuali.

6. Quantum Networking

6. 1 Dal Punto-Punto alla Rete

La quantum internet è definita come un’interconnessione eterogenea di reti quantistiche — reti di dispositivi quantistici capaci di generare e distribuire stati quantistici entangled e di scambiare qubit [14]. La transizione da link QKD punto-punto a vere reti quantistiche richiede di risolvere problemi fondamentalmente più ardui: distribuzione di entanglement multi-party, routing quantistico, switching quantistico e gestione delle risorse.

6.2 Architettura del Nodo di Commutazione Quantistico

Un nodo di commutazione quantistico deve eseguire entanglement swapping non semplicemente fra due endpoint fissi, ma in modo dinamico fra molteplici nodi connessi. L’architettura comprende [15]:

  • Unità di Bell State Measurement per l’entanglement swapping
  • Cross-connect ottici per l’instradamento di diverse lunghezze d’onda e fibre
  • Banchi di quantum memory per il buffering dei qubit durante le decisioni di routing
  • Piani di controllo classici per la gestione del routing e delle risorse di entanglement

Le attuali implementazioni sperimentali restano rudimentali: un network hypervisor centralizzato effettua operazioni di BSM utilizzando i nodi come repeater, ma non implementa un vero routing all’interno di un cross-connect ottico (con mescolamento di lunghezze d’onda, qubit e commutazione di intere fibre). La complessità di un nodo di commutazione quantistico completo è stimata di diversi ordini di grandezza superiore a quella di un quantum repeater — a sua volta non ancora realizzabile su scala industriale.

6.3 Testbeds Sperimentali

I recenti testbed di quantum internet (ad esempio Pérez Castro et al., arXiv, 2025 [16]) dimostrano:

  • Verifica di entanglement Clauser-Horne-Shimony-Holt (CHSH)
  • Reti a bit entangled
  • Teletrasporto quantistico fra nodi
  • Architettura a network hypervisor centralizzato

Tali testbed validano principi di base, ma operano su scala di laboratorio con un piccolo numero di nodi e in condizioni di supervisione spinta.

6.4 Attività di Standardizzazione

Diverse organizzazioni stanno sviluppando standard per il quantum networking [17]:

  • ITU-T SG13: framework per il quantum networking e la QKD sulle reti ottiche
  • ETSI QKD ISG: specifiche per le interfacce QKD e l’integrazione di rete
  • IETF QIRG: Quantum Internet Research Group; architetture e protocolli di quantum-routing (Q-OSPF, QRSVP)
  • IEEE P802.1: timing e sincronizzazione sub-nanosecondo (IEEE 1588v2 PTP) per canali di herald
  • SECOQC & EuroQCI: standard europei per le infrastrutture QKD e i nodi ibridi quantum-classical

6.5 Casi d’Uso della Quantum Internet

Le applicazioni proposte per una quantum internet maturo comprendono:

  • QKD Sicura con One-Time Pad: comunicazione information-theoretically secure, sebbene richieda volumi di chiave impraticabili per il traffico Internet di carattere generale.
  • Quantum Clock Networks: sincronizzazione del tempo globale con precisione al picosecondo, per geodesia relativistica e navigazione GPS-free.
  • Networked Quantum Sensors: sensori entangled che si comportano come un singolo strumento per l’osservazione della Terra, la mappatura del campo gravitazionale, il rilevamento sottomarino e la prospezione mineraria.
  • Blind Quantum Computing: esecuzione di algoritmi su computer quantistici remoti senza che il fornitore acceda a dati o codice.
  • Quantum Digital Signatures (QDS): sostituzione della PKI senza ricorrere ad assunzioni computazionali o ad autorità di certificazione — finora impedita dalla breve durata delle quantum memory.
  • Distributed Quantum Computing (DQC): interconnessione di processori quantistici remoti mediante gate non locali abilitati dall’entanglement attraverso teletrasporto e LOCC (Local Operations and Classical Communication).

6.6 Valutazione Critica

La visione di una quantum internet che sostituisca o integri l’Internet classica si scontra con sfide fondamentali. Il requisito di sincronizzazione globale a livello di picosecondo nelle reti di repeater di terza generazione confligge con decenni di esperienza nel networking che dimostrano come solo architetture asincrone (best-effort) scalino a livello globale — il successo di TCP/IP nel servire oltre 5 miliardi di utenti si basa precisamente sull’aver evitato requisiti di sincronizzazione stringenti. Il «vantaggio» del superdense coding (2 bit per qubit con entanglement precondiviso) non fornisce alcun guadagno netto di capacità rispetto ai canali classici quando tutte le risorse siano correttamente contabilizzate, confermando che la quantum communication non offre alcun vantaggio di throughput rispetto al limite di capacità classica di Shannon.

7. Quantum Technology Readiness Levels

7.1 Il Framework TRL

I Technology Readiness Level forniscono una scala standardizzata per valutare la maturità delle tecnologie ai fini dell’implementazione industriale [18]:

  • TRL 1: principi di base osservati
  • TRL 2: concetto tecnologico formulato
  • TRL 3: proof of concept sperimentale
  • TRL 4: tecnologia validata in laboratorio
  • TRL 5: tecnologia validata in ambiente rilevante
  • TRL 6: tecnologia dimostrata in ambiente rilevante
  • TRL 7: prototipo di sistema dimostrato in ambiente operativo
  • TRL 8: sistema completo e qualificato
  • TRL 9: sistema reale comprovato in ambiente operativo

7.2 Valutazione Attuale del TRL delle Tecnologie di Quantum Communication

7.3 Confronto TRL fra Piattaforme Tecnologiche

Una valutazione più ampia che coinvolga le diverse piattaforme di tecnologia quantistica evidenzia una significativa variazione di maturità [19]:

  • Computer quantistici superconduttori: i più avanzati nell’ambito del computing (in approccio alla rilevanza crittografica entro il 2029)
  • Quantum sensing (spin defects): già industrializzato ad elevato TRL (6–9)
  • QKD networking: l’unica componente posta al TRL 6–9 è la BB84 punto-punto; nessuna capacità di networking si avvicina alla maturità industriale

7.4 Implicazioni Temporali

Le proiezioni TRL indicano che:

  • I quantum repeater non raggiungeranno lo status di prototipo operativo (TRL 7) prima del 2040–2045 circa
  • Il quantum networking rimarrà a livelli di laboratorio/testbed (TRL 4–5) fino al 2035
  • Un orizzonte ventennale separa le capacità attuali da qualsiasi soluzione assimilabile ad una quantum internet realmente schierabile

Tali tempistiche recano un’incertezza intrinseca. L’esperienza storica del technology forecasting su orizzonti ventennali mostra un’accuratezza costantemente scarsa. La finestra di previsione a cinque–dieci anni offre una affidabilità relativamente migliore, ma anche entro tale intervallo il divario fra la maturità del quantum computing (in approccio al TRL 7–8 entro il 2029) e quella del quantum networking (TRL 2–3 nel 2026) appare sorprendente.

7.5 Implicazioni per la Strategia di Sicurezza

L’asimmetria fra la tempistica della minaccia del quantum computing (2029) e la maturità della quantum communication (~2045 per il networking) comporta implicazioni di rilievo:

  • La sicurezza a breve termine deve fondarsi su algoritmi PQC, non su reti QKD
  • La scadenza di migrazione PQC del NIST potrebbe richiedere un’anticipazione dal 2035 al 2030
  • La QKD assolve un ruolo di nicchia per specifici link punto-punto ad alta sicurezza, non quale soluzione di sicurezza Internet di carattere generale
  • La minaccia «harvest now, decrypt later» richiede un’azione immediata mediante PQC implementabile classicamente

8. Conclusioni

Il presente lavoro ha fornito una valutazione critica delle tecnologie di quantum communication, dai principi fondamentali del quantum computing ai protocolli QKD, dalla Bell State Measurement ai quantum repeater e alle architetture di networking, culminando in una rigorosa valutazione di maturità tecnologica.

I nostri principali risultati sono:

  1. La minaccia del quantum computing è imminente. I progressi nei codici di correzione di errori qLDPC (bivariate bicycle, generalized bicycle) hanno ridotto drasticamente il rapporto fra qubit fisici e logici da circa 1.000:1 a circa 50:1, con proiezioni credibili che collocano al 2029 la comparsa di computer quantistici crittograficamente rilevanti.
  2. La QKD è commercialmente disponibile ma intrinsecamente limitata. BB84 con decoy state ha raggiunto un TRL 8–9, ma la QKD rimane una tecnologia punto-punto priva di autenticazione, non implementabile in software e vulnerabile ad attacchi di denial-of-service. Non sostituisce e non può sostituire la post-quantum cryptography per la sicurezza Internet di carattere generale.
  3. I quantum repeater si scontrano con un collo di bottiglia critico nella memoria. Le attuali quantum memory raggiungono tempi di coerenza nell’ordine dei millisecondi, ma hanno tempi di vita molto bassi e nessun quantum repeater di prima generazione (dotato di memoria e di purificazione dell’entanglement) è stato dimostrato neppure in ambito di ricerca. Ultimo prototipo di generazione zero (2026) GothamQ copre circa 17 km con tre nodi realizzati con apparati prototipali da industrializzare per eseguire l’entanglement swapping.
  4. Il quantum networking rimane lontano decenni. Al TRL 2–3, con nodi di commutazione quantistici di complessità di diversi ordini di grandezza superiore a quella dei repeater, e con sfide fondamentali nella realizzazione di memorie quantistiche industriali, nonché nella prospettata terza generazione di ripetitori basata sulla sincronizzazione globale della rete alla frazione di nanosecondo per evitare le memorie, la quantum internet resta una visione di ricerca di lungo termine, anziché un programma industriale.
  5. La post-quantum cryptography è la soluzione pragmatica di breve termine. Gli standard PQC del NIST (CRYSTALS-Kyber, CRYSTALS-Dilithium, SPHINCS+, FALCON e HQC) forniscono una protezione immediata, distribuibile via software, contro gli attacchi quantistici, e dovrebbero costituire la priorità per la migrazione della sicurezza su Internet.

Il settore della quantum communication possiede un autentico potenziale di lungo termine — in particolare per il networked sensing, il blind quantum computing e il distributed quantum processing — ma una valutazione realistica esige il riconoscimento del fatto che un’implementazione di portata trasformativa si colloca oltre un orizzonte ventennale. L’entusiasmo della comunità di ricerca deve essere temperato dalla realtà ingegneristica: come ha osservato un ricercatore di lungo corso, l’eccitazione è «inebriante», ma l’ebbrezza non deve essere confusa con la maturità tecnologica.

Bibliografia

[1] P. W. Shor, “Algorithms for quantum computation: discrete logarithms and factoring,” Proc. 35th Annual Symposium on Foundations of Computer Science, IEEE, 1994, pp. 124–134.

[2] National Institute of Standards and Technology (NIST), “Post-Quantum Cryptography Standardization,” NIST IR 8413, 2024.

[3] M. A. Nielsen and I. L. Chuang, Quantum Computation and Quantum Information, Cambridge University Press, 2010.

[4] M. Dècina and M. Martinelli, “Quantum Key Distribution and Quantum Communication,” presented at Quadrato della Radio, Pieve di Santo Stefano, May 23, 2026.

[5] C. H. Bennett and G. Brassard, “Quantum cryptography: Public key distribution and coin tossing,” Proc. IEEE International Conference on Computers, Systems and Signal Processing, Bangalore, India, 1984, pp. 175–179.

[6] H.-K. Lo, X. Ma, and K. Chen, “Decoy state quantum key distribution,” Physical Review Letters, vol. 94, no. 23, p. 230504, 2005.

[7] C. H. Bennett, G. Brassard, and N. D. Mermin, “Quantum cryptography without Bell’s theorem,” Physical Review Letters, vol. 68, no. 5, pp. 557–559, 1992.

[8] C. K. Hong, Z. Y. Ou, and L. Mandel, “Measurement of subpicosecond time intervals between two photons by interference,” Physical Review Letters, vol. 59, no. 18, pp. 2044–2046, 1987.

[9] C. H. Bennett, G. Brassard, C. Crépeau, R. Jozsa, A. Peres, and W. K. Wootters, “Teleporting an unknown quantum state via dual classical and Einstein-Podolsky-Rosen channels,” Physical Review Letters, vol. 70, no. 13, pp. 1895–1899, 199

[10] C. H. Bennett and S. J. Wiesner, “Communication via one- and two-particle operators on Einstein-Podolsky-Rosen states,” Physical Review Letters, vol. 69, no. 20, pp. 2881–2884, 1992.

[11] National Security Agency (NSA), “Quantum Key Distribution (QKD) and Quantum Cryptography (QC),” Cybersecurity Information Sheet, 2020.

[12] J. M. Thomas et al., “Zero-generation quantum repeater demonstration,” Optica, 2024.

[13] Y.-A. Chen et al., “An integrated space-to-ground quantum communication network over 4,600 kilometres,” Nature, vol. 589, pp. 214–219, 2021.

[14] L. Gyöngyösi and S. Imre, “A survey on quantum computing technology,” IEEE Communications Surveys & Tutorials, vol. 22, no. 2, pp. 1092–1150, 2020.

[15] L. Gyöngyösi and S. Imre, “Quantum switching node architecture,” IEEE Communications Surveys & Tutorials, 2020.

[16] D. Pérez Castro et al., “Quantum Internet Testbed,” arXiv.org, 2025.

[17] ITU-T, ETSI, IETF, IEEE, SECOQC, and EuroQCI standardization documents, various years.

[18] European Space Agency (ESA), “Technology Readiness Levels (TRL) Handbook,” ESA-HQ-EM-2009-01, 2009.

[19] D. D. Awschalom et al., “Development of quantum interconnects (QuICs) for next-generation information technologies,” Science, December 2025.

[20] Association for Computing Machinery (ACM), “2025 Turing Award to C. Bennett & G. Brassard for Quantum Cryptography,” announced March 2026

Per approfondire

Novità su Google, per aggiungere Key4Biz tra le tue fonti preferite, clicca qui

Aggiungi Key4Biz tra le tue fonti preferite

Leggi le altre notizie sull’home page di Key4biz

https://www.key4biz.it/quantum-key-distribution-e-quantum-communication-la-valutazione-critica-di-m-decina-e-m-martinelli-di-tecnologie-protocolli-e-livelli-di-prontezza/578691/