Criptografia quàntica

La criptografia quàntica és l'àrea de la criptografia relacionada amb les amenaces dels ordinadors quàntics i els algorismes dissenyats per resistir-les. La categoria cobreix dues coses diferents que sovint es confonen entre si: distribució de claus quàntiques (QKD), que utilitza directament la mecànica quàntica per a l'intercanvi de claus; i critografia postquàntica (PQC), que utilitza algorismes clàssics que es creu que resisteixen els atacs quàntics. PQC és el que s'està desplegant; QKD continua sent nínxol.

L'amenaça: l'algoritme de Shor

L'algoritme de Peter Shor de 1994 mostra que un ordinador quàntic prou gran pot factoritzar nombres enters grans en temps polinomial. La conseqüència: RSA, que depèn de la dificultat de factoring, es trenca. El mateix algorisme també calcula logaritmes discrets en grups de corbes el·líptiques, de manera que ECC (ECDSA, ECDH, Ed25519, X25519) també es trenca. Tota la nostra criptografia actual de clau pública es basa en aquests dos problemes difícils.

Quin gran és un ordinador quàntic? Estimacions dels recursos necessaris per factoritzar RSA de 2048 bits: aproximadament 4.000 qubits lògics i 10 ^ 9 portes quàntiques, sostinguts durant unes 8 hores. Els dispositius actuals tenen més de 1.000 qubits physical però molt pocs qubits lògics després de la correcció d'errors; S'estima àmpliament que arribar a l'escala criptogràfica rellevant trigarà entre 10 i 25 anys.

La criptografia simètrica és majoritàriament fina

L'algoritme de Grover proporciona una acceleració quàntica per a la cerca no estructurada, reduint a la meitat la força efectiva de la clau dels xifratges simètrics. AES-128 es converteix efectivament en segur de 64 bits (incòmode), AES-256 esdevé segur de 128 bits (encara fort). Les funcions hash es veuen afectades de la mateixa manera: la resistència a la col·lisió de SHA-256 baixa de 128 a uns 85 bits, la resistència a la preimatge de 256 a 128.

La resposta pragmàtica: utilitzeu claus simètriques més grans (AES-256, SHA-384/512) i l'algoritme segur existent. La criptografia simètrica no està trencada; només cal dimensionar-lo.

Col·l·la ara, desxifra més tard

La preocupació més citada a curt termini: els adversaris que recullen trànsit xifrat avui en dia suposant que el podran desxifrar d'aquí a 10-20 anys quan madura el maquinari quàntic. L'amenaça és real per a qualsevol dada que segueixi sent valuosa durant tant de temps: cables diplomàtics, intel·ligència, registres mèdics, documents legals, propietat intel·lectual.

Per això la transició postquàntica no pot esperar que existeixi el maquinari quàntic. Les dades que s'encripten el 2026 han de ser resistents al quàntic si han de romandre confidencials el 2040. L'estandardització PQC de

NIST va organitzar un concurs obert de diversos anys (2016-2024) per estandarditzar algorismes postquàntics. Els guanyadors del 2024:

• ML-KEM (CRYSTALS-Kyber) per a l'encapsulació de claus — substitueix ECDH/RSA-KEM
• ML-DSA (CRYSTALS-PLZ9thium) per a signatures —Dili3x substitueix les signatures ECDH/RSA-KEM
• ML-DSA Signatures basades en hash ECDSA/RSA
• SLH-DSA (SPHINCS+): còpia de seguretat de ML-DSA en cas que la criptoanàlisi de gelosia avanci
• FN-DSA (Falcon) signatures compactades per a constraccions entorns

Els tres primers es van estandarditzar com a FIPS 203, 204, 205 l'agost de 2024. Falcon està pendent.

El desplegament s'està produint

Desplegaments principals del món real 2025–2026:

• TLS encaixades de mans híbrides — Chrome, Firefox, Cloudflare, Google i altres implementen híbrids X25519+Kyber. S'executen tots dos algorismes; la connexió és segura si es manté ininterrompuda.
• Apple iMessage PQ3: el protocol de missatgeria va afegir un intercanvi de claus postquàntics mitjançant un híbrid personalitzat el 2024.
• Signal PQXDHSignal PQXDH: intercanvi de claus híbrides de Signal: 2023.
• SSH — OpenSSH 9.x admet un híbrid NTRU Prime simplificat per a l'intercanvi de claus.
• VPNs — Hi ha WireGuard amb un embolcall Kyber; Les VPN comercials comencen a anunciar opcions PQ.

Els intercanvis

Els algorismes postquàntics no són gratuïts:

• Les mides de les claus són més grans. Les claus públiques de Kyber són ~1,5 KB enfront de 32 bytes per a X25519. Les signatures de diliti són ~ 2,5 KB en comparació amb 64 ​​bytes per a Ed25519. L'amplada de banda i els costos d'emmagatzematge són importants a escala.
• Alguns algorismes són més lents en cert maquinari, especialment en dispositius restringits. ML-KEM és comparable a ECDH; ML-DSA és més lent que Ed25519.
• LLa criptografia de retícula és més nova i menys provada en batalla. Les preocupacions sobre els avenços criptoanalítics són reals; Les signatures basades en hash (SPHINCS+) són una alternativa més conservadora a costa de signatures molt més grans.

Distribució de claus quàntica: l'altra cosa

QKD utilitza propietats quàntiques (sense clonació, pertorbació de mesura) per establir una clau compartida entre dos punts finals amb informació de seguretat. La captura: requereix maquinari especial (fonts/detectors d'un sol fotó), fibra punt a punt o línia de visió i nodes intermedis de confiança per a distàncies més enllà d'uns pocs centenars de quilòmetres. Existeixen desplegaments de nínxols als bancs i a les xarxes governamentals, però QKD no s'escala als casos d'ús d'Internet.

NIST i la majoria dels criptògrafs han recomanat explícitament PQC sobre QKD per a l'ús general. El bombo al voltant de QKD sovint ha superat l'enginyeria.

Què significa això per a vostè

Per als usuaris individuals, la transició postquàntica és gairebé invisible. Els navegadors, els sistemes operatius i les aplicacions de missatgeria desenvolupen algorismes híbrids de manera transparent. Les dades que s'encripten avui amb algorismes híbrids estaran segures encara que arribin ordinadors quàntics. L'excepció: si manegeu dades confidencials a llarg termini (intel·ligència, registres mèdics, registres financers) i el vostre programari encara utilitza només ECDH/RSA clàssic, val la pena atenció ara, no d'aquí a 10 anys.