Transformation in die Cloud - welche Cloud darf es sein?
Perspective Security

Un quántum de esperanza

16-abr-2018

Los científicos esperan que en un futuro cercano existan ordenadores cuánticos potentes. Problema: los nuevos megaordenadores puede que sean capaces de descifrar métodos de cifrado clave.
Research scientists are developing post-quantum algorithms.
​​​​​​​
Silicon Valley, la meca de innumerables empresas tecnológicas e informáticas, a menudo se encuentra un paso por delante del mundo y hay muchos indicios de que ocurrirá lo mismo con los ordenadores cuánticos. Al sur de San Francisco, el rey de los motores de búsqueda Google, por ejemplo, está trabajando en un megaordenador capaz de resolver, en un instante, problemas para los que los ordenadores convencionales todavía necesitarían miles de millones de años de tiempo de computación. La investigación médica podría avanzar mucho más rápidamente, los problemas de optimización se podrían resolver, los algoritmos de búsqueda se podrían acelerar y se podría buscar con gran rapidez en bases de datos de gran tamaño. Google ya ha desvelado su 72 Qubit quantum chip. El gigante tecnológico IBM también ha anunciado que “en diez años” lanzará un ordenador cuántico universal como servicio en la Nube.

El cifrado de hoy en día ya no será útil

En otros lugares se ve estos proyectos con cierta preocupación. Un ordenador cuántico pondría patas arriba el cifrado de hoy en día porque un ordenador cuántico potente podría descifrar en un instante muchos métodos de cifrado consolidados y extendidos, lo que todavía está mucho más allá de las capacidades de los superordenadores clásicos. La transmisión de contraseñas y otros datos delicados en Internet mediante el protocolo TLS, más conocido por su anterior acrónimo SSL, se convertiría en un riesgo serio de seguridad. Y lo mismo ocurriría con algoritmos como RSA, DH, ECDH, ECC, y con los protocolos basados en ellos, como IPsec, SSH, S/MIME u OpenVPN. Todos estos métodos de cifrado asimétricos podrían ser descifrados.
Esto ya está ocurriendo, aparentemente, con el trabajo que se realiza entre bambalinas. La Agencia de Seguridad Nacional de los EE.UU. está trabajando en un megaordenador basado en mecánica cuántica que posibilitaría el ciberespionaje en gobiernos o autoridades gubernamentales. De esto informó el diario Washington Post en 2014, citando a Edward Snowden, antiguo empleado de la Agencia de Seguridad Nacional. Una advertencia de la Agencia de Seguridad Nacional suena casi como una nota a pie de página paradójica en este aspecto: Hace unos años, la Agencia de Seguridad Nacional ya aconsejaba cambiar a los nuevos métodos de cifrado de criptografía postcuántica lo antes posible.

Criptografía postcuántica: en busca de un antídoto

Sin embargo, las empresas deberían tomarse la opinión de la Agencia de Seguridad Nacional en serio y utilizar algoritmos postcuánticos como antídoto frente a los nuevos súper piratas informáticos. El problema es que la normalización se está alargando, lo que puede ser menos crítico a la hora de asegurar la seguridad del día a día, pero se le está acabando el tiempo para la protección de la información que tendrá que mantenerse en secreto durante entre 5 y 15 años. Sin embargo, todo esto depende del momento en que estará disponible el primer ordenador cuántico.
Mientras tanto, el tráfico actual de datos ya está en peligro. Los piratas informáticos podrían interceptar y almacenar ahora información cifrada y utilizar un ordenador cuántico para descifrar la encriptación dentro de diez años, o menos. ¿Todo esto no es más que humo? ¡Lo dudo! Es archiconocido que la Agencia de Seguridad Nacional Americana está autorizada a almacenar datos cifrados el tiempo que sea necesario para, en el futuro, poder descifrarlos.

Proyecto de investigación de la UE sobre criptografía postcuántica

Sin embargo, hay que confiar en los avances en la investigación. La UE está intensificando su investigación en criptografía postcuántica. La Comisión Europea ha invertido 3,9 millones de euros en la financiación del proyecto PQCRYPTO (Criptografía postcuántica), puesto en marcha en 2015. Reúne universidades y empresas de 11 países, incluyendo la Universidad del Ruhr, en Bochum y la Universidad Técnica de Darmstadt. Los investigadores están poniendo a prueba algoritmos postcuánticos conocidos por su seguridad y facilidad de uso, y los están optimizando, por ejemplo, para el protocolo TLS.
Se espera poder ver los resultados a finales de 2018. Las empresas de telecomunicaciones están poniendo a prueba tanto algoritmos postcuánticos como los nuevos criptoalgoritmos exclusivamente en ordenadores cuánticos.
Los investigadores tratan de mantenerse un paso por delante de la realización técnica de los ordenadores cuánticos. “Esto se puede comparar con los avances de los ordenadores clásicos a principios del siglo pasado”, comenta el profesor Alexander May, experto en criptografía, de la Universidad del Ruhr, en Bochum. “Entonces los, en teoría altamente eficaces, algoritmos ya estaban siendo desarrollados antes incluso de que los ordenadores pudieran ser realizados en la práctica”.

¿Cómo se están preparando las empresas para la era cuántica?

Para asegurarse de que el tráfico de datos de hoy en día no se podrá descifrar en la era cuántica, las empresas necesitan prepararse urgentemente aquí y ahora, dice Enrico Thomae, experto en postcuántica en servicios operativos GmbH, una iniciativa conjunta de Fraport y T-Systems. “Las empresas deben identificar activos críticos e incluir el requisito de una seguridad a largo plazo en su análisis de riesgo para proteger la información con entre cinco y quince años de privacidad”.
Thomae recomienda una longitud de clave de 256-bit para algoritmos asimétricos como AES.
Especialmente para datos almacenados en la Nube, es lógico utilizar un cifrado fuerte para evitar que terceras partes consigan acceso a la información. Aunque los servicios en la Nube suelen estar más protegidos que las tecnologías de la información en los centros de datos de las empresas medias alemanas, el usuario de la Nube todavía es responsable de la protección de los datos según las nuevas Normas Generales de Protección de Datos de la UE.
En un mundo ideal, las empresas deberían modernizar su encriptamiento para la información delicada que se supone que tiene que seguir siendo confidencial durante periodos de tiempo largos lo antes posible. Esta información incluye datos personales o de la empresa críticos. A través de la anonimización de los datos, esta información seguirá bajo el control completo de la empresa. Los expertos también recomiendan un análisis de todo el sistema. ¿Su razonamiento? Una vez que las Normas Generales de Protección de Datos entren en vigor en mayo de 2018, las empresas posiblemente tengan que actuar con celeridad. Las posibles sanciones debidas a violaciones aumentarán drásticamente bajo la nueva reglamentación. Las multas podrían alcanzar un total de hasta 20 millones de euros o un 4% del volumen de negocios anual total, dependiendo de qué cifra sea mayor.
“Sería una buena idea que las empresas también empezaran a explorar la agilidad criptográfica”, comenta Tim Schneider, experto en criptografía en Telekom Security. “Agilidad criptográfica significa que se utilizan algoritmos de tal manera que se puedan sustituir de manera rápida. Junto con los procesos de recodificación apropiados, las empresas pueden reaccionar rápidamente a procesos de ataque nuevos o pueden despejar el terreno para una sustitución futura si la normalización de los algoritmos postcuánticos sigue en marcha”.
Esperar a ver lo que pasa puede resultar oneroso para las empresas. “La criptografía postcuántica juega un papel importante en el Internet de las Cosas o los Vehículos Conectados”, explica Thomae. Los vehículos diseñados ahora con algoritmos estándar se fabricarán durante cinco años y estarán en las carreteras otros 15 años, aproximadamente. “No se suele prever actualizaciones remotas para algoritmos nuevos, puesto que los piratas informáticos podrían aprovecharse de esta función”, explica. Así que una recuperación de estos vehículos, en los próximos 20 años, se debería incluir en el precio, con daños que ascienden a miles de millones de dólares. Se necesita años para modernizar el software de empresas y organizaciones de gran tamaño porque entre la fase de decisión y la de ejecución hay un buen trecho. Por esto se conoce, especialmente, a las empresas de infraestructura crítica.

Mayores longitudes de la clave de cifrado para un buffer de tiempo

Unas longitudes de la clave de cifrado más largas para algoritmos asimétricos crean un buffer de tiempo, indica el experto en postcuántica. Las empresas podrían desarrollar procesos híbridos combinando el método actual de cifrado con un algoritmo postcuántico nuevo.
El tiempo se acaba. Los investigadores están de acuerdo, casi en su mayoría, en que los ordenadores cuánticos estarán presentes en un futuro cercano, y como nos podemos imaginar, los engranajes de Silicon Valley estarán trabajando un poquito más rápido que en cualquier otro sitio.