El ingeniero en criptografía Filippo Valsorda cuestionó recientemente una creencia extendida sobre el impacto de la computación cuántica en el cifrado y aseguró que el protocolo AES 128 “funciona perfectamente en un mundo post-cuántico”.
La idea de que las computadoras cuánticas reducirán a la mitad la seguridad de las claves simétricas —llevando su resistencia efectiva a 264— se apoya en interpretaciones del algoritmo de Grover, según informa la web especializada Ars Technica.
Sin embargo, Valsorda sostiene que esa conclusión es incorrecta. “Existe la idea errónea de que las computadoras cuánticas reducirán a la mitad la seguridad de las claves simétricas, requiriendo claves de 256 bits para una seguridad de 128 bits”, escribió. “Esta no es una interpretación precisa de la aceleración que ofrecen los algoritmos cuánticos, no se refleja en ningún mandato de cumplimiento y corre el riesgo de desviar energía y atención del trabajo realmente necesario para la transición post-cuántica”.
El punto central, explicó, radica en cómo se procesan los ataques. Mientras las computadoras clásicas pueden paralelizar búsquedas y reducir tiempos, el algoritmo de Grover requiere cálculos secuenciales, lo que limita su ventaja. “Lo que hace especial a Grover es que, a medida que se paraleliza, su ventaja sobre los algoritmos no cuánticos se reduce”, señaló. En ese sentido, ejemplificó que dividir el trabajo entre varios procesadores incluso puede aumentar el esfuerzo total requerido.
En la práctica, esto implica que el costo real de atacar AES 128 en un escenario cuántico sería mucho mayor al estimado inicialmente, ubicándose cerca de 2¹°4, muy por encima del umbral considerado seguro.
En la misma línea, la ingeniera de Google Sophie Schmieg explicó que la paralelización en sistemas cuánticos no ofrece las mismas ventajas que en los clásicos: “Con una búsqueda por fuerza bruta convencional, si la interrumpo a la mitad, tengo aproximadamente un 50 % de probabilidades de que ya haya tenido éxito”. Sin embargo, “con el algoritmo de Grover, si lo interrumpo a la mitad, la probabilidad de obtener la respuesta correcta es solo del 25 %”, lo que obliga a utilizar más recursos para obtener resultados equivalentes.
Valsorda respaldó su postura con referencias a organismos y expertos internacionales, y sostuvo que, si bien el uso de AES 256 puede justificarse en ciertos contextos, no responde necesariamente a exigencias específicas de la computación cuántica. “Por lo que entiendo, su intención es evitar la misma fragmentación que introducen los niveles de seguridad al elegir una primitiva de gran tamaño para todas las configuraciones”, indicó sobre las recomendaciones de la NSA.
Finalmente, advirtió que insistir en interpretaciones erróneas puede desviar recursos de los problemas realmente urgentes, como la actualización de sistemas basados en criptografía asimétrica, que sí son vulnerables. “Confundir los cambios necesarios con los innecesarios provocará un caos superfluo y desviará recursos de las actualizaciones urgentes”, afirmó. “Tenemos la suerte de poder dejar intactos los subsistemas de criptografía simétrica; deberíamos aprovechar esta ventaja y centrarnos en el trabajo que realmente hay que hacer, que es mucho”.