¿Cuál es la diferencia entre la criptografía cuántica y la criptografía post cuántica?

“Antes o después, los ordenadores cuánticos serán capaces de destruir los sistemas criptográficos
que actualmente protegen todas las comunicaciones por internet, lo cual ocasionaría un verdadero
Armagedón Tecnológico. Cuando esto suceda, necesitaremos haber implementado nuevas formas
de criptografía capaces de resistir a estas máquinas… no perdamos el tiempo….. a trabajar! (David
Mendoza,2020)“

Criptografía Cuántica

Es la criptografía que utiliza principios de la mecánica cuántica para garantizar la absoluta

confidencialidad de la información transmitida. La criptografía cuántica permite a dos personas
crear, de forma segura una comunicación, con una propiedad única de la física cuántica para cifrar y
descifrar mensajes. Utiliza como medio de transmisión los fotones. La criptografía cuántica como
idea se propuso en 1970, pero no es hasta 1984 que se publica el primer protocolo.

Los criptosistemas de clave pública que utilizamos hoy están basados en ciertos problemas
matemáticos complejos. Por ejemplo, la seguridad para los criptosistemas de clave pública RSA
descansa en la dificultad de factorizar productos de dos números primos grandes – si tomamos dos
números primos de 300 dígitos podemos multiplicarlos juntos de manera sencilla para obtener un
producto más o menos 600 dígitos, pero si comenzamos con solo el producto es difícil encontrar los
dos factores más pequeños, sin importar cuánto poder clásico de cómputo esté disponible para la
tarea.
A inicios de los noventa, el doctor Peter Shor en AT&T Laboratories descubrió un algoritmo que
podía factorizar productos de dos números primos grandes de manera rápida, pero su algoritmo
requiere cómputo cuántico para correr. Ahora conocida como “Shor’s Algorithm”, su técnica vence
al algoritmo de encriptación RSA con la ayuda de un cómputo cuántico “suficientemente grande”.
Una computadora cuántica con la cantidad suficiente de qubits estables para utilizar el Shor’s
Algorithm para romper la criptografía actual de clave pública está bastante lejos, pero los riesgos
están en el horizonte. Además, un adversario podría grabar hoy el tráfico encriptado de internet para
desencriptarlo después, cuando esté disponible el cómputo cuántico de tamaño suficiente. De esta
manera, las computadoras cuánticas futuras son una amenaza para la seguridad a largo plazo de la
información actual.

En el caso de existir un ordenador cuántico con la suficiente potencia se podrían ejecutar algoritmos
cuánticos conocidos con impacto en la protección de datos y comunicaciones digitales como por
ejemplo el algoritmo de Grover y el algoritmo de Shor.
El algoritmo de Grover, publicado en 1996, permite realizar una búsqueda en una secuencia no
ordenada de datos con N elementos en un tiempo O(√N), mientras que el mismo problema con un
ordenador clásico, la búsqueda se realizaría en un tiempo O(N). Por ejemplificar, si buscáramos en
un conjunto de datos (no ordenados) de 1 millón de elementos con un algoritmo clásico se
requeriría 1 millón de operaciones, mientras que utilizando el algoritmo de Grover en un ordenador
cuántico, sólo se requerirían 1000 operaciones, bastante más rápido que los algoritmos clásicos de
búsqueda.
El algoritmo de Shor, publicado en 1994,  permite factorizar un número N en tiempo O((log N)3) en
un ordenador cuántico, sustancialmente más rápido que usando la criba general del cuerpo de
números (GNFS, por sus siglas en inglés) que tiene una complejidad subexponencial, y es el
algoritmo más rápido conocido hasta la fecha para este tipo de problema.
El algoritmo de Grover afectará a la criptografía simétrica (algoritmos de cifrado simétrico
como AES y funciones hash) ya que reducirá su nivel de seguridad a la mitad. La solución será
aumentar el tamaño de las claves o la salida de las funciones hash al doble del tamaño actual
(actualmente se están estudiando más restricciones adicionalmente el aumento del tamaño de bloque
o clave). Así, por ejemplo, si en la actualidad tenemos una clave AES de 128 bits, la seguridad en
bits de la clave con la presencia de un ordenador cuántico que ejecute el algoritmo de Grover sería
de 64 bits, por lo que incrementando el tamaño de clave a 256 bits se obtendría una seguridad de
128 bits, igual a la actual sin la presencia de un adversario cuántico.
Esto no sucede así con el algoritmo de Shor, que tiene unas consecuencias devastadoras en la
criptografía asimétrica que conocemos a día de hoy: todos los algoritmos serían rotos con la
presencia de un adversario cuántico que ejecutara el algoritmo de Shor. Así pues, algoritmos
como RSA, la criptografía de curva elíptica, los criptosistemas basados en el problema del
logaritmo discreto como Diffie-Hellman o DSA quedarían obsoletos y no serían seguros. La
estimación actual, por ejemplo, para romper un RSA-2048 bits recae en unos poco miles de qubits
“de calidad” (algo muy alejado todavía de los ordenadores cuánticos actuales) y unos cientos de
millones de puertas lógicas en la construcción del ordenador.

Cuando aparezca y se pueda usar un ordenador cuántico morirá la criptografía asimétrica basada en:

• La factorización de números enteros

• El cálculo de logaritmos discretos Cuando aparezca un ordenador cuántico con la potencia de
cómputo adecuada…
• La criptografía simétrica, solo necesitará duplicar el tamaño de las claves usadas hoy para
sobrevivir, manteniendo la misma seguridad

Criptografía POST-Cuántica

Para hacer frente a esta amenaza, el Instituto Nacional de Estándares y Tecnología (NIST) de
Estados Unidos – cuyo estatuto es promover la innovación y la competitividad industrial a través de
un amplio espectro de tecnologías y esfuerzos, que incluyen la ciberseguridad – ha comenzado
el proceso de estandarizar nuevos algoritmos de criptografía de clave pública que no pueden ser
atacados de manera eficiente incluso con la ayuda de cómputo cuántico. Con participantes de todo
el mundo, la meta del proyecto es identificar nuevos algoritmos criptográficos que son resistentes a
ataques por computadoras cuánticas y luego estandarizarlos para un uso más amplio.
La convocatoria inicial de NIST para propuestas atrajo sesenta y nueve envíos totales de todo el
mundo para intercambio de claves y algoritmos de firma digital, incluidas cuatro propuestas
enviadas en conjunto por Microsoft Research. En enero de 2019, NIST seleccionó veintiséis de esas
propuestas para avanzar a la Ronda 2 del proceso de selección, incluidos los cuatro envíos en
conjunto de Microsoft Research. Aquí una lista de las propuestas en las que Microsoft Research es
un socio:
Mecanismos de encapsulamiento de clave (KEM, por sus siglas en inglés):
FrodoKEM: Un esquema de cifrado basado en celosía.
Encapsulación de clave de isogenia supersingular (SIKE):  Un esquema de cifrado basado en
paseos pseudoaleatorios en gráficos de isogenia supersingular.
Esquemas de firma digital:
Picnic: Un esquema de firma digital basado en pruebas de conocimiento de cero conocimiento y
cómputo multipartes.
qTESLA: Un esquema de firma basado en celosía.
Un enfoque que explora Microsoft Research es aplicar la nueva criptografía post cuántica a túneles
de red. Al utilizar algoritmos actuales y post cuánticos de manera simultánea – lo que llamamos un
enfoque “híbrido” – cumplimos con requerimientos regulatorios como FIPS (Estándares de
Procesamiento de Información Federal) a la vez que protegemos contra los atacantes clásicos de
hoy y los del mañana, que estarán habilitados por el cómputo cuántico.
Ante este eventual problema, los investigadores de todo el mundo buscan algoritmos que sean
resistentes frente a adversarios cuánticos, dando lugar a una rama de la criptografía llamada
criptografía post-cuántica. Estos algoritmos reciben el nombre de post-cuánticos. Destacar a modo
de curiosidad, especialmente para los medios generalistas, que criptografía post-cuántica no tiene
nada que ver con criptografía cuántica (distribución de claves aleatorias).
La criptografía postcuántica tiene distintas aproximaciones cada una con sus ventajas y desventajas,
y ninguna de ellas parece ser perfecta: criptografía basada en retículos, criptografía
multivariante, basada en hashes o en códigos. Una desventaja de este tipo de algoritmos post-
cuánticos es que requieren claves más largas que los algoritmos previos. La siguiente tabla muestra
una comparativa entre los tamaños de clave entre distintos algoritmos post-cuánticos y pre-
cuánticos para una seguridad de 128 bits post-cuánticos.

Algoritmo ¿Post-cuántico? Clave pública (bytes) Clave privada (bytes)

NTRU-HPS ✔ 699 935
NewHope-CCA-KEM ✔ 928 1888
qTESLA-Provably Secure ✔ 14880 5184
SPHINCS+ Fast ✔ 32 64
3072-bit Logaritmo discreto ❌ 384 32
256-bit Curva elíptica ❌ 32 32
Fuente: PQC Wiki. Florida Atlantic University. Cryptographic Key Length Recommendation.
Se puede observar que los tamaños de claves para varios algoritmos post-cuánticos son 
significativamente más grandes que sus antecesores pre-cuánticos. Este hecho debe tenerse en
cuenta especialmente en el diseño de arquitecturas o productos comerciales que requieran mantener
la compatibilidad con el formato/tamaño de los mensajes aceptados en una organización o red
corporativa.
¿qué decisión debo tomar para proteger mejor mis comunicaciones digitales o datos? La respuesta
fácil sería confiar en que el proceso de estandarización por el NIST (2022-2024) finalice con éxito y
los algoritmos puedan ser accesibles por librerías y productos comerciales antes de la teórica
llegada de un ordenador cuántico. Por desgracia, en función del escenario en el que nos
encontremos esto será suficiente o no.
Se debe asumir que un atacante con la capacidad de construir un ordenador con la capacidad de
computación indicada podría almacenar las comunicaciones previas para descifrarlas después
(supongamos que la información sigue teniendo valor) o acelerar la inversión en desarrollo y tener
un ordenador de estas características antes y en secreto un tiempo. En estas circunstancias, se
recomienda apoyarse en la medida de lo posible en criptografía simétrica y en las siguientes
recomendaciones:
Algoritmos de clave pública (cifrado y firma)
▪ Criptografía postcuántica
▪ McEliece, con códigos Goppa, n=6960, k= 5413, y t=119
▪ NTRU, basado en retículos, versión de Stehlé-Steinfeld
▪ XMSS (Extended Merkle Signature Scheme)
▪ SPHINCS-256
Algoritmos simétricos y autenticación (simétrica)
Cifrado en bloque: AES-256
Cifrado en flujo: Salsa20, clave de 256 bits
GCM: Galois Counter Mode, nonce de 96 bits, autenticador de 128 bits
Poly1305, MAC basado en AES
Ante la espera de este hito tecnológico y computacional solo nos queda seguir la evolución de los
acontecimientos, realizar una adecuada política de gestión de riesgos y aplicar las medidas y
recomendaciones tradicionales de seguridad en profundidad para minimizar el impacto de posibles
roturas o vulneraciones en algoritmos criptográficos. Años apasionantes nos esperan.

Criptografía Post-Quantum vs. Criptografía Cuántica

La criptografía Post-Quantum es diferente de la criptografía cuántica, que es el uso de la tecnología
cuántica para la comunicación y la computación para proteger los mensajes. El ejemplo más
conocido de criptografía cuántica es Quantum Key Distribution (QKD), que es el proceso de usar la
comunicación cuántica para establecer una clave compartida entre dos partes sin que un tercero
aprenda nada sobre esa clave. Esto se consigue codificando los bits de la clave como datos
cuánticos que serán perturbados si son observados por un tercero. La clave se utiliza entonces con
técnicas de cifrado o autenticación simétricas convencionales. QKD se ha explicado, entre otras
cosas, en un informe previo publicado por el Quantum-Safe Security Working Group. Es probable
que los algoritmos QKD y los Post-cuánticos encuentren sus aplicaciones en el futuro mundo
criptográfico post-cuántico.
Se avecina un interesante cambio de mentalidad, un cambio de 360 grados en las metodologías
tradicionales de hacer tecnología, gracias a los ordenadores cuánticos. Todo esto nos suena a ciencia
ficción, a un futuro muy lejano, pero esta lejanía no es tan grande como pensamos, y el día que
lleguen , debemos estar preparados con los algoritmos más seguros para brindar nuestra seguridad.

Referencias y Enlaces
https://www.technologyreview.es/s/11310/que-es-la-criptografia-poscuantica-y-por-que-se-volvera-
impresdincible

https://www.bbvanexttechnologies.com/la-computacion-cuantica-y-el-futuro-de-la-criptografia-la-
criptografia-post-cuantica/

https://news.microsoft.com/es-xl/la-criptografia-en-la-era-de-las-computadoras-cuanticas/

https://scielo.conicyt.cl/scielo.php?script=sci_arttext&pid=S0718-33052015000200009

https://www.welivesecurity.com/la-es/2016/06/14/computacion-cuantica-armagedon-criptografico/

https://repository.ucatolica.edu.co/bitstream/10983/1381/1/01%20-%20METAAN%C3%81LISIS
%20DEL%20ESTADO%20ACTUAL%20DE%20LA%20%20CRIPTOGRAF%C3%8DA%20CU
%C3%81NTICA%20IDENTIFICANDO%20LAS%20%C3%81REAS%20DE%20DESAR.pdf

https://ciberseguridad.blog/la-criptografia-post-quantum/

https://www.ccn-cert.cni.es/pdf/documentos-publicos/xi-jornadas-stic-ccn-cert/2599-m31-02-frente-
al-computador-cuantico/file.html