Què és la criptografia postquàntica?

És possible que estigueu familiaritzat amb el concepte de criptografia clàssica, que és el tipus de xifratge que fem servir cada dia. Fins i tot potser heu sentit parlar de la criptografia quàntica que fa ús d'ordinadors quàntics i efectes mecànics quàntics. Tot i que totes dues són tecnologies importants per dret propi, la criptografia clàssica sustenta gairebé la totalitat de la tecnologia de comunicacions moderna, la criptografia postquàntica és un pas realment crític que no és gaire conegut. La criptografia postquàntica no hauria de ser la següent cosa més important després del xifratge quàntic. En canvi, és la classe de criptografia que encara és rellevant en un món on existeixen potents ordinadors quàntics.

L'acceleració quàntica

La criptografia clàssica es basa bàsicament en un petit nombre de problemes matemàtics diferents. Aquests problemes s'han escollit amb cura perquè són extremadament difícils a menys que conegueu informació específica. Fins i tot amb ordinadors, aquests problemes matemàtics són difícils de demostrar. El 2019, un estudi va dedicar 900 anys de nucli de la CPU a trencar una clau RSA de 795 bits. Una clau RSA de 1024 bits necessitaria més de 500 vegades més potència de processament per trencar-se. A més, les claus RSA de 1024 bits han quedat obsoletes a favor de RSA de 2048 bits, que seria pràcticament impossible de trencar.

El problema és que els ordinadors quàntics funcionen d'una manera completament diferent en comparació amb els ordinadors normals. Això vol dir que certes coses que són difícils de fer per als ordinadors normals són molt més fàcils de fer per als ordinadors quàntics. Malauradament, molts dels problemes matemàtics utilitzats en criptografia són exemples perfectes d'això. Tot el xifratge asimètric d'ús modern és vulnerable a aquesta acceleració quàntica, suposant l'accés a un ordinador quàntic prou potent.

Tradicionalment, si voleu augmentar la seguretat del xifratge, només necessiteu claus més llargues. Això suposa que no hi ha problemes més fonamentals amb l'algoritme i que es pot augmentar per utilitzar tecles més llargues, però el principi es manté. Per a cada bit addicional de seguretat, la dificultat es duplica, això significa que passar del xifratge de 1024 bits a 2048 bits és un gran augment de dificultat. Aquest creixement exponencial de la dificultat, però, no s'aplica a aquests problemes quan s'executen en ordinadors quàntics on la dificultat augmenta logarítmicament no exponencialment. Això vol dir que no podeu simplement duplicar la longitud de la clau i estar bé per a la propera dècada d'augment de la potència de càlcul. Tot el joc està en marxa i cal un nou sistema.

Un raig d'esperança

Curiosament, tots els algorismes moderns de xifratge simètric també es veuen afectats, però en molt menor grau. La seguretat efectiva d'un xifratge asimètric com RSA es redueix per l'arrel quadrada. Una clau RSA de 2048 bits ofereix l'equivalent d'aproximadament 45 bits de seguretat contra un ordinador quàntic. Per als algorismes simètrics com AES, la seguretat efectiva "només" es redueix a la meitat. L'AES de 128 bits es considera segur contra un ordinador normal, però la seguretat efectiva contra un ordinador quàntic és de només 64 bits. Això és prou feble com per ser considerat insegur. El problema es pot resoldre, però, duplicant la mida de la clau a 256 bits. Una clau AES de 256 bits ofereix 128 bits de protecció fins i tot contra un ordinador quàntic prou potent. Això és suficient per ser considerat segur. Encara millor, l'AES de 256 bits ja està disponible públicament i està en ús.

Consell: els bits de seguretat que ofereixen els algorismes de xifratge simètric i asimètric no són directament comparables.

Tota la qüestió de l'"ordinador quàntic prou potent" és una mica difícil de definir amb precisió. Significa que un ordinador quàntic ha de ser capaç d'emmagatzemar prou qubits per poder fer un seguiment de tots els estats necessaris per trencar la clau de xifratge. El fet clau és que ningú encara té la tecnologia per fer-ho. El problema és que no sabem quan algú desenvoluparà aquesta tecnologia. Podrien ser cinc anys, deu anys o més.

Atès que hi ha almenys un tipus de problema matemàtic adequat per a la criptografia que no és especialment vulnerable als ordinadors quàntics, és segur suposar que n'hi ha d'altres. En realitat, hi ha molts esquemes de xifratge proposats que són segurs d'utilitzar fins i tot davant d'ordinadors quàntics. El repte és estandarditzar aquests esquemes de xifratge postquàntics i demostrar la seva seguretat.

Conclusió

La criptografia postquàntica es refereix a la criptografia que es manté forta fins i tot davant d'ordinadors quàntics potents. Els ordinadors quàntics són capaços de trencar completament alguns tipus de xifratge. Poden fer-ho molt més ràpid que els ordinadors normals, gràcies a l'algoritme de Shor. L'acceleració és tan gran que pràcticament no hi ha manera de contrarestar-la. Com a tal, s'està fent un esforç per identificar esquemes criptogràfics potencials que no siguin vulnerables a aquesta acceleració exponencial i que puguin fer front als ordinadors quàntics.

Si algú amb un futur ordinador quàntic té moltes dades històriques antigues que pot trencar fàcilment, encara pot fer un gran dany. Amb l'alt cost i les habilitats tècniques necessàries per construir, mantenir i utilitzar un ordinador quàntic, hi ha poques possibilitats que siguin utilitzats pels delinqüents. Els governs i les megacorporacions èticament ambigües, però, tenen els recursos i potser no els fan servir per al bé general. Tot i que aquests potents ordinadors quàntics encara no existeixen, és important passar a la criptografia postquàntica tan aviat com es demostri que és segur fer-ho per evitar un desxifrat històric generalitzat.

Molts candidats a la criptografia postquàntica estan essencialment preparats per començar. El problema és que provar que són segurs ja era infernalment difícil quan no calia permetre ordinadors quàntics complicats. Hi ha moltes investigacions en curs per identificar les millors opcions per a un ús generalitzat. Una cosa clau per entendre és que la criptografia postquàntica s'executa en un ordinador normal. Això la diferencia de la criptografia quàntica que ha de funcionar en un ordinador quàntic.