Criptografía postcuánticaLa criptografía postcuántica (PQC del inglés Post-Quantum Cryptography), también llamada Criptografía resistente a la computación cuántica, se refiere a algoritmos criptográficos que sean resistentes a ataques efectuados mediante computación cuántica.[1][2] A este tipo de criptografía no pertenecen los algoritmos de clave pública más populares, que pueden ser superados por un ordenador cuántico suficientemente potente haciendo uso del algoritmo de Shor.[3][4] Aunque los actuales ordenadores cuánticos experimentales no son aún capaces de atacar cualquier algoritmo criptográfico real, muchos criptógrafos están diseñando algoritmos resistentes para adelantarse a la amenaza.[5] Este trabajo ha captado gran atención por parte de académicos y la industria a raíz de la serie de conferencias PQCrypto desde 2006 y más recientemente por varios Talleres del European Telecommunications Standards Institute (ETSI) sobre Criptografía Segura Cuántica.[6][7][8] En contraste a la amenaza que supone la computación cuántica para los actuales algoritmos de clave pública o asimétrica, la mayoría de los actuales algoritmos criptográficos simétricos (criptografía simétrica y funciones hash criptográficas) se consideran relativamente seguros ante ataques por ordenadores cuánticos.[4][9] Mientras que el algoritmo cuántico de Grover acelera la capacidad de los ataques contra la criptografía simétrica, duplicar el tamaño de la clave empleada en los mismos puede impedir estos ataques.[10] Por ello la criptografía simétrica postcuántica no difiere significativamente de la actual criptografía simétrica. La criptografía postcuántica es diferente a la criptografía cuántica, que consiste en utilizar fenómenos cuánticos para lograr el secreto y detectar el espionaje. Familias de algoritmosA continuación, se muestran las familias de algoritmos más prometedoras para proporcionar seguridad postcuántica:[11][1]
Búsqueda de estándaresLa iniciativa de búsqueda de estándares poscuánticos más importante es la del NIST (Proceso de estandarización de criptografía postcuántica del NIST). Hay búsqueda en dos categorías: para firma digital y para cifrado e intercambio de claves (PKE/KEM).[12] Actualmente está en la fase final y hay seleccionados 7 finalista (4 para PKE/KEM y 3 para firma digital).[13][14] De los 4 finalistas de PKE, 3 son basados en retículos y 1 está basado en código.[13] De los 3 finalistas de firma digital, 2 están basados en retículos y 1 en esquemas multivariable.[13] Hay otros organismos y comités de estándares que también buscan estándares poscuánticos, la mayoría de los cuales hacen su trabajo en coordinación con el concurso del NIST.[12] Por ejemplo, entre los organismos sectoriales está el ISO, ITU-T SC 17, IETF y X9 (Financial Industry Standards).[12] A nivel europeo está el ETSI y ENISA.[12] China ha lanzado su propio concurso abierto para la elección de los estándares post-cuánticos, a través de la Chinese Association for Cryptographic Research (CACR) a la que se han presentado 38 candidatos.[12] Esquemas híbridosEn el contexto de la criptografía postcuántica, un esquema híbrido es un esquema criptográfico en el que se combina un esquema de clave pública precuántica (ej. RSA o (EC)DH), con un esquema postcuántico de forma que garantice la seguridad al menos tanto como el mínimo de la seguridad que aporta uno de los esquemas.[15] En lugar de confiar solo en un algoritmo postcuántico, poco probado, nos aseguramos al menos la seguridad del algoritmo precuántico. Por esta razón estos algoritmos son interesantes como una forma de transición a los algoritmos postcuánticos.[15] El algoritmo post-cuántico protegería frente a los futuros computadores cuánticos mientras que los precuánticos o actuales seguirían protegiendo la comunicación si avanza el criptoanálisis de los algoritmos post-cuánticos.[1] Por ejemplo, podemos combinar dos esquemas de cifrado de clave pública (PKE) o dos esquemas de intercambio de claves (KEX) ejecutando los dos esquemas y haciendo xor de la clave de secreta de ambos esquemas para obtener una clave secreta combinada.[15] Para protocolos que derivan una clave de sesión a partir de un presecreto maestro, obtenida vía criptografía de clave pública, introducido en una función de derivación de clave (KDF), también es posible establecer el secreto premaestro por cada uno de los esquemas y alimentar la función de derivación de clave con la concatenación de los dos secretos premaestros.[15] Por ejemplo, esto podría ser aplicable a TLS.[15] Para combinar dos esquemas de firma digital los mejor suele ser usarlos de forma independiente. Esto es, distribuir dos claves públicas (posiblemente en un solo certificado) y siempre enviar dos firmas, una por esquema.[15] Para algunos esquemas específicos se está investigando si se podría usar una combinación de ambos esquemas.[15] Referencias
|