Hoy en día, casi todos los datos de Internet, incluidas las transacciones bancarias, los historiales médicos y los chats seguros, están protegidos con un sistema de cifrado llamado RSA (en honor a sus creadores, Rivest, Shamir y Adleman). Este sistema se basa en un hecho simple: es virtualmente imposible calcular los factores primos de un número grande en un tiempo razonable, incluso en la supercomputadora más poderosa del mundo. Desafortunadamente, las grandes computadoras cuánticas, si se construyen, encontrarían esta tarea muy sencilla, lo que socavaría la seguridad de toda Internet. Afortunadamente, las computadoras cuánticas solo son mejores que las clásicas en una clase selecta de problemas, y hay muchos sistemas de cifrado en los que las computadoras cuánticas no ofrecen ninguna ventaja. Hoy, el Instituto Nacional de Estándares y Tecnología de Estados Unidos (NIST) anunció la estandarización de tres sistemas de cifrado de criptografía poscuántica. Con estos estándares en la mano, el NIST está animando a los administradores de sistemas informáticos a comenzar la transición a la seguridad poscuántica lo antes posible. «Ahora nuestra tarea es reemplazar el protocolo en cada dispositivo, lo que no es una tarea fácil». —Lily Chen, NISTEs probable que estos estándares sean un elemento importante del futuro de Internet. Los estándares de criptografía anteriores del NIST, desarrollados en la década de 1970, se utilizan en casi todos los dispositivos, incluidos enrutadores de Internet, teléfonos y computadoras portátiles, dice Lily Chen, directora del grupo de criptografía del NIST que dirigió el proceso de estandarización. Pero la adopción no ocurrirá de la noche a la mañana. «Hoy, la criptografía de clave pública se usa en todas partes en todos los dispositivos», dice Chen. «Ahora nuestra tarea es reemplazar el protocolo en todos los dispositivos, lo que no es una tarea fácil». ¿Por qué necesitamos criptografía poscuántica ahora? La mayoría de los expertos creen que las computadoras cuánticas a gran escala no se construirán hasta dentro de al menos una década. Entonces, ¿por qué el NIST está preocupado por esto ahora? Hay dos razones principales. Primero, se espera que muchos dispositivos que usan seguridad RSA, como automóviles y algunos dispositivos IoT, sigan en uso durante al menos una década. Por lo tanto, deben estar equipados con criptografía segura cuántica antes de lanzarse al campo. «Para nosotros, no es una opción simplemente esperar y ver qué sucede. En segundo lugar, un individuo malintencionado podría descargar y almacenar datos cifrados hoy mismo y descifrarlos una vez que se ponga en funcionamiento un ordenador cuántico lo suficientemente grande. Este concepto se denomina «recoger ahora, descifrar después» y, por su naturaleza, supone una amenaza para los datos sensibles ahora, aunque esos datos solo puedan descifrarse en el futuro. Los expertos en seguridad de diversas industrias están empezando a tomar en serio la amenaza de los ordenadores cuánticos, afirma Joost Renes, arquitecto principal de seguridad y criptógrafo de NXP Semiconductors. «En 2017 y 2018, la gente preguntaba ‘¿Qué es un ordenador cuántico?'», afirma Renes. «Ahora, se preguntan ‘¿Cuándo saldrán los estándares PQC y cuál deberíamos implementar?'», coincide Richard Marty, director de tecnología de LGT Financial Services. «Para nosotros, no es una opción simplemente esperar y ver qué pasa. Queremos estar preparados e implementar soluciones lo antes posible, para evitar la recolección ahora y el descifrado más tarde”. Competencia del NIST para el mejor algoritmo cuántico seguro El NIST anunció una competencia pública para el mejor algoritmo PQC en 2016. Recibieron la friolera de 82 presentaciones de equipos en 25 países diferentes. Desde entonces, el NIST ha pasado por 4 rondas eliminatorias, reduciendo finalmente el grupo a cuatro algoritmos en 2022. Este largo proceso fue un esfuerzo de toda la comunidad, en el que el NIST recibió aportes de la comunidad de investigación criptográfica, la industria y las partes interesadas del gobierno. «La industria ha proporcionado comentarios muy valiosos», dice Chen del NIST. Estos cuatro algoritmos ganadores tenían nombres que sonaban intensos: CRYSTALS-Kyber, CRYSTALS-Dilithium, Sphincs+ y FALCON. Lamentablemente, los nombres no sobrevivieron a la estandarización: los algoritmos ahora se conocen como Estándar Federal de Procesamiento de Información (FIPS) 203 a 206. FIPS 203, 204 y 205 son el foco del anuncio de hoy del NIST. Se espera que FIPS 206, el algoritmo anteriormente conocido como FALCON, se estandarice a fines de 2024. Los algoritmos se dividen en dos categorías: cifrado general, utilizado para proteger la información transferida a través de una red pública, y firma digital, utilizada para autenticar a las personas. Las firmas digitales son esenciales para prevenir ataques de malware, dice Chen. Cada protocolo de criptografía se basa en un problema matemático que es difícil de resolver pero fácil de verificar una vez que se tiene la respuesta correcta. Para RSA, se trata de factorizar números grandes en dos primos: es difícil averiguar cuáles son esos dos primos (para una computadora clásica), pero una vez que se tiene uno, es sencillo dividir y obtener el otro. «Tenemos algunos casos de [PQC]»Pero para una transición completa, no podría darles un número, pero hay mucho por hacer». —Richard Marty, LGT Financial ServicesDos de los tres esquemas ya estandarizados por NIST, FIPS 203 y FIPS 204 (así como el próximo FIPS 206), se basan en otro problema difícil, llamado criptografía en red. La criptografía en red se basa en el complicado problema de encontrar el mínimo común múltiplo entre un conjunto de números. Por lo general, esto se implementa en muchas dimensiones, o en una red, donde el mínimo común múltiplo es un vector. El tercer esquema estandarizado, FIPS 205, se basa en funciones hash; en otras palabras, convertir un mensaje en una cadena cifrada que es difícil de revertir. Los estándares incluyen el código informático de los algoritmos de cifrado, las instrucciones sobre cómo implementarlo y los usos previstos. Hay tres niveles de seguridad para cada protocolo, diseñados para proteger los estándares en caso de que se encuentren algunas debilidades o vulnerabilidades en los algoritmos. La criptografía en red sobrevive a las alarmas sobre vulnerabilidades A principios de este año, una preimpresión publicada en arXiv alarmó a la comunidad PQC. El artículo, escrito por Yilei Chen de la Universidad Tsinghua en Beijing, afirmaba demostrar que la criptografía basada en red, la base de dos de los tres protocolos NIST, no era, de hecho, inmune a los ataques cuánticos. Al examinarlo más a fondo, el argumento de Yilei Chen resultó tener un fallo, y todavía se cree que la criptografía en red es segura contra los ataques cuánticos. Por un lado, este incidente resalta el problema central en el corazón de todos los esquemas de criptografía: no hay prueba de que ninguno de los problemas matemáticos en los que se basan los esquemas sea realmente «difícil». La única prueba, incluso para los algoritmos RSA estándar, es que la gente ha estado tratando de romper el cifrado durante mucho tiempo y todos han fallado. Dado que los estándares de criptografía post-cuántica, incluida la criptografía en red, son más nuevos, hay menos certeza de que nadie encuentre una forma de romperlos. Dicho esto, el fracaso de este último intento solo aumenta la credibilidad del algoritmo. La falla en el argumento del artículo se descubrió en una semana, lo que indica que hay una comunidad activa de expertos trabajando en este problema. «El resultado de ese artículo no es válido, lo que significa que el pedigrí de la criptografía basada en red aún es seguro», dice Lily Chen del NIST (sin relación con Yilei Chen de la Universidad de Tsinghua). «La gente se ha esforzado mucho por romper este algoritmo. Mucha gente lo está intentando, se esfuerza mucho, y esto realmente nos da confianza». El anuncio del NIST es emocionante, pero el trabajo de transición de todos los dispositivos a los nuevos estándares recién comienza. Se necesitará tiempo y dinero para proteger completamente al mundo de la amenaza de las futuras computadoras cuánticas. «Hemos pasado 18 meses en la transición y gastado alrededor de medio millón de dólares en ella», dice Marty de LGT Financial Services. “Tenemos algunos casos de [PQC]Pero para una transición completa, no podría darle una cifra, pero hay mucho por hacer”. Artículos de su sitio Artículos relacionados en la Web