Nota del editor: Un agradecimiento especial a Tomas Gustavsson y David Hook, dos de los mayores expertos en criptografía aplicada y PKI, por la autoría de este blog. Los conocimientos y la profundidad técnica que aquí se comparten son el resultado directo de su profunda experiencia y estrecha colaboración.
A medida que evoluciona el panorama de la criptografía post-cuántica (PQC), una cosa está clara: el éxito no vendrá de trabajar de forma aislada. La interoperabilidad -entre algoritmos, bibliotecas, protocolos e infraestructuras del mundo real- es esencial para que la PQC sea utilizable, fiable y segura a escala.
En Keyfactor, hemos adoptado un enfoque práctico para PQC probando activamente y contribuyendo a través de nuestros productos - comenzando con EJBCA, SignServer, y Bouncy Castle - y la participación con el ecosistema más amplio, incluyendo OpenSSL, CryptLib, WolfSSL, proveedores de módulos de seguridad Hardware , y los organismos de estándares abiertos como el IETF, NIST y X9.
Nuestro objetivo es sencillo: demostrar que la criptografía poscuántica no es sólo una idea teórica: funciona. Hoy mismo.
No se trata sólo de nosotros. Se trata de colaborar, porque cuando probamos juntos, compartimos abiertamente los resultados e iteramos con la comunidad, todos nos beneficiamos.
Un laboratorio viviente para la interoperabilidad PQC
Mantenemos un recurso vivo que documenta las pruebas de interoperabilidad en el mundo real con algoritmos, protocolos y formatos PQC a través de múltiples herramientas y etapas del ciclo de vida. Queremos compartir configuraciones prácticas y observaciones que reflejen lo que realmente se necesita para que el PQC funcione en los despliegues modernos de PKI y firma.
He aquí un resumen de lo que hemos probado hasta ahora:
AutenticaciónTLS 1.3 + Intercambio de claves
- Caso práctico:TLS mutuo (mTLS) con certificados PQC
- Herramientas: EJBCA + OpenSSL 3.5 + Bouncy Castle
- Resultados: Éxito utilizando ML-DSA para la autenticación y ML-KEM para el intercambio de claves: un hito hacia las comunicaciones seguras cripto-ágiles.
Firma y validación de CMS
- Caso práctico: Firma de códigos, contenedores y documentos con PQC
- Herramientas: SignServer, Bouncy Castle, OpenSSL
- Resultado: Verificación entre bibliotecas de mensajes firmados por CMS con ML-DSA y SLH-DSA. También se ha validado el cifrado con ML-KEM.
Expedición de certificados
- Caso práctico: Emitir, renovar y revocar certificados habilitados para PQC
- Herramientas: EJBCA, Bouncy Castle, OpenSSL
- Resultados: Generación y procesamiento de CSR PQC; validación de certificados, CRL y respuestas OCSP en todas las bibliotecas.
Certificados híbridos
- Caso práctico: Migración gradual mediante certificados híbridos (por ejemplo, ECDSA + ML-DSA)
- Herramientas: EJBCA, Bouncy Castle y WolfSSL
- Resultado: TLS con certificados híbridos funciona actualmente. Se han realizado pruebas en X9.146. Se están realizando más pruebas para casos concretos como el almacenamiento de doble clave y la validación de firmas.
Módulos de seguridadHardware (HSM)
- Caso práctico: Gestión de claves PQC en hardware seguro
- Vendedores: Securosys, Fortanix, Crypto4A, Utimaco y CryptoNext
- Resultados: Éxito inicial con el soporte de LMS y ML-DSA, con trabajo en curso para validar los límites de tamaño de los objetos y los casos límite de integración.
La colaboración impulsa la innovación y las normas
Este trabajo es posible gracias a la colaboración activa entre mantenedores, implementadores y la comunidad de open-source en general. La participación en el IETF PQC Hackathon y contribuir a las pruebas en curso del ACVP nos permite detectar errores con antelación, alinearnos con los borradores en evolución y avanzar en los retos compartidos, desde la gestión del tamaño de la firma hasta los matices de codificación de la clave privada, CMS y PKCS#12.
Estas colaboraciones no son sólo técnicas. Ayudan a generar confianza, transparencia y alineación, ingredientes esenciales para poner en marcha algo tan fundamental como los nuevos primitivos criptográficos.
Únete al viaje - Pruébalo tú mismo
Si trabaja en PKI, firma o infraestructura de seguridad, ahora es el momento de empezar a experimentar con PQC. No tienes que esperar a los estándares finales: los protocolos, formatos y actualizaciones de algoritmos son estables, y librerías como Bouncy Castle y OpenSSL ya admiten implementaciones comprobables.
Actualizamos continuamente nuestro entorno de laboratorio de Criptografía Post-Quantum (PQC) para dar soporte a nuevos casos de uso. ¡Pruébelo hoy mismo!
Explore nuestras pruebas de interoperabilidad en curso en esta página, que mantendremos actualizada a medida que avancemos: Interoperabilidad y criptografía preparada para el futuro
EJBCA, SignServer y Bouncy Castle Castle también mantienen una cobertura de interoperabilidad y certificación más amplia que la de PQC, ya que satisfacen sus necesidades en relación con las normas criptográficas actuales y futuras.
EJBCA https:ejbca
SignServer https:signserver
Bouncy Castle http:bouncycastle
Recursos relacionados
Para profundizar en las herramientas, las normas y la colaboración que impulsan el PQC, consulte estas referencias clave:
Hackathon del IETF - Certificados PQC: https://github.com/IETF-Hackathon/pqc-certificates?tab=readme-ov-file#ietf-hackathon-pqc-certificates
Almanaque PQC: https://downloads.bouncycastle.org/java/docs/PQC-Almanac.pdf
Hagamos que PQC no sólo esté listo, sino que sea utilizable, fiable y digno de confianza. Juntos.
