Criptografía poscuántica en camino a la normalización

¿Será también más seguro el futuro de un mundo con sistemas cuánticos? Esta semana, el Instituto Nacional de Estándares y Tecnología de EE. UU. (NIST) anunció los algoritmos que fueron elegidos en la tercera ronda de su competencia para crear un estándar de criptografía poscuántica (PQC) basado en algoritmos criptográficos. capaz de soportar las capacidades de los procesadores cuánticos. NIST hizo un anuncio con múltiples capas. En su corazón hay dos algoritmos principales: CRYSTALS-Kyber para establecer una clave y CRYSTALS-Dilithium para firmas digitales. Ambos comparten el mismo enfoque teórico, lo que podría simplificar la implementación simultánea de ambos. NIST también anunció que se estandarizarían los algoritmos de firma digital Falcon y SPHINCS+. También continuará estudiando varios otros algoritmos y posiblemente los estandarice en la cuarta ronda del concurso. NIST originalmente prometió que los resultados estarían disponibles a principios de 2022, pero luego emitió un comunicado diciendo que los resultados se habían retrasado, pero no por razones técnicas. La competencia comenzó en 2016 y está evolucionando lentamente. Las matemáticas son complejas y, a veces, lleva años comenzar a comprender los algoritmos lo suficientemente bien como para detectar las debilidades, sabiendo que los problemas potenciales no aparecen tanto durante décadas. Esta aprensión muestra cómo procedió el NIST con su elección.

En 2020, al final de la segunda ronda de la competencia, el NIST eligió siete algoritmos como finalistas y designó a otros ocho como suplentes para un estudio más detallado. Desde entonces, académicos y expertos han examinado algoritmos, investigado las debilidades e investigado posibles ataques. NIST también pidió a los empleados gubernamentales de agencias como la NSA evaluaciones clasificadas. La competencia fue motivada por el hecho de que algunos de los algoritmos más utilizados son también los que podrían verse más amenazados por la aparición de una computadora cuántica capaz. Los algoritmos como RSA o Diffie-Hellman se basan en la exponenciación repetida en un campo o anillo finito, y estos se atacan fácilmente con el algoritmo de Shor. Otros sistemas de encriptación comunes usan curvas elípticas que también pueden estar en riesgo. Esta amplia clase de algoritmos incluye muchos de los estándares más utilizados para firmas digitales o negociación de claves. Por ejemplo, FIPS (Estándar federal de procesamiento de información) 186-4, Estándar de firma digital (DSS) incluye tres algoritmos de firma digital aprobados por NIST: DSA, RSA y ECDSA... que podrían romperse con un sistema cuántico eficiente. Algunos de los algoritmos simétricos como AES o SHA256 también pueden ser vulnerables al algoritmo de Shor porque utilizan una técnica diferente. Sin embargo, otros algoritmos como el de Grover pueden admitir ataques parciales. El campo de la computación cuántica aún es joven. Algoritmos aún por descubrir que pueden ofrecer tipos de ataques completamente diferentes.

¿Qué son los algoritmos de CRYSTALS?

Los dos algoritmos CRYSTALS (Cryptographic Suite for Algorithmic Lattices) que ganaron la corona se basan en la dureza de lo que a menudo se conoce como el problema de aprendizaje del módulo con error (MLWE). El desafío es tomar múltiples puntos de muestra, algunos de los cuales pueden ser distractores, y determinar o "aprender" la función que los genera. Esta es una base relativamente nueva para los algoritmos de encriptación, pero parece ser sólida y, lo que es más importante, lo suficientemente diferente como para que ningún algoritmo cuántico conocido pueda resolverla rápidamente. Los algoritmos de CRYSTALS también usan lo que los algebristas llaman un "anillo ciclotómico de potencia de dos", lo que hace que el cálculo sea simple y rápido con procesadores estándar. Las revisiones de algoritmos han elogiado la velocidad de su implementación.

NIST también se ha comprometido a estandarizar otros dos algoritmos conocidos como Falcon y SPHINCS+ para complementar las mejores opciones. Falcon podría ofrecer firmas digitales más pequeñas, que pueden ser esenciales para algunas aplicaciones de tamaño crítico. SPHINCS+ es un algoritmo basado en hash sin estado que utiliza un enfoque muy diferente basado en el aprovechamiento de uno de los muchos algoritmos de hash estándar ya disponibles. NIST imagina que esto podría ser una buena copia de seguridad en caso de que surja una gran debilidad. No se basa en la aritmética de celosía como otros algoritmos.

Quedan en estudio cuatro algoritmos de encriptación

Como diría Steve Jobs: solo una última cosa. Otros cuatro algoritmos pasan a la cuarta ronda. No serán el estándar principal ni siquiera la primera alternativa, pero el comité quiere fomentar la experimentación y las pruebas, sin duda en caso de que aparezcan debilidades en la primera opción. Los cuatro son: BIKE, Classic McEliece, HQC y SIKE. Todos se basan en diferentes problemas matemáticos, por lo que cualquier ataque a, digamos, MLWE, podría no afectarlos. Los planes para estos cuatro algoritmos varían. En el anuncio, NIST sugiere que elegirá BIKE o HQC, dos algoritmos basados ​​en el Problema de Códigos Estructurados, como un estándar adicional al final de la cuarta ronda del proceso. Tanto SIKE como McEliece se encuentran en una posición más nebulosa de ser lo suficientemente atractivos para quedarse, pero no lo suficientemente atractivos como para comprometerse a crear un estándar completo. SIKE, por ejemplo, ofrecería claves pequeñas y textos cifrados. NIST sugiere que pueden optar por convertir cualquiera de los dos en un estándar completo al final de la cuarta ronda.

El NIST proporcionará más detalles en su próxima tercera ronda del informe del proceso de estandarización de criptografía poscuántica del NIST que se publicará en su Centro de recursos de seguridad informática. También están planeando la 4.ª Conferencia de estándares de PQC del NIST del 29 de noviembre al 1 de diciembre de 2022. Se espera que la cuarta ronda del proceso sea similar a las tres primeras rondas en el sentido de que el NIST solicitará comentarios y luego usará esa información para refinar los algoritmos. . Al mismo tiempo, trabajarán en la redacción de estándares más concretos para la implementación de algoritmos. Uno de los objetivos será elegir los mejores parámetros que controlen, por ejemplo, el número de revoluciones o el tamaño de las teclas. También está claro que el proceso está lejos de terminar. En el anuncio, NIST sugirió que buscará nuevas propuestas de algoritmos para "diversificar su cartera de firmas, de modo que los esquemas de firmas que no se basen en redes estructuradas sean de mayor interés".

Implicaciones prácticas de seguridad

La buena noticia es que los equipos de seguridad ahora tendrán múltiples estándares para elegir. Los estándares principales de CRYSTALS seguramente serán el foco, pero los desarrolladores más cautelosos con los horizontes de tiempo más profundos querrán explorar el soporte para algunas o todas las alternativas. Si el código se ejecutará durante mucho tiempo, es difícil saber qué algoritmos pueden ser víctimas. Quienes defienden activamente los sistemas no tienen más que esbozar planes futuros. Los resultados no se asemejan al descubrimiento de una falla en un código base común como, por ejemplo, el que se encuentra en la biblioteca Log4J. El proceso comenzó porque la gente comenzó a especular abiertamente sobre lo que podría pasar con la seguridad de Internet si apareciera una computadora cuántica con un poder significativo. El propósito del concurso es producir alternativas en caso de que mágicamente aparezca una máquina de este tipo. Sin embargo, el anuncio significa que los desarrolladores de bibliotecas criptográficas pueden comenzar a ofrecer el nuevo estándar en el futuro. Pueden pasar varios años antes de que los desarrolladores tengan la capacidad de usar los algoritmos de CRYSTALS en lugar de otros estándares más tradicionales. Los arquitectos e ingenieros pueden comenzar a agregar estos nuevos algoritmos a sus especificaciones como alternativas a los estándares actuales. Esto daría a sus nuevos diseños más resistencia en el futuro.

Los profesionales de la seguridad pueden sentirse cómodos con el lento desarrollo del hardware cuántico funcional. Aunque ha habido proyectos de alto perfil realizados por empresas bien financiadas, se han hecho pocos anuncios sobre máquinas que afecten directamente a la seguridad. Google, por ejemplo, difundió con orgullo la noticia de lo que llamaron "supremacía cuántica", pero implica un tipo diferente de cálculo que no representa el estado del arte que ejecuta el algoritmo de Shor. Sin embargo, los investigadores que intentan factorizar números para atacar RSA a menudo se centran en números enteros con una estructura conocida que se puede explotar para simplificar enormemente el proceso. Como resultado, algunos críticos se refieren a los intentos como "cascadas" que se basan en conocer la respuesta antes de comenzar el cálculo. Reconocen que estos son eventos útiles y experiencias valiosas, pero pueden no ser el tipo de progreso que amenazaría la seguridad actual. Esto requeriría la capacidad de atacar grandes números arbitrarios sin la estructura especial. John Mattsson, especialista en seguridad de Ericsson, sugiere que el progreso en el desarrollo del hardware cuántico no parecía cumplir las promesas. “Mi experiencia personal es que los investigadores involucrados personalmente en la computación cuántica son mucho más optimistas”, dijo Mattsson. "Los investigadores que trabajan en computación cuántica pueden, por supuesto, hacer estimaciones correctas, pero la historia ha demostrado que los investigadores a menudo son demasiado optimistas sobre cuándo su investigación tendrá implicaciones comerciales". Aunque las computadoras cuánticas no son tan peligrosas como los lobos aullando en la puerta, el concurso ofrece una oportunidad para que los CISO y otros profesionales de la seguridad revisen sus planes para el futuro. El proceso ofrece la oportunidad de desarrollar nuevos algoritmos y técnicas. Estos pueden actualizar los protocolos existentes y proporcionar una copia de seguridad en caso de que uno de los estándares existentes desarrolle una debilidad que no dependa de la computación cuántica.