Criptografía poscuántica

Cryptography secured against quantum computers

La criptografía poscuántica ( PQC ), a veces denominada a prueba de cuántica , segura cuántica o resistente a cuántica , es el desarrollo de algoritmos criptográficos (generalmente algoritmos de clave pública ) que se cree que son seguros contra un ataque criptoanalítico por parte de un computadora cuántica . El problema con los algoritmos populares utilizados actualmente en el mercado es que su seguridad se basa en uno de tres problemas matemáticos difíciles: el problema de factorización de números enteros , el problema de logaritmos discretos o el problema de logaritmos discretos de curva elíptica . Todos estos problemas podrían resolverse fácilmente con una computadora cuántica suficientemente potente que ejecute el algoritmo de Shor ^{[1] [2]} o incluso con alternativas más rápidas y menos exigentes (en términos de número de qubits necesarios). ^[3]

Si bien a partir de 2023 las computadoras cuánticas carecen de la capacidad de procesamiento para descifrar los algoritmos criptográficos ampliamente utilizados, ^[4] los criptógrafos están diseñando nuevos algoritmos para prepararse para el Q-Day , el día en que los algoritmos actuales serán vulnerables a los ataques de la computación cuántica. Su trabajo ha atraído la atención de los académicos y la industria a través de la serie de conferencias PQCrypto organizadas desde 2006, varios talleres sobre criptografía cuántica segura organizados por el Instituto Europeo de Normas de Telecomunicaciones (ETSI) y el Instituto de Computación Cuántica . ^{[5] [6] [7]} Los rumores sobre la existencia de programas generalizados de recolección ahora y descifrado posteriores también se han visto como una motivación para la introducción temprana de algoritmos poscuánticos, ya que los datos registrados ahora pueden seguir siendo confidenciales muchos años después. . ^{[8] [9] [10]}

En contraste con la amenaza que la computación cuántica representa para los algoritmos de clave pública actuales, la mayoría de los algoritmos criptográficos simétricos y funciones hash actuales se consideran relativamente seguros contra ataques de computadoras cuánticas. ^{[2] [11]} Si bien el algoritmo cuántico de Grover acelera los ataques contra cifrados simétricos, duplicar el tamaño de la clave puede bloquear eficazmente estos ataques. ^[12] Por lo tanto, la criptografía simétrica poscuántica no necesita diferir significativamente de la criptografía simétrica actual.

Algoritmos

La investigación sobre criptografía poscuántica se centra principalmente en seis enfoques diferentes: ^{[2] [6]}

Criptografía basada en celosía

Este enfoque incluye sistemas criptográficos como el aprendizaje con errores , el aprendizaje en anillo con errores ( ring-LWE ), ^{[13] [14] [15]} el aprendizaje en anillo con intercambio de claves con errores y el aprendizaje en anillo con firma de errores , los más antiguos NTRU o GGH. esquemas de cifrado y las firmas NTRU y BLISS más nuevas . ^[16] Algunos de estos esquemas, como el cifrado NTRU, se han estudiado durante muchos años sin que nadie haya encontrado un ataque factible. Otros, como los algoritmos ring-LWE, tienen pruebas de que su seguridad se reduce al peor de los casos. ^[17] El Grupo de Estudio de Criptografía Post Cuántica patrocinado por la Comisión Europea sugirió que se estudiara la variante Stehle-Steinfeld de NTRU para estandarización en lugar del algoritmo NTRU. ^{[18] [19]} En ese momento, NTRU todavía estaba patentado. Los estudios han indicado que NTRU puede tener propiedades más seguras que otros algoritmos basados ​​en celosías. ^[20]

Criptografía multivariada

Esto incluye sistemas criptográficos como el esquema Rainbow ( Unbalanced Oil and Vinegar ) que se basa en la dificultad de resolver sistemas de ecuaciones multivariadas. Varios intentos de crear esquemas seguros de cifrado de ecuaciones multivariadas han fracasado. Sin embargo, los esquemas de firma multivariante como Rainbow podrían proporcionar la base para una firma digital cuántica segura. ^[21] El esquema Rainbow Signature está patentado.

Criptografía basada en hash

Esto incluye sistemas criptográficos como las firmas Lamport , el esquema de firma Merkle , el XMSS, ^[22] el SPHINCS, ^[23] y los esquemas WOTS. Las firmas digitales basadas en hash fueron inventadas a finales de la década de 1970 por Ralph Merkle y desde entonces se han estudiado como una alternativa interesante a las firmas digitales basadas en la teoría de números como RSA y DSA. Su principal inconveniente es que para cualquier clave pública basada en hash, existe un límite en la cantidad de firmas que se pueden firmar utilizando el conjunto correspondiente de claves privadas. Este hecho había reducido el interés por estas firmas hasta que el interés se revivió debido al deseo de una criptografía resistente al ataque de los ordenadores cuánticos. Parece que no hay patentes sobre el esquema de firma Merkle ^{[ cita necesaria ]} y existen muchas funciones hash no patentadas que podrían usarse con estos esquemas. El esquema de firma basado en hash con estado XMSS desarrollado por un equipo de investigadores bajo la dirección de Johannes Buchmann se describe en RFC 8391. ^[24]

Tenga en cuenta que todos los esquemas anteriores son firmas de una sola vez o de tiempo limitado, Moni Naor y Moti Yung inventaron el hash UOWHF en 1989 y diseñaron una firma basada en hash (el esquema Naor-Yung) ^[25] que puede ser de tiempo ilimitado en uso (la primera firma de este tipo que no requiere propiedades de trampilla).

Criptografía basada en código

Esto incluye sistemas criptográficos que se basan en códigos de corrección de errores , como los algoritmos de cifrado McEliece y Niederreiter y el esquema relacionado de firmas de Courtois, Finiasz y Sendrier . La firma original de McEliece que utiliza códigos Goppa aleatorios ha resistido el escrutinio durante más de 40 años. Sin embargo, se ha demostrado que muchas variantes del esquema McEliece, que buscan introducir más estructura en el código utilizado para reducir el tamaño de las claves, son inseguras. ^[26] El Grupo de Estudio de Criptografía Post Cuántica patrocinado por la Comisión Europea ha recomendado el sistema de cifrado de clave pública McEliece como candidato para la protección a largo plazo contra ataques de computadoras cuánticas. ^[18]

Criptografía basada en isogenia

Estos sistemas criptográficos se basan en las propiedades de los gráficos de isogenia de curvas elípticas (y variedades abelianas de dimensiones superiores ) sobre campos finitos, en particular los gráficos de isogenia supersingulares , para crear sistemas criptográficos. Entre los representantes más conocidos de este campo se encuentra el CSIDH de intercambio de claves tipo Diffie-Hellman , que puede servir como un reemplazo sencillo y resistente a los cuánticos de los métodos de intercambio de claves Diffie-Hellman y de curva elíptica Diffie-Hellman que están muy extendidos. uso actual, ^[27] y el esquema de firma SQISign que se basa en la equivalencia categórica entre curvas elípticas supersingulares y órdenes máximos en tipos particulares de álgebras de cuaterniones. ^[28] Otra construcción ampliamente notada, SIDH/SIKE , se rompió espectacularmente en 2022. ^[29] Sin embargo, el ataque es específico de la familia de esquemas SIDH/SIKE y no se generaliza a otras construcciones basadas en isogenia. ^[30]

Resistencia cuántica clave simétrica

Siempre que se utilicen tamaños de clave suficientemente grandes, los sistemas criptográficos de clave simétrica como AES y SNOW 3G ya son resistentes al ataque de una computadora cuántica. ^[31] Además, los sistemas y protocolos de gestión de claves que utilizan criptografía de clave simétrica en lugar de criptografía de clave pública como Kerberos y la estructura de autenticación de red móvil 3GPP también son inherentemente seguros contra ataques de una computadora cuántica. Dado su despliegue generalizado en el mundo, algunos investigadores recomiendan un uso ampliado de la gestión de claves simétricas similar a Kerberos como una forma eficiente de obtener criptografía poscuántica en la actualidad. ^[32]

Reducciones de seguridad

En la investigación de criptografía, es deseable demostrar la equivalencia de un algoritmo criptográfico y un problema matemático difícil conocido. Estas pruebas suelen denominarse "reducciones de seguridad" y se utilizan para demostrar la dificultad de descifrar el algoritmo de cifrado. En otras palabras, la seguridad de un algoritmo criptográfico determinado se reduce a la seguridad de un problema difícil conocido. Los investigadores buscan activamente reducciones de seguridad en las perspectivas de la criptografía poscuántica. Los resultados actuales se dan aquí:

Criptografía basada en celosía: firma Ring-LWE

En algunas versiones de Ring-LWE hay una reducción de seguridad al problema del vector más corto (SVP) en una red como límite inferior de la seguridad. Se sabe que el SVP es NP-duro . ^[33] Los sistemas ring-LWE específicos que tienen reducciones de seguridad demostrables incluyen una variante de las firmas ring-LWE de Lyubashevsky definidas en un artículo de Güneysu, Lyubashevsky y Pöppelmann. ^[14] El esquema de firma GLYPH es una variante de la firma Güneysu, Lyubashevsky y Pöppelmann (GLP) que tiene en cuenta los resultados de la investigación que se produjeron después de la publicación de la firma GLP en 2012. Otra firma Ring-LWE es Ring-TESLA. . ^[34] También existe una "variante desaleatorizada" de LWE, llamada Aprendizaje con redondeo (LWR), que produce "aceleración mejorada (al eliminar pequeños errores de muestreo de una distribución similar a Gauss con errores deterministas) y ancho de banda". ^[35] Mientras que LWE utiliza la adición de un pequeño error para ocultar los bits inferiores, LWR utiliza el redondeo para el mismo propósito.

Criptografía basada en celosía: NTRU, BLISS

Se cree que la seguridad del esquema de cifrado NTRU y la firma BLISS ^[16] está relacionada, pero no es demostrablemente reducible, al problema del vector más cercano (CVP) en una red. Se sabe que el CVP es NP-duro . El Grupo de Estudio de Criptografía Post Cuántica patrocinado por la Comisión Europea sugirió que la variante Stehle-Steinfeld de NTRU, que tiene una reducción de seguridad, se estudie para uso a largo plazo en lugar del algoritmo NTRU original. ^[18]

Criptografía multivariada: aceite y vinagre desequilibrados

Los esquemas de firma desequilibrados de petróleo y vinagre son primitivas criptográficas asimétricas basadas en polinomios multivariados sobre un campo finito . Bulygin, Petzoldt y Buchmann han demostrado una reducción de los sistemas UOV cuadráticos multivariados genéricos al problema de resolución de ecuaciones cuadráticas multivariadas NP-Hard. ^[36] ${\displaystyle \mathbb {F} }$

Criptografía basada en hash: esquema de firma Merkle

En 2005, Luis García demostró que había una reducción de la seguridad de las firmas de Merkle Hash Tree con respecto a la seguridad de la función hash subyacente. García demostró en su artículo que si existen funciones hash computacionalmente unidireccionales, entonces la firma Merkle Hash Tree es demostrablemente segura. ^[37]

Por lo tanto, si se utilizara una función hash con una reducción de seguridad demostrable para un problema difícil conocido, se tendría una reducción de seguridad demostrable de la firma del árbol Merkle para ese problema difícil conocido. ^[38]

El Grupo de Estudio de Criptografía Post Cuántica patrocinado por la Comisión Europea ha recomendado el uso del esquema de firma Merkle para la protección de seguridad a largo plazo contra computadoras cuánticas. ^[18]

Criptografía basada en código – McEliece

El sistema de cifrado McEliece tiene una reducción de seguridad para el síndrome de problema de decodificación (SDP). Se sabe que el SDP es NP-duro . ^[39] El Grupo de Estudio de Criptografía Post Cuántica patrocinado por la Comisión Europea ha recomendado el uso de esta criptografía para la protección a largo plazo contra ataques de una computadora cuántica. ^[18]

Criptografía basada en código – RLCE

En 2016, Wang propuso un esquema de cifrado de código lineal aleatorio RLCE ^[40] que se basa en esquemas McEliece. El esquema RLCE se puede construir utilizando cualquier código lineal, como el código Reed-Solomon, insertando columnas aleatorias en la matriz generadora de código lineal subyacente.

Criptografía de isogenia de curva elíptica supersingular

La seguridad está relacionada con el problema de construir una isogenia entre dos curvas supersingulares con el mismo número de puntos. La investigación más reciente sobre la dificultad de este problema es la realizada por Delfs y Galbraith, indica que este problema es tan difícil como sugieren los inventores del intercambio de claves. ^[41] No existe ninguna reducción de seguridad para un problema NP-hard conocido.

Comparación

Una característica común de muchos algoritmos de criptografía poscuántica es que requieren tamaños de clave más grandes que los algoritmos de clave pública "precuánticos" comúnmente utilizados. A menudo hay que hacer concesiones en el tamaño de la clave, la eficiencia computacional y el tamaño del texto cifrado o de la firma. La tabla enumera algunos valores para diferentes esquemas en un nivel de seguridad poscuántico de 128 bits.

Una consideración práctica a la hora de elegir entre algoritmos criptográficos poscuánticos es el esfuerzo necesario para enviar claves públicas a través de Internet. Desde este punto de vista, los algoritmos Ring-LWE, NTRU y SIDH proporcionan tamaños de clave convenientemente inferiores a 1 KB, las claves públicas de firma hash tienen menos de 5 KB y McEliece, basado en MDPC, ocupa aproximadamente 1 KB. Por otro lado, los esquemas Rainbow requieren alrededor de 125 KB y McEliece basado en Goppa requiere una clave de casi 1 MB.

Criptografía basada en celosía: intercambio de claves LWE e intercambio de claves Ring-LWE

La idea fundamental de utilizar LWE y Ring LWE para el intercambio de claves fue propuesta y presentada en la Universidad de Cincinnati en 2011 por Jintai Ding. La idea básica proviene de la asociatividad de las multiplicaciones de matrices y los errores se utilizan para proporcionar seguridad. El artículo ^[51] apareció en 2012 después de que se presentara una solicitud de patente provisional en 2012.

En 2014, Peikert ^[52] presentó un esquema de transporte clave siguiendo la misma idea básica de Ding, donde también se utiliza la nueva idea de enviar una señal adicional de 1 bit para redondeo en la construcción de Ding. Para algo más de 128 bits de seguridad , Singh presenta un conjunto de parámetros que tienen claves públicas de 6956 bits para el esquema de Peikert. ^[53] La clave privada correspondiente sería de aproximadamente 14.000 bits.

En 2015, en Eurocrypt 2015 se presentó un intercambio de claves autenticado con seguridad directa demostrable siguiendo la misma idea básica de Ding, ^[54] que es una extensión de la construcción HMQV ^[55] en Crypto2005. Los parámetros para diferentes niveles de seguridad, desde 80 bits hasta 350 bits, junto con los tamaños de clave correspondientes, se proporcionan en el documento. ^[54]

Criptografía basada en celosía: cifrado NTRU

Para 128 bits de seguridad en NTRU, Hirschhorn, Hoffstein, Howgrave-Graham y Whyte recomiendan utilizar una clave pública representada como un polinomio de grado 613 con coeficientes . Esto da como resultado una clave pública de 6130 bits. La clave privada correspondiente sería de 6743 bits. ^[42] ${\displaystyle {\bmod {\left(2^{10}\right)}}}$

Criptografía multivariada: firma Rainbow

Para obtener 128 bits de seguridad y el tamaño de firma más pequeño en un esquema de firma de ecuación cuadrática multivariante Rainbow, Petzoldt, Bulygin y Buchmann recomiendan usar ecuaciones con un tamaño de clave pública de poco más de 991.000 bits, una clave privada de poco más de 740.000 bits y una clave digital de poco más de 740.000 bits. firmas que tienen 424 bits de longitud. ^[43] ${\displaystyle \mathbb {F} _{31}}$

Criptografía basada en hash: esquema de firma Merkle

Para obtener 128 bits de seguridad para firmas basadas en hash para firmar 1 millón de mensajes utilizando el método del árbol fractal Merkle de Naor Shenhav y Wool, los tamaños de clave pública y privada tienen aproximadamente 36.000 bits de longitud. ^[56]

Criptografía basada en código – McEliece

Para 128 bits de seguridad en un esquema McEliece, el grupo de estudio de criptografía postcuántica de la Comisión Europea recomienda utilizar un código binario Goppa de al menos una longitud y una dimensión de al menos , y capaz de corregir errores. Con estos parámetros la clave pública del sistema McEliece será una matriz generadora sistemática cuya parte no identitaria ocupa bits. La clave privada correspondiente, que consta del soporte de código con elementos de y un polinomio generador de con coeficientes de , tendrá una longitud de 92.027 bits ^[18] ${\displaystyle n=6960}$ ${\displaystyle k=5413}$ ${\displaystyle t=119}$ ${\displaystyle k\times (n-k)=8373911}$ ${\displaystyle n=6960}$ ${\displaystyle GF(2^{13})}$ ${\displaystyle t=119}$ ${\displaystyle GF(2^{13})}$

El grupo también está investigando el uso de códigos MDPC cuasicíclicos de al menos longitud y dimensión de al menos , y capaces de corregir errores. Con estos parámetros la clave pública del sistema McEliece será la primera fila de una matriz generadora sistemática cuya parte no identificativa toma bits. La clave privada, una matriz de verificación de paridad cuasicíclica con entradas distintas de cero en una columna (o el doble en una fila), no ocupa más que bits cuando se representa como las coordenadas de las entradas distintas de cero en la primera fila. ${\displaystyle n=2^{16}+6=65542}$ ${\displaystyle k=2^{15}+3=32771}$ ${\displaystyle t=264}$ ${\displaystyle k=32771}$ ${\displaystyle d=274}$ ${\displaystyle d\times 16=4384}$

Barreto et al. Recomendamos utilizar un código Goppa binario de al menos una longitud y una dimensión de al menos , y capaz de corregir errores. Con estos parámetros la clave pública del sistema McEliece será una matriz generadora sistemática cuya parte no identitaria ocupa bits. ^[57] La ​​clave privada correspondiente, que consta del soporte de código con elementos de y un polinomio generador de con coeficientes de , tendrá una longitud de 40.476 bits. ${\displaystyle n=3307}$ ${\displaystyle k=2515}$ ${\displaystyle t=66}$ ${\displaystyle k\times (n-k)=1991880}$ ${\displaystyle n=3307}$ ${\displaystyle GF(2^{12})}$ ${\displaystyle t=66}$ ${\displaystyle GF(2^{12})}$

Criptografía de isogenia de curva elíptica supersingular

Para 128 bits de seguridad en el método de isogenia supersingular Diffie-Hellman (SIDH), De Feo, Jao y Plut recomiendan utilizar una curva supersingular módulo primo de 768 bits. Si se utiliza compresión de puntos de curva elíptica, la clave pública no deberá tener más de 8x768 o 6144 bits de longitud. ^[58] Un artículo de marzo de 2016 de los autores Azarderakhsh, Jao, Kalach, Koziel y Leonardi mostró cómo reducir a la mitad el número de bits transmitidos, lo que fue mejorado aún más por los autores Costello, Jao, Longa, Naehrig, Renes y Urbanik, lo que resultó en una versión de clave comprimida del protocolo SIDH con claves públicas de solo 2640 bits de tamaño. ^[50] Esto hace que el número de bits transmitidos sea aproximadamente equivalente al RSA seguro no cuántico y Diffie-Hellman con el mismo nivel de seguridad clásico. ^[59]

Criptografía simétrica basada en claves

Como regla general, para 128 bits de seguridad en un sistema basado en claves simétricas, se pueden usar con seguridad tamaños de claves de 256 bits. El mejor ataque cuántico contra sistemas genéricos de clave simétrica es una aplicación del algoritmo de Grover , que requiere un trabajo proporcional a la raíz cuadrada del tamaño del espacio clave. Para transmitir una clave cifrada a un dispositivo que posee la clave simétrica necesaria para descifrar esa clave también se requieren aproximadamente 256 bits. Está claro que los sistemas de claves simétricas ofrecen los tamaños de clave más pequeños para la criptografía poscuántica. ^{[ cita necesaria ]}

secreto hacia adelante

Un sistema de clave pública demuestra una propiedad denominada secreto directo perfecto cuando genera claves públicas aleatorias por sesión a los efectos del acuerdo de claves. Esto significa que el compromiso de un mensaje no puede llevar al compromiso de otros, y también que no existe un único valor secreto que pueda llevar al compromiso de múltiples mensajes. Los expertos en seguridad recomiendan utilizar algoritmos criptográficos que admitan el secreto directo en lugar de aquellos que no lo hacen. ^[60] La razón de esto es que el secreto directo puede proteger contra el compromiso de claves privadas a largo plazo asociadas con pares de claves públicas/privadas. Esto se considera un medio para impedir la vigilancia masiva por parte de las agencias de inteligencia.

Tanto el intercambio de claves Ring-LWE como el intercambio de claves de isogenia supersingular Diffie-Hellman (SIDH) pueden respaldar el secreto directo en un intercambio con la otra parte. Tanto Ring-LWE como SIDH también se pueden utilizar sin secreto directo creando una variante de la variante de cifrado ElGamal clásica de Diffie-Hellman.

Los otros algoritmos de este artículo, como NTRU, no admiten el secreto directo tal como están.

Se puede utilizar cualquier sistema de cifrado de clave pública autenticado para crear un intercambio de claves con secreto directo. ^[61]

Proyecto abierto Quantum Safe

El proyecto Open Quantum Safe ( OQS ) se inició a finales de 2016 y tiene como objetivo desarrollar y crear prototipos de criptografía resistente a los cuánticos. ^{[62] [63]} Su objetivo es integrar los esquemas poscuánticos actuales en una biblioteca: liboqs . ^[64] liboqs es una biblioteca C de código abierto para algoritmos criptográficos resistentes a los cuánticos. Inicialmente se centra en algoritmos de intercambio de claves, pero ahora incluye varios esquemas de firma. Proporciona una API común adecuada para algoritmos de intercambio de claves poscuánticos y recopilará varias implementaciones. liboqs también incluirá un arnés de prueba y rutinas de evaluación comparativa para comparar el rendimiento de las implementaciones poscuánticas. Además, OQS también proporciona integración de liboqs en OpenSSL . ^{[sesenta y cinco]}

A partir de marzo de 2023, se admiten los siguientes algoritmos de intercambio de claves: ^[62]

Las versiones anteriores compatibles que se han eliminado debido a la progresión del Proyecto de estandarización de criptografía poscuántica del NIST son:

Implementación

Se considera que uno de los principales desafíos de la criptografía poscuántica es la implementación de algoritmos potencialmente cuánticos seguros en los sistemas existentes. Hay pruebas realizadas, por ejemplo, por parte de Microsoft Research implementando PICNIC en una PKI utilizando módulos de seguridad de Hardware . ^{[79] Los proveedores} de HSM también han realizado implementaciones de prueba para el algoritmo NewHope de Google . En agosto de 2023, Google lanzó una implementación de clave de seguridad FIDO2 de un esquema de firma híbrido ECC /Dilithium que se realizó en asociación con ETH Zürich . ^[80]

El 21 de febrero de 2024, Apple anunció que iban a actualizar su protocolo iMessage con un nuevo protocolo PQC llamado "PQ3", que utilizará codificación continua. ^{[81] [82] [83]} Apple declaró que, aunque las computadoras cuánticas aún no existen, querían mitigar los riesgos de las futuras computadoras cuánticas, así como los escenarios de ataque llamados " Cosechar ahora, descifrar después ". Apple declaró que cree que su implementación de PQ3 brinda protecciones que "superan a las de todas las demás aplicaciones de mensajería ampliamente implementadas, porque utiliza codificación continua. Apple tiene la intención de reemplazar completamente el protocolo iMessage existente en todas las conversaciones admitidas con PQ3 para fines de 2024. Apple También definió una escala para facilitar la comparación de las propiedades de seguridad de las aplicaciones de mensajería, con una escala representada por niveles que van del 0 al 3. ^[81]

Otras implementaciones notables incluyen:

• castillo hinchable ^[84]
• liboqs ^[85]

Ver también

• Estandarización de la criptografía poscuántica del NIST
• Criptografía cuántica : criptografía basada en la mecánica cuántica
• Trituración de criptomonedas : eliminación de claves de cifrado
• Coseche ahora, descifre más tarde

Referencias

1. Corto, Peter W. (1997). "Algoritmos de tiempo polinómico para factorización prima y logaritmos discretos en una computadora cuántica". Revista SIAM de Computación . 26 (5): 1484-1509. arXiv : quant-ph/9508027 . Código bibliográfico : 1995quant.ph..8027S. doi :10.1137/S0097539795293172. S2CID  2337707.
2. Bernstein, Daniel J. (2009). «Introducción a la criptografía poscuántica» (PDF) . Criptografía poscuántica .
3. Kramer, Anna (2023). "'Sorprendente y súper genial'. El algoritmo cuántico ofrece una forma más rápida de piratear el cifrado de Internet". Ciencia . 381 (6664): 1270. doi :10.1126/science.adk9443. PMID  37733849. S2CID  262084525.
4. "El nuevo control de qubit es un buen augurio para el futuro de la computación cuántica". phys.org .
5. "Los criptógrafos se enfrentan a las computadoras cuánticas". Espectro IEEE . 2009-01-01.
6. "Preguntas y respuestas con el investigador de criptografía informática poscuántica Jintai Ding". Espectro IEEE . 2008-11-01.
7. "Taller de criptografía segura cuántica de ETSI". Taller de Criptografía Segura Cuántica del ETSI . ETSI. Octubre de 2014. Archivado desde el original el 17 de agosto de 2016 . Consultado el 24 de febrero de 2015 .
8. Gasser, Linus (2023), Mulder, Valentin; Mermoud, Alain; Prestamistas, Vicente; Tellenbach, Bernhard (eds.), "Criptografía poscuántica", Tendencias en protección de datos y tecnologías de cifrado , Cham: Springer Nature Suiza, págs. 47–52, doi : 10.1007/978-3-031-33386-6_10 , ISBN 978-3-031-33386-6
9. Townsend, Kevin (16 de febrero de 2022). "Resolver el problema del descifrado cuántico 'cosechar ahora, descifrar después'". Semana de la seguridad . Consultado el 9 de abril de 2023 .
10. "Comunicaciones seguras cuánticas" (PDF) . Programa Nacional de Tecnologías Cuánticas del Reino Unido . Octubre de 2021 . Consultado el 9 de abril de 2023 .
11. Daniel J. Bernstein (17 de mayo de 2009). "Análisis de costos de las colisiones de hash: ¿las computadoras cuánticas harán que SHARCS quede obsoleto?" (PDF) .
12. Daniel J. Bernstein (3 de marzo de 2010). "Grover contra McEliece" (PDF) .
13. Peikert, Chris (2014). "Criptografía de celosía para Internet" (PDF) . IACR. Archivado desde el original el 12 de mayo de 2014 . Consultado el 10 de mayo de 2014 .{{cite web}}: CS1 maint: bot: original URL status unknown (link)
14. Güneysu, Tim; Lyubashevsky, Vadim; Pöppelmann, Thomas (2012). "Criptografía práctica basada en celosía: un esquema de firma para sistemas integrados" (PDF) . INRIA . Consultado el 12 de mayo de 2014 .
15. Zhang, Jiang (2014). "Intercambio de claves autenticado de Ideal Lattices" (PDF) . iacr.org . IACR. Archivado desde el original el 7 de septiembre de 2014 . Consultado el 7 de septiembre de 2014 .{{cite web}}: CS1 maint: bot: original URL status unknown (link)
16. Ducas, Leo; Durmus, Alain; Lepoint, Tancrède; Lyubashevsky, Vadim (2013). "Firmas de celosía y gaussianas bimodales". Archivo ePrint de criptología . Consultado el 18 de abril de 2015 .
17. Lyubashevsky, Vadim; Peikert; Regev (2013). "Sobre celosías ideales y aprendizaje con errores sobre anillos" (PDF) . IACR. Archivado desde el original el 31 de enero de 2014 . Consultado el 14 de mayo de 2013 .{{cite web}}: CS1 maint: bot: original URL status unknown (link)
18. Augot, Daniel (7 de septiembre de 2015). "Recomendaciones iniciales de sistemas poscuánticos seguros a largo plazo" (PDF) . PQCRYPTO . Consultado el 13 de septiembre de 2015 .
19. Stehlé, Damián; Steinfeld, Ron (1 de enero de 2013). "Hacer que NTRUEncrypt y NTRUSign sean tan seguros como los peores problemas estándar en lugar de las celosías ideales". Archivo ePrint de criptología .
20. Easttom, Chuck (1 de febrero de 2019). "Un análisis de las principales primitivas criptográficas asimétricas basadas en celosías". Noveno taller y conferencia anual de informática y comunicación (CCWC) de IEEE de 2019 . págs. 0811–0818. doi :10.1109/CCWC.2019.8666459. ISBN 978-1-7281-0554-3. S2CID  77376310.
21. Ding, Jintai; Schmidt (7 de junio de 2005). "Rainbow, un nuevo esquema de firma polinomial multivariable". En Ioannidis, John (ed.). Criptografía Aplicada y Seguridad de Redes . Apuntes de conferencias sobre informática. vol. 3531, págs. 64-175. doi :10.1007/11496137_12. ISBN 978-3-540-26223-7. S2CID  6571152.
22. Buchmann, Johannes; Dahmen, Erik; Hülsing, Andreas (2011). "XMSS: un esquema práctico de firma segura basada en supuestos mínimos de seguridad". Criptografía poscuántica. PQCrypto 2011 . Apuntes de conferencias sobre informática. vol. 7071, págs. 117-129. CiteSeerX 10.1.1.400.6086 . doi :10.1007/978-3-642-25405-5_8. ISSN  0302-9743. 
23. Bernstein, Daniel J.; Hopwood, Daira; Hülsing, Andreas; Lange, Tanja ; Niederhagen, Rubén; Papachristodoulou, Louiza; Schneider, Michael; Schwabe, Peter; Wilcox-O'Hearn, Zooko (2015). "SPHINCS: firmas prácticas basadas en hash sin estado". En Oswald, Isabel ; Fischlin, Marc (eds.). Avances en Criptología - EUROCRYPT 2015 . Apuntes de conferencias sobre informática. vol. 9056. Springer Berlín Heidelberg. págs. 368–397. CiteSeerX 10.1.1.690.6403 . doi :10.1007/978-3-662-46800-5_15. ISBN  9783662467992.
24. Huelsing, A.; Butín, D.; Gazdag, S.; Rijneveld, J.; Mohaisen, A. (2018). "RFC 8391 - XMSS: esquema de firma extendido de Merkle". herramientas.ietf.org . doi :10.17487/RFC8391.
25. Naor, Moni; Yung, Moti (1989), Funciones hash unidireccionales universales y sus aplicaciones criptográficas .STOC , págs. 33–43
26. Overbeck, Rafael; Sendrier (2009). "Criptografía basada en código". En Bernstein, Daniel (ed.). Criptografía poscuántica . págs. 95-145. doi :10.1007/978-3-540-88702-7_4. ISBN 978-3-540-88701-0.
27. Castryck, Wouter; Lange, Tanja; Martindale, Cloe; Panny, Lorenz; Renés, Joost (2018). "CSIDH: una acción grupal conmutativa poscuántica eficiente". En Peyrin, Tomás; Galbraith, Steven (eds.). Avances en Criptología – ASIACRYPT 2018 . Apuntes de conferencias sobre informática. vol. 11274. Cham: Springer International Publishing. págs. 395–427. doi :10.1007/978-3-030-03332-3_15. hdl :1854/LU-8619033. ISBN 978-3-030-03332-3. S2CID  44165584.
28. De Feo, Luca; Kohel, David; Leroux, Antonin; Pequeño, Christophe; Wesolowski, Benjamín (2020). "SQISign: firmas compactas poscuánticas de cuaterniones e isogenias" (PDF) . En Moriai, Shiho; Wang, Huaxiong (eds.). Avances en Criptología – ASIACRYPT 2020 . Apuntes de conferencias sobre informática. vol. 12491. Cham: Springer International Publishing. págs. 64–93. doi :10.1007/978-3-030-64837-4_3. ISBN 978-3-030-64837-4. S2CID  222265162.
29. Castryck, Wouter; Decru, Thomas (2023), Hazay, Carmit; Stam, Martijn (eds.), "Un ataque eficiente de recuperación de claves contra SIDH", Avances en criptología – EUROCRYPT 2023 , Cham: Springer Nature Suiza, vol. 14008, págs. 423–447, doi :10.1007/978-3-031-30589-4_15, ISBN 978-3-031-30588-7, S2CID  258240788 , consultado el 21 de junio de 2023
30. "¿SIKE ya está roto?" . Consultado el 23 de junio de 2023 .
31. Perlner, Ray; Cooper (2009). Criptografía de clave pública resistente a cuántica: una encuesta. VIII Simposio sobre Identidad y Confianza en Internet (IDtrust 2009). NIST . Consultado el 23 de abril de 2015 .
32. Campaña, Matt; Hardjono; Pintsov; Romansky; Yu (2013). "Kerberos revisó la autenticación cuántica segura" (PDF) . ETSI.
33. Lyubashevsky, Vadim; Peikert; Regev (25 de junio de 2013). "Sobre celosías ideales y aprendizaje con errores sobre anillos" (PDF) . Saltador . Consultado el 19 de junio de 2014 .
34. Akleylek, Sedat; Bindel, Nina; Buchmann, Johannes; Krämer, Juliane; Marson, Giorgia Azzurra (2016). "Un esquema de firma eficiente basado en celosía con creación de instancias demostrablemente segura". Archivo ePrint de criptología .
35. Nejatollahi, Hamid; Dutt, Nikil; Ray, Sandip; Regazzoni, Francesco; Banerjee, Indranil; Cammarota, Rosario (27-02-2019). "Implementaciones de criptografía basada en celosía post-cuántica: una encuesta". Encuestas de Computación ACM . 51 (6): 1–41. doi :10.1145/3292548. ISSN  0360-0300. S2CID  59337649.
36. Bulygin, Stanislav; Petzoldt; Buchmann (2010). "Hacia una seguridad demostrable del esquema de firma desequilibrado de petróleo y vinagre bajo ataques directos". Avances en Criptología - INDOCRYPT 2010 . Apuntes de conferencias sobre informática. vol. 6498, págs. 17–32. CiteSeerX 10.1.1.294.3105 . doi :10.1007/978-3-642-17401-8_3. ISBN  978-3-642-17400-1.
37. Pereira, Geovandro; Puodzius, Casio; Barreto, Paulo (2016). "Firmas basadas en hash más cortas". Revista de Sistemas y Software . 116 : 95-100. doi :10.1016/j.jss.2015.07.007.
38. García, Luis. "Sobre la seguridad y la eficiencia del esquema de firma Merkle" (PDF) . Archivo ePrint de criptología . IACR . Consultado el 19 de junio de 2013 .
39. Blaum, Mario; Farrell; Tilborg (31 de mayo de 2002). Información, Codificación y Matemáticas . Saltador. ISBN 978-1-4757-3585-7.
40. Wang, Yongge (2016). "Esquema de cifrado de clave pública basado en código lineal aleatorio resistente a cuánticos RLCE". Actas de Teoría de la Información (ISIT) . IEEE ISIT: 2519–2523. arXiv : 1512.08454 . Código Bib : 2015arXiv151208454W.
41. Delfs, Cristina; Galbraith (2013). "Cálculo de isogenias entre curvas elípticas supersingulares sobre F_p". arXiv : 1310.7789 [matemáticas.NT].
42. Hirschborrn, P; Hoffstein; Howgrave-Graham; ¿Por qué? "Elección de los parámetros de NTRUEncrypt a la luz de los enfoques combinados de reducción de celosía y MITM" (PDF) . NTRU. Archivado desde el original (PDF) el 30 de enero de 2013 . Consultado el 12 de mayo de 2014 .
43. Petzoldt, Albrecht; Bulygin; Buchmann (2010). "Selección de parámetros para el esquema de firma Rainbow - Versión extendida -" (PDF) . Archivado desde el original el 4 de marzo de 2016 . Consultado el 12 de mayo de 2014 .{{cite web}}: CS1 maint: bot: original URL status unknown (link)
44. "SPHINCS+: Presentación al proyecto poscuántico del NIST" (PDF) .
45. Chopra, Arjun (2017). "GLYPH: una nueva creación del esquema de firma digital GLP". Archivo ePrint de criptología .
46. Alkim, Erdem; Ducas, Leo; Pöppelmann, Thomas; Schwabe, Peter (2015). "Intercambio de claves poscuántico: una nueva esperanza" (PDF). Archivo ePrint de criptología, Informe 2015/1092 . Consultado el 1 de septiembre de 2017 .
47. Wang, Yongge (2017). "Esquema de cifrado de clave pública resistente a cuántica revisado RLCE y seguridad IND-CCA2 para esquemas McEliece". Archivo ePrint de criptología .
48. Misoczki, R.; Tillich, JP; Sendrier, N.; Barreto, PSLM (2013). "MDPC-McEliece: nuevas variantes de McEliece a partir de códigos de verificación de paridad de densidad moderada". Simposio internacional IEEE 2013 sobre teoría de la información . págs. 2069-2073. CiteSeerX 10.1.1.259.9109 . doi :10.1109/ISIT.2013.6620590. ISBN  978-1-4799-0446-4. S2CID  9485532.
49. Costello, Craig; Longa, Patricio; Naehrig, Michael (2016). "Algoritmos eficientes para la isogenia supersingular Diffie-Hellman" (PDF) . Avances en Criptología – CRYPTO 2016 . Apuntes de conferencias sobre informática. vol. 9814, págs. 572–601. doi :10.1007/978-3-662-53018-4_21. ISBN 978-3-662-53017-7.
50. Costello, Craig; Jaó; Longa; Naehrig; Renés; Urbaník. "Compresión eficiente de claves públicas SIDH" . Consultado el 8 de octubre de 2016 .
51. Ding, Jintai; Xie, Xiang; Lin, Xiaodong (1 de enero de 2012). "Un esquema de intercambio de claves simple y demostrablemente seguro basado en el problema del aprendizaje con errores". Archivo ePrint de criptología .
52. Peikert, Chris (1 de enero de 2014). "Criptografía de celosía para Internet". Archivo ePrint de criptología .
53. Singh, Vikram (2015). "Un intercambio de claves práctico para Internet utilizando criptografía Lattice". Archivo ePrint de criptología . Consultado el 18 de abril de 2015 .
54. Zhang, Jiang; Zhang, Zhenfeng; Ding, Jintai; Róbalo, Michael; Dagdelen, Özgür (26 de abril de 2015). "Intercambio de claves autenticado de Ideal Lattices". En Oswald, Isabel; Fischlin, Marc (eds.). Avances en Criptología - EUROCRYPT 2015 . Apuntes de conferencias sobre informática. vol. 9057. Springer Berlín Heidelberg. págs. 719–751. CiteSeerX 10.1.1.649.1864 . doi :10.1007/978-3-662-46803-6_24. ISBN  978-3-662-46802-9.
55. Krawczyk, Hugo (14 de agosto de 2005). "HMQV: un protocolo Diffie-Hellman seguro de alto rendimiento". En Shoup, Víctor (ed.). Avances en Criptología – CRYPTO 2005 . Apuntes de conferencias sobre informática. vol. 3621. Saltador. págs. 546–566. doi :10.1007/11535218_33. ISBN 978-3-540-28114-6.
56. Naor, dalit; Shenhav; Lana (2006). "Firmas únicas revisadas: firmas rápidas prácticas utilizando el recorrido del árbol Fractal Merkle" (PDF) . IEEE . Consultado el 13 de mayo de 2014 .
57. Barreto, Paulo SLM; Biasi, Felipe Plaza; Dahab, Ricardo; López-Hernández, Julio César; Morais, Eduardo M. de; Oliveira, Ana D. Salina de; Pereira, Geovandro CCF; Ricardini, Jefferson E. (2014). Koç, Çetin Kaya (ed.). Un panorama de la criptografía poscuántica . Publicaciones internacionales Springer. págs. 387–439. doi :10.1007/978-3-319-10683-0_16. ISBN 978-3-319-10682-3.
58. De Feo, Luca; Jaó; Plut (2011). "Hacia criptosistemas resistentes a los cuánticos a partir de isogenias de curvas elípticas supersingulares" (PDF) . Archivado desde el original el 11 de febrero de 2014 . Consultado el 12 de mayo de 2014 .{{cite web}}: CS1 maint: bot: original URL status unknown (link)
59. "Archivo ePrint de criptología: Informe 2016/229". eprint.iacr.org . Consultado el 2 de marzo de 2016 .
60. Rístico, Ivan (25 de junio de 2013). "Implementación del secreto futuro". Laboratorios SSL . Consultado el 14 de junio de 2014 .
61. "¿NTRU proporciona un secreto directo perfecto?". cripto.stackexchange.com .
62. "Abrir caja fuerte cuántica". openquantumsafe.org .
63. Stebila, Douglas; Mosca, Michele. "Intercambio de claves post-cuántica para Internet y el proyecto Open Quantum Safe". Archivo ePrint de criptología, Informe 2016/1017, 2016 . Consultado el 9 de abril de 2017 .
64. "liboqs: biblioteca C para algoritmos criptográficos resistentes a los cuánticos". 26 de noviembre de 2017 - vía GitHub.
65. "openssl: bifurcación de OpenSSL que incluye algoritmos resistentes a cuánticos y conjuntos de cifrado basados ​​en liboqs". 9 de noviembre de 2017 - vía GitHub.
66. "BICICLETA - Encapsulación de clave de cambio de bits". bikesuite.org . Consultado el 21 de agosto de 2023 .
67. "HQC". pqc-hqc.org . Consultado el 21 de agosto de 2023 .
68. "Implementación de hardware rápida y eficiente de HQC" (PDF) .
69. Bos, Joppe; Costello, Craig; Ducas, Leo; Mironov, Ilya; Naehrig, Michael; Nikolaenko, Valeria; Raghunathan, Ananth; Stebila, Douglas (1 de enero de 2016). "Frodo: ¡Quítate el anillo! Intercambio de claves práctico y seguro desde el punto de vista cuántico de LWE". Archivo ePrint de criptología .
70. "FrodoKEM". frodokem.org . Consultado el 21 de agosto de 2023 .
71. "NTRUOpenSourceProject/NTRUEncrypt". GitHub . Consultado el 10 de abril de 2017 .
72. Schwabe, Pedro. "Dilitio". pq-crystals.org . Consultado el 19 de agosto de 2023 .
73. "Suite criptográfica para celosías algebraicas, firma digital: dilithium" (PDF) .
74. Stebila, Douglas (26 de marzo de 2018). "Hoja de datos del algoritmo liboqs nist-branch: kem_newhopenist". GitHub . Consultado el 27 de septiembre de 2018 .
75. "Biblioteca de criptografía de celosía". Investigación de Microsoft . 19 de abril de 2016 . Consultado el 27 de septiembre de 2018 .
76. "Biblioteca SIDH - Investigación de Microsoft". Investigación de Microsoft . Consultado el 10 de abril de 2017 .
77. Feo, Luca De; Jao, David; Plût, Jérôme (1 de enero de 2011). "Hacia criptosistemas resistentes a los cuánticos a partir de isogenias de curvas elípticas supersingulares". Archivo ePrint de criptología . PQCrypto 2011. Archivado desde el original el 3 de mayo de 2014.
78. Bernstein, Daniel J.; Chou, Tung; Schwabe, Peter (1 de enero de 2015). "McBits: criptografía rápida basada en código de tiempo constante". Archivo ePrint de criptología .
79. "Microsoft/Picnic" (PDF) . GitHub . Consultado el 27 de junio de 2018 .
80. "Hacia claves de seguridad cuánticas resilientes". Blog de seguridad en línea de Google . Consultado el 19 de agosto de 2023 .
81. Ingeniería y arquitectura de seguridad de Apple (SEAR) (21 de febrero de 2024). "iMessage con PQ3: el nuevo estado del arte en mensajería cuántica segura a escala". Investigación de seguridad de Apple . Apple Inc. Consultado el 22 de febrero de 2024 . Con cifrado resistente a compromisos y amplias defensas incluso contra ataques cuánticos altamente sofisticados, PQ3 es el primer protocolo de mensajería que alcanza lo que llamamos seguridad de Nivel 3, proporcionando protecciones de protocolo que superan a las de todas las demás aplicaciones de mensajería ampliamente implementadas.
82. Rossignoi, Joe (21 de febrero de 2024). "Apple anuncia un nuevo protocolo de seguridad 'innovador' para iMessage". MacRumors . Consultado el 22 de febrero de 2024 .
83. Potuck, Michael (21 de febrero de 2024). "Apple lanza protección de computadora cuántica para iMessage con iOS 17.4, esto es lo que eso significa". 9to5Mac . Consultado el 22 de febrero de 2024 .
84. "Betas del castillo hinchable".
85. "Abrir caja fuerte cuántica".

Otras lecturas

• Criptografía poscuántica. Saltador. 2008. pág. 245.ISBN​ 978-3-540-88701-0.
• Isogenias en un mundo cuántico Archivado el 2 de mayo de 2014 en la Wayback Machine.
• Sobre redes ideales y aprendizaje con errores sobre anillos
• Kerberos revisitado: autenticación cuántica segura
• El esquema de la firma del picnic

enlaces externos

• PQCrypto, la conferencia post-criptografía cuántica
• Esfuerzo de estándares seguros cuánticos del ETSI
• Proyecto criptográfico poscuántico del NIST
• Uso e implementación de PQCrypto
• Costo de la certificación ISO 27001