Distribución de claves cuánticas y criptografía postcuántica para hacer frente a los ordenadores cuánticos

Dr. Henning Maier, Dr. Jasper Rödiger, Stefan Röhrich, todos ellos de Rohde & Schwarz

Los métodos de cifrado asimétrico son de uso generalizado hoy en día y se consideran seguros. Pero en pocos años, los ordenadores cuánticos probablemente harán que se tambaleen. Para prevenir esta situación existen dos opciones: la distribución de claves cuánticas (QKD) y la criptografía postcuántica (PQC).

Tanto si se trata de mensajes de un chat privado como de archivos confidenciales de carácter oficial, la protección de datos implica hoy en día casi siempre una combinación de cifrado simétrico y asimétrico. En el cifrado simétrico, el destinatario descifra los datos con la misma clave que ha utilizado el remitente para codificarlos. El estándar de cifrado avanzado (AES, por sus siglas en inglés) es un ejemplo de este método, y está certificado por el Instituto Nacional de estándares y tecnología de EE. UU. (NIST) desde el año 2000. En la actualidad se usa a nivel global.

Cifrado asimétrico como red de seguridad

El punto crítico del cifrado simétrico es la distribución segura de claves entre las partes que se comunican. Esta distribución de claves se protege generalmente mediante cifrado asimétrico. Como se deduce de su nombre, la distribución de claves asimétrica utiliza claves diferentes para el cifrado y el descifrado. Además de la clave privada, que se mantiene a nivel confidencial, se utiliza una clave pública que debe ser autentificada, por ejemplo mediante un certificado,

pero se puede transmitir por un canal público sin ningún otro tipo de protección. Lo esencial aquí es que la clave pública es de una sola dirección: una vez que se han cifrado los datos con ella, solo se pueden descifrar con la clave privada. En el proceso de cifrado asimétrico, el destinatario es quien inicia la transmisión de datos (véase la figura). El punto fuerte de este método consiste en que la clave privada confidencial permanece en el lado del destinatario desde el principio, y no se transmite.

Puesto que el cifrado asimétrico necesita mucha más potencia de cálculo que el cifrado simétrico, no se suele utilizar para el tráfico de datos propiamente dicho. En lugar de ello, se emplea para proteger el proceso de distribución de claves para el cifrado simétrico que protege el tráfico de datos, y por lo tanto actúa como una red de seguridad.

Cortafuegos matemático

Puesto que la clave pública se utiliza para el cifrado, también contiene determinada información sobre el proceso de descifrado. En principio, la clave privada se puede deducir de la clave pública —pero no en un periodo de tiempo razonable. Las claves públicas usan problemas matemáticos difíciles de resolver, como la factorización en números primos o el cálculo de logaritmos discretos.

Para deducir la clave privada se necesitaría una cantidad de tiempo impracticable. Un ordenador convencional necesitaría varios millones de años, o más, para resolver estos problemas.

Los ordenadores cuánticos avanzados cambian las reglas del juego

Si se incluyen los ordenadores cuánticos avanzados en estas consideraciones, la situación cambia por completo. Ya desde 1994 se dispone con el algoritmo de Shor de un método que acelera notablemente la factorización de números primos y la determinación de algoritmos discretos. Se trata de un algoritmo cuántico que necesita un ordenador cuántico con suficiente capacidad de cálculo.

Puesto que prácticamente todos los métodos de cifrado asimétrico que se utilizan hoy en día se basan en estos dos problemas matemáticos, los ordenadores cuánticos avanzados anularían su fundamente teórico. Se sabe que hay algoritmos cuánticos que pueden atacar directamente los métodos de cifrado simétrico, pero en estos casos es suficiente con alargar las claves para mantener el nivel de protección. Sin embargo, al quedar anulado el método de cifrado asimétrico se pierde la «red de seguridad» antepuesta para la distribución de claves.

Expertos de la Oficina Federal para la Seguridad en las Tecnologías de la Información de Alemania (BSI) pronostican una posibilidad del 20 % de que hasta el 2030 estén disponibles los primeros ordenadores cuánticos capaces de neutralizar los métodos de cifrado actualmente seguros. Con ello, aumenta la presión para empezar a codificar la información con métodos a prueba de ordenadores cuánticos. Esto adquiere todavía más importancia para las organizaciones y autoridades gubernamentales que deben conservar grandes cantidades de datos confidenciales durante largos periodos de tiempo. Necesitarán mucho tiempo para convertir sus datos a un cifrado resistente a los ordenadores cuánticos.

PQC y QKD: dos métodos y un mismo objetivo

Actualmente se barajan dos métodos bastante prometedores para el cifrado a prueba de ataques con ordenadores cuánticos. En el cifrado postcuántico (PQC), los investigadores desarrollan algoritmos asimétricos especiales imposibles

de resolver en una cantidad de tiempo razonable, incluso con un ordenador cuántico. Algunos candidatos con buenas perspectivas se basan en distintos problemas matemáticos, como retículos o funciones hash criptográficas. También existe otro enfoque de PQC que utiliza códigos de corrección de errores que, supuestamente, un ordenador cuántico no puede sortear eficientemente.

Una de las mayores ventajas de PQC es que se puede seguir usando la infraestructura de red disponible. Sin embargo, no está exento de ciertos inconvenientes. Algunos candidatos de PQC que habían despertado grandes esperanzas se han podido quebrantar recientemente. Aparte de esto, si se compara con los métodos asimétricos convencionales, PQC muestra problemas de eficiencia y con la longitud de las claves. Actualmente se están dedicando grandes partidas de I+D a resolver estos problemas.

Distribución de claves cuánticas (QKD)

La distribución de claves cuánticas parte de un planteamiento totalmente distinto. Se aplican determinadas leyes fundamentales de la física cuántica para generar y distribuir de forma segura claves que se pueden utilizar para el cifrado simétrico. En lugar de bits convencionales, las partes que se comunican intercambian cúbits basados en los estados cuánticos de fotones individuales.

El método QKD tiene la ventaja de que los estados cuánticos individuales no se pueden copiar a la perfección y cualquier intento de medir los fotones por parte de un tercero para descifrar una clave puede ser descubierto. Aplicando con habilidad estas dos leyes fundamentales de la física, se puede jugar con ventaja frente a posibles atacantes. Mediante un posprocesamiento correcto de los cúbits medidos se puede generar una secuencia de bits que solo conocen los dos participantes y que se puede utilizar como clave.

Si quedan inutilizados los métodos de cifrado asimétricos, QKD puede ser una alternativa muy importante. La distribución de claves cuánticas se basa en las leyes de la física y es segura desde la perspectiva de la teoría de la información. Por tanto, la seguridad de una clave es independiente de la capacidad de cálculo de los ordenadores cuánticos y convencionales.

Dispositivos e infraestructura compatibles con QKD

Actualmente existen muchos protocolos para QKD. Todos ellos se rigen por los principios descritos más arriba, con distintos grados de libertad. Algunos se basan en fotones con polarización, otros en la relación de incertidumbre de tiempo y fase, de modo que se requieren diferentes mecanismos para medir el estado cuántico. Algunos protocolos están bastante avanzados en el desarrollo y a punto para el uso en aplicaciones reales. Y ya están disponibles las primeras soluciones de QKD para comunicaciones punto a punto seguras, que se pueden adquirir a través de diferentes proveedores. La gama de productos disponibles seguirá creciendo en un futuro no muy lejano.

El cifrado cuántico requiere una infraestructura de red adicional para transmitir bits cuánticos. Esta infraestructura se está implementando actualmente en varias regiones del mundo. El procedimiento es similar en todas partes: se combinan enlaces punto a punto individuales formando redes piloto de mayor tamaño, que van adoptando progresivamente el régimen de red comercial. La mayor red QKD es la red cuántica troncal. Su implantación concluyó oficialmente en 2017 y se está extendiendo desde entonces por toda China.

La Unión Europea puso en marcha en 2019 la iniciativa EuroQCI (European Quantum Communications Infrastructure) para el establecimiento de una infraestructura de comunicación resistente a ataques de ordenadores cuánticos. Esta abarcará toda la Unión Europea mediante enlaces de fibra óptica y de satélite, incluidos sus territorios de ultramar. Las redes nacionales creadas en el marco de este proceso se fusionarán en los próximos años para formar una red comunitaria.

Elementos para redes QKD

Una red cuántica no solo se compone de dispositivos QKD, sino que incluye también sistemas reforzados para la gestión de claves, equipos de cifrado con capacidad para QKD y sistemas de control y administración. En los últimos años, Rohde & Schwarz Cybersecurity GmbH ha intensificado sus actividades en este campo y desarrolla junto con varias empresas aliadas funciones y productos que en parte ya forman parte de soluciones en el presente.

Rohde & Schwarz Cybersecurity es desde hace años proveedor de confianza de soluciones de seguridad informática homologadas por la BSI y, gracias a su amplia experiencia en tecnología para redes convencionales, cuenta con un excelente punto de partida para el desarrollo de equipos de cifrado compatibles con QKD. La compañía ya ha ampliado el conjunto de funciones de sus equipos de cifrado para el uso en redes QKD, que han sido implementados con éxito y funcionan en modo continuo en redes piloto de Europa en el marco de proyectos de investigación.

También se están desarrollando a partir de cero otras tecnologías, como los sistemas de administración de claves. La competencia de Rohde & Schwarz Cybersecurity en soluciones de seguridad reforzadas y homologadas constituye también aquí una gran ventaja, ya que estos sistemas también deben contar con funciones reforzadas para la homologación.