Estado actual de la criptografía postcuántica

Para plantar la información de una manera ordenada, se ha dividido el texto en cuatro partes: criptografía precuántica y cuántica; criptografía postcuántica; soluciones temporales, y algunas ideas a modo de conclusión.

Criptografía precuántica y cuántica

Llamamos criptografía precuántica a la que utilizamos hoy en día y que nos permite garantizar la confidencialidad, integridad y autenticidad de la información. Esta criptografía se considera segura, siempre y cuando utilicemos protocolos criptográficos estandarizados y no dispongamos de un ordenador cuántico con capacidad de cálculo suficiente como para romper los algoritmos criptográficos utilizados; es decir, de un ordenador cuántico criptográficamente relevante (Cryptographically Relevant Quantum Computer, CRQC).

Tradicionalmente se consideran dos tipos de sistemas de cifrado, los criptosistemas simétricos y los asimétricos, y numerosos protocolos criptográficos, como acuerdos de clave, funciones hash, esquemas de firma digital, etc.

La seguridad de los algoritmos implicados en los criptosistemas asimétricos y en numerosos protocolos se basa en la dificultad computacional de resolver determinados problemas matemáticos.

Actualmente, se consideran seguros el problema de la factorización de enteros (Integer Factorization Problem, IFP) y el problema del logaritmo discreto (Discrete Logarithm Problem, DLP). No obstante, el desarrollo de la computación cuántica y la publicación de determinados algoritmos cuánticos, implementables en los futuros CRQC, ha puesto en tela de juicio la seguridad de los algoritmos mencionados y, por tanto, la supervivencia de la criptografía que depende de ellos.

 

Llamamos criptografía precuántica a la que utilizamos hoy en día y que nos permite garantizar la confidencialidad, integridad y autenticidad de la información

 

Así, los algoritmos cuánticos de Shor [15] son capaces de resolver en tiempo polinómico el IFP y el DLP, y el algoritmo cuántico de Grover [8] puede reducir el tiempo necesario para romper un criptosistema simétrico a su raíz cuadrada. Resultados más recientes sugieren que la criptografía simétrica podría no ser tan resistente a la computación cuántica [9].

La pregunta que surge ante esta situación y con la amenaza del planteamiento ‘Almacena ahora, descifra después’ (Store now, decrypt later) es: ¿De cuánto tiempo disponemos para garantizar la seguridad de la información que manejamos cotidianamente? El llamado Teorema de Mosca [10] trata este tema y enuncia: “Sean x el tiempo necesario para que los datos confidenciales sean seguros, y el tiempo necesario para equipar la infraestructura existente con una solución cuánticamente segura y z el tiempo necesario para construir un CRQC. Entonces, si x + y > z, tenemos un grave problema”.

Es de esperar que, antes o después, la Mecánica cuántica será capaz de proponer algoritmos criptográficos que permitan definir criptosistemas y protocolos cuánticamente seguros.

Mientras tanto, sólo disponemos de algoritmos cuánticos que solucionan el problema del acuerdo de claves entre usuarios (Quantum Key Distribution, QKD) como el BB84 [4], logrando que dos usuarios acuerden una colección de bits clásicos mediante la transmisión de fotones.

 

 

Criptografía postcuántica

En 2016, el NIST (National Institute for Standards and Technology) norteamericano lanzó una convocatoria para la estandarización de algoritmos criptográficos asimétricos que, implementados en los ordenadores actuales, sean resistentes a la computación cuántica.

Las propuestas presentadas se basaban en las siguientes herramientas matemáticas:

• Isogenias sobre curvas elípticas.
• Sistemas de ecuaciones cuadráticas en varias variables.
• Códigos correctores de errores.
• Funciones hash.
• Retículos.

 

Hoy en día, las propuestas basadas en las dos primeras se han descartado por falta de seguridad.

Esta convocatoria sólo consideraba mecanismos de encapsulamiento de claves (Key Encapsulation Mechanisms, KEM) y firmas digitales (Digital Signature, DS). Después de un periodo de análisis realizado por la comunidad criptográfica mundial, en 2023, el NIST publicó los nuevos algoritmos estándares: el KEM denominado ML-KEM [11] (anteriormente CRYSTALS-Kyber) y tres DS: ML-DSA [12] (antes CRYSTALS-Dilithium), FN-DSA (antes FALCON) y SLH-DSA [13] (antes Sphincs+).

 

 

Dado que los cuatro primeros estándares fundamentan su seguridad en problemas matemáticos definidos sobre retículos y el último lo hace sobre funciones hash, el NIST ha seleccionado recientemente otro KEM, basado en problemas de códigos correctores de errores, HQC [2], como quinto algoritmo postcuántico. Además, este organismo ha lanzado una nueva convocatoria adicional para nuevas firmas digitales.

Así pues, y a modo de resumen, hay publicados tres algoritmos criptográficos postcuánticos estándares: ML-KEM, ML-DSA y SLH-DSA, otro en vías de publicación, FN-DSA, y uno más a punto de ser estandarizado: HQC.

Todos ellos son los que, por ahora, constituyen lo que se ha dado en llamar criptografía postcuántica (PQC, Post-Quantum Cryptography). En todo caso, es de destacar que los organismos europeos no han descartado otro KEM, FrodoKEM [1], como posible estándar, a pesar de que el NIST sí lo ha desechado.

 

La criptoagilidad es la capacidad de un sistema de seguridad para cambiar rápidamente a nuevos mecanismos de cifrado cuando aparecen vulnerabilidades

 

A la vista de esta situación, varias organizaciones europeas (ENISA, SOG-IS, Parlamento Europeo, etc.) recomiendan implementar, a la mayor brevedad posible, los estándares propuestos en la convocatoria del NIST.

También los principales servicios gubernamentales europeos (ANSSI [3], BSI [6], CCN [7] y NLNCS [14]), responsables de la seguridad de sus países, han elaborado recomendaciones para migrar hacia los nuevos estándares criptográficos postcuánticos.

Todos estos organismos, responsables de la seguridad, señalan que en 2030 la PQC debe estar implementada en los sistemas e infraestructuras que se consideren críticos y en 2035 debe ser una realidad en todos los sistemas que usen criptografía.

Soluciones temporales

En tanto los estándares publicados y las propuestas seleccionadas por el NIST se convierten de facto en estándares de amplio uso, se han propuesto dos soluciones temporales: el uso de la denominada criptoagilidad y llevar a cabo una transición híbrida desde la criptografía precuántica a la postcuántica.

La criptoagilidad es la capacidad de un sistema de seguridad para cambiar rápidamente a nuevos mecanismos de cifrado cuando aparecen vulnerabilidades, por lo que se recomienda que los nuevos sistemas criptográficos se diseñen según este principio. Por su parte, la hibridación consiste en construir soluciones que combinen primitivas precuánticas y postcuánticas, con el fin de obtener las garantías de seguridad de ambas.

Las empresas del ramo de la seguridad están llamadas a implementar, a la mayor brevedad posible, los estándares postcuánticos, si bien, pueden desde ya mismo comenzar a utilizar estas soluciones temporales.

 

Las principales conclusiones que podemos extraer:

---

1. La criptografía precuántica tiene fecha de caducidad. No sabemos la fecha exacta, pero es un hecho que, tarde o temprano, la computación cuántica la vulnerará.

2. Mientras, se deben tomar precauciones a la hora de elegir y utilizar algoritmos criptográficos, esto es, se deben considerar los estándares precuánticos y utilizar los tamaños de clave apropiados.

3. Además, se recomienda el uso de sistemas híbridos, esto es, la unión de sistemas precuánticos y postcuánticos, simultáneamente.

4. La criptoagilidad debería ser un criterio de diseño fundamental para los nuevos productos.

5. Es necesario considerar las nuevas propuestas de criptografía postcuántica como herramientas básicas de futuro, ya sean como algoritmos de cifrado/descifrado, protocolos de acuerdos clave, esquemas de firma digital y cualquier otra aplicación que requiera del uso de la criptografía como herramienta básica.

 

Referencias

---

[1] E. Alkim et al. FrodoKEM. Learning With Errors Key Encapsulation, https://frodokem.org/.

[2] C. Aguilar et al. HQC (Hamming Quasi-Cyclic), http://pqc-hqc.org/index.html.

[3] Agence Nationale de la Sécurité des Systèmes d’Information. ANSSI views on the post-quantum cryptography transition, 2022, https://cyber.gouv.fr/sites/default/files/document/EN_Position.pdf

[4] C.H. Bennett and G. Brassard, Quantum cryptography: Public key distribution and coin tossing, Theoretical Computer Science, 560 (2014), 7-11.

[5] D.J. Bernstein. Classic McEliece: conservative code-based cryptography.  https://classic.mceliece.org/nist.html.

[6] Bundesamt für Sicherheit in der Informationstechnik. Migration to Post Quantum Cryptography, Recommendations for action by the BSI, 2021, https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/Crypto/Migration_to_Post_Quantum_Cryptography.pdf?__blob=publicationFile&v=2.

[7] Centro Criptológico Nacional. Recomendaciones para una transición postcuántica segura, CCN-TEC 009, 2022, https://www.ccn.cni.es/index.php/es/docman/documentos-publicos/boletines-pytec/495-ccn-tec-009-recomendaciones-transicion-postcuantica-segura/file.

[8] K.L. Grover. Quantum mechanics helps in searching for a needle in a haystack, Phys. Rev. Lett. 79 (1997), 325-328.

[9] M. Kaplan, G. Leurent, A. Leverrier, and M. Naya-Plasencia. Breaking symmetric cryptosystems using quantum period finding, LNCS 9815 (2016), 207-237.

[10] M. Mosca. Cybersecurity in a Quantum World: will we be ready? Universtiy of Waterloo, 2015.

[11] NIST. Module-Lattice-Based Key-Encapsulation Mechanism Standard. FIPS 203, 2023. https://doi.org/10.6028/NIST.FIPS.203.ipd.

[12] NIST. Module-Lattice-Based Digital Signature Standard. FIPS 204, 2023. https://doi.org/10.6028/NIST.FIPS.204.ipd.

[13] NIST. Stateless Hash-Based Digital Signature Standard. FIPS 205, 2023. https://doi.org/10.6028/NIST.FIPS.205.ipd.

[14] Netherlands National Communications Security Agency. Prepare for the threat of quantum computers, 2021, https://english.aivd.nl/binaries/aivd-en/documenten/publications/2022/01/18/prepare-for-the-threat-of-quantumcomputers/Prepare+for+the+threat+of+quantumcomputers.pdf.

[15] P.W. Shor. Polynomial-Time Algorithms for Prime Factorization and Discrete Logarithms on a Quantum Computer, SIAM J. Computing, 5, 26 (1997), 1484-1509.