Los Papers Académicos de los algoritmos PQC de Autenticación y Firma Digital en la Ronda 3 del NIST

Recientemente el NIST hizo la selección de los nueve algoritmos de Firma Digital y Autenticación Post-Cuántica (PQC) que han avanzado a la Tercera Ronda del proceso de estandarización de firmas adicionales del NIST. Por supuesto, quería estudiarlos un poco, y aprender cómo funcionan, así que he estado buscando sus papers y leyendo un rato sobre ellos.

Figura 1: Los Papers Académicos de los algoritmos PQC de

Autenticación y Firma Digital en la Ronda 3 del NIST

Aún me queda mucho que leer, y el proceso irá avanzando, pero mientras que sigo aprendiendo algo de ellos, os dejo aquí la colección de papers académicos, y especificaciones técnicas de cada uno de ellos, que saldrán en la siguiente edición del libro de Quantum Security cuando la construyamos. De todo ello hablé en su momento en el Foro de Ciberseguridad que llevo en MyPublicInbox, por si quieres apuntarte.

Figura 2: Quatum Security: Tecnología Cuántica & Ciberseguridad.

Criptográfica Cuántica y Post-Cuántica. 

Nuestro nuevo libro en 0xWord escrito por: Chema Alonso,

Pablo González, Fran Ramírez, Carmen Torrano, Daniel Romero,

Javier Álvarez, Mario Piattini, Iker Pastor, Pablo García Bringas

A continuación tienes la lista de los nueve algoritmos, con una muy breve descripción de los mismos, y los enlaces a los papers académicos, para que comiences tú a leer sobre ellos hoy mismo, que el mundo PQC está ya aquí.

1. FAEST

Basado en el paradigma VOLE-in-the-Head y funciones simétricas probadas como AES, ofreciendo una seguridad matemática muy robusta. Destaca por tener claves públicas y privadas extremadamente pequeñas, ocupando apenas unas pocas decenas de bytes. Sus firmas son de tamaño moderado, aunque requiere un esfuerzo computacional mayor en los procesos de firma y verificación.

•  Artículo original "VOLE-in-the-Head Signatures Based on the Linear Code Equivalence Problem".
• Evolución y Optimización: "Shorter, Tighter, FAESTer: Optimizations and Improved (QROM) Analysis for VOLE-in-the-Head Signatures" .
• Especificación Técnica final: "FAEST v2: Algorithm Specifications Version 2.0"

2. HAWK

HAWK es un esquema de firma digital (utilizado para autenticación) basado en retículos (lattices). Es especialmente relevante porque fue seleccionado por el NIST (Instituto Nacional de Estándares y Tecnología de EE. UU.) para avanzar a la Ronda 2 del proceso de estandarización de firmas digitales adicionales de criptografía post-cuántica (PQC).

• Paper original (2022): "Hawk: Module LIP Makes Lattice Signatures Fast, Compact and Simple".
• El Paper de Seguridad Cuántica (2023) "On the Quantum Security of HAWK"
• Documento de Especificación Oficial del NIST (2023-2024) "Hawk: A fast, compact and floating-point free post-quantum signature scheme (Specification Document)" 

3. MAYO

Algoritmo multivariante basado en el esquema tradicional Oil and Vinegar (UOV), pero optimizado para entornos modernos. Logra claves públicas significativamente más pequeñas combinando los polinomios mediante una estructura matemática modificada. Mantiene firmas muy cortas y un proceso de verificación sumamente veloz, siendo ideal para dispositivos con hardware limitado.

• Paper Académico Base del año 2021: "MAYO: Practical Post-Quantum Signatures from Oil-and-Vinegar Maps"

4. MQOM (MQ on my Mind)

Utiliza el paradigma MPC-in-the-Head (computación multi-parte) aplicado al problema cuadrático multivariante (MQ). Su seguridad depende directamente de la dificultad de resolver sistemas de ecuaciones polinomiales que carecen de estructura cíclica. Genera claves públicas diminutas, aunque el tamaño de sus firmas es relativamente grande debido a las pruebas de conocimiento cero.

• Paper Académico Base (2023): "MQ on my Mind: Post-Quantum Signatures from the Non-Structured Multivariate Quadratic Problem".
• Especificación Oficial del Algoritmo (2025) : "MQOM: MQ on my Mind - Algorithm Specifications and Supporting Documentation (Version 2.0)".

5. QR-UOV

Variante del clásico Unbalanced Oil and Vinegar que introduce anillos de cociente (QR) para estructurar la clave pública. Consigue reducir drásticamente el descomunal tamaño de las claves del UOV tradicional mediante el uso de matrices cíclicas. Conserva intactas las grandes ventajas del esquema original: firmas ultra cortas y una altísima velocidad de verificación.

• Paper Académico Base (2021) "A New Variant of Unbalanced Oil and Vinegar Using Quotient Ring: QR-UOV" 
• Especificación Oficial del Algoritmo (2025): "QR-UOV Specification Document - Round 2".

6. SDitH (Syndrome-Decoding-in-the-Head)

Utiliza la técnica Syndrome Decoding in the Head, uniendo códigos correctores de errores con pruebas de conocimiento cero. Su seguridad descansa sobre el problema de decodificación por síndrome, un pilar de la criptografía basada en códigos muy estudiado. Ofrece claves públicas compactas y un rendimiento equilibrado, a cambio de generar firmas de tamaño moderado-alto.

• Paper Académico Base (2022): "Syndrome Decoding in the Head: Shorter Signatures from Zero-Knowledge Proofs"  
• Especificación Oficial del Algoritmo (2025): "The Syndrome Decoding in the Head (SD-in-the-Head) Signature Scheme Algorithm Specifications and Supporting Documentation – Version 2.0"

7. SNOVA

Esquema multivariante no conmutativo que aplica la estructura de UOV sobre álgebras matriciales en vez de campos finitos. Esta innovación matemática permite encoger drásticamente las claves públicas en comparación con cualquier UOV estándar. Produce firmas pequeñas y procesos rápidos, posicionándose como una alternativa muy eficiente para sistemas con restricciones de memoria.

• Paper Académico Base (2022) "SNOVA: a simple noncommutative UOV scheme". 
• Especificación Oficial del Algoritmo (2023): "SNOVA Proposal for NISTPQC: Digital Signature Schemes project"

8. SQIsign 

Basado en isogenias de curvas elípticas supersingulares, destaca por ofrecer las firmas más pequeñas de toda la criptografía post-cuántica. Sus claves públicas son también diminutas, lo que optimiza al máximo el uso de ancho de banda en las comunicaciones de red. El principal inconveniente es su alta carga computacional, requiriendo algoritmos matemáticos complejos y lentos para firmar.

• Paper Académico Base (2020): "SQISign: Compact Post-Quantum Signatures from Quaternions and Isogenies".

9. UOV (Unbalanced Oil and Vinegar)

Esquema multivariante clásico (Unbalanced Oil and Vinegar) que cuenta con décadas de madurez y un análisis de seguridad muy estable. Genera firmas extremadamente cortas y ofrece una de las velocidades de verificación más rápidas de la competencia. Su gran desventaja radica en el enorme tamaño de sus claves públicas, las cuales requieren decenas de kilobytes para operar.

• Paper Académico Seminal (Orígenes históricos) (1999):  "Unbalanced Oil and Vinegar Signature Schemes"
• Especificación Oficial Moderna (Presentada al NIST) (2023): "UOV: Unbalanced Oil and Vinegar".

Si te interesan estos temas, te recomiendo que te apuntes al Foro Online Público que funciona desde Septiembre del año pasado en MyPublicInbox, donde se comparten temas de Quantum & Post-Quantum Securrity, así que si quieres estar informado puedes entrar libremente y suscribirte.

Figura 3: Foro Público de Quantum Security de

la Universidad de Deusto en MyPublicInbox

Si vas a estar en el foro, te recomiendo que te bajes la app de MyPublicInbox para iPhone o la app de MyPublicInbox para Android, para que te sea más fácil seguir la conversación desde tu teléfono en cualquier momento. Además, aquí te dejo todos los artículos que he publicado en este blog sobre estos temas por si quieres leer con calma todo. 

• Quantum Computing Cybersecurity Preparedness Act: Comienza la era de Ciberseguridad Post-Quantum en Estados Unidos
• Hamming Quasi-Cyclic (HQC-KEM): Nuevo Key-Encapsulation Mechanism en Post-Quantum Cryptography
• FrodoKEM: Un Key-Encapsulation Mechanism Quantum-Safe (PQC) que recibe su nombre por "El señor de los Anillos"
• La Gran Búsqueda de Números Primos de Mersenne en Internet para superar el mayor Número Primo conocido hasta la fecha
• Cómo acelerar los algoritmos de Inteligencia Artificial con Computadores Analógicos Ópticos (AOC)
• Premio Nobel en Física 2025: El trabajo del "Efecto Tunel" que trajo la cuántica a nuestro mundo y abrió la puerta a los ordenadores cuánticos
• Un Reloj Atómico Óptico del MIT con Optimización Cuántica para medir el Tiempo del Futuro
• Quantum Cryptography: Una comunicación con cifrado cuántico
• Factorización de RSA con un Optimizador de Quantum Computing (y Classic Computing)
• Cuánto del tráfico en Internet funciona con Post-Quantum Cryptography
• Algoritmo Cuántico de Grover: Un algoritmo de búsqueda optimizado por superposición cuántica 
• Quantum Sensors: Cuando lo invisible se hace visible gracias al Mundo Cuántico
• Bitcoin vs Quantum Computers: Hora de pasar a Post-Quantum Cryptography
• El White Paper de MasterCard que urge a pasar a Quantum Safe: Post-Quantum Cryptography (PQC) & Quantum Key Distribution (QKD)
• Dyber: Hardware-Accelerated Post-Quantum Cryptography (PQC)
• Cómo ser Quantum Safe y desplegar Post-Quantum Cryptography (PQC) con Cloudflare
• Quantum GPS: Navegación con GPS cuánticos para evitar ataques de Jamming & Spoofing
• Cómo comprobar si un Web Site es Quantum Ready con Post-Quantum Cryptography usando Radar
• Alaniz Cipher: Un Cifrado Simétrico Quantum Resistant

Espero que estos temas te estimulen a ir haciendo cada día más cosas con las tecnologías alrededor del mundo cuántico, porque cada día vamos a ver nuevos avances al respecto. 

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Eurosender, or How to Poorly Digitalize Logistics and Ignore European Regulations

Last week, I already told you how Eurosender's digital service is, if not outright "fraudulent"—which I hope a judge will rule when they evaluate the case we are currently working on—at least "misleading." Their system allows a customer to request a service that they know, recognize, and are fully aware from the start they will not fulfill. Yet, they still invoice for it, collect the money, and cause all customers to lose their merchandise, in addition to the financial cost.

Figure 1: Eurosender, or How to Poorly Digitalize Logistics

and Ignore European Regulations

In my specific case, the financial loss is quite small—barely €200—but the treatment we received has made me decide to keep demanding a system correction and a sanction against this company, "Eurosender," to prevent other customers from suffering similar situations.

Figure 2: Jan Stefe, Eurosender´s CEO showing off about technology. A joke?

I brought everything that happened to the attention of their CEO on LinkedIn, so he would know how his company operates in these situations, and the CEO's behavior has been disappointing.

Figure 3: Boasting about digitally transform the industry of logics. 

On his profile, he boasts that his company, Eurosender, is a "Digitalized Logistics" platform, taking pride in it in his description, despite having a system that fails to meet the requirements of European regulations regarding customer information.

The Reality of the Platform against the EUROPEAN DIRECTIVES 

As the European Directive 2011/83/EU on consumer rights and Directive 2005/29/EC on unfair commercial practices impose an active pre-contractual duty of information on professional operators. It is not for the individual consumer to be aware of the regulatory framework governing international freight transport: it is for the professional operator to verify, REFUSE, and WARM. The asymmetry of knowledge cannot be converted into a mechanism for exemption on the part of the party holding all relevant information who chooses not to act upon it.

Figure 4: Eurosender Platorm. Not WARM, not REFUSE

The contractual clause in order to exclude liability in these circumstances would, moreover, be subject to the unfairness control provided for under Directive 93/13/EEC, insofar as it seeks to exempt the professional from the consequences of its own operational failure to the detriment of a consumer who acted in good faith and with full transparency regarding the contents of the shipment. 

However, in their system, the information provided to the user when the customer—after having explicitly stated it over the phone—marks it on the platform as "WINE" is ZERO. It doesn't trigger any alerts or anything.

Figure 5: Proforma Invoice.

Dear Jan Štefe, in the world of Artificial Intelligence, this is as simple as writing a prompt that says: 

“Check if what the customer wants to ship is an item we cannot ship, and if so, show them an alert and all relevant information about it.”

But no, Eurosender's fantastic system—which is supposedly a leading company in Digitalized Logistics—not only fails to provide an alert, but it also sends the invoice to the customer for payment.

Figure 6: Payment invoice with reference code linked to the proforma invoice.

And not just the proforma invoice. The official invoice, which will be part of the case we are presenting to the European Commission, carries the reference code of the proforma invoice—created by their IT system to digitalize their logistics—and dispatches their carrier to pick it up, leaving the customer in a real mess and a completely defenseless position.

Customer Support: A Complete Joke

To give you an idea of how this company's customer support works, in one of our multiple claims, the response we received was a "laughing" reaction, because their IT support system allows agents to leave reactions that are visible to the customer.

Figure 7: KONSTANTINOS DIMITRAKAKIS laughing in the support system

It is rather amateurish for a customer-facing support system to transmit reactions this way. Mind you, that is exactly how Konstantinos Dimitrikakis kept reacting throughout the entire process.

Figure 8:  KONSTANTINOS DIMITRAKAKIS  removed tag on the post too.

In fact, this company's culture is like this from top to bottom, because when I brought the case to the attention of Jan Štefe, CEO of Eurosender, his response was to untag himself from the post and ignore it—something I called him out for on LinkedIn.

Figure 9: The CEO untag himself from the complaint.

Not the most brave behavior nor customer centric.

Next Steps

Anyway, in the age of AI, boasting about having a company with a digitalized logistics platform is bold, to say the least. And, of course, user management and support are exactly what you saw in the article I shared with you. I have already filed a formal complaint with the Consumer Protection Organization in Portugal. We will see this case through to the end.

Figure 10: Complaint in DECO Portugal

This isn't for the €200, which isn't the important part here, but because of the helplessness and the mistreatment my colleagues and I have experienced from this company since minute one.

So, I promise I will keep you posted on how it evolves. We'll see if I can get their "digitalized logistics platform" to display the appropriate warnings to save future customers from trouble. I already achieved it with Apple's iPhone, so why not fight this too and force Eurosender to stop being such an un-digital, non-customer-centric platform in the age of Artificial Intelligence?

Best Regards,

Autor: Chema Alonso (Contactar con Chema Alonso)