TFM Daniel Gomez Aguado 240309 091519

Protocolos de criptografía asistida por
QKD
Crypthographic protocols assisted by QKD
Daniel Gómez Aguado

Trabajo de Fin de Máster
para la obtención del Título
Máster en
Tratamiento Estadístico-Computacional de la
Información (M. TECI)
enviado el 12 de septiembre de 2022 por

el Centro de Simulatión Computacional en
la Escuela Técnica Superior de Ingenieros Informáticos
de la Universidad Politécnica de Madrid
Tutores Laura Ortiz Martín

Juan Pedro Brito Méndez
0Abstract
The current cryptography paradigm is threatened by the newly developed quan-
tum technologies. In response, future cryptography protocols point towards
two possibilities: either designing new encryption algorithms with a computa-
tional complexity out of scope for quantum computation -known as post-quantum
cryptography-, or adapting the principles of quantum mechanics towards security
protocol development -known as quantum cryptography. Regarding the latter, two
recent quantum-assisted cryptography algorithms for highly on demand tasks such
as the digital signature for communications in need of user authentication, or the
secret sharing for ensuring privacy, have been studied and simulated. Being the key
generation substantiated by quantum mechanics, it is ensured that any attempt of
eavesdropping through the quantum channel will be detected, since the symmetric
key will be altered as a result. The protocols have been connected to the Madrid
Quantum Network in order to extract and use real quantum key from the QKD
devices.
Resumen
El paradigma actual de la criptografía se encuentra amenazado por los nuevos

desarrollos en tecnologías cuánticas. En respuesta, los futuros protocolos de crip-
tografía apuntan hacia dos posibilidades: o diseñar nuevos algoritmos de encriptado
con una complejidad computacional fuera del alcance de la computación cuántica
-conocido como criptografía postcuántica- o adaptar los principios de la mecánica
cuántica para el desarrollo de protocolos de seguridad -conocido como criptografía
cuántica. Se han estudiado y simulado dos algoritmos de criptografía asistida por
claves cuánticas, para tareas en elevada demanda como la firma digital para co-
municaciones en necesidad de autenticación de usuarios, o la mensajería secreta
para asegurar la privacidad. Al estar la generación de clave fundamentada en la
mecánica cuántica, se garantiza que cualquier intento de espionaje por el canal
cuántico será detectado, pues la clave simétrica será alterada como resultado. Los
protocolos han sido conectados a la red cuántica de Madrid para extraer y utilizar
clave cuántica real de los dispositivos QKD.
iii
0
Agradecimientos
Me gustaría comenzar este escrito dándole las gracias a las personas que han cola-
borado directamente conmigo en el desarrollo de este proyecto: el equipo del Centro
de Simulación Computacional en el Campus de Montegancedo en la UPM. Chicos,
en los pocos meses que llevo siendo un miembro más me he sentido gratamente
acogido. Muchísimas gracias por toda vuestra paciencia conmigo. En especial, debo
agradecerles a mis tutores Juanpe y Laura por realizar un seguimiento del proyecto.
Juanpe, junto con el resto del equipo dedicado a redes, han hecho posible llevar a
cabo experimentos en la red. A inicios del proyecto, cuando más perdido me encon-
traba, mostraba un gran entusiasmo frente a las posibilidades de las que disponía mi
trabajo. En cuanto a Laura, no tengo suficientes palabras. Ha demostrado en todo
momento interés y atención, incluso en picos de trabajo verdaderamente arduos.
Me ha transmitido una gran confianza, y me ha hecho sentirme acompañado en
mi aprendizaje. Estoy muy agradecido con ella. No voy a finalizar este párrafo sin
hacer mención a Marta. Que colaborásemos juntos en el desarrollo de protocolos
ha contribuido gratamente a los resultados obtenidos en esta memoria, tal vez de la
forma más directa entre todos los mencionados.
Pasando a un terreno alejado del trabajo, es hora de hacer mención a quienes

me han acompañado durante todos mis años de formación, en orden cronológico.
Quiero agradecerle a mi familia por haberme cuidado y criado durante tantos años.
Siempre han estado ahí, buscando ayudarme. Aunque a veces me cueste reconocerlo,
a día de hoy siguen desempeñando un papel importante en mi vida. A mis amigos
Pedro y Robert, tengo que agradecerles que nunca cesaran el contacto, pese a la
temprana edad a la que nos conocimos. Han causado un gran impacto en, posible-
mente, los años más relevantes de mi vida para mi crecimiento personal. Llegado el
Bachillerato, mis amigos Marcos y Carlos marcaron un antes y un después en cuanto
a mi comportamiento en persona con los demás. Me hicieron sentirme en compañía
genuina, frente a un ambiente que, si bien no era hostil, no lograba encajar con mis
expectativas. Durante mis estudios de Grado, hice numerosos conocidos, pero no
fue hasta un tiempo que entablé verdadera conexión con Víctor, mi compañero de
fatigas más consistente y comprensivo en un ambiente excesivamente competitivo,
atento frente a muchos episodios míos de desahogo.
v
Para finalizar, hay una última persona a la que quiero dedicarle unas palabras.
Patrycja, mi amor, gracias. Con tu presencia, me has ayudado enormemente a recu-
perar la motivación por mi trabajo, aquella que había perdido en mis últimos meses
de estudios de Grado. Me has sacado no una, sino varias sonrisas en mis peores
momentos durante el tiempo que llevamos juntos. Me has ayudado a entenderme y
apreciar varias aptitudes de mi que, previo a tu llegada, desconocía o ignoraba com-
pletamente. Me has hecho sentirme cómodo, en un lugar seguro a nivel emocional.
Eres muy buena persona, y no dejaré pasar esta oportunidad de comunicártelo.
Kocham cię.
Espero que las personas que he mencionado, en caso de llegar a leer esta carta,
encuentren reconfortantes mis palabras. Por mi parte, no puedo sino perseverar
para que mi bienestar actual siga así por muchos, muchos años.
Gracias a todos.
Daniel
vi
0
Índice general
Abstract iii
Agradecimientos v
Índice general vii
1 Introducción 1
I Planteamiento 3
2 Criptografía. Definición y novedades 5
2.1 Conceptos generales . . . . . . . . . . . . . . . . . . . . . . . . . . 5
2.2 Protocolos de criptografía . . . . . . . . . . . . . . . . . . . . . . . 7
2.2.1 Nuevos canales de comunicación . . . . . . . . . . . . . . 7
2.3 Líneas de investigación frente a la computación cuántica . . . . . 9
2.3.1 Vertientes en criptografía cuántica . . . . . . . . . . . . . 10
3 Tecnología de red 11
3.1 Conceptos base sobre redes . . . . . . . . . . . . . . . . . . . . . . 11
3.1.1 Establecimiento de comunicaciones . . . . . . . . . . . . . 11
3.2 Redes de comunicación . . . . . . . . . . . . . . . . . . . . . . . . 12
3.2.1 Tipos de topología . . . . . . . . . . . . . . . . . . . . . . 13
3.3 Aspectos de la red cuántica . . . . . . . . . . . . . . . . . . . . . . 14
3.3.1 Dispositivos QKD . . . . . . . . . . . . . . . . . . . . . . . 15
3.3.2 Tecnología Software-Defined Network (SDN) . . . . . . . 15
II Implementación 17
4 Diseño de protocolos 19
4.1 Creación de protocolos . . . . . . . . . . . . . . . . . . . . . . . . 19
4.1.1 Primer acercamiento . . . . . . . . . . . . . . . . . . . . . 20
vii
4.2 QKD asistiendo al protocolo . . . . . . . . . . . . . . . . . . . . . 21
4.2.1 BB84 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
4.2.2 Diseño digital del protocolo . . . . . . . . . . . . . . . . . 24
4.3 Quantum Digital Signature (QDS) . . . . . . . . . . . . . . . . . . 24
4.3.1 Fundamento . . . . . . . . . . . . . . . . . . . . . . . . . . 25
4.4 Quantum Secret Sharing (QSS) . . . . . . . . . . . . . . . . . . . . 27
4.4.1 Fundamento . . . . . . . . . . . . . . . . . . . . . . . . . . 27
5 Ejemplos de uso 31
5.1 Conflicto bélico . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
5.1.1 Caso 1: transmisión estándar . . . . . . . . . . . . . . . . 32
5.1.2 Caso 2: comunicaciones de más de tres usuarios . . . . . . 35
5.2 Mensaje de despedida . . . . . . . . . . . . . . . . . . . . . . . . . 38
5.2.1 Caso 1: requisito de cuatro usuarios . . . . . . . . . . . . . 38
5.2.2 Caso 2: requisito de tres usuarios . . . . . . . . . . . . . . 39
5.2.3 Caso 3: requisito de cinco usuarios . . . . . . . . . . . . . 40
III Despliegue en la red 41

6 Conexión con la red 43
6.1 Redes cuánticas en la actualidad . . . . . . . . . . . . . . . . . . . 43
6.2 Madrid QN (red cuántica de Madrid) . . . . . . . . . . . . . . . . . 44
6.3 Despliegue en la red . . . . . . . . . . . . . . . . . . . . . . . . . . 45
7 Resultados de los protocolos 47

7.1 QDS: cadena de 3 usuarios . . . . . . . . . . . . . . . . . . . . . . 47
7.2 QDS: multiusuario . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
7.3 QSS: reconstrucción de funciones . . . . . . . . . . . . . . . . . . 50
IV Conclusiones 51
8 Discusión y Conclusiones 53
8.1 Discusión de los resultados . . . . . . . . . . . . . . . . . . . . . . 53
8.1.1 Casos exitosos . . . . . . . . . . . . . . . . . . . . . . . . . 53
8.1.2 QDS: casos complejos (manipulación en la firma y/o en el
mensaje) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
viii
8.1.3 QSS: casos complejos (reparto de shares y complejidad de
la función) . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
8.2 Conclusiones y trabajo a futuro . . . . . . . . . . . . . . . . . . . 57
Bibliografía 59
Apéndice: experimento en la red Madrid QN 65
Declaración de Autoría 67
ix
1 Introducción
La tecnología se encuentra en constante avance. En la actualidad, existe una

gran demanda por la conectividad, proporcionada principalmente por el Internet.
Esta necesidad acarrea consecuencias, al ser los ataques a las comunicaciones un
riesgo considerable para compañías, organismos públicos, infraestructuras privadas
o sistemas de salud, entre otros. La seguridad ante ataques cibernéticos es de
extrema importancia en el ambiente profesional actual, hecho ante el que se
introduce en redes la criptografía.
La criptografía ha permitido prosperar a una gran cantidad de negocios e ideas.
Un ejemplo cotidiano, reconocible por todo lector, son las redes sociales o apli-
caciones de mensajería, que deben asegurar la privacidad de sus usuarios y el
contenido privado que envían [1]. A nivel internacional, el uso de los protocolos
adecuados permite la transmisión a distancia de información confidencial.
Como contraparte ante las comunicaciones protegidas, la criptografía también da
explicación a escenarios de filtrado de información, debidos a amenazas externas.
Uno de los casos más documentados de uso extensivo de la criptografía, tanto para
salvaguardar las comunicaciones como realizar ataques cibernéticos, se encuentra
en la Segunda Guerra Mundial, con la trayectoria que experimentaron las máquinas
de cifrado Purple (Japón) y Enigma (Alemania) [2].
Frente a amenazas, dos respuestas dadas por la criptografía son: el cifrado, y la
firma digital o Digital Signature (DS). El cifrado de las comunicaciones asegura la
confidencialidad de la información transmitida entre emisor y receptor, es decir,
ningún usuario no autorizado podrá extraer y entender esta información. Por su
parte, la firma digital garantiza la identidad del emisor de un mensaje, así como
la imposibilidad de repudio, impidiendo que el autor o autora pueda denegar su
autoría en un envío con su firma.
Con el paso de los años, un gran número de protocolos de firma digital han sido
propuestos, analizados y estandarizados. Lo más habitual es hacer uso de un sistema
de claves publica-privada, donde un objeto protegido con clave pública requiere de
una clave privada otorgada de forma específica para descifrarlo. Protocolos de firma
digital como el RSA [3] o derivados ven un uso muy extendido en transacciones
diarias, al ser muy eficientes en el manejo de un gran número de usuarios.
Para proteger la seguridad de estos protocolos, ésta debe encontrarse sujeta a la
resolución de un problema matemático de elevada complejidad computacional.
1
Capítulo 1 Introducción
Esto es, que no pueda ser resuelto en un tiempo de cómputo razonable. Ejemplos de
ello son los problemas de factorización [4], el logaritmo discreto [5], o problemas
de optimización [6]. En la actualidad, se dispone de ordenadores clásicos para todo
tipo de aplicaciones red, incapaces de romper su seguridad.
Sin embargo, la llegada del ordenador cuántico pone en jaque a estas imple-
mentaciones. Posibilita la búsqueda de soluciones numéricas mediante algoritmos
como el de Shor [5] o de Grover [7], provocando que los protocolos de firma digital
actual pasen a ser inseguros1 . Se incluye en esta categoría a problemas matemáti-
cos considerados irresolubles por las máquinas disponibles en la actualidad, como
el uso de funciones de un camino.
En la comunidad informática, uno de los mayores intereses actuales se encuen-
tra en el desarrollo de nuevos protocolos de criptografía capacitados para
hacerle frente a la computación cuántica. Existen dos formas de orientar la
investigación: por un lado, se propone implementar nuevos algoritmos de cifrado
resistentes a sus ataques, esto es, que posean una complejidad computacional indes-
cifrable por un ordenador cuántico. Esta vertiente, conocida como criptografía
post-cuántica, sigue en la línea de los algoritmos clásicos.
Por otro lado, al igual que las tecnologías cuánticas pueden aplicarse para el
diseño de nuevos ordenadores, también pueden utilizarse para el desarrollo
de nuevos protocolos de criptografía. Bajo esta premisa, se introduce la crip-
tografía cuántica. Sus protocolos hacen uso de clave cuántica, generada a partir
de acciones regidas por las leyes de la mecánica cuántica. Al ser su origen ajeno a
la complejidad computacional, esta clave no es recuperable por amenazas externas.
En este proyecto, se desarrollarán dos protocolos de criptografía cuántica basados
en la firma digital y la mensajería secreta. Su parte cuántica vendrá dada por el
empleo de clave cuántica, generada en dispositivos de distribución de clave QKD
(Quantum Key Distribution). Los protocolos se desplegarán sobre la red cuántica
de Madrid, o Madrid QN [8].
En la parte I, se introducirán los conocimientos necesarios sobre criptografía y
redes para poder seguir la implementación. Se organiza en dos capítulos, referentes
a cada una de las dos áreas. En la parte II, se explican los protocolos de criptografía,
acompañada de ejemplos de uso. En la parte III, se documenta el despliegue en
la red de los protocolos para la extracción de clave QKD. Sus resultados forman
parte del Apéndice A. Finalmente, en la parte IV, se discutirán los resultados y se
extraerán conclusiones.
1 Pertenecen a esta categoría los problemas de computación de clase de complejidad BQP. Ver
Quantum Algorithm Zoo para una lista completa de algoritmos resolubles por estos nuevos
sistemas.
2
Parte I
Planteamiento
Criptografía. Defi-
2 nición y novedades
En informática y telecomunicaciones, la criptografía es el ámbito de la criptología

dedicado al estudio y uso de técnicas de cifrado sobre envíos de información,
con la finalidad de proteger su contenido frente a agentes no autorizados. Se
fundamenta en el desarrollo y análisis de protocolos de criptografía, conjuntos
de órdenes que previenen el acceso y manipulación de la información privada
transmitida durante comunicaciones entre dos entidades.
En criptografía, los adversarios pueden ser externos al protocolo o parti-
cipantes con intenciones maliciosas. Sus objetivos pueden ser variados: entor-
pecer la transmisión de información, manipular envíos de información, u obtener
información confidencial son situaciones posibles en la realidad.
Cualquier desarrollo en criptografía debe dar respuesta ante principios funda-
mentales del campo [9], tales como:
La confidencialidad. Hace referencia a ciertas reglas y guías en la comu-

nicación, seguidas bajo acuerdos. La información es restringida a un grupo
selecto de usuarios.
La integridad del envío. Sucede en caso de no poder alterarse su contenido.
El proceso de autenticación del emisor. Asegura que los envíos que haya
realizado perteneczan a él o ella.
Protección ante repudio. Se obtiene si cualquier intento de negación, por

parte de un usuario, de la autenticidad de su firma es detectable.
2.1. Conceptos generales

A continuación, se introduce al lector a algunos de los objetos más referenciados
durante la parte criptográfica del proyecto.
Usuario: es uno de los participantes en el protocolo. Son posibles usuarios un

individuo, una máquina, o una entidad (representando a un grupo de individuos).
Se han considerado cuatro tipos de usuario:
5
Capítulo 2 Criptografía. Definición y novedades
Emisor: se encarga de comenzar la comunicación mediante envíos de infor-

mación, a uno o más usuarios en la red. Se asumirá un solo emisor en todo
escenario.
Receptor o receptores: son quienes reciben la información. Para los proto-
colos considerados, se requerirá de un mínimo de dos receptores.
Espía: son usuarios externos al protocolo ejecutado entre emisor y receptores.
Tratarán de obtener información confidencial sin poseer autorización,
a partir de algún canal susceptible a espionaje.
Malicioso: en el contexto de este proyecto, se denomina malicioso a usuarios
incluídos en la ejecución de protocolo (emisores o receptores) con intenciones
de manipular algún envío.
En los Capítulos 4 y 5, para ayudar al lector a seguir las acciones de cada usuario,
se utilizará un código de colores: emisor, receptor, espía/malicioso.
Mensaje: en informática, un mensaje es una cadena de bits, cada uno albergando

información. El procesado de esta cadena puede realizarse de diversas formas. Un
ejemplo podría ser la mensajería en el habla humano: a partir de una cadena de bits,
realizando una agrupación por bytes (1 byte = 8 bits) se generan los caracteres que
conocemos. En los protocolos de criptografía, un mensaje se encuentra sujeto a
problemas de autenticación. Debe disponerse de un método para confirmar su
procedencia. También corre el riesgo de que su contenido sea robado o manipu-
lado, lo que requeriría de algún tipo de cifrado.
Clave: es una secuencia de números y letras con múltiples propósitos en cripto-

grafía. Su uso se encuentra muy extendido en tareas de cifrado, donde un emisor
realiza una operación, utilizando su clave, sobre el mensaje. El receptor es capaz
de descifrar el mensaje únicamente si dispone de otra clave, habilitada para recu-
perarlo. Otra aplicación de la clave se encuentra en la firma digital, por medio de
operaciones de verificación de firma. Para toda comunicación entre dos usuarios
emisor - receptor, se distribuyen pares de clave (una clave por usuario).
Se diferencian dos tipos de clave: simétrica, donde los dos usuarios obtienen
claves idénticas, o asimétrica, difiriendo en este caso las dos claves del par2 . En el
contexto de este proyecto, siempre se utilizará clave simétrica.
2 Los métodos de cifrado asimétrico siguen una dinámica de clave pública - clave privada. Esto
es: se da acceso público a un objeto cifrado con una clave pública, únicamente descifrable por
medio de una clave privada.
6
Protocolos de criptografía Section 2.2
2.2. Protocolos de criptografía

Un protocolo de criptografía es un sistema de reglas que garantiza principios
fundamentales de la criptografía, como lo son la protección ante repudio o
autenticación, en la comunicación entre usuarios. Para ello, se utilizan métodos
criptográficos, tareas llevadas a cabo por las claves de usuario.
Los métodos criptográficos disponibles son altamente dependientes del tipo
de pares de clave disponibles. Esto es, su relación simétrica o asimétrica. Con
el desarrollo de la criptografía, numerosos protocolos han hecho aparición. Para
cifrado, algunos protocolos de clave simétrica son AES (2002) [10], Poly1305
(2005) [11] o ChaCha20 (2008) [12]. Para el cifrado asimétrico, se documentan
los protocolos Diffie-Hellman (1976) [13], RSA (1977) [3] o DSA (1994 - 2013)
[14]. En las pruebas realizadas para computación clásica, la clave simétrica es más
ágil para procesos de cifrado/descifrado y preciso en comparativas de clave. No
obstante, en lo que a seguridad respecta, el empleo de dos claves diferentes hace al
cifrado asimétrico más seguro [15].
Varios de los protocolos de criptografía mencionados son muy versátiles. Por
este motivo, se han extensión gratamente en su uso. Al ser la llegada de la cripto-
grafía cuántica un peligro para ellos, es crucial fomentar el desarrollo de nuevos
protocolos que cumplan su misma función.
El desarrollo de protocolos de criptografía en este proyecto, si bien no rehusará
de la criptografía clásica, no sufrirá de muchas de las inseguridades actuales debido
a su diseño y despliegue para una plataforma con clave cuántica3 a su disposición.
En el Capítulo 4, se desarrollarán dos propuestas para protocolos: la firma digital
cuántica (Quantum Digital Signature, QDS) y la mensajería secreta (Quantum
Secret Sharing, QSS).
2.2.1. Nuevos canales de comunicación

Un canal de comunicación es un elemento de la red sobre el que transcurrirán
las comunicaciones entre nodos. En nuestra red y protocolos, se utilizan dos tipos
de canales:
Clásicos. Son los canales más conocidos y extendidos en uso. Sus envíos se
miden en bits. Durante los protocolos, se asumirán seguros.
Cuánticos. Sus envíos son fotones, cuyos estados cuánticos son denominados
qubits. Cualquier envío realizado sobre estos canales es muy susceptible
3 Clave generada a partir de las leyes de la mecánica cuántica y, por tanto, no replicable por
métodos de descifrado habituales. Se verá un caso de obtención en la Sección 4.2.1.
7
frente al ruido, lo cual permitirá detectar a amenazas externas en intentos de

espionaje.
La comunicación entre usuarios será por lo general clásica. El envío de mensajes

seguirá siendo análogo a como sucede en protocolos de criptografía clásica, así
como otras interacciones que se narrarán en el Capítulo 4.
La clave, por otra parte, es un elemento de mayor importancia para garantizar
el funcionamiento del protocolo. Es aquí donde entra en uso el canal cuántico. La
clave será generada a través de operaciones realizadas sobre los envíos (fotones)
del canal cuántico, que denominaremos como medidas cuánticas.
Medidas cuánticas
Todo lo que se ha de conocer sobre Mecánica Cuántica para el entendimiento de

su importancia en el reparto de clave guarda relación con la nueva unidad básica
de información cuántica. En este caso, los fotones son físicamente representados
por un estado cuántico denominado qubit. Al contrario que el bit clásico, éste no
es binario:
|𝜓 ⟩ = 𝑐 0 |0⟩ + 𝑐 1 |1⟩ (2.1)
Lo que se ve a continuación es su expresión formal. La base |0⟩ , |1⟩ sigue la notación
de Dirac, comúnmente empleada al momento de representar estados cuánticos. El
estado es ortonormal. Es decir, 𝑐 0, 𝑐 1 siguen la relación |𝑐 0 | 2 + |𝑐 1 | 2 = 1 siendo
𝑐 0, 𝑐 1 ∈ C. La toma de medidas sobre 2.1 es irreversible, y el resultado obtenido
de ello es una medida 0 o 1 de un bit clásico. Hay numerosos ejemplos en la
toma de medidas: si |𝜓 ⟩ = |0⟩ o |𝜓 ⟩ = |1⟩, cualquier medida colapsará a 0 o 1,
respectivamente. Sin embargo, al tomar una medida sobre el fotón 2.1, el resultado
puede ser tanto 0 o 1, pero no ambos. Estas obtenciones siguen las probabilidades
|𝑐 0 | 2 y |𝑐 1 | 2 , respectivamente.
Cualquier interacción directa con un estado cuántico supone una opera-
ción de medida. Este concepto es crucial para entender a los canales cuánticos
en las comunicaciones: en protocolos haciendo uso de ambos tipos de canal, en
el clásico, puede compartirse información que no es crítica en cuanto a seguridad.
Mientras tanto, al ser el espionaje sobre un canal cuántico completamente detec-
table gracias a la alteración del estado cuántico en sus envíos, es razonable
que se utilice para transmitir la información de clave. Si se intenta atacar al canal,
en el se protocolo encontrarán unas tasas de acierto erróneas entre el emisor y el
receptor que, de detectarse, se abortará el protocolo.
8
Líneas de investigación frente a la computación cuántica Section 2.3
2.3. Líneas de investigación frente a la

computación cuántica
Si bien a día de hoy no se espera que la computación cuántica sea capaz de
resolver todo problema computacional [16], también es conocida su capacidad
para inutilizar varios de los protocolos de criptografía clásica más utilizados en
el momento [17]. Ante este problema, las propuestas se centran en dos recientes
vertientes de la criptografía:
La criptografía cuántica: consta de protocolos que utilizan principios de la
mecánica cuántica para proteger la transmisión de información. Estos pro-
tocolos no dependen de la resolución de algún problema matemático,
basados en su lugar en el carácter completamente aleatorio de los sistemas
cuánticos. Compatibilizar estos protocolos con las redes requiere que éstas
últimas dispongan de comunicaciones cuánticas. Como se vio en la Sección
2.2, los fotones pasan a ser portadores de qubits o estados cuánticos, que
requieren soporte de dispositivos que los puedan manipular debidamente. Las
transmisiones de información deben ser acomodadas para envíos de estados
cuánticos, al ser muy vulnerables al ruido. Los protocolos de criptografía
cuántica más conocidos en la actualidad son aquellos utilizados para la distri-
bución de clave cuántica, o Quantum Key Distribution (QKD) (ver Sección
4.2.1). Existen otros tipos de protocolos denominados “beyond QKD”; se
consideran como tal la firma digital cuántica (Quantum Digital Signature,
QDS) o mensajería secreta cuántica (Quantum Secret Sharing, QSS), objetos
de este proyecto.
La criptografía post-cuántica: investiga algoritmos cuya complejidad
computacional los hace indescifrables frente a algoritmos cuánticos conoci-
dos. Dicho de otro modo, se preparan específicamente para no caer frente la
llegada de esta nueva tecnología. La criptografía post-cuántica puede perci-
birse como la criptografía clásica que ya conocemos, pero actualizada
en cuanto a complejidad en protocolos, algoritmos o estándares de red
frente a la amenaza cuántica. Una serie de propuestas para algoritmos de
criptografía post-cuántica están pasando por un proceso de estandarización
a cargo del Instituto Nacional de Estándares y Tecnología (NIST) [18]. En los
últimos meses, NIST inició la evaluación de tres algoritmos de firma digital:
CRYSTALS-DILITHIUM [19], FALCON [20] y SPHINCS+ [21].
La criptografía post-cuántica, pese a su complejidad computacional, sigue siendo
susceptible al ataque de nuevos algoritmos por su carácter clásico. Por otra parte,
9
la criptografía cuántica es protegida por fundamentos físicos, ajenos a la com-

plejidad computacional, pero requiere de una red adaptada para su despliegue.
Al disponerse de canales cuánticos y dispositivos de generación de clave cuántica
en la red Madrid QN, se escoge para este proyecto desarrollar protocolos de
criptografía cuántica.
2.3.1. Vertientes en criptografía cuántica

Dentro de la criptografía cuántica, la discusión se centraliza en dos categorías:
Criptografía cuántica asistida. Se trata de protocolos de criptografía clásica
alimentados a través de clave generada sobre un canal cuántico. La clave
es generada por dispositivos de Quantum Key Distribution (o QKD).
La criptografía cuántica asistida por QKD se encuentra protegida frente a
espionajes de clave, mientras que conserva las funcionalidades propias de la
criptografía clásica.
Criptografía cuántica pura. Trata de generar nuevos protocolos a partir del

uso extensivo de fundamentos mecano-cuánticos a todos los niveles (esto es,
prescindiendo en mayor medida de medios de comunicación clásicos).
A largo plazo, se especula que pueda dar con nuevas funcionalidades, fruto
de particularidades de la mecánica cuántica como la teleportación de estados
cuánticos [22].
Atendiendo a esta clasificación, los Quantum Digital Signature y Quantum Secret

Sharing desarrollados en el Capítulo 4 corresponden a criptografía cuántica asistida
por QKD.
10
3 Tecnología de red
3.1. Conceptos base sobre redes

Se denomina ciencia de redes a la disciplina que estudia redes complejas, tales
como redes de comunicación, redes informáticas, biológicas, cognitivas o sociales,
compuestas por diferentes actores (denominados nodos) unidos entre sí por medio
de diferentes conexiones.
La ciencia de redes comenzó a tomar forma como una disciplina a mediados de
los 90 debido al surgimiento natural de modelos de red en campos de estudio tales
como la biología, la economía o la física, en los que adoptar una perspectiva rela-
cional entre múltiples elementos es habitual [23]. En estas disciplinas, la aparición
de redes no es detectable a simple vista, por lo que se recurre al análisis de datos
mediante algoritmos de aprendizaje e inferencia para la obtención de las variables
y sus conexiones. En estadística, son conocidas las redes bayesianas [24, 25].
Esta disciplina también cubre campos como la informática o las telecomuni-
caciones, más alejados de la visión de redes previa como un modelo entre variables.
En las redes informáticas y de telecomunicaciones, se establecen conexiones entre
usuarios/ dispositivos con la finalidad de brindar algún sistema o servicio. Para su
concepción, se estudian infraestructuras (el hardware necesario, las funcionalida-
des disponibles), protocolos de uso (manejo de las funcionalidades), la seguridad
en la propia red o el acceso a éstas por parte de nuevos usuarios.
3.1.1. Establecimiento de comunicaciones

Para llevar a cabo la interconexión entre dispositivos de una misma red local,
se utilizan conmutadores (conexión de segundo nivel). A continuación, para la
interconexión de redes, se utilizan routers (conexión de primer nivel). Una vez
conectados los dispositivos, se emplean estándares y protocolos de red para que
las redes puedan funcionar juntas, de modo que los usuarios se comuniquen entre sí.
Los estándares se preparan teniendo en cuenta que componentes de red fabricados
por diferentes compañías operen en conjunto, de modo que se asegure mayor
compatibilidad e interoperabilidad entre distintos tipos de tecnologías de red.
Una de las principales referencias para el planteamiento de protocolos de red es
el modelo OSI (Open System Interconnection) [26]. Es una normativa formada
11
Capítulo 3 Tecnología de red
Figura 3.1: las siete capas del modelo OSI: 7) aplicación, 6) presentación, 5) sesión, 4)
transporte, 3) red, 2) enlace de datos y 1) física.
por siete capas (ver Figura 3.1), que definen las diferentes fases por las que deben
pasar los datos para viajar de un dispositivo a otro sobre una red de comunicaciones.
3.2. Redes de comunicación
Se demonina red de comunicación al flujo de información entre una serie

de nodos interconectados. En informática, los nodos pasan a ser máquinas o
dispositivos en la red, que pueden llevar a cabo sus propias operaciones mediante
aplicaciones o software que les asista. Para llevar a cabo comunicaciones entre los
nodos de una red, se adoptan protocolos de actuación, de modo que se brinde un
buen funcionamiento a la red.
Un aspecto muy a tener en cuenta en el diseño de redes de comunicación es la
topología de red. Dependiendo de la disposición de los nodos, puede darse lugar
a diferentes escenarios, cada uno cumpliendo necesidades específicas. Veremos las
topologías más conocidas a continuación.
12
Redes de comunicación Section 3.2
3.2.1. Tipos de topología

En el desarrollo de los protocolos, se verán distintas topologías entre usuarios.
En la Figura 3.2, se muestran cinco disposiciones de nodos y conexiones.
Red en cadena: maneja comunicaciones entre nodos adyacentes. En la co-

municación entre un emisor y receptor no adyacentes -indirecta-, se pasará
por nodos intermediarios que, a menudo, analizarán la información recibida.
Suele tratarse de una cadena jerárquica.
Red en Y: difiere con la red en cadena por su ramificación. Un mismo envío

puede programarse para más de un receptor. Lo más estandarizado son dos
receptores (dada la simplicidad que aporta para escenarios de pluralidad en
el envío), recibiendo así su nombre.
Red en estrella: posee un nodo central (A en la Figura 3.2) que interviene

en todo proceso de comunicación. Es el modelo usual cuando hay un mando
común para muchos equipos desconexos.
Red en círculo: todo nodo puede llevar a cabo comunicaciones -directas o

indirectas- con los restantes. Cada uno dispone únicamente de dos nodos
adyacentes, de modo que se mantiene cierto orden. En contraste con la red
en cadena, no presenta una jerarquía marcada.
Red de vías múltiples: permite comunicación directa entre todos los nodos.
Es el tipo de comunicación más utilizado en ambientes cooperativos.
Figura 3.2: tipos de red de comunicación.
13
Los modelos de red de comunicación que se presentan en la Figura 3.2 parecen

muy simplistas para su consideración en una red de cierta complejidad. No obstante,
las redes QKD disponibles son punto a punto, esto es, una conexión directa
entre nodos [27]. Por tanto, es completamente compatible con los tipos de red
de comunicación expuestos.
3.3. Aspectos de la red cuántica

En las redes cuánticas, es posible establecer canales de comunicación entre dos
puntos de la red, protegidos frente a espionaje por su naturaleza cuántica [28].
El desarrollo de las tecnologías cuánticas, y de las comunicaciones cuánticas en
particular, ha sido objeto de un elevado número de proyectos a nivel mundial,
destinados a la eventual transición de hardware clásico a cuántico. Ejemplos de ello
son iniciativas tales como CiViQ [29], OpenQKD [30], UniQorn [31] o EuroQCI
[32]. Uno de los resultados más destacados es el exitoso desarrollo del protocolo de
criptografía cuántica Quantum Key Distribution (QKD) para la generación de
clave cuántica4 , inmune a la resolución de problemas matemáticos.
Llevar a cabo comunicaciones cuánticas en la actualidad presenta dificultades, al
suponer el hardware requerido para realizarlas un elevado coste. Por este motivo,
aún con un número elevado de proyectos en el campo, no existen aún muchas
redes cuánticas (ver Capítulo 6 para un resumen de las redes existentes). con la
capacidad de desplegar protocolos de criptografía cuántica. Ya que en el contexto
de este proyecto se dispone de la red cuántica de Madrid, lo restante de la Sección
será enfocado a detallar aspectos de la misma. En primera instancia, posee acceso a
doce dispositivos QKD [8].
Un aspecto a destacar de esta red es su construcción bajo nuevos paradigmas de
red, en particular Software-Defined Network (SDN) [34], y Network Functions
Virtualization (NFV) [35]. En ambos, se llevan a cabo mediante software tareas de
la red que, en arquitecturas de red que no hacer uso de SDN o NFV, corresponden a
hardware. Este detalle hará que Madrid QN se diferencie en la puesta en despliegue
de los protocolos de criptografía (que tuvieron en consideración la estructura SDN-
NFV de esta red en su implementación) con respecto a redes tradicionales, aspecto
que deberá ser documentado. Otra red haciendo uso de la tecnología SDN es la
propuesta en [36].
4 Para el lector interesado en entender los conceptos de QKD o clave cuántica en todo lo que resta
de la lectura, se aconseja visitar con antelación la Sección 4.2.1. Narra la obtención de clave
cuántica a través de un protocolo QKD, el BB84 [28, 33].
14
Aspectos de la red cuántica Section 3.3
3.3.1. Dispositivos QKD

La generación de clave cuántica ha pasado por numerosas propuestas de
diseño de nuevos protocolos [33, 37-39], tomando en consideración aspectos
tales como la seguridad de la clave cuántica generada frente a amenazas externas
(también cuánticas), la metodología para detectar perturbaciones en el sistema, o la
interpretación de las medidas obtenidas de los estados cuánticos enviados.
Entre las diferentes propuestas, se encuentran diferentes magnitudes físicas
que medir en el canal cuántico. En la Sección 2.2.1, se hizo alusión a las medidas
cuánticas de qubits, la unidad básica de información cuántica. Estas medidas
pueden pertenecen a una variable discreta (dos valores: 0 o 1).
En la red planteada para el despliegue de los protocolos que se han implementado,
la generación de clave cuántica se lleva a cabo por medio de dispositivos QKD,
cuya generación de clave cuántica se realiza a través de una variación del protocolo
BB84. La diferencia con este protocolo recae en la toma de medidas, llevada a cabo
a partir de detección homodina [40] de los fotones. Esta última mide magnitudes
físicas continuas de la onda electromagnética de cada envío, determinándose la
clave mediante variable continua [41].
La medida de estados cuánticos viene dada por probabilidades. Para garanti-
zar la obtención de clave simétrica, los protocolos que siguen estos dispositivos
incorporan el destilado de clave. Consiste en suprimir aquellos bits obtenidos
cuyo método de medida difiere entre emisor y receptor. Esta información se
comunica por medio de un canal clásico. Nótese que este intercambio de informa-
ción hace referencia a que los métodos sean iguales o diferentes, pero no al valor
obtenido de la medida en sí, de modo que no se envían los bits que componen la
clave. Existe una garantía implícita de que, realizando la medida de la misma
manera, se obtenga la misma clave para ambos nodos o usuarios5 .
3.3.2. Tecnología Software-Defined Network (SDN)

Las redes definidas por software consisten en la separación de los planos de
control y de datos, de modo que se disponga de una red gestionada de forma
centralizada y programable. Algunas implementaciones de SDN utilizan una
plataforma de administración basada en software que controla el hardware de la red.
Otra opción disponible es utilizar un enfoque integrado de hardware y software.
En la Figura 3.3, se ilustran los tres planos que componen a una red definida por
SDN. Un impacto positivo directo de esta metodología de diseño supone liberar al a
5 De nuevo, para la comprensión a fondo de estos fenómenos, se remitirá al lector a la Sección
4.2.1.
15
hardware de una gran cantidad de procesos. Habiendo distribuido más las tareas, se
agilizan los procesos en la red [42]. Otro atractivo de la tecnología SDN es la gran
flexibilidad y adaptabilidad aportada por la digitalización [43]. Realizar cambios
en la red supone un menor coste, al necesitarse menor adaptación por parte del
hardware.
Figura 3.3: La arquitectura SDN usual es de tres capas: la de aplicación, la de control y la

de tratamiento de datos.
La simulación de elementos de la red propuesta por la tecnología SDN no era

opción en su lanzamiento frente a los tipos de red ya establecidos. Con el tiempo,
la digitalización cada vez más marcada en el sector tecnologíco, así como otras
propiedades atractivas del SDN (mayor velocidad en la red, centralización de la
gestión, o mayor flexibilidad en la red) han sido la causa de la migración de
infraestructuras de red a SDN por parte de muchos administradores.
En el caso de QKD, donde la tecnología aún se encuentra en fase de desarrollo, las
propiedades del paradigma de SDN pueden ser de un gran ayuda, permitiendo a
los dispositivos QKD diseños más simples. La gestión compleja, llevada a cabo
por medio de los controladores SDN, realiza una abstracción del canal cuántico
como otro canal de datos más (es su modo de operar). Su recurso generado, la clave
cuántica, es enviada desde el controlador SDN hacia las aplicaciones de los
nodos que la soliciten.
Podemos así concluir que, apoyándonos en software, nos es posible dotar de una
mayor independencia a cada elemento en la red, así como realizar cambios en
la misma sin necesidad de realizar grandes alteraciones en el hardware.
16
Parte II
Implementación
4 Diseño de protocolos
Una vez introducidos los conceptos de criptografía necesarios, en esta sección se

pasará a explicar los protocolos de criptografía desplegados en la red. Por un lado, se
dispone de los dispositivos Quantum Key Distribution (QKD), generadores de
clave cuántica y ya integrados previamente en la red. Por otro lado, se implementan
dos nuevos protocolos compatibles con la red y que hacen uso de sus dispositivos
QKD: un Quantum Digital Signature y un Quantum Secret Sharing.
4.1. Creación de protocolos

Tal y como fue explicado en el Capítulo 2, un protocolo de criptografia busca la
protección de la información en comunicaciones. Se encuentra establecido por:
Unas reglas de uso que deben ser seguidas por todo usuario incluído en
el proceso de comunicación, según sea su rol. En toda comunicación hay
dos roles distintivos muy marcados: el emisor, quien envía la información o
mensaje, y el receptor, encargado de recibirlo.
Los pares de clave. Nuestros protocolos utilizarán dispositivos Quantum
Key Distribution (QKD) para la generación de clave cuántica y su posterior
reparto, de manera segura entre emisor y receptor o receptores.
El cifrado. Es utilizado de modo que toda información transmitida en ésta
no se vea comprometida. Es crucual su planteamiento en el Quantum Secret
Sharing. En el cifrado, recae la defensa contra tácticas de espionaje, que se
opongan directamente al uso adecuado del protocolo.
Al pensar en un nuevo protocolo, se han de identificar cuáles son las necesida-

des en una red: ¿poder llevar a cabo nuevas acciones entre usuarios? ¿Reforzar
la seguridad en funcionalidades previas ya disponibles? ¿Lograr nuevos diseños
compatibles con nuevas infraestructuras de red?
En este proyecto, se busca responder a la tercera pregunta. Los protocolos plan-
teados a continuación son de criptografía asistida por QKD, de modo que buscan
adaptarse a las claves cuánticas generadas bajo esta tecnología, dada la seguridad
que proporcionan.
19
Capítulo 4 Diseño de protocolos
4.1.1. Primer acercamiento

Para comenzar, se planteará la siguiente situación: Alice (emisor) envía un
mensaje 𝑚 privado a Bob (receptor).
Durante el envío, tanto el emisor como el receptor pueden plantearse numerosas
situaciones:
Por parte de Alice, ella elige a Bob como receptor a su envío. No obstante,
duda si éste sabrá que fue ella el emisor.
Por parte de Bob: desde su perspectiva, llega un mensaje 𝑚. Desconoce el

emisor puesto que no se autentificó en ningún momento.
No hay ningún cifrado en el mensaje 𝑚. Puede darse que 1) un espía se haga

con él mientras se envía a Bob y 2) otra persona dentro de los usuarios, Charlie
(sería otro receptor como Bob) podría recibirlo antes y alterarlo (mensaje 𝑚′),
de modo que al receptor original, Bob, no le llegue lo deseado por el emisor
Alice.
En tan solo un proceso de envío, hemos identificado problemas de autenticación

de la procedencia del mensaje, de falsificaciones de su contenido durante el envío
(falta de integridad), y de filtrado de información (falta de confidencialidad).
Los protocolos de seguridad diseñados deben responder a estas necesidades.
Introducir estos sistemas acarreará modificaciones en el proceso de envío, que
tendrán que ser tomadas en cuenta por todos los usuarios originales para verificar
que el envío haya sido un éxito.
Se dará a continuación una descripción de protocolo de las dos funcionalidades
que se buscan implementar:
La firma digital. En numerosos acuerdos, se debe proponer grabado que

permita identificar a todos los interesados. En el contexto de la informática,
es natural la evolución a la firma digital, que supone el mismo concepto
mediante el uso de pares de clave.
Para la mensajería, requerimos que los usuarios puedan verificar la identidad
del emisor de la información enviada. Es decir: el emisor Alice debe firmar su
mensaje, y el receptor Bob debe poder ser capaz de validar su firma. La firma
de un mensaje enviado por Alice no debería poder ser alterada con facilidad
por ningún usuario malicioso. Así mismo, una firma no debería poder ser
repudiada. Es un identificador inamovible del usuario. Veremos este proceso
en el protocolo Quantum Digital Signature (QDS).
20
QKD asistiendo al protocolo Section 4.2
Mensajería secreta. Una falta de confidencialidad o integridad en los

mensajes puede suponer un escándalo. Un método para proteger los envíos
ante amenazas conlleva el empleo de funciones matemáticas por parte del
emisor, transformando el mensaje mediante la misma función [44] o en-
mascarándolo entre sus valores (Secret Sharing de Shamir [45]). El objeto
enviado, que contiene el secreto, solo puede obtenerse por un receptor
que disponga de clave cuántica. En el ejemplo, Alice aplicaría la llamada
función de cifrado sobre el mensaje, que le llegaría a Bob. En caso de haber un
espía, Eve, éste no sabrá interpretar el contenido espiado, viéndose incapaz de
modificar los contenidos. Bob, por su parte, lo recibirá con éxito. Se estudiará
más a fondo en el protocolo Quantum Secret Sharing, o QSS.
Al tratarse ambos de protocolos de criptografía asistida por dispositivos QKD,
no se teme falta de confidencialidad en la clave cuántica, pues cualquier intento
externo por hacerse con ella se detectaría de inmediato.
4.2. QKD asistiendo al protocolo

Se ha hecho referencia en reiteradas veces a la mejora en cuanto a confidencialidad
que supone el empleo de clave cuántica, junto con la naturaleza de las medidas
en la mecánica cuántica (ver Sección 2.2.1). Sin embargo, aún no se ha dado una
explicación formal de ello.
Para entender mejor qué aporta la introducción del formalismo cuántico a la
protección de la clave, estudiemos el protocolo QKD que utilizan los dispositivos
QKD empleados: el conocido BB84.
Nota: en la Sección 3.3.1, se explica la existencia de una discrepancia entre el
protocolo seguido por el dispositivo QKD respecto al BB84, en relación a la variable a
medir del estado cuántico. Para los pasos que se van a comentar, no es de relevancia:
lo importante supondrá entender los principios básicos.
4.2.1. BB84
El BB84 fue el primer protocolo de criptografía cuántica [28] [33]. Fue desarrollado
por Charles Bennett y Gilles Brassard (1984). Se fundamenta en la obtención de un
par de claves simétricas en ambos extremos de un terminal, de carácter cuántico al
obtenerse a través de la realización de medidas sobre fotones.
El proceso involucra a dos usuarios: el emisor, encargado de enviar los fotones
siguiendo determinados estados cuánticos, y el receptor, que tomará medidas de
los estados. Recordando la definición de qubit (2.1), el estado enviado por Alice es:
21
𝑛
Ì
|𝜓 ⟩ = |𝜓𝑎𝑖 𝑏𝑖 ⟩ (4.1)
𝑖=1
Donde 𝑎𝑖 , 𝑏𝑖 . El primero es el subíndice de los estados en el producto tensorial.
𝑎𝑖 , 𝑏𝑖 = 0, 1, dando lugar a cuatro posibilidades. Siguen la forma de la ecuación
(2.1):
|𝜓 00 ⟩ = |0⟩
|𝜓 10 ⟩ = |1⟩
|𝜓 01 ⟩ = √1 |0⟩ − √1 |1⟩ = |−⟩ (4.2)
2 2
|𝜓 11 ⟩ = √1 |0⟩ + √1 |1⟩ = |+⟩
2 2
Sean 𝑎, 𝑏 dos listas que generará el emisor Alice, correspondiendes al conjunto
de elementos 𝑎𝑖 , 𝑏𝑖 respectivamente. Según su valor (ambos pudiendo ser 0 o 1), se
determinarán qué estados debe enviar Alice, junto con su orden. Mientras que
𝑏 determina la base de estados ({|0⟩ , |1⟩} o {|−⟩ , |+⟩}) correcta a utilizar en cada
detección (ec. (4.3)), 𝑎 determina el estado cuántico escogido de los dos estados en
cada base.
𝑏 = 0 → {|𝜓 00 ⟩ , |𝜓 10 ⟩} = {|0⟩ , |1⟩}

(4.3)
𝑏 = 1 → {|𝜓 01 ⟩ , |𝜓 11 ⟩} = {|−⟩ , |+⟩}
Sea 𝜓 un estado cuántico enviado por el emisor Alice. La tarea de Bob será
medirlos y anotar sus resultados. Como ya se ha reiterado varias veces, la medida
de un estado cuántico causa su colapso a un valor clásico, 0 o 1, asignados al
estado cuántico que corresponda en cada caso. Comúnmente, se asume que Bob
genera al azar las bases de estados 𝑏 ′ a usar sobre cada qubit.
En la Figura 4.1 se ilustra el proceso de destilado de clave, considerando envíos
de un fotón o qubit 𝜓𝑎𝑖 𝑏𝑖 por separado. Para cada envío 𝑖, el receptor Bob realiza la
detección con la bases dada por 𝑏𝑖′ = 0, 1. El resultado de la medida, 0 o 1, será el
valor a asignar a 𝑎𝑖′.
Ambos, emisor y receptor, comparan sus listas 𝑏 y 𝑏 ′. Son las que contienen las
bases de medida empleadas: por parte de Alice, generadas aleatoriamente; por parte
de Bob, escogidas aleatoriamente en cada ocasión. Veremos qué relación guarda
realizar esta comparación con los valores 𝒂 ′ obtenidos en las medidas del
receptor Bob.
Si ambos emisor y receptor hacen uso de la misma base de medida, el

resultado de la medida obtenida por el receptor será el elegido por el emisor
(habrá envío de bit infalible).
22
QKD asistiendo al protocolo Section 4.2
Figura 4.1: las bases de estados otorgando a cada fotón de un estado cuántico, y posterior-
mente midiéndolo. Se representan por polarizadores de luz [46].
Ejemplo: para el envío 𝑖, emisor obtiene 𝑎 = 1, 𝑏 = 1. Por tanto, enviará el

estado |𝜓 11 ⟩ = √1 |0⟩ + √1 |1⟩ = |+⟩. Siendo que 𝑏𝑖 = 1, si receptor escoge
2 2
aleatoriamente 𝑏𝑖′ = 𝑏𝑖 = 1, el resultado de medir con la base {|𝜓 01 ⟩ , |𝜓 11 ⟩}
será 𝑎′ = 1: es el primer elemento de la misma. Por tanto, 𝑎 = 𝑎′ = 1.
Si ambos emisor y receptor utilizan bases diferentes, independientemente del

valor planteado por el emisor, existe un 50 % de probabilidades de obtención
de obtener 0 o 1. No se añade este bit a la clave.
Ejemplo: para el envío 𝑖, emisor obtiene 𝑎 = 0, 𝑏 = 1. Por tanto, enviará el
estado |𝜓 01 ⟩ = √1 |0⟩ − √1 |1⟩ = |−⟩. Siendo que 𝑏𝑖 = 1, si receptor escoge
2 2
aleatoriamente 𝑏𝑖′ = 0 ≠ 𝑏𝑖 , el resultado de medir con la base {|𝜓 00 ⟩ , |𝜓 10 ⟩}
será aleatorio, con un 50 % de probabilidad, entre 𝑎′ = 0 y 𝑎′ = 1.
Resumiendo, las listas 𝑎 y 𝑎′ contienen los elementos que compondrán los pares
de clave cuántica, que se filtrarán mediante un proceso de descarte a través de un
canal clásico (destilación, mencionado en la Sección 3.3.1). Alice y Bob compararán
cada elemento de 𝑏 y 𝑏 ′. Si, para un envío 𝑖, 𝑏𝑖 y 𝑏𝑖′ son iguales, los resultados en 𝑎, 𝑎′
coincidirán también. Entonces, los valores 𝑎𝑖 , 𝑎𝑖′ se incluirán en las claves simétricas
respectivas de cada uno. De lo contrario, se descartan.
23
4.2.2. Diseño digital del protocolo

Al desarrollar un nuevo protocolo de criptografía, hay determinadas cuestiones
que plantear en cuanto a su funcionamiento:
1. ¿Cuántos usuarios pueden formar parte de la operación?
2. ¿De qué tipo de red de comunicación dispondrán?
3. ¿Qué aspecto tendrá la clave? ¿Cuánta longitud de clave se necesita?
4. ¿Cuánta precisión requiere el protocolo para darse por exitoso?
5. ¿Cómo se realizará el cifrado de mensajes?
6. Otros parámetros referentes a magnitudes físicas (ritmo de generación de

clave cuántica por parte del QKD, número de elementos de clave a compartir,
entre otros).
Nuestra plataforma deberá disponer de parámetros de entrada que permitan detallar
cómo tratar los datos introducidos en el protocolo. De partida, surgen los siguientes.
n_users: corresponde al número de usuarios que se conectarán para llevar
a cabo el protocolo.
QKD_key_length: la cantidad de elementos de clave necesaria.
QKD_tx_address y QKD_rx_address: son las direcciones y puertos de

los nodos de la red que recibirán la clave.
Hasta este punto, se ha posibilitado configurar el número de usuarios que se
comunicarán, su cantidad y tipo de clave, y las direcciones de sus nodos en la red.
A partir de la siguiente sección, comienza el desarrollo de protocolos.
4.3. Quantum Digital Signature (QDS)

La Digital Signature o Firma Digital es un protocolo anti-repudio por parte de
los usuarios en la red. La firma es un identificador del usuario emisor del mensaje,
requiriendo de su verificación por parte de los receptores para tomar el mensaje
por válido.
La verificación de la firma se dará, en esta propuesta, comparando directamente
las dos claves en cada par. Las claves se distribuyen entre el emisor, recibiendo una
de cada par, y los receptores, haciéndose con una sola clave de las restantes.
24
Quantum Digital Signature (QDS) Section 4.3
4.3.1. Fundamento
Nuesta implementación del Quantum Digital Siganture se fundamenta en la
propuesta de Wallden et al. [47], distinguiéndose en el empleo de clave QKD real
para las operaciones.
Debido a la integración del QKD para la generación de clave, se hace uso de dos
tipos de canal de información: cuántico y clásico, donde en el primero transcurre
el reparto de clave y en el segundo lo hacen el resto de envíos. Se asigna un canal
cuántico entre el emisor y cada uno de los receptores, mientras que todos los
usuarios disponen de canales clásicos con cada miembro.
Consideraremos tres usuarios: Alice, emisor del mensaje con firma, y Bob y
Charlie, receptores.
Figura 4.2: etapa QKD del protocolo. 1) Quantum Key Distribution entre Alice-Bob y
Alice-Charlie. 2) Bob y Charlie comparten elementos de sus claves.
El primer paso es el reparto de clave, que requiere de un dispositivo QKD.

Se asigna el tipo de clave simétrica. Los usuarios entran a la red y a cada
receptor se le otorga su clave, mientras que al emisor se le entregan las claves
restantes de cada par generado (Alice-Bob y Alice-Charlie). Ver Figura 4.2.
Acto seguido, los receptores Bob y Charlie comparten entre ellos algunos
elementos de sus claves por el canal clásico que los comunica. Normalmente,
en torno a la mitad. No obstante la cantidad viene dada por
se envían
1
𝐿 2 ± 𝑟 , siendo 𝐿 la longitud de la clave y 𝑟 un parámetro para casos en los
que no se envíe la mitad exacta, modificado mediante el parámetro QDS_r.).
25
La parte cuántica del protocolo (la más delicada de generación y entrega de claves)
ya fue llevada a cabo. Los participantes ahora pasarán a enviarse información. Es
momento de poner en práctica la Firma Digital. Ver Figura 4.3.
El envío del mensaje 𝑚 por canales clásicos, considerados seguros, seguirá

una red de comunicación en cadena. Junto a 𝑚 debe adjuntarse la firma,
dada por las claves del emisor Alice: (𝑚, 𝐾𝐴𝐵 , 𝐾𝐴𝐶 ), a ambos receptores.
Bob, el primero en recibirlo, comprueba la veracidad del mensaje enviado
comparando los elemenentos de su clave 𝐾B con los de la clave de Alice
𝐾𝐴B . Si la firma es correcta, todos los elementos han de coincidir.
Bob también compara los elementos que él conoce de la clave de Charlie
𝐾C con la clave 𝐾𝐴C de Alice. De nuevo, tienen que coincidir todos.
Charlie realiza el mismo procedimiento que Bob, pero con su clave completa
𝐾𝐶 y los elementos de 𝐾𝐵 que conoce.
Figura 4.3: Digital Signature. 1) Alice envía el mensaje firmado a Bob. 2) Éste comprueba la
veracidad de su firma. 3) Bob se lo envía a Charlie, 4) para que haga su propia verificación.
Para que Bob (o Charlie) acepte el mensaje, todas las comparaciones entre ele-
mentos de clave que realice deben igualar o superar su propia cota de acierto,
dada por el parámetro auth_threshold. Si ambos receptores superan siempre
sus cotas, el protocolo es exitoso. Por contraste, con que un receptor reporte un
caso por debajo de su cota, el protocolo fracasa.
Concluir que el protocolo sea exitoso y que no haya habido manipulación son
conceptos distintos. Revisemos algunos tipos de sabotaje tenidos en cuenta:
26
Quantum Secret Sharing (QSS) Section 4.4
Espionaje: al emplear clave cuántica, todo intento por obtener una copia
por parte de un espía causará modificaciones en el reparto. Se detecta.
Repudio: el emisor Alice no puede engañar a los receptores, al serle única-

mente posible manipular las claves en la firma. Podría pensar en modificar
una de las dos claves, para causar confusión entre los receptores Bob y Charlie.
Sin embargo, como éstos compartieron algunos elementos de sus claves por
su canal clásico, ambos detectarán las incongruencias. Se detecta.
Integridad: a un receptor manipulador le puede interesar cambiar el con-

tenido del mensaje 𝑚 por 𝑚′, sin cambiar la firma del emisor original. En esta
situación, Charlie no puede refutar el nuevo mensaje. No se detecta.
Para paliar el último punto, una solución rápida es acompañar al mensaje del
protocolo de un hash, de modo que se pueda proteger su integridad.
4.4. Quantum Secret Sharing (QSS)

El protocolo previo aseguraba que la identidad del emisor original no se pudiera
falsificar, mediante la firma con clave cuántica. No obstante, no se ha cifrado el
mensaje, factor muy importante para proteger envíos conteniendo información
delicada frente a posibles ataques. Si bien al final de la Sección anterior se comenta
la posibilidad de incluir hashing en el mensaje, existen otras metodologías más
flexibles para llevar esta tarea a cabo.
Se propone a continuación la implementación de Secret Sharing o Mensajería
Secreta a la red. El atractivo principal de este protocolo se encuentra en su eficacia
para proteger la integridad de la mensajería. Algunas propuestas de implementación
brindan de flexibilidad a los usuarios para encriptar y desencriptar secretos.
4.4.1. Fundamento
Nuestro protocolo se fundamenta en el método de Shamir [45] para la Men-
sajería Secreta. El secreto 𝑚 debe transformarse a formato de número entero,
para a continuación formar parte de la construcción de una función polinómica
𝒇 como su parámetro independiente, 𝑎 0 .
𝑛
Õ
𝑓 = 𝑎0 + 𝑎𝑘 𝑥 𝑘 (4.4)
𝑘=1
27
La función 𝑓 que creará el emisor requerirá de unos coeficientes, que pueden

atender a diferentes criterios para su generación.
Sin embargo, el grado de esta función polinómica sí cobra un gran protagonismo.
Sea 𝑛 su valor, se requerirá de un número 𝑛 + 1 de evaluaciones de la función
(𝑥𝑖 , 𝑏𝑖 = 𝑓 (𝑥𝑖 )) para reconstruir los coeficientes 𝑎𝑘 del polinomio. Esto es, mediante
la resolución de un sistema lineal. Veremos el caso para 𝑛 = 3 (Figura 4.4):


 𝑎 1𝑥 13 + 𝑎 2𝑥 12 + 𝑎 3𝑥 1 + 𝑎 0 = 𝑏 1

𝑎 1 𝑥 3 + 𝑎 2 𝑥 2 + 𝑎 3 𝑥 2 + 𝑎 0 = 𝑏 2


2 2
(4.5)
𝑎 1𝑥 3 + 𝑎 2𝑥 32 + 𝑎 3𝑥 3 + 𝑎 0 = 𝑏 3

3


𝑎 𝑥 3 + 𝑎 𝑥 2 + 𝑎 𝑥 + 𝑎 = 𝑏
 1 4 2 4 3 4 0 4
Figura 4.4: Secret Sharing. 1) Alice transforma su secreto 𝑚 en un número entero y 2)

genera la función 𝑓 , a partir de 𝑚 y coeficientes aleatorios. 3) Se generan las shares.
En el ejemplo del sistema de ecuaciones (4.5), se necesitarán los puntos (𝑥 1, 𝑓 (𝑥 1 )),

(𝑥 2, 𝑓 (𝑥 2 )), (𝑥 3, 𝑓 (𝑥 3 )) y (𝑥 4, 𝑓 (𝑥 4 )), 𝑥 1, 𝑥 2, 𝑥 3, 𝑥 4 ∈ R. Son cuatro evaluaciones,
cubriendo a los cuatro grados de libertad de (4.4) para 𝑛 = 3, para obtener la
función adecuada. Se denomina a estos puntos shares o porciones, repartidas por
parte del emisor a los receptores.
Ajustado al caso de 𝑛 = 3 visto (el grado de la función polinómica), en las Figuras
restantes que acompañen a la explicación se considerarán cinco usuarios: Alice,
emisor del secreto, y Bob, Charlie, Devy y Felix, los cuatro receptores del secreto.
Con esta explicación, la puesta en marcha del Quantum Secret Sharing es la

siguiente:
El emisor codifica su secreto 𝑚 como un valor entero, para introducirlo como

valor independiente 𝑎 0 de una función polinómica 𝑓 .
28
Quantum Secret Sharing (QSS) Section 4.4
Figura 4.5: Secret Sharing (cont). 4) Los usuarios de la red realizan el QKD para el reparto
de clave cuántica. 5) Alice encripta y envía una evaluación de la función a cuatro usuarios.
A continuación, escoge el grado 𝑛 de la función 𝑓 . Con el coeficiente 𝑎 0 y

generando 𝑛 coeficientes aleatorios, el emisor construye 𝑓 (4.4) (ver Figura
4.4).
Se reparte clave simétrica a partir de los dispositivos QKD. Los usuarios

entran a la red y a cada receptor se le otorga su clave, mientras que al emisor
se le entregan las claves restantes de cada par generado (en las Figuras 4.4,
4.5 y 4.6, Alice-Bob, Alice-Charlie, Alice-Devy y Alice-Felix).
El emisor debe repartir un mínimo de 𝑛 + 1 shares o porciones del polinomio

(𝑥, 𝑓 (𝑥)), 𝑥 ∈ R) entre los receptores (Figura 4.5). Alice escoge a qué usuarios
les enviará una porción. Finalmente, se encripta el envío mediante un
algoritmo de cifrado simétrico (AES, ChaCha20, o Caemilla, algunas de
las opciones disponibles).
Cada receptor que reciba una porción deberá desencriptarla, siguiendo el

mismo algoritmo de cifrado que el emisor utilizó, con la clave QKD. Este
dato se comunica previo a la ejecución del protocolo.
Sean 𝑛 + 1 o más porciones repartidas, se requiere que 𝒏 + 1 del número

total de receptores se reúnan. Introduciendo sus shares (𝑥, 𝑓 (𝑥)) en una
fórmula de interpolación polinómica (ver ecuación (4.6) posteriormente), se
logra reconstruir la función 𝑓 original (o una muy buena aproximación). En
la Figura 4.6.
29
Una vez obtenida, cualquier receptor con acceso a 𝑓 puede calcular 𝑓 (0) y
obtener 𝑎 0 , valor entero. Convirtiéndolo de vuelta en una cadena de bytes, se
recupera el secreto 𝑚.
Al llevar a cabo la reconstrucción del polinomio, existen fórmulas que llevan a
cabo la interpolación polinómica de Lagrange de forma eficiente computacio-
nalmente [48]. Puesto que comúnmente el secreto 𝑚 se encripta en la coordenada
independiente 𝑓 (0) = 𝑎 0 , una expresión válida es, por ejemplo:
𝑘−1 𝑘−1
Õ Ö 𝑥𝑚
𝑓 (0) = 𝑦𝑗 (4.6)
𝑗=0 𝑚=0,≠𝑗
𝑥𝑚 − 𝑥 𝑗
Figura 4.6: Secret Sharing (cont 2). 6) Los cuatro usuarios desencriptan sus envíos recibidos
y 7) envían sus shares (𝑥, 𝑓 (𝑥)) a nodo común. 8) En el nodo, se reconstruye el polinomio
𝑓 original mediante interpolación polinómica. 9) Evaluando 𝑓 (0), se recupera el secreto.
Para finalizar la Sección, detallaremos cómo se comporta este protocolo frente a

los tipos de sabotaje ya conocidos:
Espionaje: al emplear clave cuántica, todo intento por obtener una copia
por parte de un espía causará modificaciones en el reparto. Se detecta.
Integridad: durante el proceso de descifrado, ningún receptor puede realizar
modificaciones sobre el secreto, al estar escondido éste en las porciones o
shares. Se detecta.
Repudio: el emisor Alice puede mandar shares con claves incorrectas a
algunos usuarios para aislarlos, ya que en esta ocasión los demás receptores
no disponen de un método para corroborar ellos esta acción. No se detecta.
30
5 Ejemplos de uso
Es de interés mostrar en funcionamiento los protocolos planteados mediante una

serie de casos de uso, que se ajusten a sus condiciones. Algunos de los parámetros
relevantes para ambas simulaciones son los siguientes:
El número de usuarios. Un número mayor puede dar lugar a escenarios

más complejos, involucrando una mayor dificultad de sabotaje por parte de
un individuo. Con un número más reducido, es más sencillo ilustrar funcio-
nalidades básicas.
La presencia y tipo de maliciosidad. Se han de poder simular acciones no

aprobadas en los pasos del protocolo, de modo que se compruebe la defensa
ante éstas. En caso de haberlo, se restringirá el número de usuarios maliciosos
a uno, pudiendo ser el emisor, o cualquiera de los receptores.
Las cotas de acierto, para el QDS. Debe determinarse un porcentaje de

aciertos mínimo para cada usuario individual, de modo que puedan determinar
si cualquier comparativa de claves entre la firma del envío y los elementos de
clave que él o ella posee es un éxito.
La complejidad del secreto en el QSS. Una función polinómica puede reque-

rir un número mayor o menor de receptores para reconstruirla, configurable
en la máquina que ejecute el protocolo.
En cada ejemplo, plantearemos un escenario. Según su objetivo, surgirá el em-

pleo de uno u otro protocolo para su simulación. A la narración le acompañarán
comentarios técnicos, propios del protocolo de criptografía utilizado.
5.1. Conflicto bélico

Se trata de un escenario muy comprometido para ambas facciones involucradas.
Si bien las comunicaciones deben ser seguras, lo que distingue a este caso del
previo es la importancia a nivel nacional de la seguridad para garantizar la victoria.
Esto es, la transmisión de órdenes desde el Comité Mixto hacia los puestos de
mando tácticos en el campo de batalla será inquebrantable ante espionaje.
31
Capítulo 5 Ejemplos de uso
En esta situación, cada bando ha de tomar las decisiones rápidamente. Así mismo,
en caso de que algún usuario incluído en las comunicaciones no coopere debidamen-
te, supondría un gran problema para el bando frente a su oponente. En particular,
uno de los miedos más habituales en la guerra es el sabotaje de sus instalaciones,
sea porque haya infiltrados o sean tomadas a tiempo por el enemigo.
A continuación, vamos a identificar la red de usuarios. Además del Comité
Mixto y los puestos de mando tácticos, debe haber componentes de Personal,
intermediarios, dedicados a la transmisión de información hacia los puestos de man-
do. De este modo, se libera al Comité Mixto de un gran número de comunicaciones.
Si intentara éste llevarlas a cabo, se retrasaría de otros cometidos.
Puede presentarse como una estructura de red en árbol (ver Figura 5.1).
Figura 5.1: árbol de comunicaciones. El Comité Mixto delega las órdenes a cada componente
de Personal, que se encargan de transmitirlas a sus puestos de mando.
5.1.1. Caso 1: transmisión estándar

Simplifiquemos la Figura 5.1 al caso más simple, una cadena de tres usuarios
Comité Mixto - Componente de Personal - Puesto de mando táctico. En este
caso, dispondremos de un uso estándar de nuestro protocolo QDS:
32
Conflicto bélico Section 5.1
Primero, se utiliza tecnología QKD para el reparto inicial de claves cuánticas,

entre los usuarios que se comunicarán.
Como se explicó en la sección 4.3, todos los usuarios receptores (en este caso,
el componente de Personal y el puesto de mando táctico) comunican una
porción de sus elementos de clave por medio de un canal clásico.
Figura 5.2: cadena de nodos. Se lleva a cabo la distribución de clave QKD.
Acto seguido, se realiza el envío del mensaje firmado por el Comité Mixto.
Tanto el componente de Personal como el puesto de mando táctico comprue-

ban que sus elementos de clave se comparen adecuadamente con los
de la firma dada por el Comité Mixto.
A continuación, comparan los elementos de la clave del otro receptor que

conocen con la firma.
Si hasta aquí no se detectó ninguna anomalía, el protocolo tuvo éxito.
33
Figura 5.3: mensajería en la cadena de nodos. Protegida mediante Digital Signature con
clave cuántica.
Sabotaje del protocolo

Cualquier intento por parte del Comité Mixto de confundir al componente de
Personal y al puesto de mando es contraatacado debidamente, ya que el Comité
Mixto solo puede modificar las claves enviadas como firma en el mensaje, pero no
las claves QKD que poseerán los receptores. Por tanto, estas modificaciones serían
detectadas.
Por otra parte, el componente de Personal posee bastante poder sobre las comu-
nicaciones.
Si el componente de Personal fuese tomado o fuera el enemigo y en el envío
del mensaje decide modificar la firma digital (para tratar de dar por inválido
al mensaje del Comité Mixto, o hacerlo ver como poco fiable), el puesto
de mando, al comparar sus elementos de clave, se percataría. Esto es, por
descarte debe haber sido el componente de Personal modificando información,
ya que el Comité Mixto no tiene incentivos para engañar a sus propios puestos
de mando. No se puede alterar la firma.
Sí que se puede, no obstante, modificar solo el mensaje al poseer este nodo
intermediario la firma digital basada en claves, por parte del mensaje original
del Comité Mixto. El puesto de mando en esta ocasión no se percataría. Este
defecto o bien puede solucionarse mediante hashing del mensaje, o con un
uso más inteligente del QDS.
34
5.1.2. Caso 2: comunicaciones de más de tres usuarios

A partir de ahora, se considerará a un cuarto usuario en las comunicaciones al que
llamaremos componente de Personal 2: esto es, ocupando la misma posición
en el protocolo que el componente de Personal. Se dispondría de una entidad
alternativa para la comunicación intermediaria entre el Comité Mixto y el puesto
de mando.
En la Figura 5.4, se lleva a cabo la distribución de clave QKD para cuatro usua-
rios:
Figura 5.4: reparto de claves QKD entre cuatro usuarios.
Puesto que tenemos numerosas vías de comunicación, se podrían detectar fal-

sificaciones en, además de la firma (lo que realmente nos ocupa), el mensaje, sin
necesidad de hashing del mismo. Ya que no debería ser el puesto de mando quien se
encargue de controlar la confusión en el contenido de los mensajes, este rol debería
delegarse a los nodos intermediarios.
Se llevarán a cabo dos ejecuciones QDS, que contendrán el mismo mensaje por
parte del Comité Mixto. En esta ocasión, solo una de ellas llegará a comunicarse
con el puesto de mando.
Comité Mixto - Componente de Personal 2 - Puesto de mando táctico.

Esta cadena es similar a la estudiada previamente con el componente de Per-
35
sonal: el Comité Mixto comunica una orden que es procesada y enviada hacia
su destinatario por medio de un intermediario, el componente de Personal 2.
Comité Mixto - Componente de Personal - Componente de Personal

2. Esta otra cadena considera un envío de mensajes entre intermediarios,
siendo en esta ocasión el encargado de enviar al puesto de mando quien
recibe el mensaje final.
Antes de continuar, hay dos factores a tener en cuenta en lo que respecta a estas
cadenas de mensajería:
1. Los intermediarios en cada cadena (que pueden ser cualquiera de los

dos componentes de Personal) no conocen la identidad del destinatario.
Únicamente conocen las direcciones a las que deben enviar el mensaje con la
firma del Comité Mixto. Es este último quien establece las comunicaciones
por cada envío.
2. Aunque hemos considerado que es el componente de Personal 2 quien se

comunica con el puesto de mando, podría considerarse la misma situación
intercambiando su rol por el del componente de Personal. El Comité Mixto
escogerá de manera aleatoria un intermediario para dar la comunicación
con el puesto de mando.
Siendo el componente de Personal 2 aquel encargado de enviar el mensaje final

al puesto de mando, asumiremos que es honesto. Por otra parte, el componente de
Personal original será tomado por el enemigo (es decir, malicioso) al momento
de las comunicaciones.
En las Figura 5.5, se lleva a cabo el envío deseado, sin mayores percances. Sin
embargo, ¿qué ocurre si el componente de Personal, malicioso, trata de modificar
el mensaje sin alterar la firma?
El componente de Personal no está seguro de a quién le está mandado el mensaje,
siendo esto controlado por el Comité Mixto. Si su mensaje falso llegara a manos
del componente de Personal 2, éste podría identificar que trata de falsificar
información (comparando este mensaje con el recibido previamente) e informar
directamente al Comité Mixto.
Hay dos comentarios más que añadir. El primero es en relación a la elección
aleatoria del intermediario que se comunique con el puesto de mando. Esta
elección por parte del Comité Mixto es desconocida por los dos intermediarios. Al
no conocer quién es el destinatario final, se impide la falsificación fiable del
mensaje hacia el puesto de mando.
36
Figura 5.5: Firma digital. Se envía el mensaje al puesto de mando por medio del componente
de Personal 2, honesto.
En segundo lugar, se ha de tener en cuenta el poder del componente de Per-

sonal 2. Se ha asumido, en las representaciones de la Figura 5.5, que el envío al
puesto de mando es el primero en llevarse a cabo. Esto tiene una gran importancia.
Si el componente de Personal envía su mensaje (sea el original, o falsificado) al
componente de Personal 2 sin que éste haya realizado aún su envío al puesto de
mando, el componente de Personal 2 inmediatamente sabría que su destinatario es
el puesto de mando. Por tanto, si no fuera honesto, podría engañarle, sin que el
puesto de mando pueda averiguarlo. Para impedir la situación, pueden llevarse a
cabo ambas comunicaciones en paralelo.
37
5.2. Mensaje de despedida

Nuestra red de usuarios en esta ocasión es un círculo social reducido, de cinco
personas. En la superficie, todos ellos son amigos, compartiendo numerosas historias
y experiencias a lo largo de los años.
Por desgracia, dadas las circunstancias de la vida, un miembro del grupo ten-
drá que cesar la comunicación por un periodo largo de tiempo. Esta persona,
Alice, es percibida como el núcleo del grupo, al guardar una amistad sólida con
los demás miembros del grupo a nivel individual. Personalmente, Alice siempre ha
querido percibir el comportamiento de los demás de manera similar al suyo.
Antes de su partida, a Alice se le ocurre una idea para incentivar al grupo a
reunirse, aún sin ella presente. Confiando en que todo irá bien, organiza un juego
entre sus amigos en relación con las matemáticas: a cada receptor le dará un valor
numérico único y privado. Alice entonces explica en el envío a cada jugador que
para resolver el misterio detrás del valor numérico recibido, deberá reunirse con
los demás miembros del grupo.
Alice, al ser la persona proactiva, tomará el papel de emisor.
Los receptores serán sus cuatro amigos: Bob, Charlie, Dave y Felix.
Alice dispone de un algoritmo capaz de recuperar la información ori-

ginal a través de los valores enviados a los receptores. Se encuentra en
una máquina perteneciente al club de los miembros del grupo.
La máquina solo dispone de cuatro identidades reconocidas para el acceso,

correspondientes a cada receptor. Nadie más puede acceder.
Como añadido, el algoritmo solo estará disponible por un tiempo limitado.
El escenario planteado se corresponde con la mensajería secreta (Quantum

Secret Sharing o QDS, ver Sección 4.4). Una vez hecho el reparto, según la confi-
guración de Alice para la función que enmascara al secreto, pueden darse diversas
situaciones:
5.2.1. Caso 1: requisito de cuatro usuarios

Alice busca que todos los miembros del grupo sin excepción se reúnan a desen-
criptar el mensaje. Para que se de la situación, requerirá que su función 𝑓 en la que
ocultar el secreto posea cuatro grados de libertad. Siendo uno de ellos el mismo
secreto (pasando éste a ser su término independiente 𝑎 0 , ver ec. (4.4)) restan tres
38
Mensaje de despedida Section 5.2
coeficientes, que serán generados aleatoriamente. Alice ha construido un polinomio

de grado 3.
Este primer caso ya ha sido ilustrado en la Sección 4.4. En la Figura 4.4, Alice
construye su función y obtiene cuatro puntos de la función (𝑥𝑖 , 𝑓 (𝑥𝑖 )), que en la
Figura 4.5 envía a los cuatro amigos. Finalmente, en la Figura 4.6, los amigos
siguen las instrucciones de Alice: se reúnen, suministran sus puntos (𝑥𝑖 , 𝑓 (𝑥𝑖 )) a
la máquina común del grupo, y evalúan la función para 𝑥 = 0, de modo que se
recupera el secreto con éxito.
En caso de que alguno de los amigos no esté disponible en todo este tiempo,
cualquier intento por parte de los usuarios restantes por obtener el mensaje sin su
cooperación fracasará, al no disponerse de suficientes elementos para definir un
polinomio de grado 3, como se ve en la Figura 5.6.
Figura 5.6: uno de los usuarios, Devy no participa en 7) el envío de sus valores numéricos.
Como consecuencia, en 8) no puede reconstruirse el polinomio 𝑓 original, únicamente
pudiendo llegarse a grado 2. 9) No se reconstruye el secreto bien.
5.2.2. Caso 2: requisito de tres usuarios

Ante la posibilidad de que uno de los cuatro amigos no se encuentre disponible,
Alice ha decidido ser menos estricta en cuanto al número de amigos que deben
reunirse. Ha rebajado el grado de su función polinómica a 2: es decir, poseerá
39
tres grados de libertad. Como medida adicional, puede excluir a algún amigo del
reparto de valores, en este caso a Devy si poseen indicios de su ausencia.
En ambos casos, se genera un polinomio similar al de la Figura 5.6, pero en esta
ocasión basta con la reunión de Bob, Charlie y Felix para descifrar el secreto con
éxito
Por otra parte, si Devy estuviese disponible, cualquier reunión de tres recepto-
res entre los cuatro disponibles sería suficiente.
5.2.3. Caso 3: requisito de cinco usuarios

Alice enmascara el secreto en una función 𝑓 de grado 4, esto es, con cinco grados
de libertad. Al estar el grupo compuesto solo por otras cuatro personas, éstas no
lograrían desencriptar el secreto sin importar quienes colaboren.
Figura 5.7: 7) se reúnen todos los usuarios para reconstruir el polinomio, 8) pero al ser el
original de un grado superior a 3, 9) no se reconstruye bien el secreto.
40
Parte III
Despliegue en la red
6 Conexión con la red
El último paso es desplegar los protocolos diseñados en una red real, existente,
capacitada para soportarlos. Llevar este proceso a cabo implica el levantamiento de
los nodos necesarios en la red. Para la ejecución descrita, se optará por asignar un
usuario por nodo.
La extracción de clave QKD en los nodos es posible gracias a los dispositivos
QKD integrados en la red cuántica metropolitana de Madrid.
6.1. Redes cuánticas en la actualidad

En la transición tecnológica frente a la amenaza cuántica, una buena porción de
actividad en Investigación y Desarrollo en criptografía cuántica ha sido destinada
hacia la creación de nuevas infraestructuras de red [8, 39, 49-51]. La integración de
canales cuánticos de transmisión de clave añade una nueva capa de protección en
las comunicaciones.
Varias de las redes intermetropolitanas y de mayor extensión en la actualidad
pueden encontrarse en el Cuadro 6.1 [52], junto con sus especificaciones.
Red Canal cuántico Número de nodos Distancia máx. (km) Ratio de clave máx. (kbps) Pérdidas (dB/km)
Madrid QN Fiber 12 41 70 0,3
DARPA Fiber + Air 10 29 1 0,2
SECOQC Fiber + Air 6 83 11 0,2
UQCC Fiber 6 90 304 0,4
Beijing-Shanghai Fiber 32 89 250 –
Jinan Fiber 32 65 65 –
Wuhan Fiber 71 16 141 2,2
HCW Fiber 9 85 16 0,2
Satellite Space 2 1203 1,2 · 10−4 0,016
Satellite Space + Fiber 2 + 170 4600 48 0,08
Cuadro 6.1: algunas de las redes cuánticas de mayor impacto en la actualidad [52].
Factores a considerar son: la cronología, el número de nodos, la distancia máxima

de recorrido (en kilómetros), o la ratio de clave generada (kilobytes por segundo).
En lo que cronología respecta, la primera red cuántica metropolitana en el mun-
do corresponde al proyecto DARPA, en los Estados Unidos [49]. Siguiéndole, se
construyó la SECOQC, en Viena [39]. Esta red supuso la primera mejora en lo que
respecta a distancia de comunicación, superando con creces a DARPA.
43
Capítulo 6 Conexión con la red
Excepcionales en cuanto a distancias de comunicación, se dispone de tecnología

QKD en satélites. En ausencia de repetidores cuánticos, [53] suponen la única
opción para llevar a cabo comunicaciones trasatlánticas, siendo la otra el uso de
repetidores cuánticos. Son el vehículo bajo el que considerar la creación de servicios
tales como el especulado Internet Cuántico [54], [55].
En cuanto a ratio de clave, redes como la Beijing and Shanghai de China [50] o
la UQCC en Tokyo, Japón [51] se encuentran en la cumbre. La primera es una red
particularment versátil, al disponer de buenos parámetros en todas las áreas.
6.2. Madrid QN (red cuántica de Madrid)
En el Cuadro 6.1 también se encuentra la red cuántica de Madrid. Desarrollada

por el Grupo de Investigación al cual este Trabajo de Fin de Máster es perteneciente,
y en plena expansión, esta red ha pasado por numerosas versiones: en 2006 [56],
se diseñó el primer prototipo; en 2014 [57], fue reconstruida, y finalmente en 2018
[58], se implementó la distribución de entrelazamiento cuántico [8].
La gran versatilidad dotada a Madrid QN por medio de la tecnología SDN permite
prescindir de numerosas necesidades de hardware de otros modelos. Como primera
instancia, entre los nodos de producción sobre los que se instala se puede utilizar
un mismo canal tanto para comunicaciones cuánticas (considerado entonces canal
cuántico) como para clásicas de carácter industrial (canal clásico). Así mismo, se
evitan restricciones en cuanto a la física o la tecnología disponible debidas al elevado
coste de hardware cuántico.
Los experimentos usualmente disponibles en laboratorios se encuentran fuerte-
mente controlados físicamente y hacen uso de fibras desplegadas ad-hoc, o dicho
de otro modo, diseñadas para el propio experimento en específico. Madrid QN no
solo proporciona acceso a esta clase de pruebas. Al ser asistida por tecnología SDN,
preparar la red para experimentos puede realizarse de forma digital. Supone un
buen campo de pruebas para experimentar con comunicaciones cuánticas.
La red de Madrid es a día de hoy la red cuántica más grande en Europa. Supera a
SECOQC en cuanto a número de nodos y velocidad en las comunicaciones (mayor
ratio de clave). La realización de este proyecto supone un impulso en su subsecuente
desarrollo, mediante la implementación de nuevos protocolos de criptografía.
44
Despliegue en la red Section 6.3
6.3. Despliegue en la red

A continuación, describiremos la metodología seguida en el despliegue de red,
con el objetivo de extraer clave cuántica QKD. La documentación posterior de
la ejecución se otorgará mediante capturas del evento, disponibles en la Sección 6.4.
Primero, se preparan tres de los doce nodos en funcionamiento de los que dispone
la red. Es la mínima cantidad de usuarios que necesitamos para llevar a cabo
cualquier simulación QDS o QSS. Como ya se comentó a inicios del Capítulo, cada
usuario que declaremos será asociado con uno de los nodos, sin repeticiones.
A continuación, debe conectarse la máquina con los protocolos a Madrid QN. La
plataforma desarrollada en Python tiene como opción la introducción de direcciones
IP, puertos e IDs de aplicación. Para nuestra ejecución, debe darse una de cada
por nodo de la red considerado.
Una vez suministrada la máquina de la información de acceso adecuada, para el
suministro de clave generada en estos nodos se sigue el estándar ETSI ISG QKD
004 de comunicación de ETSI [59]. Documenta el correcto uso de APIs (Application
Programming Interface) entre dispositivos QKD y aplicaciones asignadas a los
nodos (que, en el contexto que nos ocupa, se encargan de recolectar la clave QKD).
Las ejecuciones realizadas siguen el esquema presentado en la Figura 6.1, que pre-
senta las interacciones entre todos estos elementos. Detallaremos lo más importante
a continuación.
Figura 6.1: QKD Application Interface entre dos nodos. APPA y APPB corresponden a sus
aplicaciones, y QKDA y QKDB, a los controladores que manejan la distribución de clave
QKD en ellos. Tomado de [59].
45
Capítulo 6 Conexión con la red
1. La aplicación del nodo A APPA solicita conectar con el controlador QKD a

través del método OPEN_CONNECT. Además de conectar, en caso de no apor-
társelo genera un nuevo identificador para la clave QKD que se suministrará
(denominado Key Stream ID o KSID).
2. APPA recibe este KSID y, ya que se trata de clave simétrica, debe comunicarse
con APPB para que a ambos se les suministre la misma clave.
3. APPB espera hasta recibir un KSID para realizar su OPEN_CONNECT(KSID).

En cuanto se encuentran ambas aplicaciones, se da por finalizada esta etapa
(OPEN_CONNECT FINISHED).
4. A continuación, ambas aplicaciones llaman GET_KEY(KSID). Se le aportará

a cada nodo el número de clave QKD que se haya solicitado.
5. Para finalizar, se ejecuta un método CLOSE() para finalizar el suministro de

clave debidamente.
A partir de este punto, los usuarios receptores de la clave pueden llevar a cabo las
ejecuciones QDS o QSS que deseen. También es una posibilidad, para simulaciones,
exportar su clave adquirida. De este modo, almacenarían la clave para uso futuro.
A su vez, pueden solicitar nuevas claves QKD, para no aportar vulnerabilidad a las
comunicaciones con el tiempo (causada por mantener la misma clave).
46
7 Resultados de los protocolos
7.1. QDS: cadena de 3 usuarios

En el Cuadro 7.1, se indican los experimentos. En caso de honestidad en los envíos,
deben obtenerse ratios de acierto de 1,00 al ser clave simétrica, para considerar al
protocolo un éxito -aunque en auth_threshold lo rebajamos a 0,90 (Bob), 0,95
(Charlie), para simular la admisión de algo de error-. De haber usuarios deshonestos,
se intentará alterar la firma del mensaje. Para su detección, cada receptor realiza
una comparación directa de los elementos de las claves de la firma con las propias.
QDS entre 3 usuarios

ID de simulación 1 2 3 4 5 6 7 8 9 10
n_users 3
QKD_key_length 16 bytes (128 bits)
auth_threshold 0.90, 0.95
forger_index – Alice Bob
forger_forges_keys – Sí
forger_true_keys_to_send – Ninguna Bob Ninguna Bob (propia) Ninguna Bob (propia)
forger_true_key_percentage – 0.0 1.0 0.0 0.5 1.0 0.0 0.5 1.0 0.9
update_forging_keys – – – No Sí
QDS_share_key_percentage 0.5 0.9
Cuadro 7.1: parámetros de entrada del QDS entre 3 usuarios.
Los resultados de ejecución se presentan en el Cuadro 7.2:
ID de simulación Ratios de acierto Veracidad de claves Estatus QDS

1,00 1,00 1 1
1 1,00 1,00 1 1 Éxito
0,55 0,53 0 0
2 0,55 0,53 0 0 Fallido
1,00 0,52 1 0
3 1,00 0,52 1 0 Fallido
1,00 1,00 1 1
4 0,49 0,52 0 0 Fallido
1,00 1,00 1 1
5 0,72 0,52 0 0 Fallido
1,00 1,00 1 1
6 1,00 0,50 1 0 Fallido
1,00 1,00 1 1
7 0,55 0,71 0 0 Fallido
1,00 1,00 1 1
8 0,71 0,70 0 0 Fallido
1,00 1,00 1 1
9 1,00 0,70 1 0 Fallido
1,00 1,00 1 1
10 0,95 0,98 1 1 Éxito (pero hubo forging)
Cuadro 7.2: parámetros de salida obtenidos tras realizar QDS entre 3 usuarios.
47
Capítulo 7 Resultados de los protocolos
Una vez plasmados los parámetros de entrada y los resultados de salida, se

resume lo transcurrido en cada ejecución:
ID sim. 1: todos los usuarios son honestos. Al compararse los elementos

de clave, se obtienen ratios de acierto perfectos (1,00), indicando éxito.
ID sim. 2-3: el emisor Alice manipula el envío de claves a los receptores.

En 2, las dos claves son falsas. En 3, la clave de Bob sigue siendo la real, por
lo que se detecta el forging a través de comparativas con la de Charlie.
ID sim. 4-6: Bob envía claves falsas a Charlie. Para la que sería la suya pro-
pia, elige qué porcentaje de la real inyectar (forger_true_key_percentage
= 0.0 / 0.5 / 1.0).
ID sim. 7-9: similar a las tres anteriores, pero ahora su clave falsa de
Charlie contienen los elementos que le llegan de la real al compartir clave,
previo al envío del mensaje con firma.
ID sim. 10: por compartir demasiada clave, se alcanzan las cotas de acierto
0,90 (Bob), 0,95 (Charlie). Se toma por válido al experimento pese al forging.
7.2. QDS: multiusuario

Es un estudio similar en concepto al previo, pero la introducción de más de
tres usuarios abre la puerta a nuevos posibles escenarios. Podemos estudiar la
comunicación entre miembros específicos de la red, o aprovechar la mayor cantidad
de intermediarios disponibles para detectar falsificaciones en la propia mensajería.
QDS multiusuario
ID de simulación 11 12 13 14 15 16
n_users 4
chains [Alice, Bob, Charlie, Devy] [[A, B, C, D], [A, B, D]] [[A, C, D], [A, B, C]]
o [[A, B, D], [A, C, B]]
QKD_key_length 16 bytes (128 bits)
auth_threshold 0.90, 0.925, 0.95 0.95, 0.95, 0.99
iterations 1 2 100
forger_index – Alice Charlie
forger_forges_keys – Sí Sí No
forger_true_keys_to_send – Bob Bob y Charlie Ninguna Ninguna –
forger_true_key_percentage – 1.0 0.0 0.0 –
update_forging_keys – – – Sí No –
forger_forges_message – No No No Sí
QDS_share_key_percentage 0.5
Cuadro 7.3: parámetros de entrada del QDS, caso multiusuario.
48
QDS: multiusuario Section 7.2
ID sim. Ratios de acierto Veracidad de claves Mensaje falso Estatus QDS

1,00 1,00 1,00 1 1 1
11 1,00 1,00 1,00 1 1 1 – Éxito
1,00 1,00 1,00 1 1 1
1,00 0,58 0,52 1 0 0
12 1,00 0,59 0,51 1 0 0 – Fallido
1,00 0,59 0,52 1 0 0
1,00 1,00 0,56 1 1 0
13 1,00 1,00 0,56 1 1 0 – Fallido
1,00 " 1,00 0,56 # 1 1" 0 #
1,00 1,00 1,00 1 1 1
14 [A, B, C, D] : 1,00 1,00 1,00 , [A, B, C, D] : 1 1 1 , – Fallido ([A, B, C, D])
0,78
h 0,56 i0,77 0h 0 i 0
1,00 1,00 1 1
[A, B, D] : 1,00 1,00 [A, B, D] : 1 1 Éxito ([A, B, D])
h i h i h i
1,00 1,00 1,00 1,00 1 1
15 [A, C, D] : 0,56 0,58 , [A, B, C] : 1,00 1,00 i, [A, C, D], [A, C, B] : 0 0 , – Fallido ([A, C, D], [A, C, B])
h i h h i
1,00 1,00 1,00 1,00 1 1
[A, B, D] : 1,00 1,00 , [A, C, B] : 0,56 0,54 [A, B, C], [A, B, D] : 1 1 Éxito ([A, B, C], [A, B, D])
Todashlas combinaciones:
i Todas lash combinaciones:
i Éxito (firma)
1,00 1,00 1 1
16 1,00 1,00 1 1 54.0 % Fallido (mensaje, ∼ 50 %)
Cuadro 7.4: parámetros de salida obtenidos tras realizar pruebas de QDS multiusuario.
ID sim. 11: todos los usuarios son honestos. Al compararse los elementos
de clave, se obtienen ratios de acierto perfectos (1,00), indicando éxito.
ID sim. 12-13: el emisor Alice manipula el envío de claves a los receptores.

En 2, la clave de Bob sigue siendo la real. En 3, también es real la clave de
Charlie. Se detecta el forging a través de comparativas de claves.
ID sim. 14: Charlie manipula el envío realizado a Devy. Al ser más de tres
usuarios, se prueba a realizar otro envío en paralelo sin incluir a Charlie.
ID sim. 15: Charlie de nuevo trata de sabotear el protocolo, pero esta vez
las cadenas QDS llevadas a cabo acarrean aleatoriedad (puede ser [[Alice,
Charlie, Devy], [Alice, Bob, Charlie]] o [[Alice, Bob, Devy], [Alice, Charlie,
Bob]], ver Ejemplo de uso ). Por tanto, puede darse que se le detecte por
múltiples vías o que no logre sabotear la cadena de envío principal.
ID sim. 16: suponemos que no hay hash en el mensaje. Charlie no puede

asegurar que su mensaje falso (con la firma de Alice) no sea interceptado por
alguien con acceso al real. En este caso, corre un riesgo del ∼ 50 % de ser
detectado y expulsado de la red por Bob, el otro intermediario.
49
Capítulo 7 Resultados de los protocolos
7.3. QSS: reconstrucción de funciones

Para ilustrar debidamente la potencia del Quantum Secret Sharing, se ejecutan
escenarios variando la función del secreto y el reparto de shares (ver Cuadro 7.5).
QSS multiusuario
ID de simulación 17 18 19 20 21 22 23
n_users 3 5 6
QKD_key_length 16 bytes (128 bits) 32 bytes (256 bits)
bytes_message 8 bytes (64 bits) 16 bytes (128 bits)
unavailability_index – – Devy – – – –
QSS_receivers_needed 2 4 4 3 3 5 2
QSS_number_of_shares 2 4 4 3 4 4 3
QSS_algorithm AES128 AES256
Cuadro 7.5: parámetros de entrada del QSS multiusuario. Se indica ID de cada ejecución.
Los resultados de ejecución se presentan en el Cuadro 7.6:

ID sim. Secreto del emisor Secreto reconstruído Estatus QSS
17 ’My owlet’ [B, C]: ’My owlet’ Éxito
18 ’Un estepicursor!’ [B, C, D, F]: ’Un estepicursor!’ Éxito
19 ’Un estepicursor!’ [B, C, D, F]: ’Un\xf8\xfdu\x0e\xac\xa4\x96\xe2\xbd\x0c\xb3V\x8b\x15’ Fallido
[{[B, C, D]: ’Un estepicursor!’},
20 ’Un estepicursor!’ {[B, C, F]: ’Un\x14\xd1\x1e∼Ml\x91\x00\x00yi\xackM’}, Éxito ([B, C, D])
{[B, D, F]: ’Un\x0f\x06\xf4\x03Aj\xa4\xceE\xfc\xe4\xca\xe7\xe3’}, Fallido (el resto)
{[C, D, F]: ’Um\xfd\xa8t\x92\x1dd\xe09\x16\x87V&]\xa5’}]
21 ’Un estepicursor!’ Todas las combinaciones: ’Un estepicursor!’ Éxito
22 ’Un estepicursor!’ [B, C, D, F]: ’UmT6\xd0\xbe_a\xc7\x9d\x86\x9a\xe6+\x92i’ Fallido
[{[B, C], [B, D], [C, D]: ’Un estepicursor!’},
{[B, F], [B, G]: ’Un9\xcf\x10\xa4\x18\xfa\xd07\xa2N_\xa5\x87\x01’}, Éxito
23 ’Un estepicursor!’ {[C, F], [C, G]: ’UnS8\xad\xd3\xcc\x857\x0b\xcf∗K\xdb\x9b\xe1’}, ([B, C], [B, D], [C, D])
{[D, F], [D, G]: ’Unl\xa2K\x03\x80\x0f\x9d\xdf\xfc\x068\x11\xb0\xc1’}, Fallido (el resto)
{[F, G]: \x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00}]
Cuadro 7.6: parámetros de salida obtenidos tras realizar pruebas de QSS multiusuario.
Resumen de cada ejecución:

ID sim. 17: los dos receptores reconstruyen el secreto con éxito.
ID sim. 18: los cuatro receptores reconstruyen el secreto con éxito.
ID sim. 19: al contrario que en el caso previo, se considera a uno de los

receptores no disponible. Por ello, no se logra la reconstrucción.
ID sim. 20: sólo la reunión entre Bob, Charlie y Devy reconstruye el secreto
para los receptores. Las demás agrupaciones no obtienen un secreto legible.
ID sim. 21: toda agrupación de tres receptores reconstruyen el secreto.
ID sim. 22: ni todos los receptores logran reconstruir el secreto.
ID sim. 23: de las diez posibles combinaciones, solo tres (que disponen de
share) pueden contribuir a la obtención del secreto.
50
Parte IV
Conclusiones
8 Discusión y Conclusiones
8.1. Discusión de los resultados

Los resultados obtenidos en el Capítulo 7 abarcan escenarios de QDS y QSS muy
diferentes debido a las distintas configuraciones de parámetros disponibles. Entre
esta variedad, encontramos tanto casos de uso legítimo de los protocolos, como
intentos por parte de los receptores por sabotearlos.
Los dos protocolos desarrollados son complementarios. En el QDS, se garantiza
el no-repudio de haber realizado un envío por parte del usuario original. En el QSS,
se garantiza la integridad de un secreto entre un grupo selecto de receptores.
8.1.1. Casos exitosos

Las simulaciones de éxito (correspondientes a las IDs 1, 11, 17, 18 y 21 en las
Secciones 7.1, 7.2 y 7.3) ejemplifican el correcto funcionamiento de las operaciones.
Para los casos QDS de IDs 1 y 11, todas las comparativas de clave realizadas por
Bob y Charlie son exitosas (ver Cuadro 7.2, columna Veracidad de claves). Los
casos de IDs 17, 18 y 21, referidos al QSS, proporcionan el resultado esperado. El
secreto protegido por una función 𝑓 es reconstruible por cualquier agrupación de
usuarios, y éstos cubren los grados de libertad de 𝑓 necesarios.
8.1.2. QDS: casos complejos (manipulación en la firma y/o

en el mensaje)
Siguiendo con el QDS, en las simulaciones de IDs 2, 3, 12 y 13 de QDS, Alice,
el emisor, es malicioso. Tratará de repudiar su firma ante los receptores en la
red. En toda ocasión, los receptores se percatan de ello debido a un drástico
descenso en los ratios de acierto -que, con clave simétrica y sin errores o pérdidas,
deberían corresponder todos a 1,00-. Subsecuentemente, se aborta el protocolo. Este
intento de repudio es especial, puesto que al haberse dado reparto de elementos de
clave entre los receptores, todo receptor de la red logra detectarlo.
Pasemos a considerar los casos del QDS de 3 usuarios en los que es uno de los
receptores el usuario malicioso (IDs 4-9 en la Sección 7.1). La premisa en esta
53
Capítulo 8 Discusión y Conclusiones
ocasión es realizar un repudio en medio de la cadena de envío. El receptor ma-

licioso, intenta manipular la firma del mensaje enviado por Alice. Denominando
Bob al nodo intermediario malicioso, reemplazará las claves que componen a la
firma del mensaje del emisor Alice. El reemplazo por defecto (ID 4) consiste en
claves generadas aleatoriamente, teniendo como resultado ratios de acierto de
∼ 0,5 por parte de Charlie. En otros casos (IDs 5 y 6), Bob inyecta un porcentaje
de elementos reales de su clave en la versión falsa. En otro posible escenario, el
nodo malicioso Bob puede tener en cuenta los elementos conocidos de antemano
de la clave de Charlie (IDs 7, 8 y 9). En todo caso, con que un usuario detecte un
ratio de acierto más bajo del esperado, se aborta el protocolo.
Observando la columna Veracidad de resultados para las simulaciones de IDs

4-9, se observa un cambio a partir del envío de Bob, apuntando a que es el usuario
malicioso. Sin embargo, puede haber instancias de maliciosidad que pasen desaper-
cibidas, como es el caso en la simulación de ID 10. Sean los ratios de acierto 0,9 y
0,95 (supuestos por debajo de 1,00 por la posibilidad de ruido en las comunicaciones
reales) para ambos usuarios, Bob y Charlie, la cantidad de clave compartida es dema-
siado elevada como para detectar al usuario malicioso. Bob reemplaza la firma, en
esta ocasión poseyendo sus claves falsas una gran porción de elementos de su clave
y la de Charlie. Al superarse las tasas de acierto, se da por válido al experimento
pese a la manipulación. Este caso es especialmente interesante para exponer la
necesidad de una configuración adecuada para la puesta en marcha del protocolo.
Cadenas de mensajería múltiples

A continuación, se evaluarán los casos de uso con múltiples cadenas (IDs 14,
15 y 16 de la Sección 7.2). En la simulación de ID 14, se ejecutan dos cadenas, la
primera involucrando a todos los usuarios y la segunda excluyendo a Charlie. En
ambos casos, el receptor final es Devy. Si se declara a Charlie como usuario malicio-
so, su repudio de la firma será detectado exclusivamente por Devy. Si bien es cierto
que, comprobando los registros de la ejecución del protocolo, podría concluirse cuál
es el nodo manipulador, ahora los usuarios disponen de más opciones: ejecutando
el protocolo Alice, Bob y Devy, el resultado es un exito.
El protocolo QDS habilitado no se encuentra exento de crítica, al no dar una

respuesta clara frente a ataques a la integridad del mensaje. En caso de no añadirse
hashing, u otro tipo de cifrado no vinculado a la clave sobre el contenido del mensaje,
un usuario malicioso con interés en cambiar su contenido realizaría sus propios
54
Discusión de los resultados Section 8.1
envíos utilizando la firma del emisor. Cualquier receptor del envío modificado que
comparase elementos de clave comprobaría que el emisor del envío fue efectiva-
mente original, pero no puede comprobar si su contenido actual también lo es.
Es por esta cuestión que se plantea la simulación multiusuario de ID 16 (Sección
7.2). Corresponde al caso 2 del ejemplo de uso militar visitado en el Capítulo 6.
Considerando que los usuarios intermediarios en cada cadena únicamente conozcan
de sus destinatarios su dirección para el envío, se desincentiva la falsificación de
mensajes. Si se llevan a cabo dos cadenas en paralelo, ningún intermediaro con
intenciones maliciosas podría garantizar lograr falsificar el mensaje. El riesgo que
conllevaría hacerlo es de un 50 % en este ejemplo.
Cabe aclarar que aunque puedan existir escenarios de QDS multiusuario que
logren combatir la no-integridad del mensaje, dedicar dos redes de comunicación
en cadena ejecutando dos instancias del protocolo para un único envío no pretende
ser presentada como una solución óptima, sino como una posibilidad.
8.1.3. QSS: casos complejos (reparto de shares y

complejidad de la función)
Con respecto al protocolo Quantum Secret Sharing, la experimentación se
basa principalmente en el caso de uso narrado en el Capítulo 6 (a excepción de las
simulaciones de IDs 17 y 23). Todos los ejemplos de ejecución ponen en práctica la
eficacia del método de Shamir para la protección de secretos.
Las simulaciones de IDs 17, 18 y 21, como ya vimos anteriormente, fueron con-
sideradas exitosas (ver Sección 8.1.1). Su mención aquí enlaza con la simulación
19: un caso particular de la simulación de ID 18, en el que se otorga share a un
usuario indispuesto a participar. Sin su participación, no llega a desencriptarse
el mensaje. Es el comportamiento esperado, al no cubrirse todos los grados de
libertad requeridos para definir una función polinómica de grado 3.
En las simulaciones de IDs 20 y 21, Alice utiliza una función polinómica de grado 2,
aligerando los requisitos por parte de los receptores para la obtención del secreto. En
20, únicamente otorga shares a tres de los cuatro receptores disponibles -causando
que cualquier agrupación de tres usuarios incluyendo a Felix, sin share, fracase en
recuperar el mensaje-. En 21, Felix es incluido en el reparto de shares, extrayéndose
el secreto para todas las posibles agrupaciones. Una versión extrema del caso 20 se
encuentra en la simulación de ID 23, para la cual se encuentra un número mayor de
55
Capítulo 8 Discusión y Conclusiones
agrupamientos incapaces de extraer el secreto, pese a la disminución en complejidad

de la función que lo enmascara. Esto es debido a la introducción de un receptor
adicional, sin share.
Finalmente, en la simulación de ID 22, Alice utiliza una función lineal, requirien-
do únicamente agrupaciones de dos receptores. En estos casos, se considera que
Alice cometió un error: no otorgar shares a todos los receptores disponibles. No
obstante, para aquellos agrupamientos de receptores que sí poseen una share, se
logra transmitir el secreto.
La integridad del secreto está protegida por completo durante la ejecución de

este protocolo, al no haber instancia de poder manipularlo hasta su obtención.
Intentos por aportar valores falsos desembocarán en una función completamente
distinta. Por otra parte, si bien no supone una debilidad para el protocolo, puede
haber inconvenientes en cuanto a la detección de repudio si Alice utiliza claves
incorrectas en el cifrado de un envío.
56
Conclusiones y trabajo a futuro Section 8.2
8.2. Conclusiones y trabajo a futuro

La búsqueda de soluciones alternativas ante los protocolos criptográficos más ex-
tendidos en la actualidad es fundamental para garantizar la autenticidad, integridad
y confidencialidad de la información transmitida en las comunicaciones frente a la
inminente llegada de los ordenadores cuánticos. En este proyecto, se estudian dos
protocolos: la firma digital cuántica o Quantum Digital Signature (QDS), proponien-
do un método de firma de mensajería, y la mensajería secreta cuántica o Quantum
Secret Sharing (QSS), para cifrado de secretos. Con la introducción de la clave
cuántica, cuya seguridad se encuentra basada en la teoría de la información,
el protocolo no puede ser susceptible frente a los algoritmos que amenazan a los
protocolos puramente clásicos.
En primer lugar, se han implementado dos propuestas para QDS y QSS en un

entorno simulado, con clave QKD real extraída de dispositivos cuánticos. Se con-
sidera a cada usuario de la red como un nodo, que dispone de un canal cuántico
con el nodo emisor y una canal clásico autenticado con todos los usuarios de la
red (emisor y demás receptores). Algunos casos simulados de QDS son cadenas
de tres usuarios, con un emisor y dos receptores, y escenarios multiusuario, con
más de dos receptores. Para los casos de intercambio de secretos QSS, el número de
usuarios requerido depende de la complejidad de la función utilizada por Alice en
el cifrado de su secreto.
La naturaleza de la clave cuántica extraida de dispositivos QKD, junto con el

intercambio de elementos de clave entre receptores, permiten la inmediata detec-
ción de intentos de manipulación en la ejecución del QDS (o QSS). Por ejemplo,
el emisor no puede repudiar la firma en su mensaje, al ser todo intento detectable
por cualquier usuario de la cadena de envío. Modificaciones en la firma por parte
de uno de los receptores también se detectarán por los usuarios restantes, y por la
máquina ejecutando el protocolo.
La propuesta QSS se fundamenta en el Secret Sharing de Shamir. Se reparten

elementos por parte de un emisor, de los que debe reunirse un mínimo para reunir
el secreto. Con un número menor de los necesarios, no se obtiene información.
Se encriptan los envíos con clave cuántica. Todo receptor de un envío lo deberá
desencriptar y, acto seguido, utilizar para la reconstrucción de la función del
emisor. Este proceso es únicamente posible bajo cooperación con otros usuarios,
también poseedores de envíos por parte del emisor.
57
Como casos de uso, se han propuesto ejemplos para ambos protocolos. El primero
de ellos narra el empleo del QDS para el envío de órdenes a través de la cadena de
comando de un cuerpo militar, en orden jerárquico de Comité Mixto, Componente
de Personal, y Puestos de Mando táctico. El segundo cubre la despedida temporal
del miembro de un grupo de amigos, y su intento por reunir a los demás en su
ausencia.
Para finalizar, podemos analizar el trabajo a futuro de este proyecto. Se ha

profundizado en la construcción y despliegue de los protocolos en una red cuántica
con dispositivos QKD, que otorgan los pares de clave necesarios para la simula-
ción de diversos escenarios. Una funcionalidad ya disponible pero no explorada
en su totalidad es la inyección de clave cuántica asimétrica como alternativa o
añadido al hashing, pudiendo aportar mayor resistencia frente a intentos de
modificación del mensaje. Para acomodarla, se requieren de modificaciones en el
Quantum Digital Signature propuesto. Posibles propuestas de criptografía haciendo
uso de clave cuántica asimétrica se encuentran en investigación, por ejemplo, para
protocolos tales como Oblivious Transfer.
Otro experimento interesante es modelar receptores de mayor complejidad,

entrenados por medio de técnicas de aprendizaje estadístico para perfeccionar su
funcionamiento. En el entorno simulado del QSS, se podría determinar un número
de iteraciones y tratar a los receptores como una población con sus propias cone-
xiones interpersonales. Podrían darse fenómenos sociales tales como la aparición
de facciones, intentos de sabotaje entre receptores enemistados, colaboraciones,
entre otros. Un ejemplo de estudio podría ser el número de iteraciones necesarias
para que, entre receptores con enemistades marcadas entre ellos, se pudiera (o no)
llegar a un acuerdo para desencriptar juntos el secreto.
En cuanto al futuro de la simulación, los protocolos desarrollados lograron

desplegarse en la red cuántica de Madrid. Se espera, en un futuro cercano, su
integración total. Esto es, el proyecto desarrollado, ya desplegable, pasando a
formar parte del software implicado en el funcionamiento de la red cuántica. De
este modo, los protocolos de criptografía de Quantum Digital Signature y Quantum
Secret Sharing podrían utilizarse en las comunicaciones que tengan lugar en la red.
58
8
Bibliografía
[1] E. Franchi, A. Poggi y M. Tomaiuolo, Information and password attacks on

social networks: An argument for cryptography, Journal of Information Tech-
nology Research (JITR), vol. 8:n.o 1, 25-42. doi: 10.4018/JITR.2015010103 (vid. pág. 1).
[2] K. Callahan, The Impact of the Allied Cryptographers on World War II : Cry-
ptanalysis of the Japanese and German Cipher Machines, Journal of Informa-
tion Technology Research (JITR). dirección: https://www.gcsu.edu/sites/files/page-
assets/node-808/attachments/callahan.pdf (vid. pág. 1).
[3] M. Calderbank, The RSA Cryptosystem: History, Algorithm, Primes, 1-7. di-
rección: http://www.math.uchicago.edu/~may/VIGRE/VIGRE2007/REUPapers/
FINALAPP/Calderbank.pdf (vid. págs. 1, 7).
[4] J. L. Rosales y V. Martin, Quantum Simulation of the Factorization Problem,
Physical Review Letters, vol. 117:n.o 20. doi: 10.1103/physrevlett.117.200502. dirección:
https://doi.org/10.1103%2Fphysrevlett.117.200502 (vid. pág. 2).
[5] P. W. Shor, Polynomial-Time Algorithms for Prime Factorization and Discre-
te Logarithms on a Quantum Computer, SIAM Journal on Computing, vol. 26:n.o 5,
1484-1509. doi: 10.1137/s0097539795293172. dirección: https://doi.org/10.1137%
2Fs0097539795293172 (vid. pág. 2).
[6] A. W. Harrow, A. Hassidim y S. Lloyd, Quantum Algorithm for Linear Systems
of Equations, Physical Review Letters, vol. 103:n.o 15. doi: 10.1103/physrevlett.103.
150502. dirección: https://doi.org/10.1103%2Fphysrevlett.103.150502 (vid. pág. 2).
[7] L. K. Grover, A Fast Quantum Mechanical Algorithm for Database Search, en
Proceedings of the Twenty-Eighth Annual ACM Symposium on Theory of Computing,
ép. STOC ’96, Philadelphia, Pennsylvania, USA: Association for Computing Ma-
chinery, 1996, 212-219, isbn: 0897917855. doi: 10.1145/237814.237866. dirección:
https://doi.org/10.1145/237814.237866 (vid. pág. 2).
[8] A. Aguado, V. Lopez, J. Martinez-Mateo, M. Peev, D. Lopez y V. Martin, Virtual
network function deployment and service automation to provide end-to-
end quantum encryption, Journal of Optical Communications and Networking,
vol. 10:n.o 4, 421-430. doi: 10.1364/JOCN.10.000421 (vid. págs. 2, 14, 43, 44).
[9] E. Barker, Guideline for Using Cryptographic Standards in the Federal Government:
Cryptographic Mechanisms, en, ago. de 2016. doi: https://doi.org/10.6028/NIST.SP.800-
175B (vid. pág. 5).
59
[10] V. R. Joan Daemen, AES Proposal: Rijndael, 6-46. dirección: https://csrc.nist.gov/
csrc/media/projects/cryptographic- standards- and- guidelines/documents/aes-
development/rijndael-ammended.pdf (vid. pág. 7).
[11] D. J. Bernstein, The Poly1305-AES Message-Authentication Code, Fast Software
Encryption. FSE 2005. Lecture Notes in Computer Science, vol. 3557, 32-49. doi: 10.
1007/11502760_3 (vid. pág. 7).
[12] D. J. Bernstein, ChaCha, a variant of Salsa20, The State of the Art of Stream Ciphers,
vol. 8, 3-5. dirección: https://cr.yp.to/chacha/chacha-20080120.pdf (vid. pág. 7).
[13] W. Diffie y M. E. Hellman, New Directions in Cryptography, vol. 22:n.o 6, 644-654.
doi: 10 . 1109 / TIT. 1976 . 1055638. dirección: https : / / ee . stanford . edu / ~hellman /
publications/24.pdf (vid. pág. 7).
[14] P. D. Gallagher y C. F. Kerry, Digital Signature Standard (DSS). doi: 10.6028/
NIST.FIPS.186-4 (vid. pág. 7).
[15] Y. Kumar, R. Munjal y H. Sharma, Comparison of Symmetric and Asymmetric
Cryptography with Existing Vulnerabilities and Countermeasures, Interna-
tional Journal of Computer Science and Management Studies, vol. 11 (vid. pág. 7).
[16] S. Aaronson, The limits of quantum, Scientific American, vol. 298:n.o 3, 62-69
(vid. pág. 9).
[17] Z. Kirsch y M. Chow, Quantum computing: The risk to existing encryption
methods. dirección: http://www.cs.tufts.edu/comp/116/archive/fall2015/zkirsch.pdf
(vid. pág. 9).
[18] Página principal de NIST, https://csrc.nist.gov/projects/post-quantum-cryptography,
Último acceso el 5 Aug 2022 (vid. pág. 9).
[19] Página principal de CRYSTALS-DILITHIUM, https://pq-crystals.org/, Último acceso
el 5 Aug 2022 (vid. pág. 9).
[20] Página principal de FALCON, https://falcon-sign.info/, Último acceso el 5 Aug 2022
(vid. pág. 9).
[21] Página principal de SPHINCS+, https://sphincs.org/, Último acceso el 5 Aug 2022
(vid. pág. 9).
[22] S. Balakrishnan y A. Mohapatra, Quantum Cryptography using new Telepor-
tation scheme (vid. pág. 10).
[23] U. Brandes, G. Robins, A. McCranie y S. Wasserman, What is network science?,
Network Science, vol. 1. doi: 10.1017/nws.2013.2 (vid. pág. 11).
60
[24] P. Arora, D. Boyne, J. J. Slater, A. Gupta, D. R. Brenner y M. J. Druzdzel, Bayesian
Networks for Risk Prediction Using Real-World Data: A Tool for Precision
Medicine, Value in Health, vol. 22:n.o 4, 439-445, issn: 1098-3015. doi: https://doi.
org/10.1016/j.jval.2019.01.006. dirección: https://www.sciencedirect.com/science/
article/pii/S1098301519300579 (vid. pág. 11).
[25] P. Aguilera, A. Fernández, R. Fernández, R. Rumí y A. Salmerón, Bayesian networks
in environmental modelling, Environmental Modelling & Software, vol. 26:n.o 12,
1376-1388, issn: 1364-8152. doi: https://doi.org/10.1016/j.envsoft.2011.06.004.
dirección: https://www.sciencedirect.com/science/article/pii/S1364815211001472
(vid. pág. 11).
[26] H. Zimmermann, OS1 Reference Model-The ISO Model of Architecture for
Open Systems Interconnection, IEEE Transactions on Communications, vol. 28:n.o 4,
425-432 (vid. pág. 11).
[27] G. Meyer, The PPP Encryption Control Protocol (ECP), tools.ietf.org, Último acceso el
12 Sept 2022 (vid. pág. 14).
[28] C. H. Bennett y G. Brassard, Quantum cryptography: Public key distribution
and coin tossing, Theoretical Computer Science, vol. 560 (Part 1), 7-11. doi: 10.1016/
j.tcs.2014.05.025 (vid. págs. 14, 21).
[29] Página principal de CiViQ, https://civiquantum.eu/, Último acceso el 12 Sept 2022
(vid. pág. 14).
[30] Página principal de OpenQKD, https://openqkd.eu/, Último acceso el 12 Sept 2022
(vid. pág. 14).
[31] Página principal de UniQorn, https://quantum-uniqorn.eu/, Último acceso el 12 Sept
2022 (vid. pág. 14).
[32] The European Quantum Communication Infrastructure (EuroQCI) Initiative, https:
//digital-strategy.ec.europa.eu/en/policies/european-quantum-communication-
infrastructure-euroqci, Último acceso el 12 Sept 2022 (vid. pág. 14).
[33] C. H. Bennett y G. Brassard, Quantum cryptography: Public key distribution
and coin tossing, Theoretical Computer Science, vol. 560, Theoretical Aspects of
Quantum Cryptography – celebrating 30 years of BB84, 7-11, issn: 0304-3975. doi:
https://doi.org/10.1016/j.tcs.2014.05.025. dirección: https://www.sciencedirect.com/
science/article/pii/S0304397514004241 (vid. págs. 14, 15, 21).
[34] K. Benzekki, A. El Fergougui y A. Elbelrhiti Elalaoui, Software-defined networ-
king (SDN): a survey, Security and Communication Networks, vol. 9:n.o 18, 5803-5833.
doi: https://doi.org/10.1002/sec.1737. eprint: https://onlinelibrary.wiley.com/doi/pdf/
10.1002/sec.1737. dirección: https://onlinelibrary.wiley.com/doi/abs/10.1002/sec.1737
(vid. pág. 14).
61
[35] B. Han, V. Gopalakrishnan, L. Ji y S. Lee, Network function virtualization: Cha-
llenges and opportunities for innovations, IEEE Communications Magazine,
vol. 53:n.o 2, 90-97. doi: 10.1109/MCOM.2015.7045396 (vid. pág. 14).
[36] S. Azodolmolky, R. Nejabati, M. Pazouki, P. Wieder, R. Yahyapour y D. Simeonidou,
An analytical model for Software Defined Networking: A network calculus-
based approach, IEEE GlobeCom 2013. doi: 10.1109/GLOCOM.2013.6831269 (vid.
pág. 14).
[37] A. K. Ekert, Quantum cryptography based on Bell’s theorem, Phys. Rev. Lett.,
vol. 67, 661-663. doi: 10.1103/PhysRevLett.67.661. dirección: https://link.aps.org/doi/
10.1103/PhysRevLett.67.661 (vid. pág. 15).
[38] D. Stucki, C. Barreiro, S. Fasel, J.-D. Gautier, O. Gay, N. Gisin, R. Thew, Y. Thoma,
P. Trinkler, F. Vannel y H. Zbinden, Continuous high speed coherent one-way
quantum key distribution, Opt. Express, vol. 17:n.o 16, 13326-13334. doi: 10.1364/
OE.17.013326. dirección: http://opg.optica.org/oe/abstract.cfm?URI=oe-17-16-13326
(vid. pág. 15).
[39] M. Peev, C. Pacher, R. Alléaume, C. Barreiro, J. Bouda, W. Boxleitner, T. Debuisschert,
E. Diamanti, M. Dianati, J. Dynes, S. Fasel, S. Fossier, M. Fürst, J.-D. Gautier, O. Gay,
N. Gisin, P. Grangier, A. Happe, Y. Hasani y A. Zeilinger, The SECOQC quantum
key distribution network in Vienna, New Journal of Physics, vol. 11, 075001. doi:
10.1088/1367-2630/11/7/075001 (vid. págs. 15, 43).
[40] Q. Xu, Optical Homodyne Detection and Applications in Quantum Crypto-
graphy (vid. pág. 15).
[41] J. Yang, B. Xu, X. Peng y H. Guo, Four-state continuous-variable quantum key
distribution with long secure distance, Physical Review A, vol. 85:n.o 5. doi: 10.
1103/physreva.85.052302. dirección: https://doi.org/10.1103%2Fphysreva.85.052302
(vid. pág. 15).
[42] G. Agapiou, I. Papafili y S. Agapiou, The role of SDN and NFV for dynamic
bandwidth allocation and QoE adaptation of video applications in home
networks, en 2014 Euro Med Telco Conference (EMTC), 2014, 1-4. doi: 10.1109/EMTC.
2014.6996646 (vid. pág. 16).
[43] M. Corici, B. Reichel, B. Bochow y T. Magedanz, An SDN-based solution for in-
creasing flexibility and reliability of dedicated network environments, en
2016 IEEE 21st International Conference on Emerging Technologies and Factory Auto-
mation (ETFA), 2016, 1-6. doi: 10.1109/ETFA.2016.7733560 (vid. pág. 16).
[44] S. Richter, M. Thornton, I. Khan, H. Scott, K. Jaksch, U. Vogl, B. Stiller, G. Leuchs,
C. Marquardt y N. Korolkova, Agile and versatile quantum communication:
signatures and secrets. doi: 10.48550/ARXIV.2001.10089. dirección: https://arxiv.
org/abs/2001.10089 (vid. pág. 21).
62
[45] A. Shamir, How to Share a Secret, Commun. ACM, vol. 22:n.o 11, 612-613, issn: 0001-
0782. doi: 10.1145/359168.359176. dirección: https://doi.org/10.1145/359168.359176
(vid. págs. 21, 27).
[46] A. Carrasco-Casado, V. Fernández y N. Denisenko, 589-607, en, Optical Wireless
Communications: An Emerging Technology, M. Uysal, C. Capsoni, Z. Ghassemlooy,
A. Boucouvalas y E. Udvary, eds., Cham: Springer International Publishing, 2016,
isbn: 978-3-319-30201-0. doi: 10.1007/978- 3- 319- 30201- 0_27. dirección: https:
//doi.org/10.1007/978-3-319-30201-0_27 (vid. pág. 23).
[47] P. Wallden, V. Dunjko, A. Kent y E. Andersson, Quantum digital signatures
with quantum-key-distribution components, Phys. Rev. A, vol. 91, 042304. doi:
10.1103/PhysRevA.91.042304. dirección: https://link.aps.org/doi/10.1103/PhysRevA.
91.042304 (vid. pág. 25).
[48] Lagrange interpolation formula, Encyclopedia of Mathematics. dirección: http:
//encyclopediaofmath.org/index.php?title=Lagrange_interpolation_formula&
oldid=47556 (vid. pág. 30).
[49] C. Elliott y H. Yeh, DARPA Quantum Network Testbed, 164 (vid. pág. 43).
[50] R. Courtland, China’s 2,000-km quantum link is almost complete [News],
IEEE Spectrum, vol. 53:n.o 11, 11-12. doi: 10.1109/MSPEC.2016.7607012 (vid. págs. 43,
44).
[51] M. Sasaki, M. Fujiwara, H. Ishizuka, W. Klaus, K. Wakui, M. Takeoka, S. Miki, T.
Yamashita, Z. Wang, A. Tanaka, K. Yoshino, Y. Nambu, S. Takahashi, A. Tajima, A.
Tomita, T. Domeki, T. Hasegawa, Y. Sakai, H. Kobayashi, T. Asai, K. Shimizu, T. Toku-
ra, T. Tsurumaru, M. Matsui, T. Honjo, K. Tamaki, H. Takesue, Y. Tokura, J. F. Dynes,
A. R. Dixon, A. W. Sharpe, Z. L. Yuan, A. J. Shields, S. Uchikoga, M. Legré, S. Robyr, P.
Trinkler, L. Monat, J.-B. Page, G. Ribordy, A. Poppe, A. Allacher, O. Maurhart, T. Län-
ger, M. Peev y A. Zeilinger, Field test of quantum key distribution in the Tokyo
QKD Network, Opt. Express, vol. 19:n.o 11, 10387-10409. doi: 10.1364/OE.19.010387.
dirección: http://opg.optica.org/oe/abstract.cfm?URI=oe-19-11-10387 (vid. págs. 43,
44).
[52] M. I. García, L. Ortiz y V. Martín, Madrid Quantum Network: a first step to
Quantum Internet, The 16th International Conference on Availability, Reliability
and Security (ARES 2021). doi: 10.1145/3465481.3470056 (vid. pág. 43).
[53] Q. Ruihong y M. Ying, Research Progress Of Quantum Repeaters, vol. 1237:n.o 5,
052032. doi: 10.1088/1742-6596/1237/5/052032. dirección: https://doi.org/10.1088/
1742-6596/1237/5/052032 (vid. pág. 44).
63
[54] J. Yin, Y. Cao, Y.-H. Li, S.-K. Liao, L. Zhang, J.-G. Ren, W.-Q. Cai, W.-Y. Liu, B.
Li, H. Dai, G.-B. Li, Q.-M. Lu, Y.-H. Gong, Y. Xu, S.-L. Li, F.-Z. Li, Y.-Y. Yin, Z.-Q.
Jiang, M. Li, J.-J. Jia, G. Ren, D. He, Y.-L. Zhou, X.-X. Zhang, N. Wang, X. Chang,
Z.-C. Zhu, N.-L. Liu, Y.-A. Chen, C.-Y. Lu, R. Shu, C.-Z. Peng, J.-Y. Wang y J.-W.
Pan, Satellite-Based Entanglement Distribution Over 1200 kilometers. doi:
10.48550/ARXIV.1707.01339. dirección: https://arxiv.org/abs/1707.01339 (vid.
pág. 44).
[55] Y.-A. Chen, Q. Zhang, T.-Y. Chen, W. Cai, S. Liao, J. Zhang, K. Chen, J. Yin, J.-G. Ren,
Z. Chen, S. L. Han, Q. Yu, K. Liang, F. Zhou, X. Yuan, M.-s. Zhao, T. Wang, X. Jiang, L.
Zhang, W. Liu, Y. Li, Q. Shen, Y. Cao, C. Lu, R. Shu, J.-Y. Wang, L. Li, N.-L. Liu, F. Xu,
X.-B. Wang, C.-Z. Peng y J.-W. Pan, An integrated space-to-ground quantum
communication network over 4,600 kilometres, Nature, vol. 589, 214-219 (vid.
pág. 44).
[56] D. Lancho, J. Martínez Mateo, D. Elkouss, M. Soto y V. Martin, QKD in Standard
Optical Telecommunications Networks, en, vol. 36, oct. de 2009, 142-149, isbn:
978-3-642-11730-5. doi: 10.1007/978-3-642-11731-2_18 (vid. pág. 44).
[57] A. Ciurana, J. Martínez-Mateo, M. Peev, A. Poppe, N. Walenta, H. Zbinden y V. Mar-
tín, Quantum metropolitan optical network based on wavelength division
multiplexing, Opt. Express, vol. 22:n.o 2, 1576-1593. doi: 10.1364/OE.22.001576.
dirección: http://opg.optica.org/oe/abstract.cfm?URI=oe-22-2-1576 (vid. pág. 44).
[58] D. Elkouss, J. Martinez-Mateo y V. Martin, Information Reconciliation for Quan-
tum Key Distribution. doi: 10.48550/ARXIV.1007.1616. dirección: https://arxiv.
org/abs/1007.1616 (vid. pág. 44).
[59] ETSI GS QKD 004 V2.1.1 (2020-08). Reference: RGS/QKD-004ed2_ApplIn, ETSI, 650
Route des Lucioles F-06921 Sophia Antipolis Cedex - FRANC, 2018 (vid. pág. 45).
64
8
Apéndice: experimento en la red Madrid QN
Realizamos petición de clave QKD para dos pares de nodos: A-B y A-C (tres
usuarios, siendo A emisor y B, C receptores). El primer paso es la conexión de la
máquina ejecutando los protocolos con la propia red, Madrid QN. Para averiguar si
se dan las conexiones, se han de ver las peticiones de conexión, en la Figura 8.1.
Figura 8.1: La máquina trata de conectar a la red para pedir clave QKD a los nodos en los
que se extraerá. Primero, debe conectarse a una pasarela de red, que le de acceso.
Una vez mostrada la correctiva conexión entre la máquina y la red, observaremos

qué ocurre en los propios nodos, que denominamos QDS-A, QDS-B, QDS-C (ver
Figura 8.2), y en el controlador QKD, que maneja el flujo de clave entre ellos.
Figura 8.2: Conexiones de las que dispone cada nodo. En naranja, los canales de transmisión
de clave QKD. En paréntesis, el número de clave generada.
El controlador QKD muestra, a continuación, la generación del KSID (Key

Stream ID) entre nodos (Figura 8.3). Al encontrarse conectados ambos al mismo
KSID, se garantiza la simetría de la clave en ambos lados.
En la Figura 8.3, se muestra el flujo de clave QKD entre A y B. Para el caso entre
A y C, requiere de un paso adicional: los nodos se encuentran dispuestos en cadena
A - B - C, por lo que la conexión entre ambos extremos es indirecta.
65
Figura 8.3: Se presenta la aplicación QKD que engloba a las aplicaciones presentes en los
nodos. La clave QKD se obtiene a través de un enlace común designado para ello.
Figura 8.4: El nodo B es intermediario entre las aplicaciones de A y C (ver los dos enlaces).
Al entrometerse un intermediario en la Figura 8.4, puede cuestionarse que el repar-

to de clave entre nodos separados sea realmente QKD. Para garantizar que esta trans-
misión no comprometa la clave generada, se emplea un dispositivo /dev/urandom,
otorgando una fuerte protección del envío.
Una vez distribuidas las claves, la máquina realiza la petición de cesar el protocolo.
En la Figura 8.5, se observa desde la perspectiva del controlador QKD (izquierda) y
del primer nodo (derecha).
Figura 8.5: Se cesa la comunicación entre la aplicación QKD y la app de cada nodo.
Observamos la cantidad de clave QKD generada, disponible para su recolección.
Se ha extraido con éxito clave QKD para todos los usuarios. El despliegue
en la red termina aquí.
66
8Declaración de Autoría
Por la presente, declaro que el trabajo realizado en esta tesis es completamente
propio. Todas las fuentes directas o indirectas empleadas han sido reconocidas
como referencias.
En Madrid, a 12 de septiembre de 2022
Daniel Gómez Aguado
67

TFM Daniel Gomez Aguado 240309 091519

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

TFM Daniel Gomez Aguado 240309 091519

Cargado por

Copyright:

Formatos disponibles

Protocolos de criptografía asistida por

Daniel Gómez Aguado

enviado el 12 de septiembre de 2022 por

Tutores Laura Ortiz Martín

El paradigma actual de la criptografía se encuentra amenazado por los nuevos

Pasando a un terreno alejado del trabajo, es hora de hacer mención a quienes

Índice general vii

III Despliegue en la red 41

7 Resultados de los protocolos 47

Apéndice: experimento en la red Madrid QN 65

La tecnología se encuentra en constante avance. En la actualidad, existe una

En informática y telecomunicaciones, la criptografía es el ámbito de la criptología

La confidencialidad. Hace referencia a ciertas reglas y guías en la comu-

La integridad del envío. Sucede en caso de no poder alterarse su contenido.

Protección ante repudio. Se obtiene si cualquier intento de negación, por

2.1. Conceptos generales

Usuario: es uno de los participantes en el protocolo. Son posibles usuarios un

Emisor: se encarga de comenzar la comunicación mediante envíos de infor-

Mensaje: en informática, un mensaje es una cadena de bits, cada uno albergando

Clave: es una secuencia de números y letras con múltiples propósitos en cripto-

2.2. Protocolos de criptografía

2.2.1. Nuevos canales de comunicación

frente al ruido, lo cual permitirá detectar a amenazas externas en intentos de

La comunicación entre usuarios será por lo general clásica. El envío de mensajes

Todo lo que se ha de conocer sobre Mecánica Cuántica para el entendimiento de

2.3. Líneas de investigación frente a la

la criptografía cuántica es protegida por fundamentos físicos, ajenos a la com-

2.3.1. Vertientes en criptografía cuántica

Criptografía cuántica pura. Trata de generar nuevos protocolos a partir del

Atendiendo a esta clasificación, los Quantum Digital Signature y Quantum Secret

3.1. Conceptos base sobre redes

3.1.1. Establecimiento de comunicaciones

3.2. Redes de comunicación

Se demonina red de comunicación al flujo de información entre una serie

3.2.1. Tipos de topología

Red en cadena: maneja comunicaciones entre nodos adyacentes. En la co-

Red en Y: difiere con la red en cadena por su ramificación. Un mismo envío

Red en estrella: posee un nodo central (A en la Figura 3.2) que interviene

Red en círculo: todo nodo puede llevar a cabo comunicaciones -directas o

Figura 3.2: tipos de red de comunicación.

Los modelos de red de comunicación que se presentan en la Figura 3.2 parecen

3.3. Aspectos de la red cuántica

3.3.1. Dispositivos QKD

3.3.2. Tecnología Software-Defined Network (SDN)

Figura 3.3: La arquitectura SDN usual es de tres capas: la de aplicación, la de control y la

La simulación de elementos de la red propuesta por la tecnología SDN no era

Una vez introducidos los conceptos de criptografía necesarios, en esta sección se

4.1. Creación de protocolos

Al pensar en un nuevo protocolo, se han de identificar cuáles son las necesida-

4.1.1. Primer acercamiento

Por parte de Bob: desde su perspectiva, llega un mensaje 𝑚. Desconoce el

No hay ningún cifrado en el mensaje 𝑚. Puede darse que 1) un espía se haga

En tan solo un proceso de envío, hemos identificado problemas de autenticación

La firma digital. En numerosos acuerdos, se debe proponer grabado que

Mensajería secreta. Una falta de confidencialidad o integridad en los

4.2. QKD asistiendo al protocolo

𝑏 = 0 → {|𝜓 00 ⟩ , |𝜓 10 ⟩} = {|0⟩ , |1⟩}

Si ambos emisor y receptor hacen uso de la misma base de medida, el

Ejemplo: para el envío 𝑖, emisor obtiene 𝑎 = 1, 𝑏 = 1. Por tanto, enviará el

Si ambos emisor y receptor utilizan bases diferentes, independientemente del

4.2.2. Diseño digital del protocolo

2. ¿De qué tipo de red de comunicación dispondrán?

3. ¿Qué aspecto tendrá la clave? ¿Cuánta longitud de clave se necesita?