Enfoques para implantar la criptografía poscuántica

Con el concurso de criptografía post cuántica (PQC) del NIST entrando en su última fase y las noticias sobre la construcción por IBM de un ordenador cuántico de 1.000 qubits para 2023, el debate sobre cómo desplegar algoritmos resistentes a la cuántica ha cobrado protagonismo.

Durante la Cumbre Virtual sobre Confianza Crítica 2020 Keyfactor , Russ Housley, Fundador y Propietario de Virgil Security, y Massimiliano Pala, Arquitecto Principal de Servicios de Seguridad, I+D en CableLabs, debatieron sobre las estrategias que deben utilizar las organizaciones para prepararse para la era cuántica. Consulte la sesión aquí.

Según Housley, el objetivo es desplegar algoritmos poscuánticos antes de que exista un ordenador cuántico a gran escala capaz de romper los algoritmos de clave pública de uso generalizado en la actualidad. La hipótesis de trabajo es que mientras la gente adquiere confianza en los algoritmos PQC y sus implementaciones, los protocolos de seguridad utilizarán una mezcla de algoritmos tradicionales y PQC.

Las organizaciones también tienen que reconocer que actualizar los esquemas PKI existentes llevará mucho tiempo. Además, es necesario actualizar los protocolos de seguridad existentes, lo que también llevará mucho tiempo.

La migración de los algoritmos de cifrado de clave pública existentes a los algoritmos PQC podría adoptar dos enfoques posibles:

• Dos certificados: Uso de dos certificados, cada uno con una clave pública y una firma. En este caso, el primer certificado utiliza un algoritmo tradicional, mientras que el segundo utiliza algoritmos PQC para la clave pública y la firma.
• Un certificado: Uso de un certificado, que contiene una secuencia de claves públicas tradicionales y PQC y una secuencia de firmas tradicionales y PQC.

En ambos casos, los protocolos de seguridad deben mezclar algoritmos tradicionales y PQC para la confidencialidad y la autenticación basada en ambos.

• IPSec y TLS utilizarían una función de derivación de claves (KDF) para calcular el secreto compartido a partir de dos entradas [SS = KDF(SST, SSPQC)].
• S/MIME podría hacer lo mismo o utilizar doble encapsulación para la confidencialidad junto con firmas paralelas para la autenticación.

Cada enfoque presenta ciertas ventajas e inconvenientes.

En caso de utilizar un solo certificado, los protocolos de seguridad no necesitarán nuevos campos, ya que las claves públicas adicionales se encuentran en un solo certificado. Sin embargo, será necesario actualizar los protocolos de seguridad para que sean compatibles con los algoritmos PQC. Además, no sería necesario modificar la arquitectura del certificado.

Sin embargo, la validación de la ruta del certificado necesita procesos adicionales y complejidad para manejar nuevos casos de esquina, como qué ocurre si falla una firma tradicional, pero la de PQC es buena o viceversa. ¿Es válido el certificado o no?

Otra desventaja es que el certificado se hace enorme y conlleva las conocidas trampas de los certificados "jumbo", que en los años 90 llevaban una clave pública de acuerdo de claves y una clave pública de firma para el mismo usuario. Por eso, hoy en día el DoD estadounidense utiliza tres certificados distintos por usuario: uno para el inicio de sesión con tarjeta inteligente, otro para la gestión de claves de cifrado y otro para la firma.

En el caso del enfoque de dos certificados, los protocolos de seguridad requerirían nuevos campos para los certificados adicionales. A pesar de ello, no sería necesario modificar la arquitectura de los certificados y la validación de la ruta del certificado seguiría funcionando como hasta ahora.

Además, evitaremos las trampas conocidas del certificado "jumbo", ya que los dos certificados son ligeramente más grandes que uno, sólo porque el asunto, el emisor y otros metadatos se repiten en ambos. Por último, cuando finalice el periodo de transición y todos los dispositivos admitan los algoritmos PQC, simplemente dejaremos de utilizar los certificados con los algoritmos tradicionales.

Basándose en su análisis, Russ Housley recomendó que siguiéramos el enfoque de los dos certificados. Su consejo, sin embargo, es que comencemos ya los preparativos necesarios sobre los protocolos de seguridad para mezclar los dos certificados y empecemos a planificar el día en que sólo se utilicen algoritmos PQC.

CableLabs ha desarrollado la norma internacional de telecomunicaciones DOCSIS (Data Over Cable Service Interface Specification), que permite añadir transferencia de datos de gran ancho de banda a un sistema existente de televisión por cable (CATV). Muchos operadores de televisión por cable la utilizan para proporcionar acceso a Internet (véase Internet por cable) a través de su infraestructura de fibra híbrida coaxial (HFC).

Massimiliano Pala explicó brevemente cómo DOCSIS aplica la autenticación y la autorización, y señaló que el sector de la banda ancha ha aprovechado la PKI para ofrecer una autenticación segura y permitir que Baseline Privacy Interface Plus (BPI+) cifre el tráfico de los clientes. El protocolo DOCSIS aprovecha dos PKI diferentes que utilizan los algoritmos RSA para las claves públicas.

Al introducirse la noción de redes de confianza cero para abordar la necesidad de autenticación y autorización efectivas de nuevas entidades en las redes, la próxima generación de arquitecturas se apoyará en la fiabilidad de la PKI. En DOCSIS, la nueva versión de BPI+ permite la autenticación mutua entre dispositivos y redes.

La criptografía clásica se basa en problemas difíciles de revertir. Por ejemplo, la seguridad del algoritmo RSA supone que factorizar números grandes es un problema difícil, mientras que calcular firmas y validarlas es una operación relativamente rápida.

La computación cuántica ha sido el centro de atención en cuanto a inversiones (Google e IBM) y resultados (menor complejidad de los ordenadores cuánticos, miles de millones de qubits, puertas lógicas cuánticas, etc.). Los ordenadores cuánticos pueden ser extremadamente eficaces en la búsqueda de patrones.

Utilizando el algoritmo de Shor, un ordenador cuántico necesita N/2 pasos para factorizar claves en lugar de los 2N/2 necesarios hoy en día, donde N es el número de bits de la clave.

Sin embargo, los ordenadores cuánticos no son tan eficientes cuando no hay una estructura que sondear. Romper algoritmos de cifrado y hashing se acelera cuatro veces "solo" mediante el algoritmo de Grover y, por tanto, una seguridad de 256 bits aborda este caso de uso.

En DOCSIS, tanto la PKI heredada como la nueva utilizan el algoritmo RSA, que es una de esas clases de problemas que pueden resolverse fácilmente con ordenadores cuánticos. Como resultado, todas las identidades protegidas a través de la PKI no serán seguras y podrán ser suplantadas. Especialmente engorrosa es la factorización de los niveles superiores de la jerarquía de la PKI, es decir, las CA raíz e intermedias.

En cuanto al cifrado, los dispositivos DOCSIS admiten actualmente un cifrado de 128 bits. Esto también es un problema porque, bajo el paradigma de la amenaza cuántica, la seguridad de 128 bits se reduce efectivamente a solo 64 bits, que pueden romperse eficientemente.

La infraestructura heredada sigue utilizando algoritmos hash que no proporcionan seguridad de 256 bits. Esos algoritmos no serán seguros, aunque esto supone un problema menor porque la infraestructura DOCSIS 3.0 caducará en menos de 20 años.

Para hacer frente a la amenaza cuántica, dijo Massimiliano Pala, debemos estudiar cómo podemos aumentar la PKI para que admita algoritmos seguros desde el punto de vista cuántico, sin establecer infraestructuras separadas ni proporcionar soporte de certificados múltiples en los protocolos. Para preservar la seguridad del ecosistema, hay que proteger contra la amenaza cuántica no sólo los certificados, sino todas las estructuras de datos de la PKI.

Junto con el soporte multi-algoritmo, necesitamos investigar qué algoritmos pueden utilizarse para la validación post-cuántica en dispositivos en los que las actualizaciones podrían no ser posibles y/o el soporte para algoritmos de seguridad cuántica no puede desplegarse para operaciones de clave privada.

Por lo tanto, se necesitan múltiples patrones de validación:

• Dispositivos poscuánticos que pueden producir y validar autenticaciones cuánticas seguras mediante algoritmos poscuánticos. Los algoritmos clásicos se utilizarán para la validación de dispositivos clásicos.
• Los dispositivos clásicos seguirán utilizando el mismo algoritmo (RSA) y deberán emplear claves simétricas precompartidas (PSK) para proteger las firmas y las cadenas de certificados.
• Los dispositivos clásicos compatibles con la validación Post-Quantum Algorithm (PQA) pueden validar directamente la nueva cadena de certificados utilizando tanto el clásico como el PQA, pero sólo pueden producir autenticación clásica.

Aunque es difícil predecir el momento en que un ordenador cuántico supondrá realmente una amenaza para los algoritmos criptográficos existentes, las organizaciones deben empezar a planificar con antelación.

Descargue nuestro libro electrónico sobre Crypto-Agile PKI para obtener más información sobre cómo puede empezar a planificar hoy mismo.