¿Cuantico hay de cierto?
A pesar de que la humanidad tenga problemas muy serios aún por resolver, últimamente es mucha la presión a la que se ven sometidos los ciudadanos respecto a una nueva amenaza que personalizan en un cacareado ordenador cuántico. Es mucho el nivel de amarillismo que se está alcanzando en algunos canales y en algunas campañas de los grandes de Internet y de los estados geopolíticamente significativos, por lo que no estaría de más preguntarnos qué hay de real dentro de todo esto.
“En cuanto a estas cosas que veis, días vendrán en que no quedará piedra sobre piedra, que no sea destruida”. Lucas 21:6
Y todo ello al hablar de que el templo de Salomón estaba adornado de hermosas piedras y ofrendas votivas, que serán destruidas1 con la venida del Hijo del Hombre, y que ello supondrá la consecuente terminación de los tiempos y la llegada del Juicio Final.
Esta magnífica expresividad fue lo que cautivó a muchos en los primeros siglos de nuestra historia, convenciéndoles de que el final era inminente y que se cumplirían las profecías de una destrucción total después de mil años de un reinado próspero y feliz del Hijo del Hombre. Esos milenaristas dieron forma a sus vidas y a su cultura creyendo la llegada del fin de los tiempos allá por el décimo siglo de nuestra cronología. Han pasado casi once siglos más y todavía la promesa de los mil años sigue pendiente.
No sería correcto pensar que esta querencia por el desastre simplemente es una manifestación histérica de los que se sienten intimidados por la incertidumbre de un futuro insondable, más bien podría ser interpretado por la impaciencia de los que querrían el fin de todo para “cobrar” los privilegios que les serían debidos por un correcto seguimiento de las leyes y preceptos de la Iglesia construida sobre tan negros augurios.
Algo de tufillo milenarista se puede encontrar hoy en día en los que vaticinan como inminente la caída de todos los algoritmos de cifrado (el fin de la Criptografía) con la llegada del “Gran Solucionador” que pretende ser la mal llamada Computación Cuántica. Es cierto que cuando hablas con los que saben del tema, ninguno se atreve a hablar de menos de cincuenta años para algún avance realmente significativo, pero todos siguen entonando en público el credo de que algún día llegará el final de todas las computaciones y algorítmicas que conocemos para entregar sus reinos a lo cuántico. Cincuenta años es tiempo suficiente para que el interlocutor, cuando el plazo se haya cumplido, o se haya muerto o esté de tal guisa que le importe muy poco que le vengan a decir que fue un mal agorero interesado en amargarle la vida a otros y quedarse con sus menesteres (computacionales, en este caso).
Comulgar a ciegas
Al igual que pasó con los milenaristas cristianos en el que fueron muchos los que comulgaron a ciegas con las tesis apocalípticas de un colorido conjunto de profecías terminales, hoy parecen ser que también son muchos los que creen y divulgan que el fin de la computación “clásica” está cerca. Los periodistas poco versados, ansiosos de los avances tecnológicos de otras épocas de contiendas más frías, comulgan con ilusión ciega y quizás infantil con la gran anunciación y la presentan como si fuese algo ya real, actual, adquirible en Amazon, o construible como buque insignia de algunos orgullos nacionales2.
También están los que precisan tener tecnologías disruptivas para poder justificar que a los departamentos de innovación (I+D+i) les den un lugar bajo el CEO de la empresa, y alimentarse con ello durante décadas. Estos conversos le dan a todo, y comparten su argumentario dejando sitio al 5G y la WiFi 6, a la Inteligencia Artificial, la Ciencia de Datos, los drones y vehículos autónomos y la Computación Cuántica.
Por último, tenemos a los que se erigen en sumos sacerdotes de ese nuevo evangelio que con sólo mencionar palabras sagradas como Cuántico, Entrelazamiento (entanglement), Qubit, Principio de Incertidumbre, Principio de superposición, etc., consiguen audiencia. Estos Tecno-Santones consiguen que la inmensa mayoría de los que los escucha se calle, no pregunten, no quieran entrar en detalles, y así evitar poner de manifiesto su absoluta ignorancia e incomprensión de las leyes y reglas que controlan el mundo atómico.
Las iglesias de lo cuántico
Callados los feligreses, se acrecienta el poder de los sacerdotes. En este caso, la explicación es sencilla: estas nuevas iglesias de lo cuántico necesitan argumentos para detraer fondos de los erarios públicos y privados para que se gasten en financiar sus carísimos experimentos, sus proto-desarrollos, sus eternas promesas, sus laboratorios y sus reuniones endógenas, e impedir que esos dineros vayan a sufragar gastos más necesitados por la mayoría de los ciudadanos.
Este nuevo milenarismo, como el anterior, está construido sobre el miedo. El de antes del año 1000, estaba construido directamente sobre una destrucción en la “que no quedará piedra sobre piedra”; el de ahora está construido sobre la destrucción de todos los sistemas de seguridad (Criptografía) que “supuestamente” son la base de sistemas como el financiero (secreto y autenticación de las comunicaciones), o la integridad nacional (autenticación, autorización e Identidad Digital).
La verdad es que no encuentro entre los divulgadores de este credo, los apóstoles de lo cuántico, datos sobre la criticidad real de los sistemas financieros y de la plétora de servicios capitalistas construidos en su seno, en lo que a la seguridad del cifrado y autenticación de sus transacciones se refiere. De hecho, esos divulgadores no documentan con datos los niveles reales de fraude que siempre van asociados con cualquier sistema de seguridad puesto en producción. Quizás no sea tanto el riesgo real que corremos dada la escasa implantación efectiva de los sistemas amenazados en la economía y la sociedad actual.
¿Cuán graves son los riesgos que corren los sistemas de Criptografía Asimétrica?
¿Es realmente grave que corran riesgos los sistemas de Criptografía Asimétrica que se puedan estar utilizando hoy en día? Al final, es esto lo que se vería amenazado con la emergencia real y efectiva de la Computación Cuántica, y no todo lo demás (Criptografía Simétrica, funciones Hash, protocolos varios, etc.).
Si miramos la evolución de, por ejemplo, el uso de la Identidad Digital, podemos ver iniciativas como el DNI electrónico español que ya en 1997 vislumbró la posibilidad de utilizar un juguete académico altamente jerarquizado, como es el de las TTPs X509 (Trusted Third Parties), para proveer de certificados digitales y, por ende, de firma digital reconocida, a todos los españoles de a pie. Han pasado más de 25 años y siguen siendo rara avis aquellos que han utilizado su DNI digital para algo (digital) en algún momento.
No se puede hablar de computación cuántica sin haber hablado antes de computación “clásica”. La algorítmica es algo muy antiguo, ya estaba presente en Babilonia3 hace 4.520 años, y lo que es mucho más reciente es el desarrollo de máquinas capaces de “implementar” esos algoritmos y sustituir a las “calculadoras” humanas4.
Sabemos que como parte del botín de Julio César (49 A.C.), en un barco que se hundió por aquellos años ante las costas griegas, iba el denominado Mecanismo de Antikitera5, que ha resultado ser un calculador mecánico de la dinámica estelar y planetaria entonces conocida. Por otra parte, en el Barroco hubo intentos de desarrollar máquinas mecánicas6 que pudiesen realizar operaciones algebraicas sencillas, pero hay que esperar a 1851 para que aparezca la primera máquina comercial7 con capacidad para sumar, sólo sumar. Los primeros sistemas de cálculo8 eran analógicos.
El salto a lo digital quizás haya que encontrarlo en el ordenador Z29, creado por el ingeniero alemán Konrad Zuse10 en 1939, y estaba basado en relés electromecánicos y utilizaba los números en coma flotante11, lo cual era un gran avance respecto a la representación decimal clásica utilizada por Babbage. Después vinieron las máquinas que utilizan válvulas termoiónicas (Colosus12), después el transistor13 (1953), más tarde los circuitos integrados14 que son lo que los más versados saben que constituyen los ordenadores, móviles y demás artefactos digitales que nos rodean.
En esencia, las máquinas de calcular pasaron de ser analógicas a ser digitales, de utilizar una representación de números enteros a usar una representación logarítmica (coma flotante), y a ser implementada con transistores de efecto de campo15 en densos circuitos integrados que resolvían, en parte, el problema del empaquetamiento de circuitos lógicos complejos.
Lo que une los algoritmos con las máquinas capaces de calcular es la arquitectura16 de éstas y se inspira en el paradigma de la Máquina de Turing17, pero en realidad adopta una arquitectura de Von Neumann18, aunque otras también son posibles, y se casa con un determinado conjunto de instrucciones básicas19.
El arranque de lo cuántico
Todo lo referente a los ordenadores cuánticos comienza en 1980 cuando el físico Paul Benioff20 propuso un modelo basado en la mecánica cuántica de la Máquina de Turing. Su popularidad académica se amplificó cuando Richard Feynman21 y Yuri Manin22 sugirieron que ese nuevo concepto de ordenador tenía el potencial de poder “simular sistemas” de un modo que los ordenadores clásicos no podían hacerlo.
En 1994, Peter Shor desarrolló un algoritmo específico para “ordenadores cuánticos” que factorizaba números enteros con una complejidad mucho menor que sus equivalentes clásicos. Esto le dio al sueño cuántico una visibilidad que no había tenido hasta que pudo amenazar al algoritmo insignia de la criptografía civil, que era el RSA23.
Sin embargo, hay que resaltar que cualquier problema computacional que pueda ser resuelto con un ordenador clásico, también puede ser resuelto por uno cuántico. Y viceversa, cualquier problema que pueda ser resuelto con un ordenador cuántico también puede ser resuelto por uno clásico si se le otorga tiempo suficiente (tesis Church–Turing24). Por ello, los ordenadores cuánticos no aportan ventajas especiales a los clásicos en cuanto a su capacidad computacional; lo que sí tienen los algoritmos cuánticos (paralelos) son unos requisitos de tiempo mucho menores que el de los algoritmos clásicos (secuenciales).
La pomposa y engañosa “supremacía cuántica”
A pesar de los progresos que se han hecho en lo que va de siglo XXI, la mayoría de los investigadores serios creen que un ordenador cuántico con tolerancia a fallos25 es todavía un sueño bastante remoto. A pesar de ello, factores distintos al realismo científico deben actuar sobre la sociedad desarrollada (véanse las desescaladas pandémicas), ya que en los últimos años se ha iniciado una inexplicada carrera pro-cuántica, tanto en el sector público como en el privado. El 23 de octubre de 2019, Google AI y la NASA, declararon haber hecho un cálculo cuántico que era imposible de hacer con un ordenador clásico. En pocas palabras, declararon haber llegado primero a la pomposa y engañosa “supremacía cuántica”26.
La realidad es que los fenómenos cuánticos prácticamente sólo se ponen de manifiesto en los sistemas muy pequeños (escala atómica), con pocas partículas, y a temperaturas muy bajas, de hecho, cercanas a cero absoluto (-273 ºC). Con esas condiciones de contorno hay que desarrollar registros, circuitos lógicos y demás parafernalia que está en la esencia de los ordenadores, incluso en los clásicos. Quizás se esté aprendiendo a construir dichos circuitos (¿a qué precio?), pero lo que no está tan a mano es que duren el tiempo suficiente para participar en un cálculo efectivo y útil. Aunque se sepa “preparar” el estado interno de la máquina y se pueda implementar el circuito computacional que diese un resultado útil, la operación sólo tendría algunos milisegundos antes de que se desbarate todo (de-coherencia) por efecto del calor y se llene de unos errores que habría que saber y poder corregir.
Circuitos lógicos cuánticos y computaciones útiles
A buen entendedor basta esto para saber lo difícil que es, si es que llega a ser posible, construir circuitos lógicos cuánticos suficientemente complejos para aportar computaciones útiles. Que exista el algoritmo, por ejemplo el de Shor27, no significa que haya un ordenador capaz de calcularlo, por lo que RSA y demás algoritmos de la Criptografía asimétrica pueden estar tranquilos las próximas (bastantes) décadas; de hecho vaticino que se morirán de viejos y no a manos de la amenaza cuántica. Hoy por hoy, los experimentos de ordenador cuántico realmente sólo saben hacer pocas cosas muy concretas28, y lo hacen con dificultad si los argumentos son grandes.
Aunque la amenaza milenarista de los pro-Cuánticos vaya a tener el mismo éxito predictorio que el Apocalipsis de San Juan, lo que sí podemos sacar de bueno en esta falsa contienda es que los criptógrafos de siempre se han puesto a pensar cómo actualizar sus cajas de herramientas y ampliar su oferta algorítmica de manera que fuese resistente a la hipotética existencia de un ordenador cuántico. A eso se le ha dado en llamar Criptografía Post-Cuántica y se refiere a algoritmos criptográficos, normalmente algoritmos de clave pública, concebidos para resistir ataques efectuados mediante la computación cuántica.
Después de la publicación del magnífico artículo de Diffie y Helman de mayo de 1976 “New Directions in Cryptography”29, la joven comunidad de criptógrafos civiles se puso a buscar problemas matemáticos que albergasen cualquier tipo de “asimetría”, de “sentido único”, que hiciese una operación de forma sencilla y que la contraria fuese intratable computacionalmente hablando. Un año después, Rives, Shamir y Adleman propusieron30 utilizar la dificultad de factorizar números enteros grandes especialmente diseñados para ello (módulos RSA), como función trampa de sentido único. En 1985 Taher ElGamal propuso31 su esquema de firma digital basado en el Problema del Logaritmo Discreto32. Ese mismo año, Neal Koblitz33 y Victor S. Miller34, propusieron la multiplicación sobre curvas elípticas como un problema suficientemente difícil de resolver como para montar toda una criptografía sobre él. Estos tres hitos establecen toda la criptografía asimétrica que disponemos y, visto así, da la clara impresión de que es insuficiente por poco variada, y de que es como poner todos los huevos en la misma cesta.
La criptografía asimétrica, un dios con los pies de barro
La pereza y ceguera académica y empresarial hace que, si algo funciona, para qué vas a hacer más esfuerzos y atender a más gatos para buscar otras soluciones. Una de las cosas buenas que tiene la “amenaza cuántica” es que ha venido a demostrar que la criptografía asimétrica, desde siempre, es un dios con los pies de barro, y eso le ha metido el miedo en el cuerpo a más de uno. Aunque los actuales ordenadores cuánticos experimentales no son capaces de atacar ningún algoritmo criptográfico real, muchos son los que piensan que es tiempo de aprovechar esta advertencia y pasar a diseñar nuevos algoritmos que sí sean resistentes a esa amenaza.
Por otra parte, hay que decir que la mayoría de los actuales algoritmos de la Criptográfica Simétrica (cifradores simétricos y funciones hash criptográficas) son relativamente seguros ante los ordenadores cuánticos. Ello es debido a que el único algoritmo cuántico aplicable conocido es el de Grover35, que tan solo acelera la capacidad de los ataques, pero con sólo duplicar el tamaño de la clave empleada se puede eliminar esa ventaja. Por ello la criptografía simétrica post-cuántica no difiere significativamente de la actual criptografía simétrica.
La Criptografía Post-Cuántica se refiere a los algoritmos criptográficos, usualmente asimétricos, que han sido diseñados para resistir los ataques criptoanalíticos empleando ordenadores cuánticos.
El algoritmo de Grover36 de 1996, también conocido como el de búsqueda cuántica, se refiere a un algoritmo cuántico para búsqueda no estructurada que encuentra, con alta probabilidad, la única entrada de una función de caja-negra37 que produce un determinado resultado de salida, utilizando en ello sólo evaluaciones de esa misma función que ataca. El algoritmo de Grover sólo proporciona una aceleración cuadrática de la velocidad del ataque. Este algoritmo sugiere, pero no prueba, que los ordenadores cuánticos tampoco pueden resolver los problemas NP-completos en tiempo polinomial.
El algoritmo de Grover podría atacar por fuerza bruta un cifrador simétrico con una clave de 128-bit en 264 iteraciones, o uno con una clave de 256-bit en 2128 iteraciones. Ahora bien, para preocuparnos deberíamos tener delante un ordenador cuántico que fuese capaz de realizar tan apabullante número de iteraciones sin perder la coherencia.
Algoritmos asimétricos resistentes a la amenaza cuántica
Las principales categorías de problemas donde se están buscando y proponiendo los nuevos algoritmos asimétricos resistentes a la amenaza cuántica son: 1) Criptografía basada en retículos38, 2) Esquemas basados en funciones Hash39, 3) Isogenias sobre curvas elípticas40, 4) Criptografía multivariable41 y 5) Criptografía basada en Códigos42.
Estos problemas son difíciles de utilizar y presentan serios inconvenientes cuando se han de implementar en escenarios reales. Todos ellos comparten la peculiaridad de que tienen que utilizar claves significativamente más grandes que las utilizadas en los Criptosistemas asimétricos actuales, y este exceso de tamaño será un hándicap muy importante en escenarios como los de los sistemas industriales y el de la IoT.
La Criptografía Post-Cuántica como solución a la amenaza cuántica
Generalmente, las administraciones de los países más avanzados consideran que la única solución a la amenaza cuántica es desarrollar la Criptografía Post-Cuántica. El NIST norteamericano lanzó ya en 2016 el proyecto de estandarización de la criptografía post-Cuántica43. Este proyecto pretende estandarizar nuevos algoritmos de negociación de claves y de firma digital que sean resistentes al ataque con ordenadores cuánticos.
Estos nuevos algoritmos vendrían a sustituir a los estándares de RSA y a la criptografía sobre curvas elípticas (ECDH, ECDSA). Ese proyecto se encuentra ahora en su fase final44 y se espera que se anuncien los ganadores el próximo año. Sin embargo, la experiencia dice que serán necesarios entre 5 y 15 años o más después de la publicación de estos estándares antes de que se haga un uso extenso de los mismos en la realidad social y económica.
Los candidatos a la tercera ronda fueron anunciados el 20 de julio de 2020, y hay siete finalistas y ocho candidatos alternativos a ser considerados para su posible estandarización. El tema se ha tratado en la NIST PQC Standardization Conference45 que se desarrolló telemáticamente en junio de este año. En ella los quince finalistas y alternativas han presentado sus “alegatos finales” y todo debe estar “visto para sentencia”. Los candidatos de la Criptografía Post- Cuántica no son sencillos, ni claros, ni gozan de la ductilidad de los algoritmos a los que pretenden sustituir, por lo que es de prever un difícil asentamiento de los mismos entre nosotros. Como la amenaza cuántica no está por llegar, ni se la espera en el día a día, deberemos seguir en la línea de renovar de forma continua, sosegada e inteligente, el baúl de algoritmos criptográficos sobre los que construir nuestro futuro digital.
No solo hay que prestar atención a la exacerbada amenaza cuántica, también hay que aumentar la eficiencia computacional de los algoritmos (lightweight cryptography46) y revisar los otros constructos que hay entre la criptografía y la confianza digital que se pretende asentar sobre ella. Los fallos de seguridad, tanto en el futuro como ahora mismo, no estarán en la criptografía, en los algoritmos, sino en el modo de usarla. La verdadera amenaza no es cuántica, sino nuestra ignorancia, indiferencia, falta de diligencia y de preparación.
1 (10) Se levantará nación contra nación, y reino contra reino; (11) y habrá grandes terremotos, y en diferentes lugares
hambres y pestilencias; y habrá terror y grandes señales del cielo.
2 Ver https://www.dw.com/es/presenta-ibm-su-computadora-cuántica-q-system-one-en-alemania/a-57906012
3 Ver https://en.wikipedia.org/wiki/Babylonian_mathematics y https://en.wikipedia.org/wiki/YBC_7289
4 Ver https://en.wikipedia.org/wiki/Hidden_Figures y la película a la que refiere también.
5 Ver https://en.wikipedia.org/wiki/Antikythera_mechanism
6 Ver https://en.wikipedia.org/wiki/Wilhelm_Schickard
7 Ver https://en.wikipedia.org/wiki/Arithmometer
8 Ver https://en.wikipedia.org/wiki/Computer#Pre-20th_century
9 Ver https://en.wikipedia.org/wiki/Z2_(computer)
10 Ver https://en.wikipedia.org/wiki/Konrad_Zuse
11 Ver https://en.wikipedia.org/wiki/Floating_point_number
12 Ver https://en.wikipedia.org/wiki/Colossus_computer
13 Ver https://en.wikipedia.org/wiki/Transistor_computer
14 Ver https://en.wikipedia.org/wiki/Invention_of_the_integrated_circuit
15 Ver https://en.wikipedia.org/wiki/MOSFET
16 Ver https://en.wikipedia.org/wiki/Computer_architecture
17 Ver https://en.wikipedia.org/wiki/Turing_machine
18 Ver https://en.wikipedia.org/wiki/Von_Neumann_architecture
19 Ver https://en.wikipedia.org/wiki/Reduced_instruction_set_computer
20 Benioff, Paul (1980). “The computer as a physical system: A microscopic quantum mechanical Hamiltonian model of
computers as represented by Turing machines”. Journal of Statistical Physics. 22 (5): 563–591.
21 Ver https://en.wikipedia.org/wiki/Richard_Feynman
22 Ver https://en.wikipedia.org/wiki/Yuri_Manin
23 Ver https://en.wikipedia.org/wiki/RSA_(cryptosystem)
24 Ver https://en.wikipedia.org/wiki/Church-Turing_thesis
25 Ver https://en.wikipedia.org/wiki/Quantum_threshold_theorem
26 Ver https://en.wikipedia.org/wiki/Quantum_supremacy
27 Ver https://en.wikipedia.org/wiki/Shor’s_algorithm
28 Ver https://en.wikipedia.org/wiki/Quil_(instruction_set_architecture)
29 Ver https://ee.stanford.edu/~hellman/publications/24.pdf
30 Ver https://people.csail.mit.edu/rivest/Rsapaper.pdf
31 Taher ElGamal: “A Public key Cryptosystem and A Signature Scheme based on discrete Logarithms” IEEE Transactions on
Information Theory, Vol. IT-31, No. 4, July 1985 en https://caislab.kaist.ac.kr/lecture/2010/spring/cs548/basic/B02.pdf
32 Ver https://en.wikipedia.org/wiki/Discrete_logarithm
33 Koblitz, N.: “Elliptic curve cryptosystems”. Mathematics of Computation. 48 (177): 203–209. (1987)
34 Miller, V.: “Use of elliptic curves in cryptography”. Advances in Cryptology — CRYPTO ‘85 Proceedings. CRYPTO. Lecture
Notes in Computer Science. 85. pp. 417–426. (1985)
35 Ver https://en.wikipedia.org/wiki/Grover’s_algorithm
36 Ver https://arxiv.org/pdf/quant-ph/9605043.pdf
37 Ver https://en.wikipedia.org/wiki/Black_box
38 Ver https://en.wikipedia.org/wiki/Lattice-based_cryptography
39 Ver https://en.wikipedia.org/wiki/Hash-based_cryptography
40 Ver https://en.wikipedia.org/wiki/Isogeny
41 Ver https://en.wikipedia.org/wiki/Multivariate_cryptography
42 Ver https://en.wikipedia.org/wiki/McEliece_cryptosystem y https://en.wikipedia.org/wiki/Niederreiter_cryptosystem
43 Ver https://csrc.nist.gov/projects/post-quantum-cryptography/post-quantum-cryptography-standardization
44 Ver https://csrc.nist.gov/projects/post-quantum-cryptography/round-3-submissions
45 Ver https://csrc.nist.gov/events/2021/third-pqc-standardization-conference
46 Ver https://csrc.nist.gov/Projects/lightweight-cryptography