La criptografía sigue viva en la época de la computación cuántica

Uno de los principales problemas con los que nos encontramos ante la irrupción de tecnologías emergentes, como la computación cuántica, la blockchain, la Internet de las cosas, las redes 5G, etc., es la extensa proliferación de artículos y comentarios de toda índole acerca de las mismas. Esta proliferación, que debería ser un vehículo y una oportunidad para dar a conocer las propiedades y características de estas nuevas tecnologías, se está convirtiendo en un problema, puesto que da lugar a información poco rigurosa cuando no sesgada. Esta ingente publicación de noticias donde se busca el titular llamativo, sin importar el rigor o su veracidad, se acaba convirtiendo en un dislate cuando quienes las publican no tienen conocimientos de tales tecnologías. Con ello perdemos la ocasión de que los ciudadanos se acerquen a las mismas y entiendan no solo sus fundamentos y aplicaciones, sino también los peligros que pueden suponer si se hace un uso inadecuado de ellas.

Esta es la razón por la que, como matemático y criptólogo, me atrevo a tratar de explicar y desmentir algunas cuestiones relacionadas con la criptografía que se han publicado en varios medios en los últimos tiempos. De hecho, algunos titulares que han aparecido en relación a las repercusiones de la computación cuántica sobre la criptografía y la seguridad de la información son muy poco acertados.

Con frecuencia, quien cree saber algo de criptografía afirma con rotundidad que uno de los principales problemas matemáticos en los que se fundamenta la seguridad de la criptografía actual es la dificultad que supone “factorizar números primos”. Como si factorizar números primos fuera algo difícil: nada más lejos de la realidad. Quienes hacen tal afirmación ponen de manifiesto que no saben qué es la criptografía y, mucho más grave aún, no saben qué es un número primo. En la escuela nos enseñaban que un número entero es primo “si solo es divisible por sí mismo y por la unidad” y luego nos mostraban ejemplos: 2, 3, 5, 7, 11, etc. Por el contrario, nos decían, un número es compuesto si no es primo, por ejemplo: 4, 8, 9, 10, 15, etc. A partir de ahí nos contaban que todo número compuesto se podía “factorizar”, esto es, escribir como producto de números primos menores que el número dado. Por tanto, no es que sea difícil factorizar números primos, es que no tiene ningún sentido porque no son factorizables. En todo caso, lo correcto sería decir que uno de los principales problemas matemáticos en los que se fundamenta la seguridad de la criptografía actual es la dificultad que supone “factorizar números compuestos».

Los criptógrafos sabemos que la criptografía simétrica, esto es, la que usa la misma clave para cifrar (o encriptar) que para descifrar (o descriptar), existe desde que los pueblos han sentido la necesidad de comunicarse con sus aliados y ocultar esta información a sus adversarios. Sin embargo, esta criptografía ha tenido un grave inconveniente, el denominado “intercambio, acuerdo o distribución de claves”, esto es, hacer llegar a nuestro aliado la clave secreta con la que descifrar la información que hemos cifrado con tal clave.

El problema del “acuerdo de clave”, fuera de los ambientes diplomáticos, no fue resuelto hasta 1975, cuando los criptógrafos Whitfield Diffie y Martin Hellman publicaron el “protocolo de acuerdo de clave” que lleva su nombre. Debe destacarse que el protocolo de Diffie-Hellman no es un sistema de cifrado, puesto que no cifra información, tan solo permite que dos personas hagan pública determinada información y que al final del protocolo acaben compartiendo un dato secreto, que podrán utilizar para obtener una clave secreta.

Por ello, hasta que no se publicaron criptosistemas como el de Merkle-Hellman o el RSA (llamado así en honor a sus inventores, los matemáticos Ronald Rivest, Adi Shamir y Leonard Adleman), en 1978, no se considera que tuvo lugar el nacimiento de la criptografía asimétrica. Su asimetría procede del hecho de que se utiliza una clave para cifrar la información (públicamente conocida) y otra clave diferente para descifrarla (mantenida en secreto por su propietario).

En la actualidad, la única aplicación de la física cuántica para proteger la información es la existencia de varios protocolos de intercambio o distribución cuántica de claves (Quantun Key Distribution, QKD). Esto es, la física cuántica, mediante la emisión de fotones polarizados, ha permitido definir e implementar protocolos que resuelven el mismo problema que resolvieron Diffie y Hellman, pero ahora también con métodos cuánticos, y no solo con herramientas matemáticas. En todo caso, cabe añadir que este protocolo de distribución cuántica de claves no es exclusivamente cuántico, puesto que necesita de un canal añadido (en general establecido a través de la criptografía asimétrica) para acordar el dato secreto derivado de los fotones intercambiados.

Se podrá hablar de criptografía cuántica en el momento en el que las herramientas y propiedades de la física cuántica permitan definir un criptosistema que cifre y descifre información. Hasta entonces debemos afirmar que “la criptografía cuántica no existe”, a excepción del mencionado protocolo QKD. Es de esperar que los futuros ordenadores cuánticos nos permitan establecer problemas y protocolos capaces de cifrar información de modo seguro, de la misma forma que los ordenadores actuales nos han ayudado a considerar problemas matemáticos y a definir protocolos de cifrado, que estos mismos ordenadores no pueden romper o vulnerar.

Mientras esta criptografía llega, o no, los criptógrafos conocemos las publicaciones de Peter Shor, Lov Grover y Marc Kaplan en las que se proponen algoritmos capaces de romper o vulnerar la seguridad de los criptosistemas actuales, en el momento que exista un ordenador cuántico con la suficiente potencia de cálculo para ejecutarlos. Para añadir más datos, conviene señalar que el ordenador cuántico de propósito general más recientemente presentado (enero de 2019) es el IBM Q System One, con una potencia de 19 qb (un bit cuántico, o quantum bit, es la unidad mínima de información cuántica). Tanto IBM como Google señalan que, previsiblemente, antes de 10 años podremos disponer de un ordenador cuántico de propósito general de unos 50 qb, pero no hay un consenso generalizado acerca de la potencia en qb necesaria para romper un sistema de cifrado o de firma electrónica como los usados habitualmente (cuyas claves son de unos 2048 bits).

Los criptógrafos, conscientes de la inexorable llegada, antes o después, de los ordenadores cuánticos y de la existencia de los algoritmos de Shor, Grover y Kaplan, se han puesto manos a la obra. El objetivo de sus investigaciones es el diseño de nuevos protocolos de acuerdo de clave, sistemas de cifrado y esquemas de firma electrónica, todos ellos basados en problemas matemáticos que no sean vulnerables por los ordenadores cuánticos y, por tanto, que sean seguros cuando estos se conviertan en una realidad capaz de atacar los sistemas criptográficos actuales. Esta nueva criptografía se ha venido a llamar “criptografía postcuántica”, haciendo referencia a que será segura o resistente después de la llegada de los ordenadores cuánticos (quantum resistant).

De hecho, en 2016, el Instituto de Estándares y Tecnología estadounidense (NIST) ha lanzado una llamada internacional para que, en el plazo de cinco años, criptógrafos de todo el mundo propongan y analicen nuevos sistemas de cifrado, de firma y de acuerdo de clave resistentes a la computación cuántica. Se trata, en definitiva, de obtener nuevos estándares que hagan posible una criptografía segura, basada en una serie de herramientas matemáticas ya identificadas: teoría de códigos, retículos, polinomios multivariantes cuadráticos, funciones resumen e isogenias de curvas elípticas.

Así pues, mientras parte de la comunidad científica trabaja en la consecución de una computación cuántica cada vez más real y eficiente, los criptógrafos trabajamos en diseñar y obtener sistemas de cifrado para proteger la información de modo seguro, incluso ante la potencia de cálculo que supondrán los ordenadores cuánticos. Finalmente, consideremos los avances tecnológicos y científicos con un poco más de perspectiva y tratémoslos con el rigor que se merecen.

Luis Hernández Encinas