L'ETH di Zurigo crea numeri casuali perfetti e certificati con due qubit

Trasformare una sorgente di casualità imperfetta in numeri casuali perfetti è un compito che la fisica classica dimostra impossibile. Un gruppo dell'ETH di Zurigo guidato da Renato Renner e Andreas Wallraff, nel Dipartimento di Fisica, lo ha realizzato in laboratorio per la prima volta, sfruttando due qubit superconduttori in stato di entanglement e una versione migliorata del test di Bell.

"È quasi impossibile creare una moneta o un dado perfetti", osserva Renner: per quanto simmetrico e levigato, un dado dopo molti lanci mostrerà una faccia con una frequenza leggermente maggiore delle altre. Lo stesso vale per i generatori di numeri casuali, compresi quelli che sfruttano effetti quantistici come la riflessione di fotoni su uno specchio semiriflettente: conservano un piccolo sbilanciamento sistematico, un bias, che per la maggior parte degli usi non comporta conseguenze rilevanti, ma nel campo della crittografia anche una deviazione minima apre un varco che un attaccante può sfruttare.

Come si amplifica la casualità

L'apparato è composto da due chip superconduttori raffreddati a pochi millesimi di grado sopra lo zero assoluto, attorno ai 15 millikelvin, collegati da un tubo, raffreddato anch'esso e lungo 30 metri. Nel tubo viaggiano fotoni a microonde che pongono i due qubit in entanglement: la misura su un qubit, che dà casualmente "0" o "1", determina a distanza l'esito sull'altro. La separazione di 30 metri è la chiave, perché nemmeno alla velocità della luce un'informazione potrebbe passare da un qubit all'altro durante la misura, e questo chiude la cosiddetta scappatoia di località, uno dei cavilli che permetterebbero di spiegare le correlazioni senza chiamare in causa la meccanica quantistica.

Qui sta il punto che rende possibile l'intera operazione, ma prima è necessario sapere cosa misura il test di Bell. Negli anni Sessanta il fisico John Stewart Bell formulò una disuguaglianza, cioè un tetto numerico: se gli esiti delle misure su due particelle fossero decisi in anticipo da una qualche proprietà nascosta che esse si portano dietro, le correlazioni statistiche tra quegli esiti non potrebbero superare un valore preciso. La meccanica quantistica prevede invece che due sistemi in entanglement possano correlarsi più strettamente di quanto quel tetto consenta. Osservare in laboratorio correlazioni stabilmente al di sopra della soglia, cioè violare la disuguaglianza di Bell, equivale quindi a dimostrare che nessuna informazione preesistente determinava i risultati.

La conseguenza è esattamente ciò che serve. Gli zero e gli uno che escono dalla misura non sono soltanto difficili da prevedere: sono genuinamente imprevedibili, perché creati nell'istante stesso della misura e non leggibili in anticipo da nessuno, nemmeno da chi avesse costruito l'apparato. È la garanzia che la casualità classica non può offrire, dato che un numero prodotto da un processo deterministico resta in linea di principio prevedibile da chi ne conosce le regole.

C'è però un dettaglio del test che sembra mandare tutto in cortocircuito. Per stabilire se le correlazioni superano la soglia di Bell non si misurano sempre i due qubit allo stesso modo: a ogni ripetizione si sceglie tra alcune misure alternative, le basi di misura, e proprio dal confronto fra queste combinazioni emerge la violazione. Ma la scelta tra quelle misure alternative, per essere valida, deve essere imprevedibile, altrimenti l'apparato potrebbe "sapere" in anticipo come verrà interrogato e regolarsi di conseguenza simulando le correlazioni. Tocca dunque a un generatore casuale decidere ogni volta la base, ed è qui che si chiude il cerchio: quel generatore è proprio la sorgente imperfetta da cui si era partiti.

Il nodo si scioglie perché la garanzia del test non pretende scelte perfettamente casuali: le basta che le scelte d'ingresso conservino un minimo di imprevedibilità autentica, una parte che nessuno, nemmeno un eventuale "avversario", possa aver fissato in anticipo. Anche un generatore sbilanciato la mantiene, e il risultato teorico recente su cui poggia l'esperimento dimostra che quel residuo è sufficiente a far valere la certificazione.

Resta un ultimo passaggio, e per capirlo serve una precisazione. Che gli esiti siano genuinamente imprevedibili non significa che siano già uniformi: la violazione di Bell prova che nella sequenza grezza c'è dell'imprevedibilità autentica, ma quei bit restano segnati dallo sbilanciamento della sorgente di partenza. Alcune configurazioni risultano cioè un po' più probabili di altre, e parte della sequenza potrebbe essere in qualche misura prevedibile a chi conosca le caratteristiche del generatore. La sequenza, insomma, è casuale nella sostanza e tuttavia irregolare nella forma. Qui l'entità della violazione osservata svolge un secondo compito: oltre a certificare che l'imprevedibilità c'è, ne fissa un limite inferiore certo, cioè dice quanta ne è garantita a prescindere da come i singoli bit appaiano distribuiti. Forte di quella misura, un algoritmo finale, in gergo un estrattore di casualità, rielabora la sequenza ancora sbilanciata e ne distilla una più breve in cui ogni combinazione di bit risulta equiprobabile, perfettamente uniforme e indistinguibile da una casualità ideale.

È qui che il nome del metodo può trarre in inganno. L'amplificazione della casualità (randomness amplification) non moltiplica i bit casuali, anzi ne restituisce molti meno di quanti ne consumi: ciò che amplifica è la loro qualità, portando una sorgente appena imprevedibile al grado di imprevedibilità perfetta.

L'esperimento appartiene allo stesso filone del test di Bell privo di scappatoie realizzato nel 2023 dallo stesso laboratorio con circuiti superconduttori, qui portato a tenere insieme un'alta violazione e un alto ritmo di acquisizione dei dati, le due condizioni che il protocollo richiedeva contemporaneamente e che prima non erano mai state ottenute insieme. La certificazione fisica della casualità è del resto una frontiera battuta: nel 2025 un gruppo di Università del Colorado Boulder e NIST aveva presentato il primo generatore di numeri casuali certificabili, di cui abbiamo parlato a suo tempo, capace di garantire e verificare l'imprevedibilità dei bit prodotti. L'amplificazione aggiunge a quel quadro il passaggio mancante, ricavare casualità perfetta da una sorgente di partenza difettosa. Il risultato, numeri casuali perfetti e certificati, è descritto su Nature.

Perché è un vantaggio quantistico

Il protocollo è indipendente dal dispositivo: la certificazione non assume nulla sul funzionamento interno dell'hardware e regge anche se il dispositivo fosse difettoso o costruito da un avversario. Conta solo la statistica delle misure e l'entità della violazione della disuguaglianza di Bell. È il punto che separa il lavoro dalla fisica classica, perché amplificare la casualità di una sorgente debole è stato dimostrato impossibile con mezzi puramente classici già nel 1986; gli autori presentano quindi l'esperimento come un vantaggio quantistico definitivo, un compito irraggiungibile per l'elaborazione classica dell'informazione.

I numeri della prova danno la misura dell'impresa e insieme dei suoi limiti attuali. Stando alla documentazione disponibile, l'esperimento è durato circa nove ore, con 1,34 miliardi di prove di Bell eseguite 50.000 volte al secondo; a fronte di circa cinque miliardi di bit imperfetti in ingresso, ne sono stati estratti 45 milioni perfetti e certificati, tollerando uno sbilanciamento in ingresso fino allo 0,75%. Chi cerca i dettagli tecnici può trovare la versione integrale, ad accesso aperto, nel preprint depositato dagli stessi autori.

Per rendere tangibile la differenza, il gruppo ha cifrato la stessa immagine di una pecora con casualità ordinaria e con quella certificata: nel primo caso il soggetto resta in parte riconoscibile, nel secondo si dissolve interamente nel rumore. Nelle intenzioni del gruppo, una sorgente fisicamente certificata potrebbe svolgere per la casualità un ruolo analogo a quello degli orologi atomici per la misura del tempo. Le possibili applicazioni vanno dalla cifratura di comunicazioni e identità digitali ai servizi pubblici di casualità per lotterie e blockchain, fino alle comunicazioni quantistiche sicure: la solidità di una cifratura dipende dalla qualità della casualità su cui poggia, un tema di cui ci siamo già occupati.