La historia de la criptografía se remonta a la edad clásica, con métodos de cifrado que utilizaban lápiz y papel o, como máximo, soportes mecánicos simples. A principios del siglo XX, la invención de dispositivos electromecánicos, como la célebre máquina de rotor Enigma del ejército nazi, elevó el cifrado a niveles más sofisticados y eficientes. La posterior introducción de la electrónica y la informática permitieron el uso de esquemas de cifrado cada vez más complejos.
“La criptografía es el conjunto de herramientas que permite asegurar la confidencialidad de la información y la autenticación segura de personas y dispositivos”. Con estas pocas y precisas palabras, Víctor Gayoso Martínez, doctor ingeniero en Telecomunicación, experto del CSIC y profesor del Grado en Ingeniería del Software y del Doble Grado en Ingeniería del Software y Matemáticas del Centro Universitario U-tad, describe uno de los ámbitos más influyentes y, al mismo tiempo, menos conocidos de la revolución digital de nuestros años.
De hecho, las matemáticas en general y la criptografía en particular no suelen ser temas fáciles de divulgar, puesto que los asuntos a tratar a veces son complejos, requieren una base de conocimientos sólida y no hay muchos divulgadores que hagan llegar el mensaje de forma clara y didáctica. Además, la mayoría de la literatura sobre criptografía está escrita en inglés.
Precisamente, esta fue una de las razones por la que Gayoso decidió escribir, junto con los reconocidos investigadores del CSIC Luis Hernández Encinas y Agustín Martín Muñoz, el libro titulado 'Criptografía con curvas elípticas', el primer texto en castellano que trata este tema tan específico.
La criptografía de curvas elípticas es un tipo específico de la criptografía de clave pública, que utiliza diferentes problemas matemáticos para generar una clave pública y otra privada con las que realizar operaciones. En el caso particular de las curvas elípticas, su utilización en algoritmos criptográficos fue propuesta por pruimera vez en 1985 por Victor Miller y Neil Koblitz.
Cómo hacer divulgación sobre criptografía
La intención del libro de Gayoso es explicar de forma clara y completa qué son las curvas elípticas y los distintos algoritmos en los que se utilizan. Además, el texto incluye el código Java Card, que permite implementar los principales algoritmos de curvas elípticas en tarjetas inteligentes, como forma de demostrar su aplicabilidad incluso en el caso de dispositivos de recursos limitados.
Como explica el autor, este enfoque práctico es el mismo que mantiene en sus clases universitarias. “Enseño criptografía de dos maneras. Por un lado, aprovecho las asignaturas de matemáticas de grado para dar a conocer a los alumnos algunos algoritmos criptográficos y realizar ejercicios sobre el tema. Por el otro, en la asignatura dedicada plenamente a la criptografía, proporcionamos los conocimientos teóricos necesarios para trabajar a nivel práctico con Java”.
Además, añade el docente, “solemos completar estas sesiones con información y ejercicios realizados con herramientas como OpenSSL o CryptTool, y también analizamos las capacidades criptográficas del DNI electrónico mediante sesiones prácticas”. Y, para fomentar vocaciones en edades tempranas, este experto y divulgador imparte talleres gratuitos en U-tad para alumnos de primero y segundo de Bachillerato, donde los chavales pasan una tarde divertida jugando al cifrado y descifrado de mensajes y resolviendo retos.
Dónde se usan las curvas elípticas
Aunque en el vídeo de abajo, el ingeniero Gayoso lo aclara en pocas palabras, de manera simplificada podríamos decir que existen tres grandes áreas de aplicación para todos los algoritmos de clave pública: el cifrado de información, la firma digital y el intercambio de claves. Para cada una de esas aplicaciones hay diferentes estándares que utilizan curvas elípticas. Por ejemplo, ECIES para cifrado, ECDSA para firma digital y ECDH para intercambio de claves.
Respecto a otras aplicaciones, las curvas elípticas están siendo utilizadas en campos tan diversos como el voto electrónico o la tecnología blockchain. En el caso del voto electrónico, existen propuestas que utilizan los puntos de una curva elíptica para garantizar características como el secreto, la resistencia a los intentos de voto forzado o la posibilidad de verificar la transparencia del proceso electoral por parte de cualquier persona.
Blockchain es sin duda una de las tecnologías que mayor interés han suscitado en los últimos años y que se está aplicando en diversos campos. En la actualidad, podemos encontrar curvas elípticas en protocolos como Bitcoin o Ethereum mediante el uso del algoritmo de firma digital ECDSA.
Otro ejemplo práctico de desarrollos en los que se usan las curvas elípticas es el protocolo TLS, utilizado en las conexiones 'https'. En este caso, los algoritmos de curvas elípticas son una de las opciones disponibles durante el proceso de establecimiento de la sesión segura.
Una profesión clave en la infraestructura digital
Las posibilidades de desarrollo profesional para un experto en criptografía digital son muchas y muy prometedoras. “La ciberseguridad es una de las profesiones con mayores expectativas de demanda a nivel mundial y, para ser un experto en ciberseguridad, es necesario tener una base sólida en criptografía”, asegura Víctor Gayoso.
De hecho, todas las empresas y los servicios relacionados con Internet utilizan, de una manera u otra, la criptografía. Lo hacen para autenticar usuarios, validar transacciones o cifrar información, tanto en las bases de datos gestionadas por las empresas como en los servicios ofrecidos a los clientes, como es el caso del streaming de datos de plataformas como Netflix o HBO.
“Además, este conocimiento debe ser actualizado con frecuencia, puesto que el uso de algoritmos con debilidades o de claves de longitud insuficiente puede provocar problemas de seguridad que cuestionen la credibilidad de los servicios y la consiguiente pérdida de usuarios de las empresas que los ofrecen”, avisa Gayoso.
Por todo ello, especializarse en criptografía puede abrir las puertas de muchas empresas tanto de España como del extranjero. A nivel nacional, los organismos que más aportan a ese campo son el Centro Criptológico Nacional, como responsable de la seguridad de las comunicaciones del Estado, el Consejo Superior de Investigaciones Científicas y el Instituto Nacional de Ciberseguridad.
En ámbito internacional, organizaciones de estandarización como ANSI, IEEE o ISO reúnen a expertos, procedentes tanto de empresas privadas como públicas, con el fin de elaborar y actualizar los estándares criptográficos. Finalmente, más allá de las organizaciones públicas, la mayoría de grandes compañías disponen de departamentos encargados de investigar en ciberseguridad. Por ejemplo Microsoft, Amazon o Google, que con su Project Zero se ha puesto como objetivo identificar ataques de día cero, los que aprovechan las vulnerabilidades conocidas de antemano por los atacantes.
Los ordenadores cuánticos, un desafío sin precedentes
Hace más de 20 años, el informático Peter Shor demostró que los principales problemas matemáticos en los que se basa la criptografía de clave pública actual (RSA, curvas elípticas, ElGamal, etc.) podrían ser rotos de manera eficiente mediante el uso de un ordenador cuántico de la potencia adecuada.
Para evitar que tecnologías como blockchain se vuelvan vulnerables, se han puesto en marcha iniciativas como la del NIST (National Institute of Standards and Technology) de EE.UU. a fin de diseñar nuevos algoritmos criptográficos resistentes a la computación cuántica.
Si bien la preocupación es comprensible, no se debe ceder al alarmismo. Como aclara Gayoso: “A pesar de los avances realizados hasta la fecha, será necesario que pasen bastantes años antes de que estén disponibles ordenadores cuánticos que puedan ser utilizados de forma práctica para hacer inseguros los algoritmos utilizados hasta ahora”.
De hecho, aunque no haya un consenso absoluto respecto a las cifras, se considera que, para romper una clave RSA de 2048 bits (que es la longitud mínima que se debería utilizar actualmente con ese algoritmo), sería necesario un ordenador cuántico de entre 4.000 y 10.000 qubits.
De momento podemos estar tranquilos
Para hacernos una idea de lo que supone esta cifra, hace tan solo unos meses IBM anunció su primer ordenador cuántico comercial, denominado IBM Q System One, que tiene una potencia de 20 qubits. Es decir, los algoritmos criptográficos actuales seguirán siendo seguros a corto y medio plazo.
De hecho, el propio Lov Grover, autor de uno de los algoritmos utilizados en computación cuántica, demostró en 1996 que, para mantener el nivel de seguridad actual de los algoritmos de clave simétrica, únicamente sería necesario duplicar el número de bits de las claves. Por lo tanto, la familia de algoritmos AES (Advanced Encryption Standard) seguirán siendo utilizados incluso cuando estén disponibles los ordenadores cuánticos.
Dicho esto, más vale prevenir que curar, porque, como avisa Víctor Gayoso, “siempre es posible que se descubran algoritmos cuánticos más eficientes o que la tecnología evolucione más deprisa de lo previsto”. “De ahí -sigue el experto en criptografía del CSIC- la importancia de la iniciativa del NIST, que permitirá que mucho antes de la llegada de ordenadores cuánticos de potencia suficiente ya se hayan diseñado y estandarizado nuevos algoritmos resistentes a ese nivel computacional”. Formarse hoy en criptografía, significa adelantarse a los desafíos del futuro.
Imágenes | iStock/peshkov, iStock/NicoElNino, iStock/ktsimage, Pixbay/TheDigitalArtist, National Museum of the USAF Pixabay/Pete Linforth
Ver 3 comentarios