Desde nuestra macro‑perspectiva, las propiedades de los objetos cuánticos resultan enigmáticas y cuesta imaginar determinados efectos. Sin embargo, podemos percibir sus consecuencias, como en el conocido experimento de la doble rendija. Este no solo demuestra la dualidad onda‑partícula, sino que también pone de manifiesto otro fenómeno del mundo cuántico: siempre que la distancia a la pantalla y la anchura de las rendijas sean adecuadas, aparece un patrón de interferencia al iluminar la doble rendija con luz (u otras partículas). Pero en cuanto existe la posibilidad de determinar por cuál de las rendijas ha pasado la partícula, dicho patrón desaparece. En el caso de los fotones, esto puede lograrse fácilmente con filtros de polarización. Una medición —o la mera posibilidad de medir— influye, por tanto, en todo el sistema.
Este aspecto resulta muy interesante para las aplicaciones criptográficas, ya que la medición puede interpretarse como un intento de espionaje en una transmisión de datos. Si se emplean fotones polarizados para transmitir información secreta, son las leyes fundamentales de la naturaleza —y no las hipótesis sobre la potencia de los ordenadores o la fiabilidad de las personas— las que garantizan la seguridad. Además, el receptor se entera inevitablemente de cualquier intento de escucha. Esto hace que los efectos cuánticos sean especialmente atractivos para el reparto de claves en la criptografía simétrica (Quantum Key Distribution, QKD). Otra posibilidad es utilizar el entrelazamiento cuántico: cualquier intento de escucha perturbaría el entrelazamiento y el ataque no pasaría desapercibido.
¿QKD, un caso de uso de nicho?
La seguridad garantizada por leyes físicas suena muy prometedora, pero también presenta algunas limitaciones. QKD solo asegura el intercambio de claves que después se utilizan en algoritmos criptográficos. Que estos algoritmos sean intrínsecamente seguros es otra cuestión. Por ejemplo, un algoritmo criptográfico con claves transmitidas de forma segura podría ser igualmente roto mediante criptoanálisis (quizá con ordenadores cuánticos) si el algoritmo o las claves son demasiado débiles.
Además, la transmisión de objetos cuánticos —en los experimentos realizados hasta ahora se han utilizado fotones— conlleva restricciones técnicas. O bien debe existir línea de visión entre emisor y receptor, o deben utilizarse guías de luz. En el vacío, los fotones pueden transmitirse sin problemas y, de hecho, ya se ha logrado la transmisión desde un satélie a la Tierra.
Para aplicaciones terrestres habría que recurrir normalmente a la fibra óptica, lo que plantea otros problemas: no se pueden emplear los amplificadores de señal habituales porque perturbarían la coherencia; el efecto de la amplificación es similar al de una medición. Por ello, la distancia máxima se limita a unos pocos cientos de kilómetros. A esto se suma que tanto el emisor como el receptor necesitan hardware especializado (fuentes y detectores de fotones). Surgen, por lo tanto, limitaciones técnicas y financieras.
La seguridad teórica de los métodos QKD también sigue bajo examen. Por ello, organismos reguladores como la Oficina Federal alemana de Seguridad de la Información (BSI) recomiendan en un documento de posición utilizar la criptografía poscuántica (PQC) como protección a largo plazo.
Criptografía poscuántica (PQC): la solución pragmática
Mientras que QKD probablemente siga siendo una solución de nicho, los ordenadores de altas prestaciones basados en cúbits evolucionan sin cesar. También aquí se aprovechan las peculiaridades del mundo cuántico: mientras un bit clásico adopta el estado 1 o 0, un cúbit no adquiere un estado definido hasta que se mide. De lo contrario, puede ‘contener’ simultáneamente los valores 1 y 0 —algo parecido al experimento mental del gato de Schrödinger—. Este fenómeno hace posibles operaciones especiales que pueden aumentar considerablemente la potencia de cálculo frente a los ordenadores convencionales.
Sin embargo, surgen problemas en el ámbito de la criptografía asimétrica, utilizada por ejemplo en certificados digitales o firmas electrónicas. Para establecer la relación entre la clave pública y la privada, la criptografía de clave pública (PKC) se basa hoy en la factorización de grandes números. Multiplicar grandes números primos es trivial; factorizar el producto, en cambio, es complejo y no factible en tiempo real con los métodos actuales, siempre que los números elegidos sean suficientemente grandes. Esto podría cambiar con los ordenadores cuánticos: el algoritmo de Shor, junto con un ordenador cuántico, permitiría una aceleración considerable frente a los procedimientos de factorización clásicos y ampliaría los límites de lo posible.
La agencia estadounidense NIST lleva tiempo trabajando en la estandarización de métodos alternativos seguros frente a los cuánticos. Entre otros, ha seleccionado el sistema criptográfico basado en retículas Kyber. En el centro del planteamiento se halla el problema ‘Learning with Errors’ (LWE), que consiste en la dificultad de deducir las variables originales a partir de un sistema de ecuaciones con variables alteradas. En un criptosistema, la clave pública contiene esas variables ‘con ruido’, de modo que el cifrado incorpora un ruido que solo puede eliminarse con la clave privada, que contiene las variables correctas. Matemáticamente, resolver LWE puede describirse como un problema de retículas, por lo que Kyber pertenece a la criptografía basada en retículas.
Para estos procedimientos no existe un atajo como el algoritmo de Shor; incluso con un ordenador cuántico muy potente no sería posible deducir en tiempo real la clave privada a partir de la pública.
Las empresas deben prepararse para la cripto‑agilidad
Por el momento, algoritmos como el de Shor son pura teoría: no existen ordenadores cuánticos lo bastante potentes para ejecutarlos. No hay motivos para el pánico, pero sí para la prudencia: es muy probable que estos dispositivos y los servicios asociados se generalicen en los próximos años. Hoy en día ya existe QCaaS (Quantum Computing as a Service), ofrecido por IBM, entre otros. Solo es cuestión de tiempo que la tecnología caiga en manos equivocadas. Por eso conviene prepararse, máxime porque no se pueden descartar ataques ‘Store now, decrypt later’. Esta amenaza consiste en que los delincuentes recopilan ahora grandes cantidades de información cifrada para descifrarla en el futuro con ordenadores cuánticos y algoritmos específicos. Los contratos digitales importantes deberían re‑firmarse con métodos resistentes a los cuánticos para evitar que la firma sea quebrantada y el contrato, corrompido.
La mejor estrategia para las empresas es apostar desde ya por hardware cripto‑ágil, es decir, equipos que puedan actualizarse con los nuevos algoritmos PQC cuando sea necesario. Por lo demás, los sistemas de cifrado pueden seguir funcionando como hasta ahora. En la práctica, la PQC ofrece una ventaja clara. La QKD y otros métodos de criptografía cuántica quedarán reservados a casos muy especializados.
Autor: Volker Krummel, Chapter Lead PQC en Utimaco
