I computer quantistici prima o poi saranno in grado di violare i metodi crittografici che oggi proteggono Ethereum e la maggior parte degli altri sistemi digitali. Questa pagina spiega cosa significa, come la rete sta sviluppando proattivamente miglioramenti per mitigare questo rischio e cosa devi sapere.
Perché la crittografia post-quantistica è importante
Ethereum si affida a diverse forme di per mantenere sicura la rete e proteggere i fondi degli utenti. Le più importanti sono:
- Algoritmo per la firma digitale a curva ellittica (ECDSA): La crittografia utilizzata per firmare le transazioni. La sicurezza del tuo account Ethereum dipende da questo.
- Firme BLS: Utilizzate dai per raggiungere il sullo stato della rete.
- Commitment polinomiali KZG: Utilizzati per la nella roadmap di scalabilità di Ethereum.
- Sistemi di prove a conoscenza zero (ZK): Utilizzati dai rollup e da altre applicazioni per verificare i calcoli offchain.
Tutti questi si basano su strutture matematiche, come i gruppi abeliani, che sono difficili per i computer classici ma possono essere risolti in modo efficiente da un computer quantistico utilizzando l'algoritmo di Shor (opens in a new tab).
Quando i computer quantistici minacceranno Ethereum?
A marzo 2026, Google Quantum AI ha pubblicato una ricerca che stima che violare la crittografia a curva ellittica a 256 bit (il tipo che Ethereum utilizza per le firme degli account) potrebbe richiedere circa 1.200 qubit logici. Le stime precedenti indicavano un numero molto più alto. Google ha fissato una scadenza interna al 2029 per la migrazione dei propri sistemi alla crittografia post-quantistica.
L'hardware quantistico attuale è lontano da questa scala, operando con poche migliaia di qubit fisici rumorosi. I qubit logici (che correggono gli errori ed eseguono calcoli affidabili) richiedono ciascuno molti qubit fisici. Il divario tra l'hardware attuale e ciò che è necessario per violare la crittografia di Ethereum rimane significativo, ma si sta riducendo più velocemente di quanto molti si aspettassero. In particolare, il National Institute of Standards and Technology (NIST) degli Stati Uniti prevede di deprecare l'ECDSA entro il 2030 e di vietarlo entro il 2035.
Questa non è una minaccia imminente. Ma le transizioni crittografiche richiedono anni e il modello di sicurezza di Ethereum è progettato per durare secoli. La risposta di Ethereum è la roadmap Lean Ethereum, una missione deliberata e pluriennale per ricostruire Ethereum attorno a primitive che sopravviveranno a qualsiasi minaccia crittografica.
Quattro aree vulnerabili agli attacchi quantistici
A febbraio 2026, Vitalik Buterin ha pubblicato una roadmap (opens in a new tab) che identifica quattro aree distinte della crittografia di Ethereum che necessitano di aggiornamenti post-quantistici. Ognuna presenta sfide diverse e percorsi di soluzione differenti.
1. Firme BLS del livello di consenso
Cosa fa: Il protocollo di Ethereum utilizza le firme BLS per aggregare i voti di centinaia di migliaia di validatori. BLS consente di combinare molte firme in una sola, mantenendo la rete efficiente.
Perché è vulnerabile: Le firme BLS si basano su accoppiamenti di curve ellittiche, che un computer quantistico potrebbe violare.
L'approccio: La roadmap Lean Consensus include lo sviluppo di due strumenti complementari:
- leanXMSS: Ethereum sostituirà le firme BLS con leanXMSS, uno schema di firma basato su hash per i validatori. Le firme basate su hash sono considerate sicure dal punto di vista quantistico perché si basano solo sulla sicurezza delle funzioni di hash, che i computer quantistici indeboliscono ma non violano.
- leanVM: Una zkVM (macchina virtuale a conoscenza zero) minimale per l'aggregazione delle firme basata su SNARK. Poiché le firme basate su hash sono significativamente più grandi (circa 3.000 byte rispetto ai 96 byte per BLS), il passaggio a leanXMSS produrrebbe molti più dati per slot. Per risolvere questo problema, leanVM funge da motore di aggregazione, comprimendo i dati di 250 volte. Ciò preserva i vantaggi in termini di efficienza derivanti dalla combinazione di molte firme in una sola, anche dopo il passaggio a schemi sicuri dal punto di vista quantistico.
2. Disponibilità dei dati: commitment KZG
Cosa fa: I commitment polinomiali KZG garantiscono che i dati (in particolare i dati dai rollup) siano disponibili sulla rete senza richiedere a ogni nodo di scaricarli tutti.
Perché è vulnerabile: I commitment KZG si basano su accoppiamenti di curve ellittiche, la stessa struttura matematica che i computer quantistici possono attaccare.
Mitigazione attuale: I commitment KZG utilizzano una "configurazione attendibile" (trusted setup) in cui molti partecipanti hanno contribuito con casualità. Finché almeno un partecipante è stato onesto e ha scartato il proprio segreto, la configurazione è sicura, anche contro i computer quantistici che tentano di decodificarla a posteriori.
Soluzione a lungo termine: Sostituire KZG con uno schema di commitment sicuro dal punto di vista quantistico. I due candidati principali sono:
- Commitment basati su STARK: Si basano su funzioni di hash piuttosto che su curve ellittiche. Già utilizzati in alcuni ZK-rollup.
- Commitment basati su reticoli: Si basano sulla difficoltà dei problemi sui reticoli, che si ritiene siano resistenti ai quanti.
Entrambi gli approcci sono ancora in fase di ricerca per quanto riguarda l'efficienza e la praticità su scala Ethereum.
3. Firme degli account: ECDSA
Cosa fa: Ogni account Ethereum standard (account di proprietà esterna, o ) utilizza l'ECDSA sulla curva secp256k1 per firmare le transazioni. Questo è ciò che protegge i tuoi fondi.
Perché è vulnerabile: Per qualsiasi account che ha inviato una transazione, la chiave pubblica è esposta onchain. Un computer quantistico potrebbe derivare la chiave privata da questi dati della chiave pubblica esposti.
Sfumatura importante: Gli account che hanno solo ricevuto ether e non hanno mai inviato una transazione non hanno esposto la loro chiave pubblica. È visibile solo l'indirizzo (un hash della chiave pubblica), il che fornisce una protezione aggiuntiva.
L'approccio: Piuttosto che una singola migrazione a livello di protocollo, Ethereum prevede di utilizzare l'astrazione dell'account (nello specifico l'EIP-8141, in fase di valutazione per Hegotá nella seconda metà del 2026) per offrire agli utenti l'agilità della firma. I singoli account potrebbero passare a uno schema di firma post-quantistico senza aspettare che l'intero protocollo cambi.
Questo è un approccio pragmatico. Gli utenti e i portafogli che desiderano una protezione post-quantistica in anticipo possono adottarla volontariamente, mentre la migrazione più ampia avviene nel tempo.
4. Prove a conoscenza zero (ZK) a livello di applicazione
Cosa fa: I sistemi di prove a conoscenza zero sono utilizzati dai rollup layer 2 (L2) e da altre applicazioni per verificare i calcoli senza rivelare i dati sottostanti.
Perché è vulnerabile: Molti popolari sistemi di prove ZK (SNARK che utilizzano accoppiamenti di curve ellittiche) si basano su presupposti vulnerabili ai quanti.
L'approccio: Gli STARK, che si basano su funzioni di hash piuttosto che su curve ellittiche, sono già resistenti ai quanti e sono utilizzati da diversi rollup. La naturale adozione da parte dell'ecosistema di sistemi basati su STARK sta già fornendo sicurezza post-quantistica a livello di applicazione.
Standard del NIST
Ad agosto 2024, il National Institute of Standards and Technology (NIST) degli Stati Uniti ha finalizzato tre standard di crittografia post-quantistica (opens in a new tab). Questi sono importanti perché forniscono all'intera industria tecnologica, incluso Ethereum, un set condiviso di algoritmi verificati su cui basarsi, piuttosto che ogni progetto inventi i propri.
| Standard | Nome | Tipo | Caso d'uso |
|---|---|---|---|
| FIPS 203 | ML-KEM | Basato su reticoli | Incapsulamento delle chiavi (scambio di chiavi) |
| FIPS 204 | ML-DSA (Dilithium) | Basato su reticoli | Firme digitali |
| FIPS 205 | SLH-DSA (SPHINCS+) | Basato su hash | Firme digitali |
Questi standard forniscono una base per la transizione post-quantistica dell'industria in generale. Il lavoro di Ethereum si basa su di essi e li estende, con particolare attenzione alle sfide uniche di una rete decentralizzata in cui l'efficienza e l'aggregazione sono importanti.
L'approccio della Fondazione Ethereum
La Fondazione Ethereum ha formato un team dedicato alla sicurezza post-quantistica a gennaio 2026, guidato da Thomas Coratger. Il lavoro del team è tracciato pubblicamente su pq.ethereum.org (opens in a new tab).
Attività attuale (ad aprile 2026)
- Devnet di interoperabilità settimanali: Più di 10 team di client partecipano a test regolari di interoperabilità post-quantistica, tra cui Lighthouse, Grandine, Zeam, Ream Labs e PierTwo.
- Premio Poseidon: Un premio di ricerca da 1 milione di dollari mirato a miglioramenti nelle primitive crittografiche basate su hash.
- Implementazioni open source: leanXMSS, leanVM, leanSpec (Python), leanSig (Rust) e leanMultisig sono tutti disponibili sotto l'organizzazione GitHub leanEthereum (opens in a new tab).
- 2° Ritiro Annuale di Ricerca PQ: Previsto dal 9 al 12 ottobre 2026 a Cambridge, Regno Unito.
- Allineamento NIST: Il lavoro di Ethereum si basa sugli standard di crittografia post-quantistica finalizzati dal NIST ad agosto 2024 (come ML-KEM, ML-DSA e SLH-DSA).
Tappe fondamentali della migrazione
Il team ha delineato una serie di aggiornamenti del protocollo per introdurre in modo incrementale la crittografia post-quantistica in Ethereum. Queste sono tappe di pianificazione, non impegni garantiti. I nomi e l'ordine potrebbero cambiare.
| Tappa fondamentale | Cosa introduce |
|---|---|
| I* | Registro delle chiavi PQ. I validatori possono registrare chiavi pubbliche post-quantistiche insieme alle chiavi BLS esistenti. |
| J* | Precompilati per la verifica delle firme PQ. I contratti intelligenti (smart contract) e i portafogli possono verificare le firme PQ in modo nativo. |
| L* | Attestazioni PQ e prove del livello di consenso in tempo reale tramite leanVM. I validatori iniziano a utilizzare le firme PQ per il consenso. |
| M* | Aggregazione completa delle firme PQ e commitment blob sicuri per PQ. |
Obiettivo: Le tappe strutturate degli hard fork mirano al completamento dell'infrastruttura post-quantistica di base entro circa il 2029. La migrazione completa del livello di esecuzione e dell'ecosistema si estende oltre tale data.
Cosa devono fare gli utenti?
Al momento: nulla. I tuoi fondi sono al sicuro. Nessun computer quantistico oggi può minacciare la crittografia di Ethereum.
In futuro: Una volta che gli schemi di firma post-quantistica saranno ampiamente supportati su Ethereum (previsto in seguito all'hard fork Hegotá e all'implementazione dell'EIP-8141), vorrai migrare il tuo account verso firme sicure dal punto di vista quantistico. Il software del portafoglio ti guiderà attraverso questa transizione.
Se il tuo account non ha mai inviato una transazione (il che significa che la tua chiave pubblica non è stata esposta onchain), ha un ulteriore livello di protezione. Ma tutti gli account dovrebbero prima o poi migrare.
La questione di come gestire i portafogli inattivi (account i cui proprietari potrebbero non essere consapevoli della necessità di migrare) è un argomento di governance aperto. La comunità di Ethereum non ha ancora raggiunto un consenso al riguardo.
Domande frequenti
Letture consigliate
- pq.ethereum.org (opens in a new tab) - Fondazione Ethereum
- Progetto di crittografia post-quantistica (opens in a new tab) - Privacy Stewards of Ethereum (PSE)
- Standard di crittografia post-quantistica del NIST (opens in a new tab) - NIST
- Salvaguardare le criptovalute divulgando responsabilmente le vulnerabilità quantistiche (opens in a new tab) - Google Quantum AI
- Le frontiere quantistiche potrebbero essere più vicine di quanto sembrino (opens in a new tab) - Google
- KZG e configurazioni attendibili
- Risorse del workshop leanVM + PQ della Lean Week Cambridge (2025) (opens in a new tab) - Lean Ethereum
- Chiamate di approfondimento ACD sulle firme delle transazioni PQ (opens in a new tab) - Fondazione Ethereum
- Chiamate di approfondimento ACD sull'interoperabilità PQ (opens in a new tab) - Fondazione Ethereum
- Playlist YouTube su Lean Ethereum e sicurezza post-quantistica (opens in a new tab) - Fondazione Ethereum
- Intervista di gruppo sulla resistenza post-quantistica (opens in a new tab) - Podcast Bankless
- Astrazione dell'account su Ethereum
- strawmap.org (opens in a new tab) - Architettura EF
- Superpositioned: Analisi dell'industria dell'informatica quantistica (opens in a new tab) - Saneel Sreeni
Ultimo aggiornamento della pagina: 9 aprile 2026
