1/ Le previsioni sul calcolo quantistico vanno da "la crittografia a chiave pubblica sarà compromessa in 2 anni" a "è a un secolo di distanza." Entrambi sono sbagliati. Il mio ultimo post spiega cosa supporta realmente i progressi noti pubblicamente — e cosa dovrebbero fare le blockchain al riguardo. Thread qui sotto 🧵

2/ Un computer quantistico rilevante dal punto di vista crittografico (CRQC) negli anni 2020 è altamente improbabile. Anche a metà degli anni 2030 è ambizioso. Esistono sistemi con oltre 1000 qubit, ma il conteggio dei qubit grezzi è fuorviante: abbiamo bisogno di migliaia di qubit logici corretti per gli errori e di enormi budget per le porte T—ben oltre quelli attuali.

3/ Una delle principali fonti di confusione: aziende che chiamano i qubit "qubit logici corretti per errore" quando non supportano operazioni non-Clifford, o in alcuni casi eclatanti non riescono nemmeno a correggere gli errori. Questo ha seriamente fuorviato anche osservatori sofisticati su quanto siamo vicini al CRQC.

4/ Un errore comune quando si discutono le minacce quantistiche: trattare tutti i primitivi crittografici allo stesso modo. La crittografia, le firme e gli SNARK hanno profili di rischio molto diversi.

5/ Il rischio più chiaro a breve termine è Harvest-Now-Decrypt-Later (HNDL): gli avversari registrano il traffico crittografato ora per decrittarlo quando esiste un CRQC.

6/ Ecco perché la crittografia post-quantistica (PQ) deve essere implementata ora, nonostante i costi/i rischi. Chrome e Cloudflare hanno implementato schemi ibridi (PQ+classica) per TLS; iMessage e Signal per la messaggistica. HNDL non lascia scelta per i dati che necessitano di riservatezza a lungo termine, anche se il quantum è a decenni di distanza.

7/ Le firme sono diverse: non c'è riservatezza da "raccogliere." Una firma creata prima che esista un CRQC non può essere falsificata retroattivamente. Rischio diverso ⇒ urgenza diversa.

8/ Le blockchain di oggi utilizzano firme per l'autorizzazione, non per la crittografia. Senza l'esposizione a HNDL, possiamo essere deliberati riguardo alla migrazione delle firme PQ.

9/ Le firme PQ di oggi lasciano molto a desiderare: ML-DSA ≈2.4–4.6 KB, Falcon ≈666 B–1.3 KB (ma difficile da implementare correttamente), SPHINCS+ ≈7–8 KB+. A titolo di confronto, ECDSA è solo ~64 byte. Più grande/lento/complesso ⇒ maggiore rischio di bug.

10/ È necessaria cautela: Rainbow (basato su MQ) e SIKE/SIDH (basato su isogenia) sono stati compromessi classicamente durante il processo del NIST. Un'implementazione prematura può avere conseguenze negative.

11/ La PKI web sta perseguendo un approccio di crittografia prima, firme dopo, per esattamente queste ragioni. Le blockchain dovrebbero seguire l'esempio.

12/ zkSNARKs? Buone notizie: anche i SNARK non PQ hanno zero-knowledge post-quantistico. Nulla riguardo al testimone viene rivelato, nemmeno agli avversari quantistici. Ciò che diventa vulnerabile dopo il CRQC è la solidità (falsificazione di nuove prove false), non la riservatezza o la solidità delle prove passate.

13/ Un punto chiave: per gli anni a venire, i bug e gli attacchi di implementazione (canali laterali, iniezione di guasti) rappresenteranno rischi maggiori rispetto ai CRQC. Questo si applica a SNARK, schemi di aggregazione delle firme e persino alle firme stesse. Investi in audit, fuzzing e metodi formali.

14/ Le sfide speciali di Bitcoin: governance lenta, nessuna migrazione passiva e un'offerta abbandonata non banale in indirizzi vulnerabili ai quantistici di alto valore.

15/ Non c'è una soluzione facile. Bitcoin deve prendere sul serio la minaccia — non perché i CRQC arriveranno prima del 2030, ma perché affrontare queste questioni principalmente non tecniche richiede anni di coordinamento.

16/ Cosa fare: ✅ Implementa ora la crittografia ibrida PQ ✅ Utilizza ora firme ibride basate su hash dove la dimensione è tollerabile (aggiornamenti firmware/software) ✅ Per le blockchain: non affrettare le firme PQ—ma pianifica i percorsi di migrazione

17/ Le catene di privacy che crittografano i dettagli delle transazioni dovrebbero dare priorità alla crittografia PQ (o a progetti che evitano segreti decrittografabili on-chain) per ridurre il rischio HNDL. Le catene centrate sulle firme possono introdurre gradualmente le firme PQ man mano che le tecniche di aggregazione e le implementazioni maturano.

18/ Mantieni la prospettiva: paradossalmente, annunci frequenti di traguardi quantistici ≠ prossimità al CRQC. Sottolineano quanti ponti rimangono da attraversare.

19/ In sintesi: allineare l'urgenza alle minacce reali. Crittografia: urgente (HNDL). Firme: deliberate. SNARKs: la proprietà ZK rimane sicura; la solidità è vulnerabile dopo il CRQC. E soprattutto, i bug rimangono il rischio maggiore a breve termine.