Compartir

Imagine que todas las cerraduras del mundo, las de su casa, su oficina, su auto, y hasta los sistemas de defensa nacional dejaran de funcionar de repente. Ahora, traslade esa imagen al mundo digital: las contraseñas, el historial bancario, los mensajes privados y los secretos de estado, todos expuestos. Este no es el guion de una película de ciencia ficción, sino un desafío real y tangible que científicos, gobiernos y empresas llevan años anticipando. La causa: la llegada de las computadoras cuánticas y su capacidad para quebrar los sistemas de cifrado que protegen la vida digital. La solución que se está forjando en laboratorios de todo el mundo tiene un nombre: criptografía postcuántica, a ese tema dedicaré la columna de hoy.

La seguridad no es un producto, es un proceso. Whitfield Diffie, pionero de la criptografía moderna.

Los algoritmos de cifrado protegen información electrónica confidencial de accesos no autorizados, estas van desde correos electrónicos hasta historiales médicos y estados financieros. Durante décadas, esos algoritmos han demostrado ser lo suficientemente potentes como para evitar ataques que intentaron burlar el cifrado mediante computadoras convencionales. Sin embargo, las computadoras cuánticas, podrían descifrar esos algoritmos, haciendo que los secretos codificados electronicamente sean vulnerables. Para contrarrestar esa amenaza inminente, se necesitan métodos de cifrado que puedan prevenir ciberataques tanto de las computadoras convencionales actuales como de las computadoras cuánticas del futuro. Esos nuevos métodos se denominan algoritmos de cifrado postcuántico.

Para entender la revolución que se avecina, primero se deben conocer los pilares que sostienen la seguridad actual. Desde los años 70, la confianza digital se ha basado en problemas matemáticos considerados «difíciles» para las computadoras clásicas. Los dos más famosos son:

  1. La Factorización de Números Primos (RSA): Desarrollado en 1977 por Rivest, Shamir y Adleman (de ahí sus siglas), es como tener una cerradura para la que existen dos llaves: una pública, para cerrarla, y otra privada, para abrirla. Romper la cerradura implica factorizar un número enorme (de cientos de dígitos) en sus dos números primos originales. Para una computadora clásica, eso es una tarea que llevaría miles de millones de años.
  2. El Problema del Logaritmo Discreto (ECDSA): Es una evolución más eficiente de RSA, utilizada ampliamente en criptomonedas como Bitcoin y en comunicaciones seguras. También se basa en la dificultad de resolver un problema matemático inverso en estructuras algebraicas complejas.

La anécdota fundacional de la criptografía de clave pública es ilustrativa. En 1976, Whitfield Diffie y Martin Hellman propusieron por primera vez el concepto; un giro copernicano en un campo dominado hasta entonces por el cifrado simétrico y el intercambio manual de claves. Su trabajo fue tan revolucionario que un alto funcionario de la NSA de la época lo tachó de «contrario a la seguridad nacional de los Estados Unidos». Sin embargo, sentó las bases para el surgimiento de RSA al año siguiente.

La tranquilidad que brindaban esas soluciones matemáticas se resquebrajó en 1994, cuando el matemático Peter Shor, trabajando en los Laboratorios Bell, demostró que una computadora cuántica suficientemente potente podría resolver tanto la factorización de números primos como el problema del logaritmo discreto en cuestión de horas o días.

Crédito: N. Hanacek/NIST

¿Cómo es posible? Las computadoras clásicas usan bits (0 y 1). Las cuánticos usan qubits, que pueden estar en superposición (ser 0 y 1 a la vez). Eso les permite explorar millones de posibilidades simultáneamente. El Algoritmo de Shor aprovecha ese principio para encontrar los factores primos de un número con una eficiencia tremenda, volviendo obsoletos de un plumazo a RSA y ECDSA.

Es crucial entender que esto no es una teoría abstracta. En 2019, Google anunció la «supremacía cuántica» con su procesador Sycamore, al realizar un cálculo específico en 200 segundos que le hubiera llevado 10 000 años a la super computadora más potente de la fecha. Aunque ese cálculo no era el de Shor, demostró el potencial de la máquina. En 2023, un equipo de investigadores chinos logró factorizar el número 261 980 999 226 245 usando una versión modificada del algoritmo de Shor en una computadora cuántica. Fue una factorización pequeña, pero una prueba de concepto importante.

En 2022, tras el hackeo de una red empresarial, los especialistas descubrieron que parte de la seguridad había quedado vulnerable debido a algoritmos ya considerados obsoletos. Esa anécdota mostró que la actualización de la seguridad no es instantánea y pone de relieve la importancia de la prevención y la anticipación.

Actualmente, muchos algoritmos de cifrado se basan en la dificultad que tienen las computadoras convencionales para factorizar números grandes. Las computadoras cuánticas suficientemente potentes no tendrían esa dificultad. Los algoritmos criptográficos convencionales seleccionan dos números primos muy grandes —que solo son divisibles por 1 y por sí mismos— y los multiplican para obtener un número aún mayor. Si bien multiplicar los números primos es fácil y rápido, es mucho más difícil y lento revertir el proceso y determinar cuáles de los dos números primos se multiplicaron entre sí, y eso es lo que una computadora convencional tendría que hacer para descifrar ese cifrado. Esos dos números se conocen como «factores primos». Para números suficientemente grandes, se ha estimado que una computadora convencional necesita miles de millones de años para determinar estos factores primos.

Sin embargo, una computadora cuántica lo suficientemente capaz podría analizar todos los posibles factores primos simultáneamente, en lugar de uno por uno, llegando a la respuesta exponencialmente más rápido. Los expertos han comenzado a referirse a un dispositivo tan maduro como una computadora cuántica «criptográficamente relevante». En lugar de miles de millones de años, es posible que una computadora cuántica pudiera resolver ese enigma en días o incluso horas, poniendo en riesgo todo, desde secretos de estado hasta información de cuentas bancarias.

Criptografía precuántica y cuántica

Se llama criptografía precuántica a la que se utiliza hoy en día y que permite garantizar la confidencialidad, integridad y autenticidad de la información. Esa criptografía se considera segura, siempre y cuando se utilicen protocolos criptográficos estandarizados y no se disponga de una computadora cuántica con capacidad de cálculo suficiente como para romper los algoritmos criptográficos utilizados; es decir, de una computadora cuántica criptográficamente relevante.

Tradicionalmente se consideran dos tipos de sistemas de cifrado, los criptosistemas simétricos y los asimétricos, y numerosos protocolos criptográficos, como acuerdos de clave, funciones hash, esquemas de firma digital, y otros. La seguridad de los algoritmos implicados en los criptosistemas asimétricos y en numerosos protocolos se basa en la dificultad computacional de resolver determinados problemas matemáticos.

Actualmente, se consideran seguros el problema de la factorización de enteros y el problema del logaritmo discreto. No obstante, el desarrollo de la computación cuántica y la publicación de determinados algoritmos cuánticos, implementables en el futuro, ha puesto en tela de juicio la seguridad de los algoritmos mencionados y, por tanto, la supervivencia de la criptografía que depende de ellos.

La pregunta que surge ante esta situación y con la amenaza del planteamiento “Almacena ahora, descifra después” es: ¿De cuánto tiempo se dispone para garantizar la seguridad de la información que se maneja cotidianamente? El llamado Teorema de Mosca trata ese tema y enuncia: “Sean x el tiempo necesario para que los datos confidenciales sean seguros, y el tiempo necesario para equipar la infraestructura existente con una solución cuánticamente segura y z el tiempo necesario para construir un código seguro. Entonces, si x + y > z, tenemos un grave problema”. Es de esperar que, antes o después, la mecánica cuántica será capaz de proponer algoritmos criptográficos que permitan definir criptosistemas y protocolos cuánticamente seguros.

Criptografía postcuántica

La criptografía postcuántica no se basa en computadoras cuánticas para defenderse. A diferencia de la criptografía cuántica —que usa principios de la física cuántica como el entrelazamiento— la criptografía postcuántica se basa en problemas matemáticos que, hasta ahora, no tienen solución eficiente ni en computadoras clásicas ni cuánticas. Se utilizan algoritmos diseñados para ser ejecutados en las computadoras clásicas de hoy, pero cuya seguridad reside en problemas matemáticos que se cree son igual de difíciles para ambos tipos de computadoras.

Para evitar los ataques de una computadora cuántica, la comunidad mundial debe retirar los algoritmos de cifrado actuales. Los algoritmos de cifrado postcuántico deben basarse en problemas matemáticos que serían difíciles de resolver tanto para las computadoras convencionales como para las cuánticas. Los algoritmos se diseñan para dos tareas principales para las que normalmente se utiliza el cifrado: general, el que se usa para proteger información como contraseñas intercambiadas a través de una red pública, y firmas digitales, utilizadas para la autenticación de identidad.

En 2016, el NIST (National Institute for Standards and Technology) estadounidense, la misma institución que estandarizó AES y SHA-256, inició el proyecto de Criptografía Postcuántica y, a finales de ese mismo año, solicitó formalmente a los expertos mundiales en criptografía que presentaran algoritmos que resultaran inviables tanto para las computadoras clásicas como para las cuánticas. En la fecha límite, aproximadamente un año después, expertos de docenas de países habían presentado 69 algoritmos candidatos que superaban el estándar establecido por el NIST.

El NIST publicó entonces los 69 algoritmos candidatos para que los expertos los analizaran y, si era posible, los descifraran. Ese proceso fue abierto y transparente. Durante los años siguientes, muchos de los mejores criptógrafos del mundo participaron en múltiples rondas de evaluación, lo que redujo el número de candidatos. Tras varias rondas de evaluación, en julio de 2022, el NIST anunció sus primeros seleccionados: CRYSTALS-Kyber para el intercambio de claves, y CRYSTALS-Dilithium, Falcon y SPHINCS+ para firmas digitales.

De los cuatro algoritmos que el NIST, seleccionó como los primeros en estandarizarse, tres se basan en una familia de problemas matemáticos llamados retículos estructurados, mientras que el cuarto utiliza relaciones matemáticas conocidas como funciones hash. En lugar de requerir que una computadora factorice grandes números, los problemas de retículos y hash utilizan otros tipos de matemáticas que, según los expertos, serán difíciles de resolver tanto para computadoras cuánticas como convencionales.

Esas nuevas familias de algoritmos son como diferentes tipos de cerraduras, cada una con su propia mecánica interna:

  • Criptografía Basada en Retículos (Lattices): Los retículos se definen como un conjunto de puntos que se distribuyen de forma regular en un plano n-dimensional infinito. Es un caso particular de la criptografía basada en problemas de suma de subconjuntos. Introducida por primera vez en 1996 por Miklós Ajtai. Tienen algunas características atractivas, como la dificultad de dureza en el peor de los casos. Además, presentan simplicidad y paralelismo y son lo suficientemente versátiles como para construir esquemas criptográficos robustos. Son la única familia de algoritmos que contiene los tres tipos de primitivas requeridas para construir una infraestructura de clave pública postcuántica: cifrado de clave pública, intercambio de claves y firma digital.
  • Criptografía Basada en Códigos: Se basa en el uso de códigos de corrección de errores para crear criptografía de clave pública. Propuesto por primera vez por Robert McEliece en 1978. Ejemplos de algoritmos de este tipo son el criptosistema de McEliece y el esquema de Niederreiter. El principal problema del sistema original es el gran tamaño de las claves pública y privada. Utiliza códigos correctores de errores, que normalmente sirven para limpiar interferencias en una transmisión. Convertirlos en un sistema de cifrado implica ocultar un error deliberadamente, y la dificultad está en encontrarlo sin conocer la estructura interna del código. El clásico algoritmo McEliece, ha resistido el paso del tiempo y es inmune al ataque de Shor.
  • Criptografía basada en funciones polinomiales Multivariable: El término multivariable hace referencia a que los polinomios que se utilizan tienen más de una variable. Es la criptografía de clave pública cuyas claves públicas representan un mapa polinomial multivariado y no lineal (generalmente cuadrático). Se ha demostrado que la resolución de esos sistemas es NP-completa, lo que convierte a esa familia de algoritmos en buenos candidatos para la criptografía postcuántica. Actualmente, ese tipo de esquemas de cifrado son menos eficientes que otros esquemas, ya que requieren claves públicas largas y tiempos de descifrado prolongados. Por otro lado, resultaron ser más adecuados para construir esquemas de firmas, ya que proporcionan los tamaños de firma más cortos entre los algoritmos postcuánticos, aunque incurren en claves públicas bastante grandes.
  • Firmas Digitales Basadas en Hash: Se basan en el uso de funciones hash para crear criptografía de clave pública. Esas funciones son herramientas criptográficas muy utilizadas. Ese tipo criptografía es flexible y puede cumplir con diferentes expectativas de rendimiento. En el lado negativo, los esquemas de firma basados en hash son principalmente con estado, lo que significa que la clave privada debe actualizarse después de cada uso; de lo contrario, la seguridad no está garantizada. Hay esquemas basados en hash que no tienen estado, pero tienen el costo de firmas más largas, tiempos de procesamiento más significativos y la necesidad de que el firmante realice un seguimiento de cierta información, como cuántas veces se usó una clave para crear una firma. Algoritmos como SPHINCS+ ofrecen una alternativa segura para la autenticación de documentos, utilizando funciones hash criptográficas, que son como moledoras de información que producen un resultado único e irreversible.
  • Criptografía basada en isogenia (IBC): Ese tipo de criptografía utiliza mapas entre curvas elípticas para construir criptografía de clave pública. Ejemplo de algoritmos de ese tipo es el protocolo de intercambio de claves Supersingular isogeny Diffie-Hellman (SIDH) introducido en 2011. SIDH requiere una de las claves más pequeñas entre los esquemas de intercambio de claves propuestos y admite el secreto directo perfecto. Sin embargo, por su poco tiempo de uso no existen muchos esquemas basados en ese concepto, y no ha habido mucho para inspeccionar sus posibles vulnerabilidades.
  • Criptografía basada en grupo de trenzas: Estableciendo como base algunos problemas basados en grupo de trenzas es posible construir funciones de un solo sentido y esquemas de intercambio de claves.
  • La Amenaza del «Acopio Ahora, Descifre Más Tarde»: Existe un riesgo inmediato. Un adversario con recursos podría estar interceptando y almacenando hoy comunicaciones cifradas (por ejemplo, secretos diplomáticos o industriales), con la esperanza de descifrarlas dentro de 10 o 15 años, cuando las computadoras cuánticas sean una realidad operativa. Por eso la urgencia.

Analicemos someramente cómo funcionan dos de esos nuevos sistemas: primeramente, Kyber. En lugar de usar números primos, se basa en ecuaciones lineales con ruido en espacios multidimensionales (retículos). Resolver esas ecuaciones sin conocer cierta «trampa» matemática es extremadamente difícil, incluso para una máquina cuántica. Lo mejor: Kyber es rápido y eficiente, lo que lo hace ideal para integrarse en sistemas actuales como TLS (el protocolo detrás del candado verde en el navegador). En contraste, SPHINCS+ usa únicamente funciones hash —una herramienta criptográfica muy probada y simple— para construir firmas digitales. Aunque es más lento y genera claves más grandes, tiene la ventaja de no depender de supuestos matemáticos complejos, lo que lo hace extremadamente robusto.

A la vista de esa situación, varias organizaciones europeas (ENISA, SOG-IS, Parlamento Europeo, y otros) recomiendan implementar, a la mayor brevedad posible, los estándares propuestos en la convocatoria del NIST. También los principales servicios gubernamentales europeos (ANSS, BSI, CCN y NLNCS), responsables de la seguridad de sus países, han elaborado recomendaciones para migrar hacia los nuevos estándares criptográficos postcuánticos.

Todos esos organismos, responsables de la seguridad, señalan que en 2030 la computación postcuántica debe estar implementada en los sistemas e infraestructuras que se consideren críticos y en 2035 debe ser una realidad en todos los sistemas que usen criptografía. Empresas como Google, Cloudflare y Amazon ya realizan pruebas en sus infraestructuras. En 2023, el gobierno de Estados Unidos emitió una orden ejecutiva exigiendo a las agencias federales que comiencen a migrar hacia soluciones postcuánticas antes de 2035. La Unión Europea y otros países siguen pasos similares.

La transición a la criptografía postcuántica implica dos desafíos significativos:

  • Compatibilidad: Los nuevos algoritmos deben ser compatibles con la infraestructura existente, lo cual puede requerir cambios significativos en el software y hardware actuales.
  • Desempeño: Algunos algoritmos postcuánticos pueden ser menos eficientes en términos de velocidad y tamaño de datos, comparados con los algoritmos tradicionales.

Soluciones temporales

En tanto los estándares publicados y las propuestas seleccionadas por el NIST se convierten de facto en estándares de amplio uso, se han propuesto dos soluciones temporales: el uso de la denominada criptoagilidad y llevar a cabo una transición híbrida desde la criptografía precuántica a la postcuántica.

La criptoagilidad es la capacidad de un sistema de seguridad para cambiar rápidamente a nuevos mecanismos de cifrado cuando aparecen vulnerabilidades, por lo que se recomienda que los nuevos sistemas criptográficos se diseñen según ese principio. Por su parte, la hibridación consiste en construir soluciones que combinen primitivas precuánticas y postcuánticas, con el fin de obtener las garantías de seguridad de ambas.

La criptografía postcuántica es un testimonio de la previsión humana. Es el esfuerzo colectivo por blindar el futuro digital antes de que la tormenta llegue. Su implementación será la migración tecnológica más silenciosa y crucial de esta era. En los próximos años, sin que nos demos cuenta, los navegadores, aplicaciones bancarias y sistemas de gobierno actualizarán sus «cerraduras digitales» por esas nuevas resistentes al mundo cuántico.

No se trata de temer a la computación cuántica, que traerá avances prodigiosos en medicina, ciencia de materiales, meteorología e Inteligencia Artificial. Se trata de aprovechar el conocimiento presente para asegurar que ese futuro no ponga en peligro la privacidad y la confianza que han permitido el florecimiento de la sociedad digital. La criptografía, una vez más, demuestra ser el arte de reinventar la confianza en un mundo en constante cambio. Y esta vez, se está haciendo con una década de antelación.

La criptografía postcuántica representa un campo en expansión, diseñado como un baluarte contra las futuras amenazas que plantean las computadoras cuánticas. Ese dominio innovador explora complejos problemas matemáticos que incluso las computadoras cuánticas encuentran desafiantes, como los retículos criptográficos y los códigos de corrección de errores. Los esfuerzos que se realizan son cruciales para asegurar la integridad de la seguridad global y la protección duradera de los datos en un mundo cada vez más digitalizado.

Referencias.

  • Por el futuro

    Nuestro congreso, a pesar de las condiciones complejas que tiene hoy la economía, no puede…

  • Con visión de futuro

    Para lograr mayor integración de las personas con discapacidad visual a la sociedad y atención…

  • Cuatro décadas formando futuro

    Con importantes logros académicos, científicos y un impacto directo en los indicadores de la Salud…

Etiquetas: -