Criptografía poscuántica

Prepararse para un futuro seguro en términos cuánticos

Casi todas las comunicaciones digitales están protegidas por tres sistemas criptográficos: cifrado de clave pública, firmas digitales e intercambio de claves.

En la Infraestructura de clave pública de la actualidad, estos sistemas se implementan usando algoritmos criptográficos asimétricos RSA o ECC. La criptografía RSA y ECC depende de algo llamado «Suposición de dureza informática», la hipótesis de que un problema numérico teórico (como factorizar números enteros o el problema de logaritmo discreto) no tiene una solución eficaz. No obstante, estas suposiciones se basaron en el poder de procesamiento de las computadoras clásicas.

En 1994, Perter Shor demostró que los algoritmos asimétricos que dependen de una suposición de dureza informática podían romperse muy fácilmente con una computadora cuántica lo suficientemente poderosa y un algoritmo específico, posteriormente denominado «Algoritmo de Shor». De hecho, una computadora cuántica con suficientes cúbits y una profundidad de circuito podría convertir los algoritmos asimétricos de forma instantánea. Un estudio publicado por el Grupo de estudio de riesgo informático cuántico ASC X9 estimó estos requisitos exactos.

Algoritmo Cúbits lógicos requeridos Profundidad de circuito requerida
RSA-2048 4700 8 10^9
ECC NIST P-256 2330 1.3 10^112

Para una explicación más detallada del algoritmo de Shor y cómo las computadoras cuánticas pueden romper el cifrado asimétrico, mire este video.

La mayoría de los expertos estima que, dentro de los próximos 20 años, se creará una computadora cuántica lo suficientemente poderosa con los cúbits requeridos y la profundidad de circuito necesaria para convertir las claves RSA y ECC.

Dos décadas podrían parecer mucho tiempo, pero tenga en cuenta que a la industria PKI que conocemos en la actualidad le ha llevado casi a misma cantidad de tiempo llegar hasta este momento. De acuerdo con el proyecto Criptografía poscuántica NIST,, "es improbable que sea un reemplazo «repentino» simple de nuestros algoritmos criptográficos de clave pública actuales. Se necesitará realizar un importante esfuerzo para desarrollar, estandarizar e implementar nuevos criptosistemas poscuánticos."

Este es el motivo por el que DigiCert ha comenzado a trabajar con varios actores de la industria poscuántica en la actualidad a fin de ayudar a crear un ecosistema PKI que sea seguro en términos cuánticos y lo suficientemente ágil para enfrentar futuras amenazas.

Vectores de ataque cuántico

El primer paso para protegerse eficazmente de estas amenazas futuras es identificar los diversos vectores de ataque que representan un panorama de ataque poscuántico.

Protocolo de enlace TLS/SSL

Las computadoras cuánticas representan la mayor amenaza a los algoritmos criptográficos asimétricos. Esto significa que el sistema criptográfico usado para firmar digitalmente certificados y manejar el protocolo de enlace SSL/TLS inicial son posibles vectores de ataque.

Por suerte, tanto NIST como ASC X9 afirman que los algoritmos criptográficos simétricos (como AES) usados para crear claves de sesiones con el fin de proteger los datos en tránsito después del protocolo de enlace TLS/SSL inicial parecen ser resistentes a los ataques de las computadoras cuánticas. De hecho, duplicar la longitud de bits de una clave simétrica (por ejemplo, de AES-128 a AES-256) parece ser suficiente para protegerse contra los ataques de las computadoras cuánticas. Esto así porque las claves simétricas se basan en una cadena de caracteres pseudoaleatoria que necesitaría el uso de un ataque de fuerza bruta o aprovechar alguna vulnerabilidad conocida para romper el cifrado, a diferencia de usar un algoritmo (por ejemplo, el algoritmo de Shor) para romper la criptografía asimétrica.

Este diagrama simplificado del protocolo de enlace TLS/SSL destaca qué acciones están en riesgo de sufrir ataques de computadoras cuánticas y cuáles están seguras.

Protocolo de enlace TLS/SSL que usa algoritmos criptográficos asimétricos actuales (RSA, ECC) y AES-256

Este vector de ataque amenaza la comunicación inicial con los servidores usando certificados digitales de la entidad final. Si bien esto sigue siendo una amenaza bastante grande, es probable que no sea el vector de ataque más peligroso.

Incluso con una computadora cuántica lo suficientemente poderosa, los recursos necesarios para calcular la clave privada de un certificado siguen siendo considerables. Debido a esto, es seguro asumir que ningún certificado digital único de entidad final es lo suficientemente importante como para garantizar un ataque cuántico. Sin mencionar que es relativamente trivial volver a generar claves y reemitir un certificado de entidad final.

Cadena de confianza

Probablemente el vector de ataque más peligroso que las computadoras cuánticas representan es la cadena de confianza (cadena de certificado) que usan los certificados digitales. Los algoritmos criptográficos asimétricos RSA y ECC se usan en todos los niveles de la cadena de confianza, el certificado raíz se firma a sí mismo y al certificado intermedio, y este último firma los certificados de entidad final.

Si una computadora cuántica pudiera calcular la clave privada de un certificado intermedio o un certificado raíz, la base sobre la que se creó ese PKI se desmoronaría. Con acceso a la clave privada, un actor de amenazas podría emitir certificados fraudulentos que confiarían automáticamente en los navegadores. Además, a diferencia de un certificado de entidad final, reemplazar un certificado raíz es todo menos trivial.

Sistemas criptográficos seguros en términos cuánticos

Antes de que se puedan producir cambios en los sistemas criptográficos PKI actuales, se debe identificar el reemplazo de los sistemas criptográficos. Si bien existen varios sistemas criptográficos seguros en términos cuánticos, se necesita más investigación y estudio antes de que puedan usarse para proteger información confidencial.

Desde fines de 2016, el proyecto Criptografía poscuántica NIST (PQC) ha estado liderando los esfuerzos investigativos para los sistemas criptográficos seguros en términos cuánticos. Hasta ahora, han identificado 26 algoritmos poscuánticos como posibles candidatos para el reemplazo. Sin embargo, todavía se necesita mucha más investigación y pruebas antes que estos sistemas criptográficos estén listos para estandarizarse e implementarse.

De acuerdo con la línea de tiempo del proyecto NIST PQC,, habrá otra ronda de eliminaciones en algún momento entre 2020 y 2021, y los estándares preliminares estarán disponibles entre 2022 y 2024.

Planificar un futuro poscuántico

Esta transición debe realizarse mucho antes de que se creen computadoras cuánticas a gran escala, de manera que la información que posteriormente se vea afectada por el criptoanálisis cuántico ya no sea confidencial cuando eso suceda.

NIST PQC project

Debido al tiempo que llevará desarrollar, estandarizar e implementar las técnicas criptográficas poscuánticas, DigiCert ha comenzado a probar la viabilidad de incorporar algoritmos poscuánticos en certificados híbridos usando este borrador IETF.

En las próximas semanas, daremos información adicional sobre nuestras iniciativas en materia de criptografía poscuántica y la elaboración de certificados híbridos, junto con información que abarque estos temas:

  • Pasos inmediatos que puede adoptar a fin de prepararse para un futuro poscuántico.
  • Detalles sobre los certificados híbridos y como pueden proteger los sistemas actuales.
  • Recursos del kit de herramientas de PQC y guía de configuración