Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
DISTRIBUCIÓN CUÁNTICA DE CLAVES: LUCES Y SOMBRAS Fausto Montoya Instituto de F́ısica Aplicada, Madrid Consejo Superior de Investigaciones Cient́ıficas fausto.montoya@iec.csic.es; http://www.iec.csic.es/∼fausto X RECSI Salamanca 2008 Distribución cuántica de claves Sumario Introducción Revolución Ordenadores cuánticos Criptograf́ıa cuántica Protocolo B92 Critica a la QKD 1 Introducción 2 Revolución 3 Ordenadores cuánticos 4 Criptograf́ıa cuántica 5 Protocolo B92 6 Critica a la QKD Equipo clásico: Gaius Julius Caesar 100 - 44 AEC Diffie-Hellman-Merkle 1976 Intercambio de claves Edward Lorenz 1963 ELECTRODINÁMICA CUÁNTICA Distribución cuántica de claves Sumario Introducción Revolución Ordenadores cuánticos Criptograf́ıa cuántica Protocolo B92 Critica a la QKD Afirmaciones arriesgadas �La criptograf́ıa clásica ha muerto�. �Solamente se puede considerar segura su nueva variante cuántica�. �El advenimiento de los futuros —y todopoderosos— ordenadores cuánticos pondrá en peligro todos los métodos de criptograf́ıa clásica�. Distribución cuántica de claves Sumario Introducción Revolución Ordenadores cuánticos Criptograf́ıa cuántica Protocolo B92 Critica a la QKD Un apasionado de la criptograf́ıa cuántica: Hoi-Kwong Lo, Univ. of Toronto, Canadá. �The advent of quantum computers will lead to a retroactive total security break with catastrophic consequences. But Ironically, quantum mechanics also comes to the rescue�. Hoy-Kwong Lo, Quantum Cryptology, in Introduction to Quantum Computation and Information, World Scientific (1998). Distribución cuántica de claves Sumario Introducción Revolución Ordenadores cuánticos Criptograf́ıa cuántica Protocolo B92 Critica a la QKD Más entusiastas Distribución cuántica de claves Sumario Introducción Revolución Ordenadores cuánticos Criptograf́ıa cuántica Protocolo B92 Critica a la QKD Juan Ignacio Cirac, Instituto Max Planck de Óptica Cuántica, Garching, Alemania Distribución cuántica de claves Sumario Introducción Revolución Ordenadores cuánticos Criptograf́ıa cuántica Protocolo B92 Critica a la QKD Y los periodistas despistados de siempre Distribución cuántica de claves Sumario Introducción Revolución Ordenadores cuánticos Criptograf́ıa cuántica Protocolo B92 Critica a la QKD Reconozcamos que el tiempo pasa incluso para el algoritmo RSA RSA original RSA 2003 Distribución cuántica de claves Sumario Introducción Revolución Ordenadores cuánticos Criptograf́ıa cuántica Protocolo B92 Critica a la QKD Otra posible amenaza a los criptosistemas de basados en teoŕıa de números Viene de la propia teoŕıa de números. Por ejemplo el algoritmo AKS (2002) es el primer algoritmo determinista que decide en tiempo polinómico si un número es primo. Distribución cuántica de claves Sumario Introducción Revolución Ordenadores cuánticos Criptograf́ıa cuántica Protocolo B92 Critica a la QKD Manindra Agrawal, Neeraj Kayal y Nitin Saxena Department of Computer Science and Engineering Indian Institute of Technology Kanpur, INDIA Distribución cuántica de claves Sumario Introducción Revolución Ordenadores cuánticos Criptograf́ıa cuántica Protocolo B92 Critica a la QKD Pregunta clave: ¿Está a punto de descubrirse un algoritmo de factorización en tiempo polinómico? Muy probablamente śı. Responsable: Hugo Scolnik et al. Universidad de Buenos Aires Distribución cuántica de claves Sumario Introducción Revolución Ordenadores cuánticos Criptograf́ıa cuántica Protocolo B92 Critica a la QKD Ordenadores cuánticos Se basan en las propiedades cuánticas de la materia para almacenar información. Se sirven, de dos estados diferentes de un átomo o de dos polarizaciones distintas de un fotón. La unidad de información cuántica es el qubit. El qubit puede estar en los estados, 0, 1 y en la superposición coherente de ambos. Esto es, ¡se puede encontrar en el estado 0 y 1 a la vez! Distribución cuántica de claves Sumario Introducción Revolución Ordenadores cuánticos Criptograf́ıa cuántica Protocolo B92 Critica a la QKD ¿Que es la superposición de dos estados cuánticos? �Those who are not shocked when they first come across quantum theory cannot possibly have understood it�. Niels Bohr. �It is safe to say that nobody understands quantum mechanics�. Richard Feynman. Distribución cuántica de claves Sumario Introducción Revolución Ordenadores cuánticos Criptograf́ıa cuántica Protocolo B92 Critica a la QKD El gato de Schrodinger Distribución cuántica de claves Sumario Introducción Revolución Ordenadores cuánticos Criptograf́ıa cuántica Protocolo B92 Critica a la QKD Computación cuántica fácil (para electrónicos y matemáticos) Distribución cuántica de claves Sumario Introducción Revolución Ordenadores cuánticos Criptograf́ıa cuántica Protocolo B92 Critica a la QKD ¿Que pueden hacer los ordenadores cuánticos? Un ordenador cuántico con longitud de palabra de 32 qubits tendŕıa una potencia de cálculo equivalente a la de unos 232 ' 4 300 000 ordenadores personales de 32 bits actuales. Distribución cuántica de claves Sumario Introducción Revolución Ordenadores cuánticos Criptograf́ıa cuántica Protocolo B92 Critica a la QKD Ordenadores cuánticos: como amenazan a los criptosistemas convencionales Todas las operaciones serán más rápidas: La prueba exhaustiva de claves, (ataque por fuerza bruta). La factorización de números primos, (rotura de claves asimetricas). Búsqueda de coincidencias en funciones resumen, (ataque a las firmas electrónicas con clave asimétrica). Distribución cuántica de claves Sumario Introducción Revolución Ordenadores cuánticos Criptograf́ıa cuántica Protocolo B92 Critica a la QKD Tiempo necesario para prueba exhaustiva de claves Con ordenador convencional: O(N). Con ordenador cuántico y algoritmo de Grover (1996): O( √ N), y memoria de O(log N). Equivale en el ordenador clásico a claves de la mitad de longitud en bits. Distribución cuántica de claves Sumario Introducción Revolución Ordenadores cuánticos Criptograf́ıa cuántica Protocolo B92 Critica a la QKD Tiempo para búsqueda de colisiones en funciones arbitrarias r a 1 (ataque a función resumen) Con ordenador convencional: O( √ N). Con ordenador cuántico y algoritmo de Brasard, Høyer y Tapp, (1997): O( 3 √ N/r) operaciones. Distribución cuántica de claves Sumario Introducción Revolución Ordenadores cuánticos Criptograf́ıa cuántica Protocolo B92 Critica a la QKD Factorización de números compuestos N Con ordenador convencional: O(2 3√log N ). ¡Exponencial con el número de bits! Con ordenador cuántico y algoritmo de Shor (1994): O((logN)3), y memoria de O(logN). ¡POLINOMIAL con el número de bits! Peter Shor, 1994. Distribución cuántica de claves Sumario Introducción Revolución Ordenadores cuánticos Criptograf́ıa cuántica Protocolo B92 Critica a la QKD Moraleja Frente a los ordenadores cuánticos, el único sistema que no perdeŕıa absolutamente ninguna seguridad es el CIFRADO DE VERNAM Distribución cuántica de claves Sumario Introducción Revolución Ordenadores cuánticos Criptograf́ıa cuántica Protocolo B92 Critica a la QKD Cifrado de VERNAM Joseph Mauborgne y Gilbert Vernam, 1920. Requiere una clave tan larga como el mensaje. La clave se usa una sola vez. La clave se env́ıa en mano mediante un agente seguro. Distribución cuántica de claves Sumario Introducción Revolución Ordenadores cuánticos Criptograf́ıa cuántica Protocolo B92 Critica a la QKD Criptograf́ıa cuántica La criptograf́ıa cuántica sustituye el Agente Seguro del cifrado de Vernam por una transmisión fotónica, por fibra óptica o espacio libre. Realiza una DistribuciónCuántica de Claves (quantum key distribution [QKD]). Distribución cuántica de claves Sumario Introducción Revolución Ordenadores cuánticos Criptograf́ıa cuántica Protocolo B92 Critica a la QKD Experimentos 1989: 32 cm, a 1Kb/s, IBM. 1993: 100 km a 2 kb/s Toshiba, U.K. 1994: 30 Km British Telecom. 1995: 22.8 km a 0.1 Kb/s Univ.de Ginebra. 1999: 48 km, Los Álamos. 2005: 40 km, 100 Kb/s, NEC. 2006: 144 km, aire, La Palma-Tenerife. 2007: 148,7 km Los Álamos. Distribución cuántica de claves Sumario Introducción Revolución Ordenadores cuánticos Criptograf́ıa cuántica Protocolo B92 Critica a la QKD Compañ́ıas que venden equipos de distribución cuántica de claves id Quantique (Ginebra), 1 kbit/s MagiQ Technologies (Nueva York). SmartQuantum (France). Distribución cuántica de claves Sumario Introducción Revolución Ordenadores cuánticos Criptograf́ıa cuántica Protocolo B92 Critica a la QKD Compañ́ıas que investigan en distribución cuántica de claves Toshiba Hewlett Packard. IBM Mitsubishi NEC NTT Distribución cuántica de claves Sumario Introducción Revolución Ordenadores cuánticos Criptograf́ıa cuántica Protocolo B92 Critica a la QKD Distribución cuántica de claves Alicia genera y transmite a Benito una clave bruta por el canal cuántico. Alicia y Benito concilian la clave final a través del canal público, ordinario, no seguro. Alicia y Benito se comunican con el Cifrado de Vernam y la clave final, a través de un canal no seguro. Distribución cuántica de claves Sumario Introducción Revolución Ordenadores cuánticos Criptograf́ıa cuántica Protocolo B92 Critica a la QKD Protocolos de QKD BB84: Bennett y Brassard, 1984. Artur Ekert, 1991. B92: Bennett, 1992. Plug an Play QKD: Muller y otros, 1997. Zbinden, Beechman, Gisin y G. Ribordy, 1998. Hughes y Nordholt, 1999. Distribución cuántica de claves Sumario Introducción Revolución Ordenadores cuánticos Criptograf́ıa cuántica Protocolo B92 Critica a la QKD Protocolo de criptograf́ıa cuántica: polarización de fotones, Charles Bennett y Gilles Brassard, 1984 Distribución cuántica de claves Sumario Introducción Revolución Ordenadores cuánticos Criptograf́ıa cuántica Protocolo B92 Critica a la QKD Segundo protocolo de criptograf́ıa cuántica: entrelazamiento cuántico, Artur Ekert, 1991 Distribución cuántica de claves Sumario Introducción Revolución Ordenadores cuánticos Criptograf́ıa cuántica Protocolo B92 Critica a la QKD Entrelazamiento cuántico Se basa en el efecto Einstein-Podolsky-Rosen. Una fuente genera un par de fotones entrelazados. Cada fotón tiene una polarización indefinida. Los fotones tienen dos estados cuánticos complementarios (están cuánticamente anticorrelados). Los fotones se env́ıan a dos lugares alejados. Cuando se mide un fotón se fija su estado. Automáticamente el otro fotón adquiere el estado contrario: ¡efecto a distancia! Distribución cuántica de claves Sumario Introducción Revolución Ordenadores cuánticos Criptograf́ıa cuántica Protocolo B92 Critica a la QKD Polarización ortogonal de fotones Distribución cuántica de claves Sumario Introducción Revolución Ordenadores cuánticos Criptograf́ıa cuántica Protocolo B92 Critica a la QKD Polarización diagonal de fotones Distribución cuántica de claves Sumario Introducción Revolución Ordenadores cuánticos Criptograf́ıa cuántica Protocolo B92 Critica a la QKD Protocolo B92 Alicia transmite fotones individuales, polarizados en dos sistemas de referencia incompatibles, seleccionados al azar: vertical y diagonal a derechas. Benito mide con uno de dos polarizadores, elegido al azar: horizontal y diagonal a izquierdas. Benito encontrará un fotón solo el 25 % de las veces. Benito, comunica a Alicia, por un canal público, no seguro, cuando ha recibido un fotón y cuando no. Se fija la clave bruta común anotando los valores de las polarizaciones en que se ha recibido un fotón (conciliación). Distribución cuántica de claves Sumario Introducción Revolución Ordenadores cuánticos Criptograf́ıa cuántica Protocolo B92 Critica a la QKD Protocolo B92 Distribución cuántica de claves Sumario Introducción Revolución Ordenadores cuánticos Criptograf́ıa cuántica Protocolo B92 Critica a la QKD Errores de transmisión Se producen errores de transmisión que pueden llegar al 5 %. Por imperfecciones del sistema: giro de la polarización de las fibras, cambios de temperatura, fallos de los detectores... Por ruido: en los sistemas por aire. Se usan procedimientos de corrección de error . La corrección de errores produce una clave destilada, mucho más corta que la clave bruta. Distribución cuántica de claves Sumario Introducción Revolución Ordenadores cuánticos Criptograf́ıa cuántica Protocolo B92 Critica a la QKD Ataque pasivo al protocolo B92 si se env́ıan impulsos con varios fotones Si Alicia env́ıa varios fotones en cada impulso: Eva roba la mayoŕıa de fotones y los mide, dejando pasar algunos. Cuantos más fotones robe Eva, mejor conocimiento de la clave logrará. Distribución cuántica de claves Sumario Introducción Revolución Ordenadores cuánticos Criptograf́ıa cuántica Protocolo B92 Critica a la QKD Generación de fotones individuales Es dif́ıcil generar fotones individuales Se utiliza un láser ordinario y se atenúa su salida hasta que se garantiza que la probabilidad de emitir más de un fotón es < 1 %. Resulta que la probabilidad de emitir un fotón se reduce a solo un 10 %. Distribución cuántica de claves Sumario Introducción Revolución Ordenadores cuánticos Criptograf́ıa cuántica Protocolo B92 Critica a la QKD Generación de fotones individuales con punto cuántico Punto cuántico. Paul Alivisatos, Berkeley Lab Nanotechnology Laboratory. Distribución cuántica de claves Sumario Introducción Revolución Ordenadores cuánticos Criptograf́ıa cuántica Protocolo B92 Critica a la QKD Otro punto cuántico Punto cuántico, IMM, CSIC, 2008. Distribución cuántica de claves Sumario Introducción Revolución Ordenadores cuánticos Criptograf́ıa cuántica Protocolo B92 Critica a la QKD Primer ordenador electrónico: Colossus, Bletchley Park. Criptoanálisis de la máquina Lorenz, 1944. Distribución cuántica de claves Sumario Introducción Revolución Ordenadores cuánticos Criptograf́ıa cuántica Protocolo B92 Critica a la QKD Ataque fallido al protocolo B92, cuando Alicia env́ıa un único fotón Eva no puede robar fotones, solo medirlos con un polarizador, copiarlos y retransmitirlos. Eva modifica el 25 % de fotones al medirlos. Alicia y Benito observan un 25 % de errores, detectan la intervención de Eva. Distribución cuántica de claves Sumario Introducción Revolución Ordenadores cuánticos Criptograf́ıa cuántica Protocolo B92 Critica a la QKD B92: Errores introducidos por Eva al copiar y retransmitir Distribución cuántica de claves Sumario Introducción Revolución Ordenadores cuánticos Criptograf́ıa cuántica Protocolo B92 Critica a la QKD Detección de errores introducidos por Eva Eva puede conformarse con medir parte de los fotones y enterarse solo de parte de la clave. Si Eva mide solo parte de los fotones introduce menos del 25 % de errores. Cuando la tasa de errores es inferior al 10 % se estima que Eva no está espiando; o si está espiando no consigue información relevante. Distribución cuántica de claves Sumario Introducción Revolución Ordenadores cuánticos Criptograf́ıa cuántica Protocolo B92 Critica a la QKD Cantidad de fotones útiles La cantidad de bits de la clave destilada final es mucho más pequeña que el número de disparos del laser. La generación de fotones individuales pierde el 90 % de los fotones que se intenta enviar. El protocoloB92 pierde el 75 % de los fotones restantes. La corrección de errores puede perder el 50 % de los fotones restantes. La atenuación del canal de transmisión ocasiona una pérdida adicional variable dependiendo de la distancia. La perdida total es como ḿınimo del 99 %. Distribución cuántica de claves Sumario Introducción Revolución Ordenadores cuánticos Criptograf́ıa cuántica Protocolo B92 Critica a la QKD Rendimiento id Quantique (Ginebra), fibra óptica, 25km, 1 kbit/s: tarda 435 d́ıas en llenar un DVD de 4,7 GB Entrelazamiento de fotones, 144 km, aire, La Palma-Tenerife, (2006) transmitió 178 bits en 75 segundos: tarda 500 años en llenar el DVD. Verónica Fernandez en Univ. Heriot-Watt, (Edimburgo), 200 kb/s a 4 km: tarda solo 2 d́ıas en llenar el DVD. Distribución cuántica de claves Sumario Introducción Revolución Ordenadores cuánticos Criptograf́ıa cuántica Protocolo B92 Critica a la QKD Reducción de pretensiones debido al bajo rendimiento Los actuales sistemas comerciales de QKD resultan muy lentos generando clave util. Es necesario renunciar al cifrado de Vernam, porque gasta un bit de clave por cada bit del mensaje. La solución de compromiso es generar claves de 256 bits y cifrar con AES de 256 bits. Para cifrar con Vernam es preciso esperar a sistemas que generen GB/s. Distribución cuántica de claves Sumario Introducción Revolución Ordenadores cuánticos Criptograf́ıa cuántica Protocolo B92 Critica a la QKD Ataque activo al protocolo B92 Mario corta todos los canales. Establece dos comunicaciones simultaneas y separadas con Alicia y Benito. Suplanta a Benito cuando habla con Alicia y suplanta a Alicia cuando habla con Benito. Mario se entera de todo e inventa lo que quiera. Distribución cuántica de claves Sumario Introducción Revolución Ordenadores cuánticos Criptograf́ıa cuántica Protocolo B92 Critica a la QKD Defensa frente al ataque activo Para evitar el ataque por intromisión de Mario, Alicia y Benito se autentican en el canal auxiliar. Usan el protocolo de autenticación de Wegman y Carter de 1981: 1 Se comparte una clave secreta finita. 2 Esta clave se agota con el uso en autenticación, (como en el Vernam). 3 Problema de esta implementación concreta: Cuando se acaba la clave, se rellena con nuevos bits ¡provenientes de la propia QKD! Distribución cuántica de claves Sumario Introducción Revolución Ordenadores cuánticos Criptograf́ıa cuántica Protocolo B92 Critica a la QKD Defensa frente al ataque activo Para evitar el ataque por intromisión de Mario, Alicia y Benito se autentican en el canal auxiliar. Usan el protocolo de autenticación de Wegman y Carter de 1981: 1 Se comparte una clave secreta finita. 2 Esta clave se agota con el uso en autenticación, (como en el Vernam). 3 Cuando se acaba la clave, se rellena con nuevos bits provenientes de la QKD. Distribución cuántica de claves Sumario Introducción Revolución Ordenadores cuánticos Criptograf́ıa cuántica Protocolo B92 Critica a la QKD Critica a la QKD Si Mario hab́ıa conseguido apoderarse de una clave secreta inicial, o intermedia, se enterará de todas las futuras. El rellenado de la clave del algoritmo de Wegman con material suministrado por propio mecanismo de la QKD es una mala práctica criptográfica. Se están estudiando alternativas. Distribución cuántica de claves Sumario Introducción Revolución Ordenadores cuánticos Criptograf́ıa cuántica Protocolo B92 Critica a la QKD Estado actual Es un tema del máximo interés para ejércitos, bancos y compañ́ıas de telecomunicación. Hay importantes compañ́ıas de electrónica y telecomunicaciones invirtiendo grandes sumas en la investigación de la criptograf́ıa cuántica. La NASA, la ESA, los operadores de telecomunicación y las corporaciones bancarias están financiando a nivel mundial investigación en criptograf́ıa cuántica. Distribución cuántica de claves Sumario Introducción Revolución Ordenadores cuánticos Criptograf́ıa cuántica Protocolo B92 Critica a la QKD Estado actual en España La UPM experimenta con un sistema de fibra óptica de id Quantique, a 1 kbit/s para Telefónica. El Instituto de Ciencias Fotónicas (ICFO) de Barcelona y el Grupo de Comunicaciones Ópticas y Cuánticas de la UPV trabajan en un Transceptor Cuántico para la ESA. El Instituto de Microelectrónica de Madrid (CSIC) trabaja en el desarrollo de puntos cuánticos. El Instituto de F́ısica Aplicada (CSIC) está desarrollando un sistema de distribución cuántica de claves en aire, a 3 GHz de frecuencia de reloj, para trasmitir claves a unos cuantos Mbit/s, para Telefónica. Distribución cuántica de claves Sumario Introducción Revolución Ordenadores cuánticos Criptograf́ıa cuántica Protocolo B92 Critica a la QKD Futuro de la distribución cuántica de claves La Distribución Cuántica de Claves, muy probablemente sea el mecanismo que se use en el futuro para intercambio de claves en sistemas ultra seguros. La criptograf́ıa cuántica actual no es un sólido candidato para relevar a las técnicas criptográficas clásicas a corto plazo, pero si en el futuro. Resulta algo lenta, imperfecta y muy cara; pero los problemas técnicos se van resolviendo de forma acelerada. La QKD es por el momento un h́ıbrido entre mecanismos clásicos y cuánticos, queda por resolver aún la consecución de protocolos criptográficos TOTALMENTE CUÁNTICOS. Distribución cuántica de claves Sumario Introducción Revolución Ordenadores cuánticos Criptograf́ıa cuántica Protocolo B92 Critica a la QKD Repercusiones en el uso de la criptograf́ıa estándar actual Hay que prever el advenimiento de los ordenadores cuánticos al diseñar algoritmos de cifrado clásicos. La solución consiste, mientras tanto, en doblar (o más) la longitud de las claves. El recién diseñado Advanced Encryption Standard (AES), para cifrado en bloque, resulta hoy seguro con una clave de 128 bits de longitud, pero está diseñado para usar claves de hasta 256 bits, con las que seŕıa inmune a un ataque cuántico. Distribución cuántica de claves Sumario Introducción Revolución Ordenadores cuánticos Criptograf́ıa cuántica Protocolo B92 Critica a la QKD CONCLUSIÓN La distribución cuántica de claves (QKD) no puede minusvalorarse de ningún modo. Tampoco es la panacea universal. Debe ser considerada como otra constructiva contribución a la criptoloǵıa, con mucho futuro. Distribución cuántica de claves Sumario Introducción Revolución Ordenadores cuánticos Criptograf́ıa cuántica Protocolo B92 Critica a la QKD GRACIAS Sumario Introducción Revolución Ordenadores cuánticos Criptografía cuántica Protocolo B92 Critica a la QKD
Compartir