¿Será positiva o negativa la revolución cuántica para la ciberseguridad?
La Universidad de Linköping en Suecia ha sido pionera en un nuevo generador de números aleatorios para cifrado, que tiene el potencial de hacer que el intercambio de información digital sea más seguro, rentable y respetuoso con el medio ambiente.
Los investigadores responsables de esta innovación creen que podría allanar el camino hacia una nueva era de comunicación cuántica, mejorando significativamente la ciberseguridad y la confidencialidad de los datos, al menos como la conocemos hasta ahora.
En un mundo cada vez más interconectado, salvaguardar la información digital se ha vuelto mas que primordial, ya sea para las personas o para proteger la infraestructura y los sistemas financieros nacionales.
El cifrado es el método más común empleado para este fin, garantizando que los datos permanezcan confidenciales durante actividades como enviar correos electrónicos, realizar pagos en línea o comprar en Internet.
Un componente crítico en el proceso de cifrado es un generador de números aleatorios, que puede implementarse como un programa informático o incluso como hardware.
El generador produce claves que se utilizan tanto para cifrar datos como para descifrarlos en el extremo receptor.
Varios tipos de generadores de números aleatorios ofrecen distintos grados de aleatoriedad, lo que se correlaciona directamente con el nivel de ciberseguridad que brindan.
Cuando se trata de generadores basados en hardware, generalmente se consideran más seguros, ya que su aleatoriedad está determinada por procesos físicos.
Entre estas opciones basadas en hardware, el Generador Cuántico de Números Aleatorios (QRNG) se considera el más robusto debido a su dependencia de los fenómenos cuánticos.
Guilherme B Xavier, investigador del Departamento de Ingeniería Eléctrica de la Universidad de Linköping, explica la importancia de los QRNG en criptografía, afirmando: «En criptografía, no sólo es importante que los números sean aleatorios, sino que usted sea el único que sepa sobre ellos».
Con los QRNG se puede certificar que una gran cantidad de bits generados son privados y, por tanto, completamente seguros. Y si las leyes de la física cuántica son ciertas, debería ser imposible escuchar a escondidas sin que el receptor se entere”.
El grupo de investigación de Xavier, en colaboración con científicos del Departamento de Física, Química y Biología (IFM), ha desarrollado un novedoso QRNG. Este QRNG va más allá del cifrado y es prometedor para aplicaciones como apuestas y simulaciones por computadora.
Lo que distingue a su QRNG es el uso de diodos emisores de luz elaborados a partir de un material similar al cristal conocido como perovskita.
El generador de números aleatorios de los investigadores de Linköping se encuentra entre los mejores del mercado y funciona excepcionalmente bien en comparación con productos similares. La principal ventaja de esta innovación es que tiene el potencial de ser más rentable y respetuosa con el medio ambiente, gracias a las propiedades únicas de la perovskita.
Feng Gao, profesor del IFM con más de una década de experiencia en la investigación de perovskitas, ve el potencial de transformar instrumentos ópticos utilizando diodos emisores de luz de perovskita (PeLED). Señala que, si bien se pueden utilizar láseres tradicionales para QRNG, tienden a ser costosos. Para que esta tecnología se integre en la electrónica de consumo, es fundamental mantener los costos bajos y garantizar procesos de producción respetuosos con el medio ambiente. Además, los PeLED consumen menos energía, lo que los convierte en una opción sostenible.
La siguiente etapa de desarrollo implica refinar el material de perovskita para eliminar el plomo y extender su vida útil operativa, que actualmente es de 22 días. Según Guilherme B Xavier, su innovador QRNG podría estar listo para integrarse en sistemas de ciberseguridad en cinco años.
Xavier enfatiza la ventaja de fabricar componentes electrónicos para datos confidenciales en Suecia y afirma: “Es una ventaja si los componentes electrónicos que se van a utilizar para datos confidenciales se fabrican en Suecia. Si compras un kit generador de aleatoriedad completo en otro país, no puedes estar seguro de que no esté siendo monitoreado”.
La investigación fue financiada por el Consejo Sueco de Investigación, la Fundación Knut y Alice Wallenberg a través del Centro Wallenberg de Tecnología Cuántica y el Consejo Europeo de Investigación.
¿Qué piensa Chema Alonso de la Ciberseguridad post-cuántica?
Como bien sabeis, Chema Alonso es un reconocido hacker español (el que más de todos), miembro del Comité Ejecutivo de Telefónica, experto en Ciberseguridad, y Doctor en Informática. En su Blog; «Un informático en el lado del mal«, hace una reflexiones sobre el futuro de la ciberseguridad cuántica.
Según Chema, «al aprobar el gobierno de Estados Unidos en el congreso la llamada «Quantum Computing Cybersecurity Preparedness Act«, que abre el camino de la era de ciberseguridad post-cuántica en la seguridad de la administración de EEUU, firmada por el presidente Biden. En ella se establecen los primeros pasos a tomar para preparar los sistemas criptográficos para la llegada en algún momento en el tiempo, de los ordenadores cuánticos.»
También nos cuenta que: «En el libro de «El cifrado de las comunicaciones digitales: De la cifra clásica a RSA (2ª Edición)«, tienes la base de toda la criptografía clásica y moderna de nuestros sistemas, y con la llegada en el futuro, que sea en la década del 2030, todas esas protecciones caerán, y podríamos tener muchas consecuencias no deseadas. Datos cifrados capturados en transmisiones, copias de archivos con claves olvidadas, volúmenes de almacenamiento con datos confidenciales protegidos, etcétera, se abrirán para todos.»
Hace ya años, en el artículo de Quantum Cryptography, el Doctor Alonso nos contaba cómo en Telefónica habían utilizado tecnología cuántica para hacer el cifrado de datos, que es otra aproximación válida, ya que se basa en proteger las claves de cifrado compartiéndolas con tecnología cuántica. Una aproximación válida hoy en día, pero que no funcionaría en el futuro si el algoritmo de cifrado no fuera PQE, ya que permitiría al atacante acceder a la información incluso sin clave.
Por eso mismo, se lleva años trabajando en los algoritmos PQE (Post-Quantum Encryption), que utilizan diferentes aproximaciones para evitar el uso de las funciones matemáticas que hoy son útiles, pero con la llegada de los ordenadores cuánticos dejarán de serlo. Y es por ello que se lleva trabajando en la elección de algoritmos criptográficos PQE desde el hace años para que, con tiempo, preparamos la seguridad de la información de nuestros datos, y fueron anunciados en Julio de este año.
Para ello el NIST ha estado trabajando en el programa de Post-Quantum Cryptography Standarization en la elección de cuáles deberían de ser esos algoritmos PQE, que al final fueron cuatro los elegidos. Para el cifrado general, se eligió a Crystals-Kyber como el algoritmo a utilizar para cifrado público.
Parece ser que finalmente, para la firma digital, estos han sido los tres algoritmo escogidos (siempre según lo que comenta Chema en su Blog): Crystals-Delithium, Falcon y Sphincs+, que están totalmente documentados, y disponibles para que todo el mundo los pueda implementar.
Ahora, ya que existe una recomendación clara de cuáles son los algoritmos de criptografía post-quantum, lo que ha aprobado el gobierno de EEUU en su Quantum Computing Cybersecurity PreparednessAct es comenzar el proyecto de transformación de todos los algoritmos criptográficos a un modelo PQE, por lo que con el nuevo acto se insta a dos cosas:
- Establecer cuáles son las guías de transición para migrar a algoritmos PQE para toda la administración.
- En un plazo máximo de 15 meses, se presente la estrategia nacional de ciberseguridad para la era post-quantum.
En resumen, que la era cuántica de la computación está más cerca de lo que pensamos, y los americanos ya se están preparando para que no puedan atacarles con ordenadores cuánticos que descifren sus datos y sus secretos más importantes.
¿A nivel particular llegará esto a afectarnos? Pues sin duda, así que como siempre, en ciberseguridad y en la vida, más vale prevenir que curar.
