Las computadoras cuánticas pueden romper de forma completa e irreversible los métodos de clave pública más utilizados en la actualidad. La criptografía poscuántica puede evitar esto. Pero, ¿qué tan seguros son los nuevos procedimientos y qué se debe tener en cuenta al implementarlos?
Lo que todavía sonaba a ciencia ficción hace unos años ahora está al alcance de la mano: computadoras cuánticas que, con un poder de cómputo sin precedentes, están poniendo en peligro la criptografía actual y, por lo tanto, toda la infraestructura digital.
Computadoras cuánticas: el peligro que viene del futuro
Aunque probablemente pasarán algunos años antes de que se utilice de forma generalizada, sigue siendo importante que las empresas se preparen para la era cuántica en términos de seguridad. Con la ayuda de métodos de encriptación resistentes a las computadoras cuánticas, hoy ya es posible garantizar la confidencialidad y protección de la información a largo plazo. La llamada criptografía poscuántica utiliza métodos criptográficos que son seguros contra ataques con computadoras cuánticas, así como contra ataques clásicos.
Algoritmos poscuánticos como nueva encriptación
En 2016, el Instituto Nacional de Estándares y Tecnología de EE. UU. (NIST) inició un proceso de estandarización destinado a probar y estandarizar varios algoritmos poscuánticos para el intercambio de claves y la firma digital. Siete finalistas pasaron a la tercera y última ronda del proceso el año pasado. Estos incluyen CRYSTALS-Kyber, un algoritmo basado en cuadrículas que utiliza la complejidad de las cuadrículas y, por lo tanto, un problema matemático difícil para cifrar información. Pero, ¿qué tan seguro es realmente este potencial estándar poscuántico? Los expertos en seguridad de TI de TÜV Informationstechnik GmbH (TÜViT) se hicieron esta pregunta y observaron más de cerca CRYSTALS-Kyber, o el osciloscopio.
Seguridad post-cuántica usando el ejemplo de CRYSTALS-Kyber
El equipo del proyecto, formado por Hauke Malte Steffen, Lucie Johanna Kogelheide y Timo Bartkewitz, examinó un chip en el que se implementó el algoritmo poscuántico según lo previsto por el desarrollador. Para probar el chip, utilizaron lo que ya se sabe de la criptografía clásica: el hecho de que los métodos criptográficos actuales pueden ser atacados mediante el uso de canales laterales.
"La atención se centró en la cuestión de si podemos acceder a los datos realmente confidenciales del chip a pesar del cifrado de seguridad cuántica", explica Hauke Malte Steffen, estudiante en prácticas en el departamento de Evaluación de hardware de TÜViT. “Para ello, medimos la energía consumida por el chip durante el cifrado de mensajes en nuestro laboratorio de hardware. El trasfondo es que diferentes operaciones también conducen a diferentes consumos de energía, lo que a su vez nos permite sacar conclusiones sobre los datos encriptados". Con éxito: porque los expertos en seguridad de TI lograron atacar la implementación de referencia de CRYSTALS-Kyber y los datos en consecuencia afuera.
Por lo tanto, en el siguiente paso, el equipo del proyecto consideró cómo se podría implementar de forma segura el algoritmo basado en cuadrículas. Dentro de este marco, desarrollaron cuatro implementaciones diferentes, cada una con un nivel más complejo de contramedidas. Estos incluyen, por ejemplo, crear un dummy o aleatorizar bits. El resultado: la primera etapa ya redujo significativamente la probabilidad de un ataque exitoso, mientras que la cuarta implementación lo evitó por completo.
Más en TUVit.de
Acerca de la tecnología de la información TÜV
TÜV Informationstechnik GmbH se centra en probar y certificar la seguridad en la tecnología de la información. Como proveedor independiente de servicios de pruebas para la seguridad informática, TÜV Informationstechnik GmbH es un líder internacional. Numerosos clientes ya se están beneficiando de la seguridad probada de la empresa. La cartera incluye seguridad cibernética, evaluación de software y hardware, IoT/Industria 4.0, protección de datos, SGSI, energía inteligente, seguridad móvil, seguridad automotriz, eID y servicios de confianza, así como la prueba y certificación de centros de datos con respecto a su físico. seguridad y alta disponibilidad.