¿Qué es la criptografía?

La criptografía tiene sus raíces en el envío de información sensible entre militares y políticos. Los mensajes podían encriptarse para que parecieran texto aleatorio a cualquiera que no fuera el destinatario.

Hoy en día, las técnicas originales de encriptación no funcionan. Tanto es así que solo se encuentran en las secciones de enigmas de algunos periódicos. Afortunadamente, el campo ha hecho grandes avances en materia de seguridad, y los algoritmos que se utilizan hoy en día se basan en un análisis riguroso y en las matemáticas para su seguridad.

A medida que la seguridad avanza, el campo de la criptografía se amplía para incluir una gama más amplia de objetivos de seguridad. Entre ellos se encuentran la autenticación de mensajes, integridad de los datos, cálculo seguro, etc.

La criptografía está en la base de la sociedad moderna. Es la base de innumerables aplicaciones de Internet a través del protocolo seguro de transferencia de hipertexto (HTTPS), de la comunicación segura de texto y voz, e incluso de las monedas digitales.

Los algoritmos criptográficos de clave simétrica utilizan las mismas claves criptográficas tanto para el cifrado del texto plano como para el descifrado del texto cifrado. El cifrado simétrico requiere que todos los destinatarios del mensaje tengan acceso a una clave compartida.

Las siguientes ilustraciones muestran cómo funcionan el cifrado y descifrado con claves y algoritmos simétricos, partiendo de la base de que todas las partes comparten la misma clave.

En la primera ilustración, se utilizan una clave simétrica y un algoritmo para convertir un mensaje de texto plano en texto cifrado. La segunda ilustración muestra la misma clave secreta y el mismo algoritmo simétrico utilizados para convertir el texto cifrado en texto plano.                

Uno de los cifrados por bloques más populares es el estándar de cifrado avanzado (AES). Este cifrado en bloque admite claves de 128, 192 o 256 bits. AES se combina a menudo con Galois/Counter Mode (GCM) y se conoce como AES-GCM para hacer un algoritmo de cifrado autenticado.

AES es el estándar del sector para el cifrado efectuado en todo el mundo. Su seguridad es muy conocida y existen despliegues eficientes de software y hardware.

Dado que los algoritmos de clave pública como RSA-OAEP son menos eficientes que sus homólogos simétricos, no suelen utilizarse para cifrar directamente los datos. Sin embargo, desempeñan un papel importante en el ecosistema criptográfico al proporcionar un medio para el intercambio de claves.

Para utilizar el cifrado simétrico, las partes deben compartir una clave. Aunque esta clave podría enviarse a través de un canal cifrado existente, no necesitaríamos una nueva clave si ya tuviéramos un canal seguro. En su lugar, resolvemos el problema del intercambio de claves mediante la criptografía de clave pública.

Estos son dos métodos comunes para intercambiar claves simétricas.

• Cifrado asimétrico. Una de las partes genera una clave simétrica y la cifra mediante un algoritmo como RSA-OAEP con la clave pública de otra parte. El destinatario puede descifrar el texto cifrado con su clave privada para recuperar la clave simétrica.
• Intercambio de claves Diffie-Hellman: (DH). Diffie-Hellman es un tipo diferente de algoritmo criptográfico de clave pública diseñado específicamente para ayudar a las partes a acordar una clave simétrica en ausencia de un canal seguro. Diffie-Hellman se basa en un problema matemático diferente al de la función RSA y es menos flexible que esta. Sin embargo, tiene estructuras más eficientes, lo que lo hace más recomendable en algunos casos de uso.

Esta combinación de criptografía de clave pública para el intercambio de claves y el cifrado simétrico para el cifrado de datos en masa se conoce como cifrado híbrido.

El cifrado híbrido utiliza las propiedades únicas de la criptografía de clave pública para intercambiar información secreta a través de un canal no fiable con la eficacia del cifrado simétrico. Así, se consigue una solución práctica de extremo a extremo para la privacidad de los datos.

El cifrado híbrido se utiliza de manera generalizada en los protocolos de transferencia de datos para la web, como en la seguridad de la capa de transporte (TLS). Cuando se conecta a un sitio web que utiliza HTTPS (HTTP seguro con TLS), el navegador negociará los algoritmos criptográficos que aseguran la conexión. Estos incluyen algoritmos para el intercambio de claves, cifrado simétrico y firmas digitales.

Un código de autenticación de mensajes (MAC) es la versión simétrica de una firma digital. Con un MAC, dos o más partes comparten una clave. Una parte crea una etiqueta de MAC, que es la versión simétrica de una firma digital, y la adjunta al documento. Otra parte puede verificar la integridad del mensaje mediante la misma clave que se utiliza para crear la etiqueta.

Tenga en cuenta que varias partes comparten la clave utilizada para crear etiquetas de MAC, por lo que los MAC no pueden utilizarse para la autenticación o el no repudio, ya que no está claro qué parte creó la etiqueta.

Los MAC pueden ser algoritmos independientes, como código de autenticación de mensajes basado en hash (HMAC). Sin embargo, dado que la integridad de los mensajes es casi siempre una garantía valiosa, suele integrarse en algoritmos de cifrado simétrico como AES-GCM.

La criptografía de curva elíptica (ECC) es una técnica de criptografía de clave pública basada en la teoría matemática de las curvas elípticas.

La mayor ventaja de ECC es que puede proporcionar un nivel de protección similar al de las técnicas más tradicionales, pero con claves más pequeñas y operaciones más rápidas. La eficiencia de ECC hace que sea una solución muy adecuada para su uso en dispositivos con una potencia de cálculo relativamente baja, como los celulares.

ECC se puede utilizar para el intercambio eficiente de claves mediante una variante de curva elíptica de Diffie-Hellman (ECDH) o para las firmas digitales mediante el algoritmo de firma digital de curva elíptica (ECDSA). Debido a su velocidad y flexibilidad, ECC se utiliza ampliamente en muchas aplicaciones de Internet.

En las últimas décadas, se hicieron importantes inversiones en computación cuántica. Las computadoras cuánticas utilizan la física cuántica y pueden resolver problemas matemáticos, como el problema de la factorización, que son inviables desde el punto de vista de la computación para las computadoras clásicas.

Una computadora cuántica a gran escala interrumpiría los criptosistemas de clave pública que utilizamos hoy en día, incluidos los criptosistemas basados en las funciones Rivest-Shamir-Adleman (RSA). Una interrupción de estos algoritmos supondría la pérdida de confidencialidad y autenticación de muchas de las aplicaciones y protocolos que utilizamos hoy en día.

Aunque en la actualidad día existen pequeños computadoras cuánticas, son demasiado pequeños para interrumpir los algoritmos criptográficos. No se sabe si una computadora cuántica criptográficamente relevante (CRQC) estará disponible o cuándo lo estará. Se necesitan importantes avances científicos para desarrollar un CRQC.

La criptografía postcuántica (PQC) se refiere a los algoritmos criptográficos que funcionan en las computadoras que utilizamos hoy en día, y que no se sabe si son vulnerables frente a una computadora cuántica a gran escala.

Para obtener más información sobre la participación en investigación e ingeniería de AWS en proyectos de criptografía resistente a la tecnología cuántica y grupos de trabajo con la comunidad criptográfica global, consulte AWS Post-Quantum Cryptography.

Los servicios criptográficos de AWS utilizan una amplia gama de tecnologías de cifrado y almacenamiento que pueden garantizar la integridad de sus datos en reposo o en tránsito. AWS ofrece varias herramientas para las operaciones criptográficas:

• AWS CloudHSM proporciona módulos de seguridad de hardware (HSM) que pueden almacenar de forma segura una variedad de claves criptográficas, entre ellas claves raíz y claves de datos.
• AWS Key Management Service (KMS) proporciona herramientas para generar claves raíz y otras claves de datos. AWS KMS también interactúa con muchos otros servicios de AWS para cifrar sus datos específicos de servicio.
• SDK de cifrado de AWS proporciona una biblioteca de cifrado del cliente para desplegar operaciones de cifrado y descifrado en todos los tipos de datos.
• Cliente de encriptación de Amazon DynamoDB proporciona una biblioteca de cifrado del cliente para cifrar tablas de datos antes de enviarlas a un servicio de base de datos, como Amazon DynamoDB.
• AWS Secrets Manager proporciona el cifrado y la rotación de los secretos cifrados que se utilizan con las bases de datos compatibles con AWS.

Muchos servicios de AWS dependen de estos servicios criptográficos durante la transferencia o el almacenamiento de datos. Para obtener una lista de dichos servicios y una descripción general de cómo utilizan las prácticas criptográficas, consulte Other AWS services that use cryptography (Otros servicios de AWS que usan criptografía).

AWS también proporciona bibliotecas criptográficas de código abierto:

• AWS libcrypto (AWS-LC) proporciona una biblioteca criptográfica de propósito general gestionada por el equipo de criptografía de AWS para AWS y sus clientes. Se basa en el código de los proyectos Google BoringSSL y OpenSSL. AWS-LC contiene despliegues portátiles en C de algoritmos necesarios para TLS y aplicaciones comunes. Para los algoritmos críticos de rendimiento, se incluyen versiones optimizadas en ensamblador para x86 y ARM.
• s2n-tls proporciona un despliegue de los protocolos TLS/SSL diseñado para ser simple, pequeño, rápido y con la seguridad como prioridad.

También puede consultar el blog de Amazon Science y el blog de seguridad de AWS. Allí detallamos lo que estamos haciendo para desarrollar, comparar y crear prototipos de investigación criptográfica. Publicamos artículos sobre computación criptográfica, criptografía postcuántica, código criptográfico verificado y mucho más.