Documentos de Académico
Documentos de Profesional
Documentos de Cultura
En agosto de 2015, la NSA publicó una importante declaración política sobre la necesidad de la criptografía poscuántica.
Ciertas peculiaridades en su redacción y oportunidad han desconcertado a muchas personas y han dado lugar a especulaciones
sobre la NSA, la criptografía de curva elíptica y la criptografía cuántica segura. De las diversas teorías que se han propuesto,
algunas parecen más plausibles que otras, pero resulta difícil encontrar una explicación definitiva.
“Es un acertijo envuelto en un misterio dentro de un enigma; comercializar criptografía cuántica segura. Si bien los estándares
pero tal vez haya una clave”. —Winston Churchill, 1939 (en para nuevos algoritmos poscuánticos son varios en el futuro
referencia a la Unión Soviética) envejecidos inmediato, la NSA está alentando a los proveedores
a agregar resistencia cuántica a los protocolos existentes por
medio de herramientas convencionales de clave simétrica como
el Estándar de cifrado avanzado (AES). Dado el gran interés de
la NSA en PQC, la demanda de soluciones criptográficas
En una
agosto de 2015,declaración
importante la NSA delpolítica
gobierno estadounidense
sobre la necesidadpublicó
de cuánticas seguras por parte de los gobiernos y la industria
desarrollar estándares para la criptografía poscuántica (PQC).1 probablemente crecerá dramáticamente en los próximos años.
La NSA, como muchas otras organizaciones, cree que es el
momento adecuado para dar un gran impulso al diseño de La mayor parte de la declaración de la NSA fue intachable.
protocolos criptográficos de clave pública cuya seguridad Sin embargo, un pasaje fue desconcertante e inesperado:1
depende de problemas difíciles. eso no puede resolverse
eficientemente con una computadora cuántica. Desde el trabajo Para aquellos socios y proveedores que aún no han
pionero de Peter Shor hace más de 20 años,2 se sabe que tanto realizado la transición a los algoritmos de la Suite B,
el problema de factorización de números enteros, en el que se recomendamos no realizar un gasto significativo para
basa RSA, como el problema del logaritmo discreto de curva hacerlo en este momento, sino prepararse para la próxima
elíptica (ECDLP), en el que se basa la criptografía de curva transición del algoritmo resistente a los cuánticos….
elíptica (ECC). ) se basa, puede resolverse en tiempo polinómico Desafortunadamente, el crecimiento del uso de curvas
mediante una computadora cuántica. elípticas se ha topado con el hecho de que la investigación
El anuncio de la NSA dará un enorme impulso a los sobre computación cuántica sigue avanzando, lo que
esfuerzos para desarrollar, estandarizar y requiere una reevaluación de nuestra estrategia criptográfica.
34 noviembre/diciembre 2016 Publicado conjuntamente por IEEE Computer and Reliability Societies 15407993/16/$33,00 © 2016 IEEE
Machine Translated by Google
La NSA parecía estar sugiriendo que las computadoras problema en un campo finito, no en una curva elíptica,
cuánticas prácticas llegarían tan pronto que las personas que aún Señaló una insatisfacción con los sistemas basados en factorización
no habían actualizado de RSA a ECC no deberían molestarse en en la NSA (quizás en parte debido a los elevados derechos de
hacerlo y, en cambio, deberían ahorrar su dinero para la futura licencia del algoritmo RSA patentado).
actualización a protocolos poscuánticos. Poco después de que se aprobara DSA para uso gubernamental
Poco después, la NSA publicó una versión revisada en en 1994, se desarrolló el protocolo ECDSA análogo que utiliza
respuesta a numerosas consultas y solicitudes de aclaración. La curvas elípticas.
nueva redacción fue aún más explícita en su tono negativo sobre Los defensores de RSA se opusieron amargamente a DSA y
el uso continuo de ECC: “la criptografía de curva elíptica no es la afirmaron que la NSA estaba promoviendo DSA porque le había
solución a largo plazo que muchos alguna vez esperaron que fuera. insertado una puerta trasera (“Sin puerta trasera” era el lema de la
Por lo tanto, nos hemos visto obligados a actualizar nuestra campaña antiDSA). Sin embargo, no dieron evidencia de una
estrategia”. 1 Aunque otras partes de la declaración aseguraban al puerta trasera, y en las dos décadas transcurridas desde entonces,
público que la ECC todavía era recomendada antes de la llegada nadie ha encontrado una manera de insertar una puerta trasera en
de las computadoras cuánticas prácticas, la impresión general era DSA (o ECDSA).
ineludible de que la NSA se estaba distanciando de la ECC. La primera vez que la NSA apoyó pública y decisivamente a
ECC ocurrió en una reunión de ANSI en diciembre de 1995. Los
Además, la gente del NIST y de otros lugares ha notado que la partidarios de RSA en la reunión estaban poniendo dudas sobre la
NSA no ha tomado parte activa en las discusiones sobre nuevas seguridad de los protocolos basados en ECC; A mediados de la
curvas para reemplazar las curvas del NIST que se recomendaron década de 1990, una página llamada “ECC Central” en el sitio web
para ECC en 1999. El anuncio de PQC sugiere que la NSA no tiene de RSA contenía declaraciones de personalidades líderes en
ningún interés en este tema porque ahora considera que la ECC es criptografía que caracterizaban a ECC como no probada y basada
sólo una solución provisional. De hecho, la declaración desaconseja en matemáticas esotéricas. Los representantes no técnicos de la
“realizar un gasto significativo” para actualizar a cualquiera de los industria en el comité ANSI quedaron impresionados por el
algoritmos de la Suite B, y mucho menos a cualquier nuevo estándar argumento de RSA. Mientras continuaba el acalorado debate, el
ECC que utilice curvas actualizadas.1 Incluso los usuarios representante de la NSA se fue para hacer una llamada telefónica.
industriales y gubernamentales de protocolos anticuados deberían Cuando regresó, anunció que estaba autorizado a declarar que la
quedarse sentados y esperar. para estándares poscuánticos. Esto NSA creía que ECC tenía suficiente seguridad para ser utilizada en
tomó a muchas personas por sorpresa, porque se cree ampliamente comunicaciones seguras entre todas las agencias gubernamentales
que faltan muchos años para lograr un consenso sobre tales de Estados Unidos, incluida la Reserva Federal. La gente quedó
estándares, y la ECC seguirá utilizándose ampliamente durante al atónita. En aquellos días, los representantes de la NSA en las
menos una o dos décadas más. reuniones sobre normas se sentaban en silencio y apenas decían
una palabra. Nadie esperaba una declaración tan directa e
En este artículo evaluamos las diversas teorías, especulaciones inequívoca por parte de la NSA. Se aprobaron las normas ECC.
e interpretaciones que se han propuesto sobre el repentino cambio
de rumbo de la NSA. En aras de la brevedad, en esta versión
publicada hemos omitido los detalles matemáticos, la mayoría de La Segunda Década (19952005)
las referencias bibliográficas y un apéndice que ofrece una A finales de la década de 1990, el NIST propuso tres familias de
descripción general de los principales candidatos para la criptografía cinco curvas (cada una con un nivel de seguridad diferente) para
cuántica segura. La versión completa se encuentra en Cryptology ECC (publicado como estándar federal de procesamiento de
ePrint Archive.3 información [FIPS] en 2000). Estas son las 15 "curvas NIST".
Dos de las familias constan de curvas sobre campos binarios y la
Historia: la NSA y la ECC otra contiene curvas sobre campos primos.
A finales de los años 1980 y principios de los 1990, cuando la Debido al reciente progreso en atacar el ECDLP en curvas sobre
Guerra Fría llegó a su fin y las computadoras en red comenzaron a campos binarios usando métodos de suma polinómica, algunos
desempeñar un papel importante en la economía, la NSA “salió del expertos ahora tienen dudas sobre la seguridad a largo plazo de
frío” y comenzó a dedicar recursos a asesorar a los privados. todas las curvas elípticas sobre campos binarios, creyendo que
sector público en materia de ciberseguridad. esos métodos eventualmente serán capaces de resolver el ECDLP
más más rápidamente que el algoritmo Pollardrho en el rango
La primera década (19851995) criptográfico. Sin embargo, la mayoría de los expertos dudan de
Casi desde el principio hubo indicios de que, de los sistemas de estas afirmaciones. Sin embargo, se cree ampliamente que la
clave pública disponibles, la NSA prefería el ECC. A principios de elección más conservadora de curvas NIST es la familia definida
la década de 1990, el NIST propuso un algoritmo de firma digital sobre un campo primo.
(DSA) que había desarrollado la NSA. Aunque DSA se basa en el Esas curvas se denominan Pk, donde k es la longitud de bits del
registro discreto número primo.
www.computer.org/seguridad 35
Machine Translated by Google
El apoyo de la NSA a la ECC se hizo más evidente con el paso posibilidad de que la NSA hubiera seleccionado P y luego establecido Q
de los años. En 2003, obtuvo la licencia de 26 patentes relacionadas igual a un múltiplo conocido de P.)
con ECC de Certicom por 25 millones de dólares, y en 2005 publicó el El supuesto básico en cualquier reclamo de seguridad para la
“
artículo “Case for Elliptic Curve Cryptography” en su sitio web.4 Este curva elíptica DRBG es que los puntos duales P y Q se generan
documento describe a RSA como un documento público de primera aleatoriamente e independientemente uno del otro.
“
generación . tecnología clave que había sido reemplazada por ECC. Desde el principio se entendió que el conocimiento de una relación que
expresa Q como un múltiplo conocido de P niega completamente esa
Junto con esta recomendación, el 16 de febrero de 2005, la NSA seguridad. De hecho, la solicitud de patente original de Certicom (WO
anunció sus algoritmos recomendados Suite B.5 Irónicamente, en su 2006/076804 A1, publicada el 27 de julio de 2006) describe cómo se
forma original no incluía protocolos RSA (o DSA), sino sólo ECC puede utilizar la DRBG para el depósito de claves, es decir, la relación
(ECDSA para firmas y protocolo de curva elíptica). Di eHellman [ECDH] entre P
y Elliptic Curve MenezesQuVanstone [ECMQV] para la concordancia y Q podría estar en manos de un tribunal que podría entregarlo al
de claves) y sistemas de claves simétricas (AES y Secure Hash gobierno al emitir una orden de registro.
Algorithm [SHA]). Al principio, era un misterio por qué la NSA se habría molestado en
estandarizar el EC_DRBG con la puerta trasera, porque parecía que
Se proporcionaron dos niveles de casi nadie (excepto posiblemente
Secret (para niveles más altos de secreto, la NSA tiene la Suite A), simétrica, y se incluyeron tres generadores de clave simétrica con el
presumiblemente Secret requiere 128 bits de seguridad y Top Secret DRBG de curva elíptica en los mismos estándares. La única ventaja
requiere 192. posible de un DRBG basado en curvas elípticas era que tenía una
prueba de seguridad. Pero parecía dudoso que mucha gente optara
Tercera Década (20052015) por un protocolo mucho más lento simplemente porque las primitivas
En 2010, ante la lentitud con la que tanto empresas privadas como simétricas estándar como AES carecían de una prueba de seguridad.
agencias gubernamentales se estaban convirtiendo a ECC, la NSA
actualizó Suite B para permitir el uso de RSA (y DSA) con un módulo
de 2.048 bits (que proporciona 112 bits de seguridad). El anuncio El 20 de diciembre de 2013, Reuters informó que la empresa
decía que “Durante la transición al uso de criptografía de curva elíptica RSA había recibido un pago secreto de 10 millones de dólares de la
en ECDH y ECDSA, DH [en el grupo multiplicativo de un campo NSA para que hiciera del Dual EC_DRBG el valor predeterminado en
principal], DSA y RSA se pueden usar con un módulo de 2.048 bits su kit de herramientas BSAFE.6 (RSA nunca negó haber recibido el
para proteger la clase. información publicada hasta el nivel Secreto”. 5 pago, aunque dijo que bajo ninguna circunstancia se necesitaría un
(No se mencionó RSA/DH/DSA para el nivel Top Secret). soborno para debilitar la protección criptográfica de sus clientes). Ahora
revisar los estándares ECC y proponer nuevas curvas recomendadas. propuesto por SIGINT; Jacobs se retiró de la NSA el mismo año).
Finalmente, en agosto de 2015, la NSA publicó la declaración Una última razón para dudar de que la NSA pueda romper el ECC
sobre criptografía poscuántica que se mencionaba en la introducción. es que no le interesa respaldar un criptosistema basado en un
En él, la NSA insinuaba que pronto tendría sus propias propuestas problema matemático conjeturalmente difícil que la NSA sabe que
para criptosistemas poscuánticos y afirmaba que el “paso... a un es débil. La razón es que es probable que la debilidad sea descubierta
conjunto de algoritmos resistentes a lo cuántico” se produciría “en por críticos ajenos a la NSA y también por adversarios. En el primer
un futuro no lejano”.1 Mientras tanto , la gente debería seguir usando caso, la NSA acaba perdiendo credibilidad y, en el segundo, los
Suite B, que todavía dependía principalmente de ECC— usuarios estadounidenses (incluidos los del gobierno de EE. UU.)
pueden ser atacados por ciberdelincuentes y agentes hostiles.
aunque P256 había desaparecido misteriosamente de la Suite B,
dejando solo P384 (y RSA se incluyó con un módulo mínimo de Estados nacionales.
confirmarse, o al menos darles una nueva vida, cuando los aleatorios era tan inexpugnable como si la P y la Q hubieran sido
documentos de Snowden revelaron la puerta trasera en Dual elegidas correctamente. La NSA y nadie más podían leer mensajes
EC_DRBG. Sin embargo, hay varias razones para dudar de esta cifrados cuya seguridad dependía de la pseudoaleatoriedad de la
especulación. DRBG. Y si no fuera por Snowden, lo más probable es que nadie
En primer lugar, los documentos de Snowden son fascinantes en fuera de la NSA hubiera sabido jamás que la NSA conocía la relación
parte por lo que no contienen. A juzgar por todos los informes secreta entre P y Q.
todos los esfuerzos que se han puesto para atacar el ECDLP. curvas NIST. Omitimos detalles matemáticos, que se pueden
En tercer lugar, ECC comenzó a obtener un fuerte apoyo de la encontrar en la versión completa.3
Dirección de Garantía de Información (IAD) de la NSA durante la Recordemos que la presunta intratabilidad del ECDLP es el
época en que Brian Snow era el director técnico y Mike Jacobs era el núcleo de la ECC. En términos generales, esto significa que, dados
jefe de la IAD. Nunca ha habido ninguna evidencia (en los informes dos puntos en una curva elíptica (adecuadamente elegida), lleva
sobre los documentos de Snowden o en cualquier otro lugar) de muchísimo tiempo expresar uno como un múltiplo entero del otro. La
acciones de Snow y Jacobs o sus investigadores que debilitarían o premisa principal para usar ECC es que el algoritmo de propósito
socavarían los estándares criptográficos. Por el contrario, durante general más rápido conocido para resolver el ECDLP es el algoritmo
ese período la DIA cooperó con otros sectores para impulsar una Pollardrho, que tiene un tiempo de ejecución totalmente exponencial
seguridad sólida. Esto era coherente con la misión de la DIA como aproximadamente igual a la raíz cuadrada del tamaño de la curva
brazo defensivo de la NSA. (El brazo ofensivo, llamado SIGINT, es elíptica. Esto contrasta con RSA, donde se conocen algoritmos de
otra cuestión). tiempo subexponencial para resolver el problema subyacente de
factorización de enteros.
Casi todos los hechos sucios revelados por Snowden son
posteriores a 2001. Incluso antes de las filtraciones de Snowden, era Por supuesto, el ECDLP podría ser más sencillo para curvas
bien sabido que después de los ataques del 11 de septiembre y la elípticas específicas. La primera clase de curvas elípticas débiles se
aprobación de la Ley PATRIOTA por el Congreso de Estados Unidos descubrió en 1990.7 Esto no fue una preocupación importante,
en octubre de 2001, el equilibrio de poder entre IAD y SIGINT cambió porque este conjunto de curvas elípticas, conocidas como “curvas de
abruptamente. (En 2002, Snow fue trasladado de la dirección técnica bajo grado de incrustación”, pueden identificarse fácilmente mediante
de IAD a un puesto diferente en la NSA que tenía un alto estatus pero una simple verificación de divisibilidad y, por lo tanto, evitarse.
poca influencia, particularmente con respecto a las acciones que se A mediados de la década de 1990, los organismos de
estaban llevando a cabo). normalización, incluidos IEEE P1363, ANSI y la Organización Internacional para
www.computer.org/seguridad 37
Machine Translated by Google
La estandarización (ISO) comenzó a considerar ECC. Mucha gente descubierto desde 1997. En particular, no se han descubierto
todavía tenía dudas sobre la seguridad de ECC y pensaba que el debilidades en las curvas NIST desde que fueron propuestas hace
ECDLP no había recibido suficiente escrutinio por parte de unos 19 años.
criptoanalistas y matemáticos. Sin embargo, los estándares ECC Desde las revelaciones de Snowden, muchas personas han
fueron redactados por los organismos de normalización IEEE P133, puesto en duda las curvas elípticas del NIST generadas por la NSA,
ANSI e ISO. aunque no se han descubierto debilidades concretas en ellas desde
En 1997, el público se enteró de un resultado que demostraba que fueron propuestas en 1997.
que si el número de puntos de la curva resulta ser exactamente igual Estas personas especulan que los investigadores de la NSA podrían
al número (primo) de elementos del campo, entonces el ECDLP se haber conocido clases de curvas elípticas débiles en 1997.
puede resolver muy rápidamente.8–10 Con este conocimiento, la gente de la NSA podría haber seleccionado
Estas curvas elípticas anómalas de campo primario son semillas repetidamente hasta obtener una curva elíptica débil.
extremadamente raras y pueden identificarse y evitarse fácilmente.
Sin embargo, el ataque preocupó a los miembros de los organismos Este escenario es altamente improbable por varias razones. En
normalizadores, que se preguntaban si había otras clases débiles de primer lugar, la clase de curvas débiles tendría que haber sido
curvas elípticas. extremadamente grande para obtener una curva débil con el método
Para mitigar el temor de que en el futuro se pudieran descubrir seededhash. Un cálculo lleva a la conclusión de que tendría que
nuevas clases de curvas elípticas débiles, el comité de estándares haber habido un conjunto de aproximadamente 2209 curvas de las
ANSI X9F1 decidió incluir en sus estándares algunas curvas elípticas cuales la NSA conocía un ataque del que nadie más estaba al tanto.
que se habían generado al azar. La selección aleatoria de estas Es muy poco probable que una familia tan grande de curvas elípticas
curvas garantizaría que no pertenezcan a una clase especial y, por débiles hubiera escapado a la detección por parte de la comunidad
lo tanto, es poco probable que sucumban a un ataque aún no de investigación criptográfica desde 1997 hasta el presente.
descubierto que sea efectivo en curvas con propiedades muy
especiales. Al seleccionar una curva elíptica, para asegurarse de Es descabellado especular que la NSA habría seleccionado
que evite los ataques conocidos, es de suma importancia determinar deliberadamente curvas elípticas débiles en 1997 para uso del
el número de puntos de la curva. En 1997, contar el número de gobierno de EE. UU. (tanto para comunicaciones clasificadas como
puntos de una curva elíptica aleatoria seguía siendo un desafío no clasificadas), confiando en que nadie más sería capaz de descubrir
formidable. Un representante de la NSA en el comité ANSI X9F1 se la debilidad de estas curvas en las décadas siguientes. . Una medida
ofreció a proporcionar curvas adecuadas. (Tenga en cuenta que una tan arriesgada por parte de la NSA habría sido inconsistente con la
vez que se proporciona una curva elíptica y su supuesto número de misión de la agencia.
puntos, la exactitud de ese valor se puede verificar muy rápidamente También hay una razón histórica importante por la que creemos
con un 100 por ciento de certeza). que las curvas NIST son seguras. Las curvas NIST fueron generadas
orden y 10 curvas NIST sobre dos campos característicos. En resistencia a ciertos tipos de ataques de canales laterales. No es un
particular, las curvas elípticas del NIST P256 (definidas sobre un descrédito para las curvas NIST que ahora existan alternativas más
256 eficientes; después de todo, han pasado 19 años y sería sorprendente
campo principal de bits) y P384 (definido sobre un campo principal que a nadie se le hubiera ocurrido algo mejor hasta ahora.
¿Tiene la NSA un algoritmo de raíz cúbica para computadora cuántica, o si creyera que otra nación lo es, entonces
encontrar registros discretos de curva elíptica? estaría dedicando mucho más dinero a este proyecto. El artículo del
En la última revisión de la Suite B, la NSA eliminó el P256, dejando Post concluye que “los documentos proporcionados por Snowden
solo el P384. Si resolver el ECDLP en un grupo de orden n requiere sugieren que la NSA no está más cerca del éxito [en la computación
aproximadamente n1/2 operaciones, entonces P256 es suficiente. cuántica] que otros miembros de la comunidad científica”.11
ces para 128 bits de seguridad. Pero si se conociera un algoritmo
n1/3 , entonces se necesitaría P384 para obtener el mismo nivel Entre los usuarios corporativos de criptografía, la predicción
de seguridad. (Otra posible más comúnmente citada
explicación de por qué la proveniente de líderes de
NSA podría haber investigación en
No es del interés de la NSA apoyar un
abandonado el P256 es computación cuántica es
criptosistema basado en un problema
que el P256 podría que, según el progreso
sucumbir a los ataques matemático conjeturalmente difícil que hacia la computación
clásicos de Pollardrho. la NSA sabe que es débil.
cuántica escalable y
o pequeñas mejoras de tolerante a fallas, hay una
los mismos—en las probabilidad de 50 a 50
próximas décadas, mientras que el P384 estará a salvo de tales de que una computadora cuántica práctica esté disponible en 15
ataques en el futuro). años. 12 Esta predicción se sitúa presumiblemente en el extremo
También tenga en cuenta que en Asiacrypt 2013, Bernstein y inferior de los plazos posibles, ya que a las personas que trabajan
Lange presentaron un algoritmo n1/3 . Sin embargo, necesitó una en el área les interesaría pecar del lado del optimismo.
enorme cantidad de cálculos previos, lo que llevó un tiempo n2/3. Cabe señalar que algunas personas se muestran muy escépticas
Entonces, desde un punto de vista práctico, como señalaron sobre este cronograma.
Bernstein y Lange, no tiene valor. Sin embargo, es concebible que Es poco probable que la NSA tenga acceso a expertos con
la NSA haya encontrado (o crea que podría existir) un algoritmo más conocimientos que los consultados por la industria, quienes
similar que requiera muchos menos cálculos previos. podrían haberles dado un pronóstico incluso más optimista que la
predicción de 15 años. Además, si la NSA realmente creyera en un
marco temporal mucho más rápido para la computación cuántica,
¿Qué pasa con los ataques de entonces, como se mencionó antes, su programa de computación
intrusión y de canal lateral? cuántica no sería sólo uno de varios proyectos cubiertos por un
No hay duda de que la NSA es la principal autoridad mundial presupuesto de 80 millones de dólares.
sobre cómo montar este tipo de ataques. La historia de ataques Si faltan al menos 15 años para la práctica de las computadoras
exitosos de este tipo se remonta al menos a la Segunda Guerra cuánticas, y posiblemente mucho más, y si se necesitarán muchos
Mundial. Durante la Guerra Fría, ambos bandos dedicaron enormes años para desarrollar y probar los sistemas PQC propuestos y llegar
recursos a llevar a cabo y defenderse de ataques de canal lateral. a un consenso sobre los estándares, entonces la gente dependerá
de la ECC durante mucho tiempo para venir. Pero el anuncio del
Aunque la elección de parámetros y los algoritmos de PQC de la NSA deja claro que los estándares mejorados de ECC
implementación a veces pueden prevenir ciertos tipos de ataques (por ejemplo, una lista actualizada de curvas recomendadas) no
de canal lateral, no es realista esperar que las técnicas matemáticas están en la agenda de la agencia.
y el diseño de protocolos protejan contra la mayoría de tales
ataques. Más bien, si uno está realmente preocupado por la Teorías sobre los motivos de la NSA
intrusión y los ataques de canales laterales por parte de adversarios Una teoría (que el momento y la redacción del anuncio de la PQC
hábiles, como la NSA, entonces necesita dispositivos a prueba de fueron un caso de descuido o descuido por parte de la NSA) puede
manipulaciones y aislamiento físico; las matemáticas y el software rechazarse de inmediato.
son de uso limitado. Una declaración de política del NIST o de la NSA se elabora
cuidadosamente durante un período de tiempo. El comité
¿Sabe la NSA algo que el mundo responsable de su redacción analiza cada frase; nada se deja al
exterior no sabe sobre las azar ni a una edición descuidada. Además, cuando se le pidió que
www.computer.org/seguridad 39
Machine Translated by Google
CRIPTOGRAFÍA DEL MUNDO REAL
La NSA puede romper el PQC Es un poco extraño que la Suite B revisada permita RSA de 3072
Una teoría sobre los motivos de la NSA se basa en la observación bits pero solo P384 y no P256 para ECC. Un módulo RSA de 3072
de que la mayoría de los sistemas resistentes a los cuánticos que se bits proporciona solo 128 bits de seguridad contra ataques de
han propuesto son complicados, tienen criterios para la selección de factorización conocidos, mientras que P384 proporciona 192 bits de
parámetros que no son completamente claros y, en algunos casos, seguridad contra ataques de ECDLP conocidos. Una de las razones
tienen un historial de ataques exitosos en versiones anteriores. . por las que Suite B podría permitir RSA de 3072 bits en lugar de RSA
Quizás la NSA cree que puede encontrar y explotar vulnerabilidades de 7680 bits (que proporciona 192 bits de seguridad contra la
en PQC mucho más fácilmente que en RSA o ECC, y por esa razón factorización de ataques) es en aras de la eficiencia.
quiere que el público se apresure a adoptar estándares PQC. Sin embargo, el RSA de 7680 bits no es mucho más lento que el RSA
de 3072 bits. Por otro lado, si se da el caso de que la NSA puede
En la actualidad, el proceso de descifrar el RSA de 3.072 bits pero
justificación para posponer cualquier actualización hasta el futuro. La (para lo cual se utilizaría la Suite A en lugar de la Suite B).
redacción del anuncio de la NSA les da una excusa para hacer De hecho, la NSA podría concluir que, en términos más generales,
precisamente eso. la computación cuántica tendrá un impacto muy limitado en la
En respuesta a las preguntas de un proveedor corporativo, la ciberseguridad: es poco probable que una empresa criminal invierta
fuente de la NSA también mencionó que estaba pensando varios miles de millones de dólares para poder acceder a la cuenta
particularmente en agencias gubernamentales que necesitan de tarjeta de crédito protegida por RSA de Alice o al Bitcoin
seguridad a muy largo plazo (en el nivel Top Secret o superior) que protegido por ECC de Bob. billetera.
podría extenderse más allá del momento en que las computadoras Supongamos también que, al pensar en la relación algo conflictiva
cuánticas prácticas estén disponibles, de ahí la necesidad de realizar que todavía existe entre Estados Unidos y China y Rusia,
la transición a PQC lo antes posible. Sin embargo, para estos especialmente en el área de ciberseguridad, la NSA se preguntara:
usuarios, la declaración de la NSA recomienda utilizar una capa “¿Cómo ganamos la Guerra Fría? La principal estrategia fue incitar
adicional de AES para proporcionar resistencia cuántica, sin esperar a la Unión Soviética a una carrera armamentista que no podía
estándares de clave pública de seguridad cuántica. En cualquier permitirse, llevándola esencialmente a la bancarrota. Su PNB era
caso, la declaración está dirigida al público en general y obviamente mucho menor que el nuestro; Lo que fue un pequeño revés para
va a tener un gran impacto en el sector privado. Si la NSA hubiera nuestra economía fue un gran desastre para la Unión Soviética. Fue
querido dar consejos destinados únicamente a usuarios una gran estrategia. Vamos a intentarlo de nuevo."
gubernamentales de alta seguridad, lo habría hecho.
En otras palabras, según esta teoría, los principales destinatarios
del anuncio de la NSA eran los chinos y los rusos, quienes se verían
La NSA cree que RSA3.072 incitados a gastar inútilmente enormes sumas de dinero para
Es mucho más resistente a lo cuántico construir una computadora cuántica que no les servirá de mucho. De
que ECC256 y ECC384 esta manera, esos recursos no se utilizarán para usos que la NSA
La complejidad cuántica de la factorización de enteros o del consideraría mucho más amenazadores.
logaritmo discreto depende esencialmente sólo de la longitud de bits
del orden del grupo. Por lo tanto, podría haber un gran desfase entre
el momento en que las computadoras cuánticas puedan resolver el La NSA tiene una necesidad política de
ECDLP en P256 e incluso P384 y el momento en que puedan distanciarse de la ECC
factorizar un número entero de 3.072 bits. Hubo algunas peculiaridades en la publicación de la declaración de
Sin embargo, se requieren avances importantes en física e agosto de 2015 sobre la preparación para las criptomonedas
ingeniería antes de que la computación cuántica pueda escalar poscuánticas. Normalmente, a todas las grandes corporaciones que
significativamente. Cuando eso suceda, por supuesto, P256 y P384 realizan trabajos criptográficos para el gobierno de EE. UU. se les
caerán primero. Pero, como lo expresó el jefe de investigación de habría avisado con antelación, pero esto no se hizo. Aún más
ciberseguridad de una importante corporación, “después de eso es sorprendente es que no se preguntó a la gente del NIST al respecto,
sólo una cuestión de dinero” antes de que se rompa RSA3.072. En e incluso los investigadores del IAD fueron tomados por sorpresa.
el momento en que P384 se rompe, no sería prudente utilizar ECC Parece que quienquiera que haya preparado el comunicado en la
o RSA. Es poco probable que la brecha entre el criptoanálisis NSA lo hizo con una mínima retroalimentación de los expertos, y eso
cuántico de una clave de 384 bits y una clave de 3.072 bits sea lo incluye a sus propios expertos internos.
suficientemente grande como para servir como base para una Esto sugiere que las principales consideraciones podrían no
estrategia criptográfica. haber sido técnicas en absoluto, sino más bien específicas de la agencia:
es decir, relacionado con la difícil situación de la NSA tras las
La NSA está utilizando una estrategia de filtraciones de Snowden. La pérdida de confianza y credibilidad por
desvío dirigida a Rusia y China el escándalo sobre Dual EC_DRBG fue tan grande que la NSA
Supongamos que la NSA cree que, aunque eventualmente se podría haber anticipado que cualquier otra cosa que dijera sobre los
podría construir una computadora cuántica a gran escala, será estándares ECC sería desconfiada.
enormemente costosa. Desde el punto de vista de los costos, será La NSA podría haber pensado que la forma más rápida de
menos análogo a la bomba de Alan Turing que al Proyecto Manhattan recuperarse del golpe a su reputación sería hacer borrón y cuenta
o al programa Apolo, y estará dentro de las capacidades sólo de un nueva, abandonando su papel anterior como promotores de ECC y
pequeño número de Estadosnación y grandes corporaciones. avanzando con la transición a la criptografía poscuántica mucho
antes de lo que lo haría de otro modo. tener.
Supongamos además que la NSA ya tiene los secretos de Si esto es correcto, entonces tal medida por parte de la NSA
seguridad nacional más valiosos protegidos por primitivas de clave plantea nuevas preguntas sobre la credibilidad. Para los usuarios
simétrica cuántica segura como AES256, y no depende de la comerciales de criptografía, el momento de la transición de un
criptografía de clave pública para el material que tiene la circulación paradigma a otro debería estar determinado por los conocimientos
más restringida. técnicos más avanzados y las mejores prácticas, no por
www.computer.org/seguridad 41
Machine Translated by Google
el interés burocrático de una agencia gubernamental. Si 3. N. Koblitz y A. Menezes, “A Riddle Wrapped in an Enigma”, Cryptology
la NSA quiere ser considerada un socio confiable para el ePrint Archive, 20 de octubre de 2015; eprint.iacr.org/2015/1018.
aseguramiento de la información, necesita basar sus
“
políticas y recomendaciones no en algún cálculo político 4. El caso de la criptografía de curva elíptica”, Seguridad Nacional
sino en un proceso transparente que implique la Agencia, 13 de octubre de 2005; tinyurl.com/NSAandECC.
colaboración científica entre los sectores comercial, 5. “Fact Sheet NSA Suite B Cryptography”, Agencia de Seguridad Nacional,
académico y gubernamental. sectores. Un proceso así no 22 de marzo de 2010; tinyurl.com/NSASuiteB.
dejaría a la gente perpleja y no daría lugar a 6. J. Menn, “Secret Contract Tied NSA and Security Industtry Pioneer”,
especulaciones (y paranoia ocasional) sobre cuáles Reuters, 20 de diciembre de 2013; tinyurl.com/osq39us.
podrían ser los verdaderos motivos de la NSA. 7. A. Menezes, T. Okamoto y S. Vanstone, “Reducción de logaritmos de
No podemos ofrecer
La razón poruna conclusión
la que la NSA definitiva;
se retiró deel ECC 8. T. Satoh y K. Araki, "Cocientes de Fermat y el algoritmo logarítmico
sigue siendo un enigma. Se invita a los lectores a elegir discreto de tiempo polinomial para curvas elípticas anómalas",
entre las posibles explicaciones que hemos dado o a Commentarii Mathematica de la Universidad de Sancti Pauli, vol. 47,
proponer sus propias teorías. núm. 1, 1998, págs. 81–92.
9. I. Semaev, “Evaluación de logaritmos discretos en un grupo de puntos
Referencias de torsión p de una curva elíptica en la característica p”, Matemáticas
1. “Cryptography Today”, Agencia Nacional de Seguridad, agosto de 2015; de la Computación, vol. 67, núm. 221, 1998, págs. 353–356.
tinyurl.com/SuiteB.
“
2. P. Shor, “Algoritmos para computación cuántica: logaritmos discretos y NP Smart, Curves e Problema de logaritmo discreto en la elíptica 10.
factorización”, Proc. 35º año. Síntoma. Fundamentos de la informática of Trace One”, J. Cryptology, vol. 12, núm. 3, 1999, págs. 193196.
(SFCS 94) 1994, págs. 124134.
11. S. Rich y B. Gellman, “La NSA busca construir una computadora
Convocatoria de nominaciones
Neal Koblitz es profesor de la Universidad de Washington
Honrando las contribuciones al campo de la microarquitectura informática en Sea le. Trabaja en teoría de números y criptografía
y ha escrito extensamente sobre temas educativos.
Nueva fecha límite: 1 de mayo de 2017 Koblitz recibió un doctorado en matemáticas de
Princeton. Es autor de seis libros, de los cuales el
Establecido en memoria del Dr. B. (Bob) Ramakrishna Rau, el
premio reconoce su distinguida carrera en la promoción y expansión último, Random Curves: Journeys of a Mathematician.
del uso de técnicas innovadoras de microarquitectura informática,
incluida su innovación en tecnología complier, su liderazgo en arquitectura
(Springer 2007), es autobiográfico. Contáctelo en
informática académica e industrial, y sus altísimos estándares koblitz@uw.edu.
personales y éticos.
¿QUIÉN ES ELEGIBLE?: El candidato habrá realizado una contribución Alfred Menezes es profesor del Departamento de
o contribuciones innovadoras destacadas a la microarquitectura, el uso de técnicas de
Combinatoria y Optimización de la Universidad de
microarquitectura novedosas o la interfaz compilador/arquitectura. Se espera, aunque
no es obligatorio, que el ganador también haya contribuido a la comunidad de Waterloo. Sus intereses de investigación son la
microarquitectura informática a través de la enseñanza, la tutoría o el servicio
comunitario.
criptografía y la teoría algorítmica de números. Menezes
PREMIO: Certificado y honorarios de $2,000.
obtuvo un doctorado en matemáticas de la Universidad
PRESENTACIÓN: Presentada anualmente en el ACM/IEEE International de Waterloo. Es coautor de cuatro libros, entre ellos
Simposio sobre Microarquitectura Handbook of Applied Cryptography y Guide to Elliptic Curve Crypto
PRESENTACIÓN DE NOMINACIONES: Este premio requiere 3 respaldos.
Contáctelo en ajmeneze@uwaterloo.ca.
Las nominaciones se aceptan electrónicamente: www.computer.org/web
/premios/para