Por qué necesitas ya una hoja de ruta para la migración a PQC
La última vez que el sector se enfrentó a una migración criptográfica a gran escala para sustituir el sistema RSA por la criptografía de curva elíptica (ECC), la transición se prolongó durante más de una década. Muchas organizaciones nunca la completaron.
La migración a la criptografía poscuántica será un orden de magnitud más difícil. Los algoritmos de criptografía poscuántica (PQC) conllevan claves de mayor tamaño, nuevos requisitos de seguridad, múltiples familias de algoritmos y, potencialmente, varias fases de migración, incluidos periodos intermedios en los que se ejecuten en paralelo algoritmos híbridos, tanto clásicos como poscuánticos. A diferencia de la transición a la ECC, es posible que esta migración deba llevarse a cabo en plazos muy ajustados, impulsada por la creciente amenaza de adversarios con capacidad cuántica y por plazos normativos como los de la CNSA 2.0.
Sin una hoja de ruta estructurada, las organizaciones corren el riesgo de verse obligadas a actuar de forma reactiva y precipitada cuando las amenazas cuánticas se materialicen. Con una hoja de ruta, la transición se convierte en un proceso controlado y por fases que protege los datos críticos en cada etapa.
Esta guía te explica, en seis pasos, cómo elaborar una hoja de ruta para la migración a la PQC que permita a tu organización pasar de la evaluación a la acción.
Paso 1: Identifica y haz un inventario de tus activos criptográficos
No se puede migrar lo que no se ve. El primer paso consiste en elaborar un inventario exhaustivo de todos los activos criptográficos de la empresa.
Qué descubrir
Tu inventario debería incluir:
- Certificados y claves: todos los certificados X.509, TLS , claves de firma de código y claves SSH que se estén utilizando
- Algoritmos y protocolos: los algoritmos criptográficos en los que se basa cada sistema (RSA, ECDSA, AES, etc.) y los protocolos que los utilizan (TLS, IPsec, S/MIME)
- Bibliotecas criptográficas: las software que implementan la criptografía en tus aplicaciones
- Los módulosHardware (HSM) son dispositivos que almacenan y gestionan claves, y que pueden necesitar hardware de firmware o hardware para ser compatibles con la PQC.
- Terminales de red, cargas de trabajo en la nube y procesos de CI/CD en cualquier lugar donde se emitan, renueven o validen certificados
- IoT los dispositivos remotos, los sistemas embebidos y hardware instalado sobre el terreno hardware ciclos de vida prolongados y capacidades de actualización limitadas
Por qué fracasan los métodos manuales
Incluso detectar todos los elementos criptográficos de una gran organización es una tarea difícil. Los certificados se emiten y revocan constantemente, las cargas de trabajo en la nube se activan y desactivan, y los equipos de desarrollo incorporan dependencias criptográficas sin un seguimiento centralizado. Las auditorías manuales resultan inviables a escala empresarial.
Las herramientas de detección automatizada son esenciales. Proporcionan un mapa de referencia del uso de la criptografía que sirve de base para cada paso posterior de la hoja de ruta y permiten una supervisión continua, de modo que tu inventario se mantenga actualizado a medida que cambia tu entorno.
Conclusión clave:
Si no sabes dónde se encuentra tu criptografía, no podrás evaluar tu riesgo cuántico, priorizar tu migración ni medir tu progreso. Empieza por aquí.
Paso 2: Clasificar y priorizar en función del riesgo
No todos los sistemas se enfrentan al mismo riesgo cuántico. Una vez que tengas una visión clara de la situación, clasifica tus activos criptográficos en función de cuatro factores:
Marco de clasificación de riesgos
Sensibilidad de los datos
¿Cuál es el requisito de confidencialidad? Los historiales médicos, los secretos comerciales, la información de inteligencia gubernamental y los datos financieros exigen la máxima protección.
Plazo de confidencialidad
¿Durante cuánto tiempo deben mantenerse confidenciales estos datos? Los datos que requieren protección durante una década o más son los que se enfrentan al riesgo cuántico más urgente.
Duración de vida útil del sistema
¿Cuánto tiempo permanecerá en servicio este sistema? Las unidades de control electrónico (ECU) de los vehículos, los satélites y los implantes médicos no se pueden actualizar fácilmente una vez instalados.
Dificultad de sustitución
¿Se puede actualizar este sistema con un software o requiere costosas hardware ? Los sistemas que requieren cambios deben planificarse con antelación.
HNDL: El principal factor que impulsa dar prioridad al cifrado
El riesgo cuántico más acuciante no es un ataque futuro, sino que está ocurriendo ahora mismo. En un ataquedel tipo «Harvest Now, Decrypt Later»(HNDL), los atacantes interceptan y almacenan datos cifrados hoy, con la intención de descifrarlos una vez que esté disponible un ordenador cuántico criptográficamente relevante (CRQC).
Cualquier dato que requiera confidencialidad a largo plazo es vulnerable al HNDL en este momento. Esto convierte a los protocolos de establecimiento de claves en el objetivo de migración de máxima prioridad: si el intercambio de claves se ve comprometido, la clave de cifrado y todos los datos que protege quedan expuestos.
Los algoritmos de firma digital presentan un perfil de riesgo diferente. Una firma solo puede falsificarse una vez que existe un CRQC, no de forma retroactiva. Esto significa que la migración de las firmas es urgente para los sistemas con hardware prolongados (en los que las fases de diseño e implementación pueden extenderse más allá del plazo del CRQC), pero es menos urgente que la migración del cifrado en los casos de datos en reposo.
Plazos reglamentarios
Todos los sistemas sujetos a requisitos de cumplimiento deben ajustarse a los plazos reglamentarios. La norma CNSA 2.0 de la NSA exige una migración escalonada a los algoritmos de PQC en función de cada caso de uso, con plazos iniciales. Las organizaciones de los sectores regulados deben ajustar sus prioridades a estos plazos externos.
Conclusión clave:
Prioriza la migración del cifrado para los datos confidenciales de larga duración (riesgo HNDL) y, a continuación, aborda la migración de la firma para hardware con un ciclo de vida prolongado. Compara todo ello con los plazos reglamentarios.
Paso 3: Elige tu estrategia de migración
No existe una única vía de migración correcta. La mejor estrategia depende de tu perfil de riesgo, de los requisitos de cumplimiento normativo y de las limitaciones técnicas. La mayoría de las organizaciones utilizarán una combinación de enfoques en diferentes sistemas.
Migración por etapas: la confidencialidad es lo primero
El enfoque por fases migra primero los protocolos clave de establecimiento a la PQC, abordando así el riesgo de HNDL, y, en una segunda fase, migra las firmas digitales.
La lógica subyacente:
La migración del establecimiento de claves es menos disruptiva que la migración de las firmas. Las firmas PQC son considerablemente más grandes que sus homólogas clásicas, y las cadenas de certificados requieren múltiples firmas, lo que significa que la migración de las firmas puede exigir cambios arquitectónicos más importantes. Al proteger primero el establecimiento de claves, se garantiza la confidencialidad con un esfuerzo relativamente menor, al tiempo que se posponen los cambios más complejos en la PKI.
Ya se están estandarizando ciertos protocolos teniendo en cuenta esta migración en dos fases, lo que garantiza la seguridad poscuántica de las propiedades de confidencialidad, al tiempo que se mantiene la seguridad basada exclusivamente en ordenadores clásicos para la autenticación durante el periodo de transición.
Ideal para:
Organizaciones con una exposición significativa a HNDL que necesitan proteger la confidencialidad de forma rápida sin alterar su infraestructura completa de PKI.
Criptografía híbrida: por si acaso
Los algoritmos híbridos combinan un algoritmo clásico y un algoritmo de PQC, de modo que el sistema sigue siendo seguro siempre que al menos uno de los algoritmos no haya sido descifrado.
La lógica subyacente:
Los algoritmos de PQC son más recientes y sus riesgos de seguridad aún no se comprenden del todo. El algoritmo SIKE, que llegó a la ronda final del proceso de normalización del NIST antes de que un ataque informático clásico lo descifrara por completo, demuestra que incluso los algoritmos que han pasado por un proceso de evaluación pueden fallar. La criptografía híbrida ofrece una protección frente a esta incertidumbre.
Ventajas e inconvenientes:
Los enfoques híbridos añaden complejidad, generan artefactos criptográficos de mayor tamaño, reducen el rendimiento, requieren más código y pruebas, y suponen un paso adicional en la migración hacia la transición final del sistema híbrido al sistema PQC puro. El enfoque híbrido es una medida de transición, no un objetivo final.
Los mecanismos híbridos de encapsulación de claves (KEM) son menos costosos que las firmas híbridas, ya que los KEM son efímeros y no requieren una infraestructura de identidad a largo plazo. Las firmas híbridas, por el contrario, implican el uso de claves persistentes, certificados y toda la infraestructura de confianza, incluida una doble migración de la PKI.
Ideal para:
Organizaciones reacias al riesgo o aquellas que operan en entornos en los que las consecuencias de un fallo en un algoritmo de PQC serían graves.
CNSA 1.0 y CNSA 2.0: Siguiendo la línea del Gobierno
Para las organizaciones que cumplen los requisitos del Gobierno de EE. UU., el enfoque de dos paquetes de la NSA ofrece una ruta de migración bien definida:
CNSA 1.0utiliza algoritmos tradicionales con parámetros más amplios que resistirán los ataques cuánticos durante más tiempo que las configuraciones estándar. Esto permite ganar tiempo, pero no se trata, en ningún caso, de una estrategia a largo plazo. Es posible que solo retrase el problema un par de años.
CNSA 2.0especifica los algoritmos de PQC normalizados por el NIST, destinados a un uso a largo plazo. La migración a CNSA 2.0 se llevará a cabo de forma escalonada, y la NSA establecerá los plazos específicos para cada caso de uso.
Ideal para:
Contratistas del Gobierno, organizaciones de defensa y cualquier entidad que deba cumplir con las directrices criptográficas de la NSA. Las organizaciones que requieran un alto nivel de seguridad pueden considerar esta opción como una buena práctica.
Agilidad criptográfica
La agilidad criptográfica esla capacidad de una organización para gestionar de forma sistemática algoritmos, protocolos, claves o cualquier activo criptográfico sin provocar interrupciones operativas. Independientemente de la estrategia que elijas, la agilidad criptográfica es el factor común que lo hace posible. Una arquitectura cripto-ágil te permite cambiar de estrategia o combinar distintos enfoques sin tener que rediseñar tus sistemas desde cero.
Paso 4: Prepara tu infraestructura PKI
La PKI es la columna vertebral de la identidad digital y la confianza, y suele ser el aspecto más complejo y que más tiempo requiere de cualquier migración a la PQC. La migración de la PKI no consiste simplemente en reemitir certificados. Requiere actualizar las autoridades de certificación, las rutas de validación y todos los sistemas que dependen de la cadena de certificados.
Por qué la PKI es un factor limitante
Cada certificado digital, cada conexión autenticada y cada elemento firmado de tu organización pasa por la PKI. Mientras tu infraestructura PKI no sea compatible con los algoritmos de PQC, la adopción generalizada de la PQC seguirá siendo imposible, independientemente del grado de preparación de tus aplicaciones o protocolos.
El reto del tamaño de la firma PQC
Los algoritmos de firma PQC normalizados hasta ahora por el NIST generan firmas considerablemente más grandes que sus homólogos clásicos. Las cadenas de certificados suelen requerir varios certificados y, por lo tanto, varias firmas, lo que significa que el aumento de tamaño se acumula a lo largo de la cadena. Esto puede romper los supuestos en los que se basan los protocolos, los búferes de red y los sistemas de almacenamiento existentes.
Las firmas de mayor tamaño también tienen repercusiones en el rendimiento posterior: un mayor consumo de ancho de banda, más idas y vueltas en los protocolos de establecimiento de conexión y posibles vulnerabilidades de denegación de servicio, en las que los mensajes de tamaño excesivo reducen el rendimiento del HSM.
Preparación para la transición
Prueba primero los certificados PQC y los híbridos en entornos que no sean de producción.
Comprueba que tus autoridades de certificación puedan emitir certificados PQC y que tus rutas de validación gestionen correctamente los artefactos de mayor tamaño.
Plan de coexistencia.
Durante el periodo de transición, tu infraestructura deberá ser compatible simultáneamente con certificados clásicos y de PQC. Los sistemas que validan certificados deben gestionar ambos tipos sin que se produzcan fallos.
Actualiza los puntos de confianza de forma sistemática.
Los certificados raíz y las autoridades de certificación intermedias deben migrarse siguiendo un calendario coordinado, actualizando los certificados finales sin modificar la cadena de confianza superior.
Coordinarse con los socios y proveedores.
Cualquier sistema que intercambie certificados con terceros requiere una coordinación en cuanto a los plazos de compatibilidad con los certificados PQC.
Conclusión clave:
La preparación para la PKI es un requisito previo para una migración más amplia a la PQC. Será fundamental empezar a preparar la infraestructura de certificados con antelación.
Paso 5: Probar, validar e implementar por fases
Nunca pases directamente a la fase de producción. Los algoritmos PQC tienen características de rendimiento fundamentalmente diferentes a las de los algoritmos clásicos, y es posible que los supuestos que se han mantenido durante décadas no se mantengan tras la transición.
Qué hay que comprobar
Ancho de banda y latencia:
Los artefactos de PQC son mucho más grandes, lo que se traduce en un mayor consumo de ancho de banda y un mayor número de idas y vueltas en los protocolos de establecimiento de conexión. Evalúa el impacto en las condiciones específicas de tu red y en los requisitos de tu aplicación.
Rendimiento del HSM:
Los algoritmos de firma de PQC suelen procesar el mensaje completo de forma interna, lo que puede reducir el rendimiento en el caso de mensajes de gran tamaño, especialmente en los HSM. El pre-hash puede mitigar este problema, pero aumenta la complejidad de la implementación.
Interoperabilidad:
Comprueba la PQC y las configuraciones híbridas con todos los socios, proveedores y sistemas dependientes que intercambien elementos criptográficos con tu infraestructura. La variedad de combinaciones híbridas puede plantear retos de interoperabilidad.
Validación de la cadena de certificados:
Comprueba que la cadena completa, desde la CA raíz hasta el certificado final, funcione correctamente con firmas PQC en todas las aplicaciones que la utilicen.
Implantación por fases con posibilidad de revertir los cambios
Planifica tu implementación por fases, con capacidades explícitas de reversión en cada etapa. Cuando se modifican los componentes fundamentales de la infraestructura de seguridad, la capacidad de revertir los cambios no es opcional, sino esencial.
Una arquitectura cripto-ágil facilita considerablemente tanto la implementación como la reversión. Gracias a la cripto-agilidad, los algoritmos pueden sustituirse mediante cambios en las políticas, en lugar de cambios en el código, lo que reduce el riesgo y el esfuerzo de cada fase de implementación.
Lista de comprobación para la validación
Pruebas en un entorno aislado
Valida todos los algoritmos de PQC y las configuraciones híbridas en un entorno de pruebas específico antes de cualquier exposición en producción.
Comparación de referencia del rendimiento
Compara el rendimiento de PQC con tu implementación clásica actual en todas las métricas clave (latencia, rendimiento y utilización de recursos).
Verificación de la preparación de los socios
Comprueba que los sistemas externos que utilizan tus certificados o datos cifrados puedan gestionar los artefactos PQC.
Pruebas del procedimiento de reversión
Comprueba que puedes volver a los algoritmos clásicos sin problemas si surgen incidencias durante la implementación.
Supervisión y alertas
Establecer una supervisión continua para detectar la disminución del rendimiento, los errores en la validación de certificados y los problemas de interoperabilidad tras la implementación.
Conclusión clave:
Realiza pruebas exhaustivas, implementa de forma incremental y mantén siempre la posibilidad de revertir los cambios. La agilidad en el ámbito de la criptografía reduce la carga que suponen las pruebas, pero no la elimina.
Paso 6: Planificar la evolución continua de los algoritmos
La migración a la PQC no termina con la implementación de los primeros algoritmos resistentes a la computación cuántica. El panorama criptográfico seguirá evolucionando, y tu hoja de ruta debe tener en cuenta estos cambios continuos.
El panorama normativo sigue cambiando
Hasta la fecha, el NIST ha normalizado cinco algoritmos de PQC; hay otros algoritmos en fase de desarrollo, en particular algoritmos de firma optimizados para distintos casos de uso. Cada nuevo algoritmo ofrecerá diferentes compensaciones en cuanto al tamaño de las claves, el tamaño de las firmas, la eficiencia y las propiedades de seguridad.
Además del NIST, otros organismos de normalización están llevando a cabo sus propios procesos. El BSI alemán ha recomendado su propio conjunto de algoritmos de PQC, entre los que se incluyen algunos que no han sido seleccionados por el NIST. Corea, China y Rusia están llevando a cabo proyectos de normalización independientes con el objetivo de estandarizar algoritmos para su uso dentro de sus respectivas jurisdicciones. Es posible que las organizaciones que operan a nivel mundial tengan que admitir varias familias de algoritmos al mismo tiempo.
No existe un algoritmo válido para todos los casos
El «mejor» algoritmo de PQC para un caso de uso concreto depende en gran medida del hardware del contexto operativo. En dispositivos con recursos limitados —como IoT , controladores integrados o tarjetas inteligentes—, el equilibrio entre el tamaño de la clave, el tamaño de la firma y la eficiencia computacional puede afectar drásticamente al rendimiento y a la viabilidad. El algoritmo óptimo para un TLS en la nube no es el mismo que el algoritmo óptimo para un enlace de comunicaciones por satélite.
Esto significa que la selección de algoritmos no es una decisión que se tome una sola vez. A medida que se normalicen nuevos algoritmos y se comprenda mejor el funcionamiento de los ya existentes, las organizaciones tendrán que actualizar sus elecciones.
La agilidad en el ámbito de las criptomonedas como capacidad permanente
La mejor forma de prepararse para la evolución constante de los algoritmos es desarrollarla agilidad criptográficacomo una capacidad operativa permanente, y no solo como una herramienta para la migración inicial a la PQC. Con una arquitectura criptográficamente ágil y una plataforma de gestión basada en políticas, los artefactos criptográficos pueden sustituirse de acuerdo con las políticas actualizadas sin necesidad de rediseñar los sistemas ni reescribir el código.
Tal y como señala el NIST, «la agilidad criptográfica es una práctica clave que debería adoptarse a todos los niveles, desde los algoritmos hasta las arquitecturas empresariales».
Conclusión clave:
Diseña tus sistemas de manera que se adapten a los futuros cambios en los algoritmos. La migración a la PQC no es un proyecto puntual, sino el inicio de una disciplina de gestión criptográfica continua.
Cómo Keyfactor ayudarte Keyfactor
Cada paso de la hoja de ruta de migración de PQC se corresponde directamente con las funcionalidades de la plataforma Keyfactor:
Detección e inventario (Paso 1):
Keyfactor Agilesec ofrece una función de detección automatizada que crea un inventario completo de activos criptográficos en aplicaciones, dispositivos, cargas de trabajo en la nube e infraestructura, lo que te proporciona la base de visibilidad de la que depende toda la hoja de ruta.
Preparación para PKI (Paso 4):
EJBCA ofrece compatibilidad integrada con certificados híbridos y resistentes a la computación cuántica, lo que permite a sus autoridades de certificación emitir certificados PQC desde ya. SignServer permite la firma de código con algoritmos PQC del NIST, ampliando la firma resistente a la computación cuántica a su cadena software .
Implementación por fases (Paso 5):
Keyfactor Command automatiza la gestión del ciclo de vida de los certificados —renovación, provisión y revocación a gran escala—, lo que permite a las organizaciones cambiar de algoritmos criptográficos sin interrupciones y revertir el cambio si es necesario.
Evolución en curso (Paso 6):
Bouncy Castle Las API en Java y C# permiten a los equipos de producto integrar algoritmos de PQC en sus aplicaciones desde ya, con la flexibilidad de adoptar nuevos algoritmos a medida que se vayan estandarizando. La gestión basada en políticas permite adaptarse a futuros cambios en los algoritmos sin necesidad de rediseñar la arquitectura.
Lo esencial
Las organizaciones que empiecen hoy mismo a elaborar su hoja de ruta para la migración a la criptografía resistente a la computación cuántica (PQC) podrán realizar la transición a su propio ritmo. Las que esperen se enfrentarán a plazos más ajustados, opciones limitadas y un riesgo mayor.
Los seis pasos de esta guía no constituyen una lista de comprobación que se pueda seguir una sola vez. Son la base de una disciplina de gestión criptográfica continua: empezar por la visibilidad, establecer prioridades en función del riesgo, elegir la estrategia de migración adecuada para cada sistema, preparar la infraestructura PKI, realizar pruebas e implementar por fases, y desarrollar las capacidades operativas necesarias para adaptarse a medida que evoluciona el panorama.
En criptografía, «más adelante» suele significar «demasiado tarde». La hoja de ruta empieza ahora mismo.
