Qué tendrá de malo la criptografía cuántica que las mayores agencias de inteligencia del mundo desaconsejan su uso

La criptografía cuántica no existe. Lo que todo el mundo entiende cuando se menciona el término «criptografía cuántica» es en realidad la distribución cuántica de claves (Quantum Key Distributrion, QKD). Y de este tema precisamente quiero hablarte hoy: en qué consiste y por qué algunas de las agencias de inteligencia más grandes del mundo han señalado que dista mucho de solucionar nuestros problemas de confidencialidad.

La clave de la seguridad perfecta se esconde en la mecánica cuántica

La distribución cuántica de claves persigue solucionar todos los problemas del cifrado de Vernam: crear claves aleatorias tan largas como el mensaje a cifrar sin que ningún atacante pueda interceptarlas. Veamos cómo.

Recordarás de las lecciones de física del colegio que la luz es una radiación electromagnética compuesta por un chorro de fotones. Estos fotones viajan vibrando con cierta intensidad, longitud de onda y una o muchas direcciones de polarización. Si eres aficionado a la fotografía, habrás oído hablar de los filtros polarizadores. Su función es eliminar todas las direcciones de oscilación de la luz salvo una, como se explica en la siguiente figura.

Ahora entras en el laboratorio de física y envías uno a uno fotones que pueden estar polarizados en una de cuatro direcciones distintas: vertical (|), horizontal (–), diagonal a la izquierda (\) o diagonal a la derecha (/). Estas cuatro polarizaciones forman dos bases ortogonales: por un lado, | y –, a la que llamaremos base (+); y, por otro, / y \, a la que llamaremos (×).

El receptor de tus fotones utiliza un filtro, por ejemplo, vertical (|). Es evidente que los fotones con polarización vertical pasarán tal cual, mientras que los polarizados horizontalmente y, por lo tanto, perpendiculares al filtro, no pasarán.

Sorprendentemente, ¡la mitad de los polarizados diagonalmente atravesarán el filtro vertical y serán reorientados verticalmente! Por lo tanto, si se envía un fotón y pasa a través del filtro, no puede saberse si poseía polarización vertical o diagonal. Igualmente, si no pasa, no puede afirmarse que estuviera polarizado horizontal o diagonalmente. En ambos casos, un fotón con polarización diagonal podría pasar o no con igual probabilidad.

Ya tenemos los mimbres para armar un sistema de distribución cuántica de claves, eso sí, sin ordenadores ni algoritmos cuánticos. Recuerda: la criptografía cuántica no existe.

Distribución cuántica de claves usando fotones polarizados

Supongamos que Alice y Bob quieren acordar una clave de cifrado aleatoria tan larga como el mensaje, de longitud n bits. Primero necesitan acordar una convención para representar los unos y ceros de la clave usando las direcciones de polarización de los fotones, por ejemplo:

En 1984 Charles Bennet y Gilles Brassard idearon el siguiente método para hacer llegar la clave totalmente aleatoria de n bits al destinatario sin necesidad de recurrir a otros canales de distribución:

1. Alice le envía a Bob una secuencia aleatoria de 1’s y 0’s, utilizando una elección aleatoria entre las bases + y ×.
2. Bob mide la polarización de estos fotones utilizando aleatoriamente las bases + y ×. Claro está, como no tiene ni idea de qué bases utilizó Alice, la mitad de las veces estará eligiendo mal la base. Además, algunos fotones no le habrán llegado por errores en la línea.
3. Alice utiliza cualquier canal de comunicaciones inseguro y le cuenta qué base de polarización utilizó para cada fotón que envió, + o ×, aunque no le dice qué polarización concreta. En respuesta, Bob le cuenta a Alice en qué casos ha acertado con la polarización correcta y por lo tanto recibió el 1 ó 0 sin error. Ambos eliminan los bits que Bob recibió con las bases erróneas, quedando una secuencia en promedio un 50% menor que la original, que constituye la clave de una cinta aleatoria 100% segura.

¿Y cómo detectar si un intruso está haciendo de las suyas? Alice y Bob seleccionan al azar la mitad de los bits de la clave obtenida y públicamente los comparan. Si coinciden, entonces saben que no ha habido ningún error. Descartan esos bits y se asume que el resto de los bits obtenidos son válidos, lo que significa que se habrá acordado una clave final de n/4 bits de longitud. Si una parte considerable no coincide, entonces o bien había demasiados errores fortuitos de transmisión o bien un atacante interceptó los fotones y los midió por su cuenta. En cualquier caso, se descarta la secuencia completa y se vuelve a empezar. Como se ha observado, si el mensaje tiene n bits de longitud, en promedio habrá que generar y enviar 4n fotones entrelazados.

¿Y no podría un atacante medir un fotón y reenviarlo sin que se note? ¡Imposible! Según el teorema de no clonación, no puede crearse una copia idéntica de un estado cuántico desconocido arbitrario. Si el atacante mide el estado de un fotón, ya no será un objeto cuántico, sino un objeto clásico de estado definido. Si lo reenvía una vez medido, el receptor medirá correctamente el valor de ese estado solo el 50% de las veces. Gracias al mecanismo de conciliación de claves recién descrito, se puede detectar la presencia de un atacante en el canal. En el mundo cuántico, no se puede observar sin dejar huella.

Todo pinta muy bien sobre el papel, pero no convence a las agencias de inteligencia

Ya has visto de forma muy, muy simplificada cómo funciona la (mal llamada) criptografía cuántica. Lamentablemente, se anuncia a menudo como la panacea de la criptografía: «el cifrado seguro que las leyes de la Física vuelven irrompible» o «el cifrado que los hackers nunca podrán romper».

Sí, sí, con las ecuaciones en la mano, todo pinta muy bonito. El problema es que esas ecuaciones tienen que saltar desde la pizarra al Mundo Real™. Y aquí, señoras y señores, es donde empiezan los problemas. Recientemente, algunas de las mayores Agencias de Inteligencia del mundo han manifestado sus dudas sobre la QKD y desaconsejado su uso. Veamos por qué.

Por ejemplo, en EEUU la NSA identificó los siguientes inconvenientes de índole práctica:

• La distribución cuántica de claves es sólo una solución parcial a nuestros problemas de criptografía. No olvides que la QKD genera material de clave para usar como secuencia cifrante con el cifrado de Vernam o como clave para algoritmos de cifrado clásicos, como AES. Como bien sabes, una cosa es la confidencialidad y otra la autenticación. ¿Cómo sabes que el material de clave que te está llegando procede de la fuente legítima y no de un impostor? La QKD no proporciona un medio para autenticar la fuente de la transmisión QKD, por lo que no queda más remedio que acudir a la criptografía asimétrica o a claves precargadas para proporcionar esa autenticación. Es decir, la criptografía cuántica requiere la criptografía asimétrica que supuestamente la computación cuántica iba a machacar.
• La distribución cuántica de claves requiere un equipo de propósito especial. Para desplegarla, se necesita equipamiento óptico especial para comunicaciones ya sea de fibra óptica o a través del espacio libre. En la pila de protocolos, la QKD es un servicio de la capa de enlace, lo que significa que no puede implementarse en software ni como un servicio en una red. Y no puede integrarse fácilmente en el equipamiento de la red existente. Dado que la QKD está basada en hardware, también carece de flexibilidad para actualizaciones o parches de seguridad.
• La distribución cuántica de claves dispara los costos de infraestructura y los riesgos de amenazas internas. Las redes QKD a menudo necesitan el uso de repetidores de confianza, lo que supone un coste adicional para las instalaciones seguras y un riesgo de seguridad adicional por las amenazas internas. Estas limitaciones eliminan de un plumazo muchos casos de uso.
• Asegurar y validar la distribución cuántica de claves representa un reto importante. A diferencia del hype proclamado por el marketing, la seguridad real que proporciona un sistema de QKD no es ni de lejos la seguridad incondicional teórica de las leyes de la física, sino más bien la seguridad más limitada que puede lograrse mediante diseños de hardware e ingeniería. Sin embargo, la tolerancia al error en la seguridad criptográfica es muchos órdenes de magnitud más pequeña que en la mayoría de los escenarios de ingeniería física, lo que hace muy difícil su validación. El hardware específico utilizado para realizar QKD puede introducir vulnerabilidades, lo que da lugar a varios ataques bien publicitados contra sistemas QKD comerciales. Recomiendo encarecidamente la lectura del artículo negro sobre la criptografía cuántica, breve y bastante asequible, para entender sus problemas reales de implementación.
• La distribución cuántica de claves aumenta el riesgo de denegación de servicio. ¿Te acuerdas cómo podía detectarse la presencia de un intruso porque crecía el número de errores en la clave y terminaba descartándose? La sensibilidad a una escucha clandestina como base teórica de las afirmaciones de seguridad de la QKD puede convertirse en su propia perdición: la denegación de servicio es un riesgo significativo para la QKD.

Y si piensas que la NSA se ha vuelto paranoica, lee lo que opinan en UK:

• Dado que los protocolos QKD no proporcionan autenticación, son vulnerables a los ataques de intermediario en los que un adversario puede acordar claves secretas individuales compartidas con dos partes que creen que se están comunicando entre sí.
• La QKD requiere hardware especializado y extremadamente caro. Más que caro. ¡Carísimo!
• Las distancias a las que QKD puede transmitir claves son hoy por hoy modestas, del orden de unos pocos miles de Km con prototipos experimentales muy delicados, muy lejos de su viabilidad comercial.
• QKD sirve para acordar claves, pero no para firmar digitalmente información. La criptografía va mucho más allá del cifrado simétrico.

Si no usamos criptografía cuántica, ¿cómo nos protegemos de los ordenadores cuánticos?

Para la mayoría de los sistemas de comunicaciones del Mundo Real™, la criptografía post-cuántica (PQC) ofrecerá un antídoto contra la computación cuántica más efectivo y eficiente que la QKD. Si bien todavía es pronto para que la mayoría de las organizaciones se pongan a desplegar PQC, hay una cosa que todo el mundo debería hacer: facilitar la transición de su infraestructura criptográfica a una que sea ágil, es decir, una que permita cambiar con relativa facilidad los algoritmos, las longitudes de las claves, etc. Cuando el algoritmo y las longitudes están cableados en el código, el costo y la complejidad del cambio en caso de incidente pueden resultar abrumadores.

Resumiendo, si quieres invertir en criptografía, olvídate de la cuántica y empieza a ser cripto-ágil. Lleguen o no lleguen los ordenadores, si eres cripto-ágil estarás preparado para problemas clásicos, cuánticos y los que te echen.