En resumen: El paso a la criptografía poscuántica puede resultar abrumador, pero no es el único. Esto es lo que está en juego para las empresas, incluida la suya - y un sencillo plan de 4 pasos para ayudarle a iniciar la transición con confianza.
La estrategia de migración hacia la criptografía resistente al quantum encabezada por el Instituto Nacional de Normas y Tecnología (NIST) señala 2030 como fecha límite para eliminar progresivamente el cifrado RSA/ECC en favor de la criptografía poscuánticao PQC.
Quizá piense que 2030 no está tan lejos, ¡y tiene toda la razón! Los avances en computación cuántica pueden dejar obsoleta la PKI tradicional y dar paso a la era del PQC antes de lo que pensamos.
Por ejemplo, blockchain, uno de los favoritos en el mundo de la criptografía. Depende por completo de la criptografía asimétrica para verificar las transacciones y mantener la fiabilidad de su libro de contabilidad. Las firmas digitales actuales son seguras hasta que aparece un ordenador cuántico. Entonces, se vuelven tan débiles como una simple contraseña "qwerty". Sin algoritmos de seguridad cuántica, estas firmas podrían falsificarse fácilmente, y la confianza en blockchain se vendría abajo.
Por eso, los expertos de Keyfactorafirman que es el momento de invertir en criptoagilidad es ahora. Las organizaciones que empiecen a prepararse hoy estarán listas para adoptar rápidamente nuevos estándares criptográficos a medida que evolucione la tecnología.
Transición PQC: Un enfoque paso a paso
La transición a algoritmos de seguridad cuántica permitirá a las organizaciones mantener el alto nivel de seguridad necesario para que sus activos y datos estén más seguros que antes. Aunque puede tratarse de una empresa monumental, si se aborda en pasos graduales es factible para cualquier empresa.
El siguiente marco de 4 pasos le ayudará a estar preparado para la cuántica para 2030 y más allá.
Paso 1: Observar y hacer inventario de la PKI
Hacer balance de la PKI de su organización es el primer paso para que las empresas se preparen para la transición a la criptografía post-cuántica. Sin el conocimiento de cada sistema, es imposible evaluar completamente y priorizar las actualizaciones necesarias para resistir los ciberataques de potencia cuántica. Es fundamental identificar todos los certificados, bibliotecas criptográficas y dependencias de cifrado en todos los sistemas. Esto puede ser una tarea enorme dada la complejidad típica de la PKI para organizaciones.
No obstante, debe prestarse especial atención a los dispositivos de Internet de las Cosas (IoT), las aplicaciones utilizadas en la nube y en entornos locales, y la Autoridad de Certificación (CA) raíz empleada por la empresa. Estas tres áreas son las que aportan más dependencias entre sistemas y pueden abrir vulnerabilidades adicionales en la era cuántica.
En esta fase, las acciones pueden incluir
- Utilización de herramientas PKI automatizadas para asignar certificados y dependencias de cifrado: muy recomendable para sistemas complejos;
- Clasificar los certificados por su fecha de caducidad, nivel de riesgo y algoritmo utilizado;
- Documentar las dependencias de PKI en toda la infraestructura para obtener mayor visibilidad y prever posibles puntos débiles.
Paso 2: Evaluar y clasificar el riesgo de los activos
No todos los activos son iguales. Cada organización prioriza la seguridad de los datos de forma diferente, dependiendo de los datos que más necesite proteger. En el contexto de las estrategias de resistencia cuántica, es importante comprender el riesgo cuántico por activo. Esto no quiere decir que algunos datos merezcan menos protección que otros; todo lo que hace es proporcionar a una empresa la oportunidad de triangular su preparación cuántica, asegurando primero los activos más vitales y salvaguardando los datos secundarios con medios más tradicionales durante más tiempo.
Algunos de los datos más sensibles, como las transacciones financieras o la información de identificación personal, requieren en primer lugar una protección urgente de seguridad cuántica. Otros datos de propiedad que pueden ser menos sensibles pero necesarios para las funciones empresariales pueden considerarse de menor riesgo y permanecer protegidos por la PKI heredada durante un tiempo. Es importante tener en cuenta que los retrasos introducidos por la clasificación de los activos en función de su riesgo para la seguridad no implican descuidar por completo la protección de los datos menos prioritarios. Para 2035, fecha límite propuesta por el NIST para dejar obsoleto el cifrado RSA/ECC, todos los activos deberían estar protegidos por PQC sin excepciones.
Entre los posibles sistemas de datos sensibles de alta prioridad figuran:
- Sistemas de gestión de identidad digital;
- Sistemas financieros;
- Comunicaciones gubernamentales;
- Autenticación basada en la nube.
Ejemplos de sistemas propietarios de prioridad media:
- VPN para empresas;
- Certificados de autenticación web;
- Correo electrónico cifrado;
- Mensajería segura.
Datos de menor prioridad:
- Aplicaciones internas con necesidades de cifrado limitadas o de corta duración.
Las organizaciones pueden optar por priorizar sus sistemas en un orden diferente en función de su perfil de riesgo y sus necesidades.
Paso 3: PKI híbrida, una transición segura
Una vez que su organización tenga una imagen precisa y completa de su estado actual de PKI y la lista jerárquica de sistemas que debe abordar para su protección, el siguiente mejor paso que puede dar antes de 2030 es introducir una PKI híbrida poscuántica para iniciar la transición a la criptografía post-cuántica.
¿Qué es una PKI híbrida preparada para PQC?
Una PKI híbrida combina la criptografía tradicional con PQC para su adopción por fases, garantizando una protección completa en cada paso del camino para los dispositivos y sistemas que no pueden actualizarse simultáneamente.
Las mejores soluciones PKI híbridas siguen siendo compatibles con RSA/ECC y con los algoritmos PQC más avanzados, y funcionan a la perfección para emitir certificados compatibles tanto con dispositivos "heredados" como con los que admiten PQC. Esto las hace adecuadas para un enfoque de protección de activos de datos de mayor a menor prioridad.
Mejores prácticas de PKI híbrida
- Implemente certificados híbridos que admitan tanto RSA/ECC como PQC para garantizar la compatibilidad con sistemas aún no equipados para PQC.
- Confíe en las autoridades de certificación que ofrecen opciones de seguridad cuántica y elimine gradualmente las CA que no lo hacen.
- Pruebe TLS resistente al quantum para asegurar completamente los datos de las comunicaciones de red en tránsito.
Con una PKI híbrida totalmente implantada, probada y verificada, su empresa estará a la vanguardia de la preparación cuántica, muy por delante de muchas organizaciones que sólo están empezando a pensar en prepararse para la cuántica.
Paso 4: Hitos de la migración incremental
La transición a la criptografía post-cuántica no se producirá de la noche a la mañana. Incluso el camino hacia la implantación de una PKI híbrida puede presentar retos significativos a nivel organizativo, pero este es el esfuerzo que merece la pena realizar ahora.
Con la fecha límite de 2030 para proteger los activos de máxima prioridad con algoritmos PQC a sólo cinco años vista, la hoja de ruta hacia la preparación cuántica es, bueno, bastante corta. Más allá de 2030, las empresas deberían estar preparadas para amortizar todos los estándares de cifrado que no sean PQC, como RSA y ECC, para 2035.
Desglosada en etapas de 3 años, su hoja de ruta podría parecerse un poco a esto:
2025-2027: Realizar un inventario completo de la PKI, comenzar a probar la PKI híbrida y actualizar los activos de mayor riesgo al cifrado compatible con el PQC. En esta fase, si es factible, crear un equipo interdisciplinar de preparación para la PKI que supervise los esfuerzos de migración y se encargue de la gobernanza de la PKI garantiza que el proceso siga su curso y pueda adaptarse a la tecnología en desarrollo y al cambiante panorama de la ciberseguridad.
2028-2030: Sustituir todos los algoritmos de cifrado críticos dependientes de RSA/ECC por las alternativas de seguridad cuántica desarrolladas. Programar auditorías periódicas del uso criptográfico con la previsión de seguir ajustando los planes en función de las amenazas cuánticas emergentes.
2031-2035: Completar la migración de los activos restantes a PQC y trazar el camino para mantener la criptoagilidad en toda la empresa de cara a futuros avances.
Adelántese con la ayuda de expertos
Implantar con éxito el PQC para 2030 comienza con un enfoque inteligente y por fases , ¡y no tiene por qué hacerlo solo! Nuestro marco de cuatro pasos, desde la evaluación de su PKI actual hasta la implantación de soluciones híbridas, está diseñado para ayudarle a liderar el camino hacia la era poscuántica.
Inicie aquí su viaje hacia el PQC. Simplemente póngase en contacto con nuestros expertos - ¡somos líderes de la industria en todo lo relacionado con PKI! Keyfactor está aquí para hacer que su organización esté preparada para el quantum antes de que sea demasiado tarde.
