Del 21 al 23 de septiembre se celebró virtualmente el undécimo poder legislativo internacional acerca de criptografía postcuántica. Organizado en esta oportunidad por el colegio Nacional de Investigación en Informática y Automática (INRIA, por sus siglas en francés), Se trata de un Foro de discusión de comunicación A nivel del mundo de una disciplina que cada año adquiere mayor relevancia con lo que hay en juego. En efecto, de contrato con MIRACL Labs, multinacional de capital anglo-irlandés comercializadora de soluciones criptográficas, se estima que en 15 años se dispondrá de un ordenador cuántico con capacidad para romper en tiempo razonable los problemas acerca de los que se sustenta La mayor una parte de los protocolos criptográficos de clave pública. Estos algoritmos están en la base de la confidencialidad de millones de transacciones diarias en los ámbitos financiero, industrial, sanitario o gubernamental. En pocas palabras: no existe ciberseguridad sin criptografía. Aunque otros centros de investigación se exhiben más cautos, pocas estimaciones para tal escenario rebasan los 30 años. Y no Versa de mera rumorología: basta consultar la prensa especializada para localizar que gigantes tecnológicos Como IBM, Intel, Microsoft y Google ya avanzan a pasos acelerados en la carrera postcuántica, tanto a nivel físico Del mismo modo que a nivel de software. Por si es que hubiese alguna sospecha de parcialidad, sesgo o inexactitud para tales fuentes, se puede acudir a las publicaciones académicas o bien industriales, particularmente a aquellas de congresos internacionales tan poco sospechosos de falta de rigor De este modo tal como EUROCRYPT, ASIACRYPT, WCC o el que abre nuestro artículo. El algoritmo de Shor
Un poco de historia reciente: en 1997 se abría la posibilidad teórica de romper de manera eficiente La mayor una parte de los sistemas de cifrado asimétrico e intercambio de claves usados Desde principios de los 80. En efecto, el algoritmo de Shor aparecía publicado en la gaceta SIAM Journal of Computation, de la Sociedad Internacional de Matemática Aplicada. De esta forma pues, una implementación de este algoritmo en un ordenador cuántico permitiría romper cifrados De La misma manera que RSA y métodos de intercambio de clave Al igual que Diffie-Hellman en tiempo polinomial. Trataremos Después de dar unas ideas básicas sobre el cifrado RSA. En cuanto al protocolo Diffie-Hellman, remitimos a la correspondiente entrada en Wikipedia o bien a este genial tutorial del proyecto Class4Crypt de la Universidad Politécnica de Madrid. Imagen 1: Peter Shor recibiendo la medalla Dirac en el Centro Internacional de Física Teórica (2017) – Licencia Wikimedia Commons El criptosistema RSA (Rivest, Shamir y Adleman, 1979) es un sistema de cifrado de clave pública que se basa en la dificultad computacional de factorizar números enteros grandes: dado un número compuesto de N cifras escogido al azar, el número de operaciones elementales que hay que elaborar para encontrarle un factor propio por obliga bruta es exponencial en N. Para hacerse una idea, un número de 10000 cifras requeriría del orden de 2^10000 operaciones en coma flotante, lo cual aun con una red de supercomputadoras de la presente generación trabajando en paralelo y con dedicación exclusiva llevaría más de un siglo. Para luego, estamos convencidos de que absolutamente nadie usará ya ningún criptosistema basado en factorización. El criptosistema RSA
En concreto, el criptosistema RSA consiste, en 1era aproximación, en lo siguiente: Se escogen dos números primos p, q suficientemente grandes y se calcula el producto n=pq. Se escoge un entero c < (p – 1)(q – 1), que llamaremos exponente de cifrado. Se escoge otro entero d < (p – 1)(q – 1) de tal manera que el producto cd tenga resto 1 al dividir por (p –1)(q –1). Este entero se denomina exponente de descifrado y su existencia se demuestra De manera fácil. a su vez, estos exponentes han de ser primos con (p – 1)(q – 1). Con estas elecciones, la clave pública (famosa por cualquier usuario del canal de comunicaciones) es el par (n, c) y la clave privada (conocida Sólo por los usuarios premium de expresado canal, llamémosles Alicia y Roberto), es el exponente de descifrado. Codificamos las letras y otros signos tipográficos por medio de un código apropiado, De esta manera tal como ASCII (American Standard Code for Interchange of Information). Para cifrar un texto, codificamos cada letra y dividimos el número resultante en bloques de tamaño a lo sumo n = pq. Ilustramos el sistema de cifrado/descifrado con un ejemplo de juguete: tomemos p =11 y q =13. Tomemos c =7, conque n =21 y la clave pública es (143, 7). Del mismo modo que exponente de descifrado buscamos d < por (p –1)(q – 1) = 120 (y primo con éste) tal que 7d tenga resto 1 módulo 120, en otros términos, al dividir por 120. El único entero que lo satisface es d =103, que es la clave privada, conocida Sólo por Alicia y Roberto. De este modo, si es que Alicia le quiere enviar cifrada a Roberto la letra «C» (pertinente al número 67 del código ASCII), tiene que calcular el resto de 67^7 módulo 143, que es 89. A causa a un teorema de Euler, dado un bloque cifrado De La misma manera que b^c módulo n, (b se supone primo con n) al realizar su exponenciación al módulo de descifrado y tomar de nuevo su resto al dividir por n, recuperamos el bloque original. De esta manera, Roberto, que conoce la clave privada d =103, para descifrar 89, calcula el resto módulo 143 de 89^103, recuperando el 67, expresado de otro modo, la letra «C». ¿Puede un intruso recuperar un mensaje?
Como vemos, la obstrucción a fin de que un potencial intruso recupere un mensaje Mediante su versión cifrada consiste en determinar el exponente d, que es un resto módulo (p – 1)(q –1). En seguida bien, para obtenerlo Desde la clave pública (n=pq, c), se hace necesario factorizar el número n y eso, Al semejante que hemos apuntado Ya antes, de entrada resulta prohibitivo si es que se toman determinadas precauciones en la elección de los factores primos p y q, Del mismo modo que que tengan fundamentalmente exactamente el mismo número de cifras y que éste sea superior a 300. De exactamente la misma manera que decíamos al principio, el algoritmo de Shor es capaz de resolver este problema en un tiempo del mandato de log(n)^3. Con nuestro precedente ejemplo de un número de 10000 cifras, el tiempo requerido para factorizarlo Mediante este algoritmo sería del orden de 2^13 operaciones, perfectamente factible en algo más de un minuto. El qubit Expresado algoritmo se basa en la noción de qubit, objeto matemático que se puede comprender Además que una esfera de radio 1, cada uno de cuyos puntos representa uno de los infinitos posibles estados de un sistema cuántico (un bit tiene Sólo dos posibles estados: encendido o apagado). En el algoritmo se emplean de manera crucial las nociones cuánticas de superposición de estados y de trasformada cuántica de Fourier. Remitimos al lector interesado en la computación cuántica al próxima artículo a causa a Sebastiá Xambó y Juanjo Rué, destacable por su claridad y rigor. Representación gráfica de un qubit – Licencia Wikimedia Commons Aunque en 1997 la posibilidad de implementar el algoritmo de Shor en un Sólo soporte cuántico parecía prácticamente impensable, en 2001 se se quedó con efectuar en una computadora cuántica de 7 qubits, consiguiendo factorizar el número 15; las cosas comenzaban a ponerse serias. A partir de luego se ha asistido a una frenética carrera de hitos que ha culminado con el lanzamiento, en 2019, del primer ordenador cuántico comercial: IBM QSystem I, de 20 qubits y todavía lejos de suponer una advertencia a nuestra privacidad. Meses acto seguido, en septiembre, IBM anunciaba el inminente lanzamiento de un nuevo ordenador de 53 qubits. Vamos a ver en qué queda. Frente a estos acontecimientos se hace cada vez más inmediata la investigación en incidentes matemáticos inmunes frente un ataque cuántico de iure, esto es, en el sentido de que se haya probado formalmente su carácter desagradable, o bien de facto, es decir, Porque hasta la fecha no se haya encontrado un ataque efectivo. Esta es la razón por la que, en 2017, el Instituto Nacional de Estándares y Tecnología (NIST) proyectó un concurso público para decidir y estandarizar los sistemas criptográficos para un planeta post-cuántico. En varias rondas, los algoritmos propuestos deben ser sometidos a riguroso examen y Sólo pasan a la proxima fase los que sobrevivan a tal escrutinio y no sean rotos A través de ningún método de criptoanálisis. Las propuestas supervivientes a fecha de Julio de 2020 pueden consultarse aquí. Existen diferentes inconvenientes supuestamente seguros sustentando las distintas propuestas del concurso NIST. Para terminar, comentamos tres de los enfoques más relevantes, omitiendo el resto por motivos de complejidad y extensión. Criptografía basada en códigos
Un código corrector de equivocaciones se puede comprender De exactamente la misma manera que un par (F, G), donde: Dado un código genérico (F, G) y dado un vector v = F(u) + y De la misma forma de {0,1}R, si no se conoce G, la volumen de operaciones que se ha de hacer para recuperar u A partir de v es exponencial en r. Este hecho sustenta el criptosistema de McEliece, una de las propuestas para la criptografía post-cuántica. Este criptosistema ha sido roto para un buen número de códigos clásicos y presenta De la misma forma el inconveniente del enorme tamaño de las claves necesarias para asegurar un nivel aceptable de seguridad, lo que redunda en un Sólo problema tanto de almacenamiento Del mismo modo que de velocidad. El uso más particular de este criptosistema es el de cifrado/descifrado, y es uno de los asuntos de investigación de, por poner un ejemplo, el grupo de criptografía de la Universidad de La Laguna, en Tenerife. Criptografía basada en polinomios multivariables
Se basa en el hecho de que dado un sistema de ecuaciones polinomiales cuadráticas en Varios variables con coeficientes binarios (o más Generalmente en un Sólo cuerpo finito), detectar sus soluciones es un problema de orden exponencial en el número de variables. Un tal sistema, por poner un ejemplo, sería el dado por: Este problema permite definir un criptosistema que se Estados Unidos para firmas digitales autenticadas. Una variación del mismo denominada DME (
Double Matrix Exponentiation
) ha sido patentada y viajó presentada al concurso NIST por Ignacio Luengo y Martín Avendano, Los dos profesores de la Universidad Complutense de La capital de España. Criptografía basada en retículos
Se basa en el problema del vector más cercano (closest vector problem o CVP), del que se sabe que es fundamentalmente intratable. El problema se hace referencia a retículos, una estructura algebraica que se puede entender Tal y como un mallado discreto de puntos en el espacio de dimensión n. Podemos pensar en un retículo Además que una versión estirada y rotada del conjunto Z^n formado por los vectores de n componentes y coordenadas enteras. Estos vectores se pueden agregar componente a componente, y para un tal retículo, el CVP consiste en, dado un vector v de n componentes con coordenadas reales, detectar el vector del retículo de menor distancia a v. Ilustración del problema del vector más próximo. En negro, Varios puntos de un retículo. En verde, el punto a acercar. En rojo, el punto del retículo más cercano – Licencia Wikimedia Commons
Existen diversas propuestas dentro de esta categoría, entre las que destacamos LWE (
Learning With Errors
), RLWE (
Ring Learning With Errors
) y PLWE (
Polynomial Learning With Errors
). Todos ellos son criptosistemas de gran simplicidad de implementación y salvo LWE, tienen el beneficio de necesitar un tamaño de clave moderado con respecto a, por ejemplo, el criptosistema de McEliece. Sustentan a su vez tanto esquemas de cifrado Del mismo modo que intercambio de claves o bien firmas digitales. Otra ventaja es que son criptosistemas homomorfos, o sea, dejan operar sobre datos cifrados trasladando esa operación a los información descifrados, funcionalidad de enorme interés a día de Hoy, especialmente en campos Del mismo modo que computación y almacenamiento en sistemas distribuidos, o bien sobre la nube, con aplicaciones todavía por explotar en sanidad, sistemas de votaciones electrónicas u otros contextos en que el proveedor de servicios no Necesita (ni tiene que) conocer los datos sobre los cuales tiene que actuar, haciéndolo En medio sus versiones cifradas. En el conjunto TENCALCRYPT de la Universidad de Alcalá de Henares, del que el intérprete y escritor es miembro, se encuentra entre nuestros asuntos de investigación la equivalencia entre PLWE (más adecuado para implementaciones) y RLWE (más adecuado para análisis teóricos), Así tal como su criptoanálisis A través de técnicas de aprendizaje automático y su aplicación a cifrados homomorfos. Iván Blanco Chacón es profesor y De la misma forma investigador en la Universidad de Alcalá de Henares. El ABCdario de las Matemáticas es una sección que surge de la colaboración con la Comisión de Divulgación de la Real Sociedad Matemática Española (RSME).