Hoy en día, las predicciones sobre cuándo surgirá la "computación cuántica relevante para la criptografía (CRQC)" suelen ser excesivamente optimistas y exageradas, lo que ha llevado a llamamientos para una migración inmediata y completa hacia la criptografía post-cuántica.
Sin embargo, estos llamamientos a menudo pasan por alto los costos y riesgos de una migración prematura, así como las propiedades de riesgo muy diferentes entre los distintos primitivos criptográficos:
- El cifrado post-cuántico (Post-quantum encryption) sí necesita implementarse de inmediato, a pesar de su alto costo: los ataques de "capturar ahora, descifrar luego" (HNDL) ya están ocurriendo. Los datos sensibles cifrados hoy podrían seguir teniendo valor incluso décadas después, cuando existan las computadoras cuánticas. Aunque la implementación del cifrado post-cuántico conlleva una sobrecarga de rendimiento y riesgos de ejecución, los datos que requieren confidencialidad a largo plazo no tienen otra opción frente a los ataques HNDL.
- Las firmas post-cuánticas (Post-quantum signatures) enfrentan una lógica computacional completamente diferente: no se ven afectadas por los ataques HNDL. Además, el costo y el riesgo de las firmas post-cuánticas (mayor tamaño, peor rendimiento, tecnología inmadura y posibles bugs) dictan que necesitamos una estrategia de migración reflexiva, no apresurada.
Aclarar estas distinciones es crucial. Los malentendidos distorsionan el análisis de costo-beneficio, llevando a los equipos a pasar por alto riesgos de seguridad más inmediatos y letales, como los bugs en el código.
En el proceso de migración hacia la criptografía post-cuántica, el verdadero desafío es igualar el sentido de urgencia con la amenaza real. A continuación, se aclararán los conceptos erróneos comunes sobre la amenaza cuántica, cubriendo el cifrado, las firmas y las pruebas de conocimiento cero (y su impacto específico en blockchain).
¿Qué tan lejos está la amenaza cuántica?
A pesar del bombo publicitario externo, es muy poco probable que surja una "computadora cuántica relevante para la criptografía (CRQC)" durante la década de 2020.
Por "CRQC" me refiero a una computadora cuántica tolerante a fallos, con corrección de errores, y de una escala suficiente para ejecutar el algoritmo de Shor y atacar la criptografía de curva elíptica o RSA en un tiempo razonable (por ejemplo, romper secp256k1 o RSA-2048 en un mes como máximo).
Una lectura razonable de los hitos públicos y las estimaciones de recursos muestra que estamos muy lejos de construir tal máquina. Aunque algunas empresas afirman que la CRQC podría aparecer antes de 2030 o 2035, los avances conocidos públicamente no respaldan estas afirmaciones.
Objetivamente, considerando todas las arquitecturas técnicas actuales (trampas de iones, cúbits superconductores, sistemas de átomos neutros), ninguna plataforma actual se acerca a los cientos de miles o millones de cúbits físicos necesarios para ejecutar el algoritmo de Shor (dependiendo de la tasa de error y el esquema de corrección).
El factor limitante no es solo el número de cúbits, sino también la fidelidad de las puertas lógicas (Gate Fidelities), la conectividad de los cúbits y la profundidad del circuito de corrección de errores continua necesaria para ejecutar algoritmos cuánticos profundos. Aunque algunos sistemas ahora tienen más de 1,000 cúbits físicos, fijarse solo en la cantidad es engañoso: estos sistemas carecen de la conectividad y fidelidad necesarias para realizar cálculos relevantes para la criptografía.
Los sistemas recientes comienzan a acercarse al umbral donde la corrección cuántica de errores es efectiva, pero nadie ha logrado demostrar más que unos pocos cúbits lógicos con una profundidad de circuito de corrección sostenida... y mucho menos los miles de cúbits lógicos de alta fidelidad, circuitos profundos y tolerantes a fallos necesarios para ejecutar realmente el algoritmo de Shor. La brecha entre "demostrar que la corrección cuántica de errores es viable en principio" y "alcanzar la escala necesaria para el criptoanálisis" sigue siendo enorme.
En resumen: a menos que tanto la cantidad como la fidelidad de los cúbits mejoren en varios órdenes de magnitud, la CRQC seguirá siendo inalcanzable.
Sin embargo, es fácil confundirse con los comunicados de prensa corporativos y los informes de los medios. Aquí hay algunas fuentes comunes de malentendidos:
- Demostraciones que afirman "ventaja cuántica": estas demostraciones se dirigen actualmente a tareas artificiales. Se eligen estas tareas no porque sean prácticas, sino porque se pueden ejecutar en el hardware existente y muestran una aceleración cuántica masiva, un hecho que a menudo se oculta en los anuncios.
- Empresas que afirman tener miles de cúbits físicos: esto generalmente se refiere a máquinas de recocido cuántico (Quantum Annealers), no a las máquinas de modelo de puertas necesarias para ejecutar el algoritmo de Shor y atacar la criptografía de clave pública.
- Uso indebido del término "cúbit lógico": los algoritmos cuánticos (como el de Shor) requieren miles de cúbits lógicos estables. A través de la corrección cuántica de errores, podemos implementar un cúbit lógico usando muchos cúbits físicos, normalmente se necesitan cientos o miles. Pero algunas empresas han abusado hasta el extremo de este término. Por ejemplo, un anuncio reciente afirmó lograr 48 cúbits lógicos usando solo dos cúbits físicos por cúbit lógico. Este código de baja redundancia solo puede detectar errores, no corregirlos. Los verdaderos cúbits lógicos tolerantes a fallos, útiles para el criptoanálisis, requieren cada uno cientos o miles de cúbits físicos.
- Juegos con las definiciones: muchas hojas de ruta utilizan "cúbit lógico" para referirse a cúbits que solo admiten operaciones Clifford. Estas operaciones pueden simularse eficientemente con una computadora clásica y, por lo tanto, son insuficientes para ejecutar el algoritmo de Shor.
Incluso si el objetivo de una hoja de ruta es "lograr miles de cúbits lógicos en el año X", esto no significa que la empresa espere poder ejecutar el algoritmo de Shor para romper la criptografía clásica ese año.
Estas tácticas de marketing distorsionan gravemente la percepción del público (e incluso de algunos observadores veteranos) sobre la inminencia de la amenaza cuántica.
Aun así, algunos expertos están entusiasmados con el progreso. Scott Aaronson declaró recientemente que, dada la velocidad del progreso del hardware, considera "posible que se ejecute el algoritmo de Shor en una computadora cuántica tolerante a fallos antes de las próximas elecciones presidenciales de EE. UU.". Pero también aclaró que esto no equivale a una CRQC que amenace la criptografía: incluso factorizar 15 = 3 × 5 bajo un régimen tolerante a fallos contaría como "cumplir la profecía". Esto claramente no está en la misma escala que romper RSA-2048.
De hecho, todos los experimentos cuánticos que "factorizan 15" utilizan circuitos simplificados, no el algoritmo completo y tolerante a fallos de Shor; incluso factorizar 21 ha requerido pistas adicionales y atajos.
En pocas palabras, ningún avance público sugiere que podamos construir una computadora cuántica que rompa RSA-2048 o secp256k1 en los próximos 5 años.
Predecir que sucederá dentro de una década sigue siendo muy optimista.
La propuesta del gobierno de EE. UU. de completar la migración post-cuántica de los sistemas gubernamentales para 2035 es la línea de tiempo del proyecto de migración en sí, no una predicción de que la CRQC aparecerá entonces.
¿A qué sistemas criptográficos se aplica el ataque HNDL?
"HNDL (Harvest Now, Decrypt Later)" se refiere a que un atacante almacena ahora comunicaciones cifradas para descifrarlas más tarde, cuando existan las computadoras cuánticas.
Es probable que adversarios a nivel nacional ya estén archivando a gran escala las comunicaciones cifradas del gobierno de EE. UU. para descifrarlas en el futuro. Por lo tanto, los sistemas de cifrado necesitan migrar inmediatamente, especialmente en escenarios donde el período de confidencialidad es de 10 a 50 años o más.
Sin embargo, las firmas digitales (Digital Signatures), en las que confían todas las cadenas de bloques (blockchain), son diferentes del cifrado: no contienen información confidencial susceptible a un ataque retrospectivo.
En otras palabras, cuando surja la computadora cuántica, ciertamente podrá falsificar firmas a partir de ese momento, pero las firmas pasadas no se verán afectadas, ya que no hay secreto que pueda filtrarse; siempre que se pueda demostrar que la firma se generó antes de la aparición de la CRQC, era imposible falsificarla.
Por lo tanto, la urgencia de migrar a firmas post-cuánticas es mucho menor que la migración del cifrado.
Las plataformas principales también han adoptado estrategias correspondientes:
- Chrome y Cloudflare ya han implementado X25519+ML-KEM en modo híbrido para TLS.
- Apple iMessage (PQ3) y Signal (PQXDH, SPQR) también han implementado cifrado híbrido post-cuántico.
Pero el despliegue de firmas post-cuánticas en infraestructuras web críticas se ha retrasado deliberadamente; solo se llevará a cabo cuando la CRQC esté realmente cerca, porque el retroceso de rendimiento de las firmas post-cuánticas actuales sigue siendo significativo.
La situación de los zkSNARKs (una prueba de conocimiento cero sucinta no interactiva) es similar a la de las firmas. Incluso usando curvas elípticas (no seguras para PQ), su propiedad de conocimiento cero se mantiene en un entorno cuántico.
La garantía de conocimiento cero asegura que la prueba no filtrará ningún testigo secreto, por lo que un atacante no puede "recoger pruebas ahora y descifrar luego". Por lo tanto, los zkSNARKs no son vulnerables a los ataques HNDL. Al igual que una firma generada hoy es segura, cualquier prueba zkSNARK generada antes de la aparición de la computadora cuántica será creíble, incluso si ese zkSNARK utilizó criptografía de curva elíptica. Solo después de que aparezca la CRQC, los atacantes podrán falsificar pruebas para declaraciones falsas. La transferencia de valor continuará las 24 horas del día, construyendo un nuevo mundo digital que superará con creces la escala de la economía humana.
