Hackear la criptografía post-cuántica ahora para que los malos actores no lo hagan después

En febrero, un investigador provocó una onda expansiva en la comunidad criptográfica al afirmar que un algoritmo que podría convertirse en la piedra angular de la próxima generación de cifrado de Internet puede descifrarse matemáticamente con un solo ordenador portátil. Este hallazgo puede haber evitado una vulnerabilidad de ciberseguridad masiva. Pero también hace temer que los nuevos métodos de cifrado para asegurar el tráfico de Internet contengan otros fallos que aún no se han detectado. Una forma de fomentar la confianza en estos nuevos métodos de cifrado -y de ayudar a detectar cualquier otro punto débil antes de que se desplieguen- sería organizar un concurso público para incentivar a más personas a buscar los puntos débiles de estos nuevos algoritmos.

El nuevo algoritmo de cifrado que acaba de ser descifrado fue diseñado para ser seguro contra los ordenadores cuánticos. Un ordenador cuántico a gran escala podría llegar a descifrar rápidamente el cifrado empleado para proteger el tráfico actual de Internet. Si los usuarios de Internet no toman ninguna contramedida, cualquiera que esté en posesión de un ordenador de este tipo podría ser capaz de leer todas las comunicaciones seguras en línea -como el correo electrónico, las transacciones financieras, los registros médicos y los secretos comerciales- con repercusiones potencialmente catastróficas para la ciberseguridad que la Agencia de Seguridad Nacional de Estados Unidos ha descrito como «devastadoras para… nuestra nación».

Una de las defensas contra esta futura amenaza es la criptografía poscuántica o PQC, un conjunto de nuevos algoritmos criptográficos que se espera que resistan los ataques de los ordenadores cuánticos. Desde 2015, el Instituto Nacional de Estándares y Tecnología (NIST) de Estados Unidos ha estado evaluando algoritmos para diseñar un nuevo estándar para este tipo de criptografía, que probablemente será adoptado finalmente por los sistemas de comunicación de todo el mundo. Aunque es improbable que los ordenadores cuánticos lo suficientemente potentes como para amenazar el cifrado lleguen antes de 2030, la actualización a PQC llevará años y costará miles de millones de dólares. El gobierno  considera que la adopción rápida y completa del PQC en sus propios sistemas de comunicación es un importante imperativo de seguridad nacional: En los últimos dos meses, la Casa Blanca ha emitido un Memorándum de Seguridad Nacional en el que ordena a todas las agencias federales que empiecen a prepararse para la transición. Y los proyectos de ley relacionados han sido aprobados en la Cámara de Representantes y presentados en el Senado con apoyo bipartidista.

Si un algoritmo PQC desplegado contiene un fallo de seguridad, una enorme cantidad de información sensible podría quedar vulnerable. Y podría producirse una caótica y costosa lucha para solucionar el fallo en toda la infraestructura de comunicaciones. La reciente afirmación de haber encontrado precisamente un fallo de este tipo en uno de los algoritmos de PQC que el NIST estaba considerando demuestra que este riesgo no es descabellado.

El NIST y otros miembros de la comunidad criptográfica están analizando cuidadosamente varios algoritmos PQC para tratar de detectar cualquier posible vulnerabilidad. Pero es casi imposible demostrar matemáticamente la seguridad de la mayoría de los algoritmos de criptografía. En la práctica, la prueba más sólida de la seguridad de un algoritmo es simplemente que muchos expertos han intentado romperlo y no lo han conseguido. Cuantas más personas intenten atacar los nuevos algoritmos PQC y fracasen, más probable será que sean seguros.

Una opción posible para seguir haciendo crowdsourcing del análisis de los algoritmos PQC candidatos finales del NIST sería un concurso en el que se invitara al público en general a intentar romperlos. Como han descubierto cientos de empresas que ofrecen recompensas públicas por errores, las pruebas de penetración de crowdsourcing pueden ser una herramienta muy útil para mejorar la ciberseguridad. Los Departamentos de Seguridad Nacional y de Defensa de los Estados Unidos también han experimentado recientemente con la oferta de recompensas por errores a cualquiera que descubra vulnerabilidades cibernéticas en los sistemas de los departamentos. Un concurso público no puede sustituir a un análisis matemático de seguridad, pero podría ser un complemento útil que aporte pruebas adicionales de la seguridad de los algoritmos.

He aquí una posible opción de cómo podría ser ese concurso: El NIST podría usar sus algoritmos PQC candidatos recientemente seleccionados para cifrar un documento no sensible y luego hacer público el texto cifrado (y los algoritmos utilizados para cifrarlo) junto con una gran recompensa por su descifrado. La primera persona -en cualquier parte del mundo- que lograra descifrar el documento y explicara cómo lo hizo recibiría la recompensa. Si alguien lo consigue, el NIST sabrá que tiene que perfeccionar sus algoritmos antes de publicar la norma definitiva.

Una de las principales ventajas de un concurso de alto nivel es que permitiría examinar los algoritmos candidatos desde nuevas perspectivas. El proceso de normalización del NIST ha sido bastante transparente. Pero el PQC sigue siendo un tema esotérico y muy técnico, y son relativamente pocas las personas que han estudiado detenidamente los algoritmos elegidos por el NIST. Un concurso público podría atraer a más criptógrafos y a otras personas con una mayor variedad de antecedentes, incluyendo a los entusiastas, a los hackers de sombrero blanco y a cualquier persona que aprecie la oportunidad de «engañar al gobierno» públicamente derrotando sus sistemas de criptografía propuestos (además de ganar un premio económico considerable).

Hay varias objeciones potenciales a esta propuesta. La primera es que los anteriores concursos de cracking de criptografía a menudo no han sido muy eficaces. Pero también se han ofrecido con éxito recompensas en metálico por la criptografía. Siempre que este concurso se diseñe con cuidado, puede evitar los escollos comunes de los concursos anteriores. Por ejemplo, el concurso tendría que ofrecer un premio lo suficientemente grande como para incentivar un esfuerzo significativo, el algoritmo o los algoritmos PQC utilizados tendrían que estar claramente especificados, y tendría que haber pocas restricciones sobre las herramientas que los participantes pueden utilizar.

Una segunda objeción es que un concurso de este tipo podría ser contraproducente. Si incentiva a los participantes a descubrir una vulnerabilidad, podrían decidir explotarla o venderla en lugar de revelarla al patrocinador del concurso y reclamar la recompensa. Este resultado es concebible, pero poco probable. La mayoría de las personas que se verían incentivadas por este concurso serían probablemente aficionados o académicos más que hackers profesionales de sombrero negro, y es poco probable que estén dispuestos o sean capaces de explotar o vender una vulnerabilidad grave. Si una persona motivada económicamente descubre una vulnerabilidad, una recompensa en metálico crearía un incentivo para que la revelara al gobierno de EE.UU. en lugar de explotarla o venderla. Además, si varias personas descubren la misma vulnerabilidad, sólo tendría que revelarla una persona para que el concurso tuviera éxito, y es poco probable que todas las personas que descubran la vulnerabilidad decidan hacer un mal uso de ella. En términos más generales, el principio general de la criptografía conocido como la máxima de Shannon – «el enemigo conoce el sistema»- favorece que se descubra y corrija rápidamente cualquier debilidad fundamental en los sistemas de criptografía, en lugar de contar con que esas vulnerabilidades no sean descubiertas por los adversarios.

Una tercera objeción es que organizar un concurso de este tipo sería una pérdida de esfuerzo, porque es poco probable que los participantes descubran alguna vulnerabilidad que los matemáticos profesionales del NIST hayan pasado por alto tras años de trabajo. Es cierto que la recompensa (afortunadamente) probablemente nunca tendría que pagarse. Pero el concurso podría ser valioso, tanto si concede un premio como si no. Su mera existencia podría tranquilizar a la comunidad empresarial -que está más familiarizada con el concepto de recompensas por errores que con el tipo de análisis criptográfico formal que está llevando a cabo el NIST- de que estos nuevos algoritmos PQC son seguros. Los autores recomendaron anteriormente que el gobierno buscara formas innovadoras de estimular la rápida adopción de PQC. Garantizar a las organizaciones la seguridad del estándar PQC es una forma de hacerlo. Además, un concurso aumentaría el conocimiento público de PQC y animaría a los participantes a profundizar en los detalles matemáticos. Un aumento de la familiaridad del público con el PQC (en todos los niveles de detalle técnico) podría generar amplios beneficios en materia de ciberseguridad durante los próximos años.

Puede parecer contradictorio incentivar directamente a la gente para que rompa la criptografía que finalmente utilizarán las organizaciones gubernamentales y comerciales. Pero dado lo mucho que está en juego en la transición a PQC, es absolutamente crítico que el NIST reciba todas las garantías posibles de que estos algoritmos son seguros. Si los nuevos algoritmos PQC resultan contener vulnerabilidades como la descubierta recientemente, sería mucho mejor encontrarlas antes de que los algoritmos se extiendan ampliamente. Estos algoritmos PQC acabarán convirtiéndose en la base de la ciberseguridad de todo Internet. Si una recompensa ayuda a detectar una vulnerabilidad antes de que se despliegue, entonces el modesto coste de la recompensa podría evitar costes mucho mayores más adelante.

Fte. Lawfare