QKD e crittografia post-quantistica: non una scelta, una difesa a strati

Il computer quantistico minaccia la crittografia che protegge banche, Stati e segreti industriali. Le due risposte — distribuzione quantistica delle chiavi e algoritmi post-quantistici — non competono: si completano.

Pierpaolo Marturano · CEO & Founder, Core Matrix 18 giugno 2026 2 min

Crittografia quantistica e sicurezza delle comunicazioni

Gran parte della sicurezza digitale poggia su un'ipotesi: che certi problemi matematici siano troppo difficili da risolvere in tempi ragionevoli. Il computer quantistico minaccia di rendere quell'ipotesi falsa. E l'attacco è già in corso, in una forma subdola: "harvest now, decrypt later" — intercettare e archiviare oggi traffico cifrato (finanziario, diplomatico, industriale) per decifrarlo domani, quando una macchina quantistica sufficientemente potente sarà disponibile. I dati con riservatezza decennale vanno protetti ora, non quando la minaccia busserà alla porta.

Due garanzie diverse di sicurezza

Esistono due risposte, ed è cruciale capire che offrono garanzie di natura diversa. La crittografia post-quantistica (PQC) sostituisce gli algoritmi vulnerabili con altri basati su problemi che si ritengono difficili anche per un computer quantistico: è sicurezza computazionale, e funziona oggi sull'infrastruttura esistente. La distribuzione quantistica delle chiavi (QKD) non si affida alla difficoltà di un calcolo, ma a una legge fisica: è sicurezza informatica (information-theoretic), valida anche contro un avversario con potenza di calcolo illimitata.

La fisica che protegge: il no-cloning

Il fondamento della QKD è il teorema di no-cloning (1982): non esiste alcuna operazione che possa copiare uno stato quantistico sconosciuto. Nel protocollo BB84 (Bennett e Brassard, 1984), Alice invia a Bob singoli fotoni codificati in basi diverse; chiunque tenti di intercettarli per copiarli — la spia "Eve" — è costretto a misurarli, e così facendo li perturba, introducendo errori rilevabili. Se il tasso di errore supera una soglia critica (intorno all'11%), il protocollo si interrompe: la chiave non è sicura, e si ricomincia. L'intercettazione, semplicemente, non passa inosservata.

Perché servono entrambe

La QKD ha limiti concreti: la perdita nelle fibre ottiche la confina a poche centinaia di chilometri senza ripetitori quantistici, ancora in sviluppo. La PQC, al contrario, è subito scalabile a reti globali — e nel 2024 il NIST ha standardizzato i primi algoritmi (ML-KEM, ML-DSA, SLH-DSA), basati su reticoli e funzioni hash. La strategia matura non è scegliere l'una o l'altra, ma costruire una difesa a strati: PQC per proteggere subito il traffico di massa, QKD per i segreti di valore altissimo dove la garanzia fisica fa la differenza. E un principio guida tutto: la cripto-agilità, cioè la capacità di cambiare algoritmo in fretta, perché nessuno è garantito per sempre.

Questo articolo riprende temi trattati in «Crittografia Quantistica» (Core Matrix Edizioni).

Most digital security rests on an assumption: that certain mathematical problems are too hard to solve in reasonable time. The quantum computer threatens to make that assumption false. And the attack is already underway, in an insidious form: "harvest now, decrypt later" — intercepting and storing encrypted traffic today (financial, diplomatic, industrial) to decrypt it tomorrow, when a sufficiently powerful quantum machine becomes available. Data with decade-long confidentiality must be protected now, not when the threat knocks at the door.

Two different security guarantees

There are two answers, and it is crucial to understand they offer guarantees of a different nature. Post-quantum cryptography (PQC) replaces the vulnerable algorithms with others based on problems believed hard even for a quantum computer: it is computational security, and it works today on existing infrastructure. Quantum key distribution (QKD) relies not on the difficulty of a computation, but on a law of physics: it is information-theoretic security, valid even against an adversary with unlimited computing power.

The physics that protects: no-cloning

QKD's foundation is the no-cloning theorem (1982): no operation can copy an unknown quantum state. In the BB84 protocol (Bennett and Brassard, 1984), Alice sends Bob single photons encoded in different bases; anyone trying to intercept and copy them — the eavesdropper "Eve" — is forced to measure them, and in doing so disturbs them, introducing detectable errors. If the error rate exceeds a critical threshold (around 11%), the protocol aborts: the key is not secure, and you start over. Interception, quite simply, does not go unnoticed.

Why you need both

QKD has concrete limits: loss in optical fiber confines it to a few hundred kilometers without quantum repeaters, still under development. PQC, by contrast, is immediately scalable to global networks — and in 2024 NIST standardized the first algorithms (ML-KEM, ML-DSA, SLH-DSA), based on lattices and hash functions. The mature strategy is not to choose one or the other, but to build a layered defense: PQC to protect bulk traffic right now, QKD for the highest-value secrets where the physical guarantee makes the difference. And one principle governs everything: crypto-agility, the ability to switch algorithms quickly, because none is guaranteed forever.

This article draws on themes from «Crittografia Quantistica» (Core Matrix Edizioni).

#crittografia quantistica#QKD#post-quantum#NIST

QKD e crittografia post-quantistica: non una scelta, una difesa a strati

Due garanzie diverse di sicurezza

La fisica che protegge: il no-cloning

Perché servono entrambe

Two different security guarantees

The physics that protects: no-cloning

Why you need both

Articoli correlati

Il gatto di Schrödinger non è quello che credi

Quantum computing e finanza: il caso HSBC e la corsa alla fault-tolerance

L'Italia accende il suo primo computer quantistico ad atomi neutri: Pasqal inaugura "SOL" al CINECA

Ricevi le analisi che contano