El problema con las contraseñas es que son demasiado vulnerables, ya sea por una construcción débil, reutilización o filtraciones de datos. En el mundo de la autenticación de productos de la cadena de suministro, los problemas de robo e interceptación pasan a primer plano cuando las contraseñas están en la agenda del debate de seguridad. Las cosas no son mucho mejores cuando se trata de hologramas o códigos QR, donde abunda la imitación.
Resolver el problema de la falsificación de la cadena de suministro ha adquirido un nuevo nivel de urgencia en la nueva realidad de la pandemia de COVID-19. La delincuencia ha aprovechado la despreciable oportunidad que presenta la demanda mundial de medicamentos y suministros médicos que ha presentado la pandemia y, como resultado, el comercio ilícito de productos falsificados se ha disparado.
Pero, ¿qué pasaría si existiera una metodología de autenticación de productos “irrompible” que prometiera hacer imposible la falsificación?
Bienvenido al mundo de la identificación digital a escala atómica que podría ser el próximo gran avance cuando se trata de asegurar la cadena de suministro.
La puesta en marcha de la Universidad de Lancaster, Quantum Base, es una empresa del Reino Unido que afirma que sus etiquetas de autenticación óptica Q-ID patentadas son imposibles de copiar porque cada dispositivo a nanoescala contiene 1.000 billones de átomos. Esto, dice Quantum Base, tomaría los microscopios de sonda de barrido más poderosos del planeta sobre la edad del universo, 13.000 millones de años más o menos, para producir un clon idéntico.
Además, Quantum Base está trabajando ahora mismo con un “fabricante importante” para producir en masa este sistema de autenticación del futuro.
IsoLab en la Universidad de Lancaster es un conjunto de 3 laboratorios donde la vibración, el ruido y las perturbaciones electromagnéticas se han reducido drásticamente, creando un ambiente ultra limpio para la medición y caracterización. Aquí es donde los científicos han creado una familia de dispositivos de seguridad simples, prácticos y escalables basados en tecnologías cuánticas de vanguardia. Comercializados por la empresa spinout Quantum Base, estos incluyen las etiquetas de identidad ‘no clonables’ Q-ID.
El problema con la autenticación de la cadena de suministro
Las soluciones actuales de autenticación de la cadena de suministro, como las etiquetas antifalsificación o la protección por contraseña, que basan sus credenciales de seguridad en ser difíciles de replicar o de mantener en secreto, no son tan seguras como deberían. Los argumentos de imitación, robo, piratería e interceptación entran en juego en esta discusión. Los dispositivos a escala atómica de Quantum Base no necesitan contraseñas y, según la compañía, son inmunes a la clonación.
Quantum Base afirma que estas etiquetas Q-ID de escala atómica son simplemente el sistema más seguro jamás creado.
La autenticación y el seguimiento de productos de la cadena de suministro podrían lograrse con etiquetas ópticas Q-ID que se crean “aprovechando la aleatoriedad de los materiales cuánticos”, según declararon. En otras palabras, la creación de identificaciones digitales únicas a escala atómica que se basan en las irregularidades que se pueden encontrar en “materiales 2D” de un átomo de espesor como el grafeno.
La física cuántica amplifica las anomalías, lo que las hace imposibles de identificar. Debido a la nanoescala de la que estamos hablando aquí, menos de una milésima parte de un cabello humano en tamaño, se pueden incorporar fácilmente a la superficie de cualquier producto o etiqueta, cualquier código QR u holograma para crear una huella digital verdaderamente única.
Quantum Base también dice que los Q-ID se pueden producir en masa utilizando procesos existentes e incorporarse a cualquier material. Para agregar al estado del Santo Grial que se invoca aquí, la falsificación de cadenas de suministro utilizando largas cadenas artificiales de organizaciones se convertiría en una cosa del pasado, ya que cada cadena sería transparente: el código Q-ID se puede escanear usando una aplicación de teléfono inteligente para que coincida.
Si un lote de bienes fuera robado, las etiquetas de identidad de grafeno podrían simplemente “apagarse” en cualquier momento para garantizar la integridad de la cadena de suministro.
Técnicas de autenticación en el mundo atómico
La fórmula secreta detrás de los Q-ID se basa en la idea de que, a escala atómica, todo es único: mover átomos individuales para clonar una estructura de etiqueta específica es prácticamente imposible gracias a los PUF. Las funciones físicamente no clonables (PUF) plantean la idea de que al utilizar el teorema de no clonación de la mecánica cuántica, se pueden derivar huellas dactilares únicas. Solo para entender los PUF necesitaría otro artículo de análisis profundo, pero afortunadamente hay un excelente manual de PUF que se puedes leer aquí.
Quantum Base insiste en que las PUF cuánticas ópticas proporcionan “autenticación 100% absoluta” que simplemente no se puede clonar, copiar o simular porque todo es único a escala atómica. Por supuesto, esto depende un poco de su definición de único, pero supongo que la mayoría de la gente estaría de acuerdo con que 1.000.000.000.000.000 de átomos son muy difíciles de copiar.
Sin embargo, por desgracia, difícil de copiar no es lo mismo que irrompible o irrompible, y eso es lo que afirma Quantum Base.
El Dr. Mark Carney, un matemático e investigador de seguridad con un interés particular en la seguridad cuántica, lo describe como la noción de que un chip individual se puede caracterizar y luego las respuestas de ese chip se pueden comparar a lo largo de la cadena de suministro para garantizar que sea el mismo. “Incluso si el atacante obtiene algunos datos sobre la caracterización del chip”, dice el Dr. Carney, “seguramente generarán más errores o variaciones que el chip y, en teoría, se puede detectar esto con una muestra lo suficientemente grande”. Esto se haría mediante un proceso de pares desafío-respuesta o CRP.
En general, el Dr. Carney afirmó que esto podría funcionar bastante bien y que “sería bueno si lo hicieran”. “Pero como con cualquier cosa cuántica”, agrega el Dr. Carney, “la seguridad está intrínsecamente ligada a la mecánica precisa y la fisicalidad de la cosa, y los PUF no tienen un gran audio grabado.” De hecho, se han conocido ataques de canal lateral que se aprovechan de implementaciones “perezosas” y algunos ataques teóricos que utilizan Machine Learning para predecir los valores de CRP.
El módulo de microscopía de materiales a nanoescala es uno de los tres laboratorios de IsoLab. Se utiliza para estudios de imágenes atómicas y moleculares, ampliando los límites de las imágenes y mediciones de fuerzas de ultra alta resolución con una resolución atómica y molecular mucho más allá de los límites actuales.
El profesor Ben Varcoe de la Universidad de Leeds, tiene un interés particular en la investigación de la información cuántica experimental y es un experto en electrodinámica cuántica de cavidades y distribución de claves cuánticas de variable continua. “Personalmente, creo que un PUF es un concepto interesante, ya que proporciona un identificador único”, dice, “el problema, como ha sugerido Mark, es que si el identificador se puede usar en cualquier tipo de escenario de ‘grabación y reproducción’, es inútil, o al menos sólo es útil la primera vez, y al mismo tiempo es vulnerable a los ataques de hardware”.
El profesor Varcoe dice que si bien se han sugerido algunos métodos en los que el PUF es una función compleja y más difícil de replicar, todavía habría un límite de tiempo en la cantidad de seguridad proporcionada. “Es mejor tener un código que cambie con el tiempo”, dice, “incluso si es cuántico”.
Dicho esto, el profesor Varcoe está de acuerdo en que “ciertamente parece ser el caso de que no hay dos puntos cuánticos idénticos y, por lo tanto, sería difícil crear un punto cuántico con esa propiedad exacta” y el “concepto de permitir que un consumidor use un teléfono móvil para autenticar es extremadamente interesante”. Su única objeción es que, para fines de la aplicación de autenticación, es esencial que la señal no pueda ser replicada por un falsificador. “Si el objetivo de los falsificadores es crear una copia de una obra de arte protegida con puntos cuánticos”, explica, “entonces el falsificador solo necesita crear una señal que engañe a un teléfono inteligente; no hay razón para crear un nuevo conjunto de puntos cuánticos.”
Una opción, sugiere, sería crear un holograma de reflexión (arco iris) que imite el patrón, lo cual es desafiante, pero no imposible. Las limitaciones de la cámara de los teléfonos inteligentes podrían entrar en juego aquí, ya que engañar a la cámara es más factible que replicar la mecánica cuántica.
Responde el director científico de Quantum Base
Rob Young, becario de investigación de la Royal Society, valoró estás opiniones, quien, además de ser el director científico de Quantum Base, también es director del centro de tecnología cuántica de la Universidad de Lancaster.
Al abordar el ángulo cuántico sobre Q-ID, el profesor Young dice que en la tecnología Q-ID óptica y electrónica de Quantum Base, “la física cuántica dicta el comportamiento de los electrones en los materiales, o en otras palabras, estamos usando materiales cuánticos.”
Normalmente, explica, a medida que reduce el tamaño de un sistema, se vuelve cada vez más difícil medir las variaciones en ese sistema; puede ver la diferencia entre las huellas dactilares de una persona, pero necesitaría un microscopio óptico para diferenciar dos pelos similares, o un microscopio electrónico para distinguir dos partículas de polen, “A medida que el sistema se hace más pequeño, necesita más y más poder herramientas para diferenciarlos”, dice.
Esto lleva a lo que el profesor Young describe como una paradoja en las tecnologías contra la falsificación: son fáciles de verificar pero también fáciles de clonar (como los hologramas) o difíciles de clonar pero también difíciles de verificar (como los micropuntos), por lo que pocas personas realmente puede comprobarlos. “Los efectos de la mecánica cuántica, sin embargo, se hacen más grandes a medida que un sistema se hace más pequeño”, continúa el profesor Young, “y si un sistema es lo suficientemente pequeño, en realidad se pueden medir las diferencias con herramientas macroscópicas, como la cámara de un teléfono inteligente”.
Los puntos cuánticos emitirán diferentes colores de luz dependiendo de su diámetro, con diferencias visibles en los colores de emisión correspondientes a variaciones de unos pocos átomos de ancho, según el profesor. “Nuestro Q-ID óptico funciona de esta manera”, dice: “Incorporamos una capa de material cuántico en un recubrimiento de superficie de una etiqueta o producto, que tiene una miríada de defectos naturales, cada punto es diferente en tamaño y también influye en los puntos vecinos “.
La aplicación para teléfonos inteligentes que Quantum Base también ha desarrollado, dispara el flash en el teléfono para excitar la emisión óptica del material y luego extrae una huella digital de esta aleatoriedad para identificar de forma única cada etiqueta. Al hacerlo, dice el profesor Young. “Nuestro producto rompe la paradoja de la lucha contra la falsificación al ser sensible a las variaciones de nanoescala y al ser fácil de medir, utilizando un teléfono sin hardware adicional”.
Entonces, desde una perspectiva técnica, esta es una medida clásica de un sistema cuántico: el confinamiento cuántico (el problema de la partícula en una caja) se está empleando para amplificar la influencia de las variaciones nanométricas en los materiales cuánticos.
¿Tienen problemas los PUF?
El profesor Young está de acuerdo con el Dr. Carney y el profesor Varcoe en que es absolutamente cierto que los PUF tienen problemas. “Yo diría que la principal alternativa es almacenar materiales de claves secretas en la memoria”, dice, “que tiene más problemas y adolece de una mala implementación en muchos casos también”. El profesor Young me dijo que a algunas empresas de PUF les está yendo bien, pero diría que los productos Quantum Base tienen la ventaja sobre todos ellos.
“Los PUF tradicionales basan su singularidad en la medición de efectos clásicos, lo que los hace clonables y puede dar lugar a problemas de seguridad”, explica, “la variante electrónica de nuestro Q-ID se basa en un sistema semiconductor estándar, con un ( escala nanométrica de nuevo) capa en el medio”.
Al igual que con la variante óptica, pequeñas fluctuaciones en el ancho y la composición de esta capa dan a cada dispositivo una respuesta única. “Técnicamente”, continúa el profesor Young. “Los estados ligados en un pozo cuántico son muy sensibles a la estructura del pozo, los medimos electrónicamente usando un diodo de efecto túnel resonante”.
Pero, ¿qué pasa con los PUF que son propensos a los ataques de ‘grabar y reproducir’? Aquí es donde los caminos académicos divergen. “Tenemos una implementación que no es segura post-cuántica”, insiste el profesor Young. “Esencialmente, incorporamos una matriz de elementos Q-ID electrónicos en un dispositivo en el que se puede programar la ruta actual a través de la matriz”, dice. “El número de pares desafío-respuesta ahora se escala de forma no lineal, de modo que con un dispositivo de tamaño modesto podemos tener un vasto grupo de entropía”, explica el profesor Young, “esto permite implementaciones en las que los CRP no se pueden reutilizar (por lo que no se pueden reproducido), y se puede utilizar como material clave en una libreta de un solo uso, que es probadamente seguro cuánticamente “.
El Laboratorio de Óptica Cuántica de IsoLab se utiliza para explorar y explotar el comportamiento mecánico-cuántico de la luz y su interacción con dispositivos, materiales y componentes ópticos.
Ha quedado claro que hay dos versiones distintas de la tecnología Q-ID, óptica y electrónica. Estos son bastante diferentes en términos de las aplicaciones a las que se dirige Quantum Base. La solución óptica de Q-ID es la anti-falsificación, ya que es barata y fácil de fabricar al depender de esas imperfecciones naturales en los Q-ID incrustados dentro de un recubrimiento y puede ser leído por cualquier teléfono inteligente.
“Realmente no vemos este como un PUF como tal”, dice el profesor Young, “ya que el desafío siempre será el mismo, el teléfono lee una huella digital de la etiqueta (y un poco más) y luego la compara con un base de datos o libro mayor distribuido“. La versión electrónica, sin embargo, definitivamente se considera un PUF “con una gran cantidad de CRP”, dice el profesor Young, “que podría usarse para proporcionar las claves para la criptografía, o de hecho un bloc de notas de una sola vez para comunicaciones seguras”.
El Q-ID óptico
Al usuario final se le presenta una aplicación que parece simplemente tomar una fotografía de la etiqueta, para verificar su huella dactilar con un registro almacenado. Aún así, es un poco más complicado que esto y se incluye un elemento de certificación. “La etiqueta está enmarcada por un código QR en el que se codifica una entrada de registro”, explica el profesor Young, “para que la aplicación pueda solicitar una entrada de base de datos / DLT específica para verificar la huella digital nuevamente, el código QR también se usa para corregir la perspectiva y encendiendo.”
Al presionar el botón ‘verificar’, la aplicación toma una serie de imágenes con diferentes intensidades de flash, probando así cómo se comporta el material emisor en las diferentes condiciones de iluminación. “Busca propiedades no lineales específicas, vinculadas a la física de dimensión cero del punto cuántico”, dice el profesor Young, “para verificar que un material cuántico generó la huella digital que se mide”.
Si bien admite que se puede engañar a cualquier medición digital, “un holograma complejo no podría reproducir la huella digital y la dinámica de emisión simultáneamente“. Lo que significa que necesitaría “una pantalla activa (y manejar el flash sería muy difícil) o recrear una etiqueta con puntos con defectos similares en una disposición similar”.
La cámara de su teléfono inteligente no es capaz de medir la emisión de un solo punto, pero eso no es un problema, dice el profesor Young. “Por lo general, una etiqueta mide 1×1 cm, está enmarcada en un código QR y el teléfono mide aproximadamente 10 cm”. Lo que produce 100.000 píxeles, multiplicado por el número de diferentes intensidades de flash medidas. O muchos datos, si lo prefiere, y eso, dice, “requeriría una gran hazaña de ingeniería para clonar”.
Volviendo al escenario del ataque de repetición, el profesor Young dice que hay dos componentes en la medición que está realizando el teléfono: extracción de huellas dactilares y una prueba de ‘material cuántico’. Este último se evalúa mediante mediciones a diferentes intensidades, por lo que los ataques de repetición simples se pueden prevenir a través de teléfonos rooteados al “no autenticar la misma medición con los mismos niveles de brillo dos veces”, explica el profesor Young, “ya que, en un escenario del mundo real, el ambiente el nivel de luz siempre sería ligeramente diferente para cada medición”.
El punto crucial, según el profesor Young, no es en realidad que no haya absolutamente ninguna forma en la que un atacante pueda apuntar a esta tecnología, “es que estamos haciendo que ese desafío sea lo más prácticamente posible”.
Y es ese punto de practicidad el que es de vital importancia cuando se buscan aplicaciones de mercado masivo. “Son simples y baratos de fabricar y leer, y extremadamente difíciles de clonar”, concluye, mientras que “la mayoría de las soluciones contra la falsificación son tan fáciles de clonar como de fabricar y tienen muy poca seguridad si se pueden leer.”
El Q-ID electrónico
El profesor Young también contó otros detalles sobre las etiquetas electrónicas Q-ID, para las cuales existen varios escenarios de implementación diferentes. “La entropía contenida en nuestra matriz Q-ID escala exponencialmente con el tamaño de la matriz”, dice, “el desafío que se plantea se relaciona con el camino que recorre la corriente a través de la matriz y la respuesta es una convolución de la posición de los niveles de energía confinados en los pozos cuánticos en los RTD”.
Entonces, cada dispositivo puede tener una gran cantidad de desafíos. “Podemos hacer que el número de desafíos multiplicado por el tiempo requerido para medir cada uno, la constante RC del circuito, sea más largo que la edad del universo”, afirma el profesor Young. Al fabricar un dispositivo de este tipo, un pequeño subconjunto de sus desafíos se eligen al azar, preferiblemente utilizando el generador de números aleatorios cuánticos de Quantum Base, y se almacenan.
“Necesitamos almacenar suficientes datos aquí para las comunicaciones de toda la vida desde el dispositivo”, dice el profesor Young, “por lo que esto limita su uso a aplicaciones que no tienen muchos datos, por ejemplo, Internet de las cosas”. Las comunicaciones con el dispositivo se pueden asegurar cifrando las comunicaciones utilizando datos de este bloc de notas almacenado de una sola vez. Cualquier ataque de interceptación solo vería datos encriptados y la información sobre los desafíos; no hay nada que almacenar y reproducir.
¿Son los PUF a nanoescala la próxima gran novedad en la seguridad de la cadena de suministro?
El Dr. Mark Carney dice que “los puntos ópticos sin duda resuelven un problema interesante, son fáciles de medir, pero con una construcción a nanoescala”. Sin duda, son un paso adelante de otras soluciones de identificación molecular que utilizan matrices de polímeros en construcciones específicas para generar moléculas identificables únicas que emiten fluorescencia, como “agua inteligente”, por ejemplo.
En teoría, se pueden clonar con suficientes recursos químicos para resolver el problema. Por el contrario, los puntos ópticos no pueden, ya que “son únicos por variaciones específicas y, supongo, aleatorias a nivel atómico inherentes a la fabricación”, dice el Dr. Carney.
“En general”, dice el Dr. Carney, “creo que Quantum Base tiene una buena solución. Lo importante aquí, para mí, es que han creado PUF que son muy fáciles de usar para los fabricantes y se pueden usar como etiquetas de identificación en más aplicaciones, o como chips de verificación electrónicos con capacidad para múltiples CRP “. Con las implementaciones, el software y los protocolos adecuados a su alrededor, el Dr. Carney me dice, “es probable que haya mucho potencial”.