El Instituto Nacional de Estándares y Tecnología (NIST) ha anunciado las selecciones finales de la Ronda 3 de su concurso post-cuántico. Como toda buena película de suspense, el capítulo de la Ronda 3 ha terminado con un pequeño giro.
A modo de actualización, en diciembre de 2016, el NIST anunció un concurso para seleccionar nuevos algoritmos de cifrado de clave pública resistentes a la cuántica que acabarán sustituyendo a los algoritmos de criptografía de clave pública estándar (piense en RSA), ya que cada vez son más vulnerables a los avances tecnológicos. Si te interesa saber más sobre esto, mi colega Ted Shorter cubrió recientemente la historia de la competición y por qué es importante en su columna de Forbes.
Los algoritmos de la lista de normalización son CRYSTALS-KYBER, CRYSTALS-Dilithium, Falcon y SPHINCS+. El primero es un algoritmo de encriptación, o más exactamente un Mecanismo de Encapsulación de Claves (KEM), y los tres últimos son algoritmos de firma. Esto es un poco sorprendente, ya que la intención original era seleccionar dos algoritmos en cada categoría y sólo un algoritmo basado en celosía en cada clase. En lugar de eso, tenemos un KEM y tres firmas, ¡y dos de los algoritmos de firma están basados en celosía!
También se ha anunciado una cuarta ronda, con los siguientes algoritmos seleccionados: BIKE, Classic McEliece, HQC y SIKE. Todos ellos son también KEM. Aunque esto no quiere decir que la búsqueda de algoritmos de firma haya terminado, sí significa que se publicará una nueva convocatoria de algoritmos de firma a finales de este año. Y puede que veamos algunos de los candidatos anteriores de la Ronda 3 o candidatos alternativos reactivados para su presentación.
¿Dónde nos deja esto ahora? Si desea limitarse a los finalistas de la Ronda 3, la respuesta más sencilla es mirar el marco CRYSTALS. Si el uso de ancho de banda y la velocidad de verificación son importantes para usted, es posible que desee mirar a Falcon también. Por otro lado, si estás buscando un esquema de firma conservador que se base en una primitiva (relativamente) simple, SPHINCS+, aunque un poco más lento y un poco más grande es una buena opción también.
Si lo tuyo son los KEM, ten en cuenta la Ronda 4. Aunque CRYSTALS-KYBER se ha establecido como la primera opción, las características de algunos de los algoritmos de la Ronda 4 son bastante diferentes de CRYSTALS-KYBER. Por lo tanto, todavía hay espacio para hacer concesiones entre las necesidades de ancho de banda y la velocidad de las diferentes operaciones.
Si le interesa seguir leyendo, puede consultar el informe de situación de la 3ª Convocatoria aquí. Merece la pena leer el documento, especialmente la sección 4. Posiblemente el punto más importante es que parece que sólo Rainbow y GeMSS, tal y como se presentaron en la Ronda 3, fueron finalmente rechazados por motivos de seguridad. FrodoKEM, por ejemplo, fue calificado incluso de loable por su diseño conservador, pero no por su rendimiento. Es probable que en el futuro oigamos hablar más de algunos de los otros candidatos de la Ronda 3.
Por último, desde la Bouncy Castle perspectiva, ya tenemos disponible la última versión SPHINCS+, así como los candidatos de la Ronda 4 SIKE, y Classic McEliece. Esperamos publicar pronto las demás. Puedes encontrarlos en el repositorio GitHub de Bouncy Castleaquí con implementaciones tanto en Java como en C#. Bouncy Castle también ha asignado algunos identificadores no oficiales para hacer posible la generación de certificados y SPHINCS+ está ahora también en la última versión de Signserver Community con otros que le seguirán.
Tenga en cuenta que incluso los finalistas acordados pueden cambiar ligeramente antes de que el NIST publique las normas definitivas. Por lo tanto, no se trata de implementaciones que quieras poner en producción precipitadamente, sobre todo si se trata de algo a largo plazo, pero si quieres averiguar hasta qué punto son realmente criptoágiles tus sistemas, merece la pena probar los nuevos algoritmos y ahora existen las herramientas para hacerlo posible.
