Retos y oportunidades de negocio de la criptografía postcuántica

Gonzalo Álvarez Marañón    7 julio, 2020
Retos y oportunidades de negocio de la criptografía postcuántica

Si estás leyendo este artículo desde un navegador, mira detenidamente el candadito arriba en la barra de direcciones. Haz clic en él. Ahora haz clic en «Certificados». Por último, selecciona la pestaña «Detalles del certificado». Observa el valor «Clave pública», ¿qué ves? RSA, tal vez DSA, o incluso ECDSA. Pues dentro de unos años, dejarás de ver esos algoritmos. ¿Por qué? Porque los ordenadores cuánticos los habrán borrado del mapa.

Observa ahora otros protocolos de comunicación segura: TLS, responsable del candadito que protege las páginas web y prácticamente de protegerlo todo; el cifrado extremo a extremo de Whatsapp o el de Zoom, etc. Piensa en las firmas digitales: validación de contratos, identificación de la autoría de software, verificación de identidad, garantía de la propiedad en blockchain, etc. Esos mismos algoritmos (RSA, DSA, ECDSA) están por todas partes, pero tienen los días contados: 10 o 15 años, como mucho. ¿Será el fin de la privacidad? ¿No más secretos? Por suerte, no. Hay vida criptográfica más allá de RSA y de DSA y de ECDSA.

¡Bienvenido al futuro postcuántico!

Hola, ordenadores cuánticos. Adiós, criptografía clásica

La computación cuántica es más eficiente que la clásica en algunas tareas como, por ejemplo, resolver los problemas matemáticos sobre los que descansa la seguridad de los algoritmos de clave pública que hoy usamos para cifrado y firma digital: RSA, DSA, ECDSA, ECC, DH, etc.

En un mundo de ordenadores cuánticos, la criptografía requiere algoritmos basados en problemas matemáticos impermeables a los avances de la computación cuántica. Por fortuna, esos algoritmos criptográficos existen desde hace décadas. Se los conoce colectivamente como criptografía postcuántica (post-quantum cryptography, PQC). Las tres alternativas mejor estudiadas hasta la fecha son:

  • Criptografía basada en hashes: como su nombre indica, utilizan funciones hash seguras, que resisten a los algoritmos cuánticos. Su desventaja es que generan firmas relativamente largas, lo que limita sus escenarios de uso. Leighton-Micali Signature Scheme (LMSS) o los esquemas de firma de Merkle se cuentan entre los candidatos más sólidos para reemplazar a RSA y ECDSA.
  • Criptografía basada en códigos: la teoría de códigos es una especialidad matemática que trata de las leyes de la codificación de la información. Algunos sistemas de codificación son muy difíciles de decodificar, llegando a requerir tiempo exponencial, incluso para un ordenador cuántico. El criptosistema mejor estudiado hasta la fecha es el de McEliece, otro prometedor candidato para intercambio de claves. Su inconveniente: claves de millones de bits de longitud.
  • Criptografía basada en celosías: posiblemente se trate del campo más activo de investigación en criptografía postcuántica. Una celosía es un conjunto discreto de puntos en el espacio con la propiedad de que la suma de dos puntos de la celosía está también en la celosía. Un problema difícil es encontrar el vector más corto en una celosía dada.

    Todos los algoritmos clásicos requieren para su resolución un tiempo que crece exponencialmente con el tamaño de la celosía y se cree que lo mismo ocurrirá con los algoritmos cuánticos. Actualmente existen numerosos criptosistemas basados en el Problema del Vector más Corto. El ejemplo que tal vez haya suscitado más interés es el sistema de cifrado de clave pública NTRU.

Entonces, si ya tenemos sustitutos para RSA, DSA, ECDSA, ¿por qué no seguir con los algoritmos de toda la vida hasta que aparezcan los primeros ordenadores cuánticos capaces de romperlos y en ese momento cambiar con un clic a los postcuánticos?

En criptografía, los partos son largos y dolorosos

Existen cuatro poderosas razones para empezar a trabajar ya en la transición hacia la criptografía postcuántica:

  • Necesitamos tiempo para mejorar la eficiencia de la criptografía postcuántica: para que te hagas una idea, para alcanzar la seguridad proporcionada por claves de b bits en ECC, los algoritmos postcuánticos pueden requerir claves de entre b2 y b3 bits, así que echa cuentas. La mejora de eficiencia resulta especialmente crítica pensando en dispositivos constreñidos, de uso extendido en aplicaciones IoT, y principales destinatarios de la PQC.
  • Necesitamos tiempo para crear confianza en la criptografía postcuántica: el NIST ha iniciado un proceso para solicitar, evaluar y normalizar uno o más algoritmos de PQC para firma digital, cifrado de clave pública y establecimiento de claves de sesión. Por su lado, el IRTF Crypto Forum Research Group ha terminado de estandarizar dos algoritmos de firma basados en hash de estado, XMSS y LMS, que también se espera que sean estandarizados por el NIST.
  • Necesitamos tiempo para mejorar la usabilidad de la criptografía postcuántica: Después, estos estándares deben incorporarse a las bibliotecas criptográficas en uso por los lenguajes de programación más populares y por los chips criptográficos y por los módulos hardware.

    El proyecto Open Quantum Safe (OQS) está trabajando en liboqs, una biblioteca C de código abierto para algoritmos PQC. A continuación, deberán integrarse dentro de los estándares y protocolos criptográficos, tales como TLS, X.509, IKEv2, JOSE, etc. OQS también está trabajando en las integraciones de liboqs en OpenSSL y en OpenSSH. Luego, estos estándares y protocolos deberán ser incluidos por todos los vendedores en sus productos: desde los fabricantes de hardware, hasta los de software.
  • Necesitamos proteger algunos secretos por mucho tiempo: existen datos muy valiosos y que tienen una larga vida útil: registros de empleados, registros de salud, registros financieros, etc. En el ámbito militar e industrial la necesidad de asegurar secretos por mucho tiempo es incluso mayor. Por ejemplo, podrían robarse hoy los planes de diseño de nuevas armas militares o de aeronaves comerciales, cifrados con algoritmos clásicos, a la espera de los ordenadores cuánticos para descifrarlos incluso décadas después del robo.

En resumen, aún no estamos preparados para que el mundo cambie a la criptografía postcuántica con sólo apretar un botón.

¿Será la criptografía cuántica la mejor arma contra los ordenadores cuánticos?

La criptografía cuántica se reduce hoy a la distribución cuántica de claves (QKD): intercambiar una clave aleatoria entre dos extremos no autenticados con la certeza de que cualquier intento de intercepción será detectado. Esta clave puede usarse posteriormente para cifrar la información confidencial usando el algoritmo de Vernam y así garantizar el secreto perfecto, incluso ante el ataque de un ordenador cuántico.

¡No tan rápido! Por desgracia, la QKD presenta muchos inconvenientes de índole práctica que desaconsejan su adopción, al menos en el futuro próximo:

  • Dado que los protocolos QKD no proporcionan autenticación, son vulnerables a los ataques de intermediario en los que un adversario puede acordar claves secretas individuales compartidas con dos partes que creen que se están comunicando entre sí.
  • La QKD requiere hardware especializado y extremadamente caro.
  • Las distancias a las que QKD puede transmitir claves son hoy por hoy modestas, del orden de unos pocos miles de kilómetros con prototipos experimentales muy delicados, muy lejos de su viabilidad comercial.
  • QKD sirve para acordar claves, pero no para firmar digitalmente información. La criptografía va mucho más allá del cifrado simétrico.

Resumiendo, para la mayoría de los sistemas de comunicaciones del mundo real de ahí afuera, la PQC ofrecerá un antídoto contra la computación cuántica más efectivo y eficiente que la QKD.

¿Dónde veremos próximamente aplicaciones de la PQC?

De acuerdo con el informe Post-Quantum Cryptography (PQC): A Revenue Assessment publicado el 25 de junio por la firma de analistas de tecnología cuántica Inside Quantum Technology, el mercado de software y chips de criptografía postcuántica se disparará hasta los 9.500 millones de dólares para 2029. Aunque las capacidades de la PQC se incorporarán en numerosos dispositivos y entornos, según el informe, los ingresos de PQC se concentrarán en los navegadores web, IoT, 5G, las fuerzas de seguridad (policía, ejército, inteligencia), servicios financieros, servicios de salud y la propia industria de la ciberseguridad.

Si todos son conscientes de la sombra de la computación cuántica sobre la criptografía clásica, ¿por qué no están invirtiendo más recursos ahora mismo en PQC? Porque todos los actores están aguardando a que el NIST (National Institute of Standards and Technology) complete la Ronda 3 de sus normas de PQC, que sucederá en 2023.

A partir de esa fecha, los servicios ofrecidos por la industria de la ciberseguridad incluirán los algoritmos de PQC estandarizados por el NIST. Por ejemplo, Inside Quantum Technology considera que los fabricantes proporcionarán ofertas de PQC como servicio para el correo electrónico y las VPN. Además, la industria de la ciberseguridad recomendará, desarrollará e implementará software de PQC para sus clientes. Según su predicción, en 2029 los ingresos de las ofertas de ciberseguridad relacionadas con PQC probablemente alcanzarán los 1.600 millones de dólares.

Da el salto a PQC antes de que sea demasiado tarde

Si ahora mismo tu organización maneja información cifrada cuya confidencialidad necesita garantizarse durante más de 10 años, más vale que vayas analizando la oferta de productos PQC.

Y mientras tanto, sin pausa pero prisa, te convendría ir haciendo un piloto para evaluar si sería posible salir a producción con las soluciones comerciales disponibles. Dado que antes o después habrá que dar el salto a PQC, es mejor examinar ahora con calma las estrategias para reducir los costos de cambio de tecnología e ir preparando la transición.

Porque de una cosa puedes estar seguro: el día de la PQC llegará.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *