Preparación para un mundo cuántico: Examen de la ruta de migración de los certificados híbridos

Para la migración a la criptografía cuántica segura, a menudo se utiliza el término «híbrido». En algunos debates, el propio término lleva a una inmersión más profunda en lo que realmente significa. 

El término «criptosistema híbrido» de Wikipedia no es útil, ya que lo describe como la combinación de criptosistemas asimétricos y simétricos. Esto no es lo que significa en el contexto de los debates sobre criptografía postcuántica.   

Lo que todo el mundo entiende por «criptografía híbrida» en el contexto de la seguridad cuántica es la combinación de criptografía asimétrica clásica con criptografía asimétrica postcuántica. Por ejemplo, EC + Dilithium, RSA + SPHINCS+, ECDH + Kyber, u otras combinaciones en las que los algoritmos clásicos o tradicionales suelen significar RSA o EC y los postcuánticos significan Dilithium SPHINCS+, Kyber, o uno de los otros algoritmos postcuánticos propuestos. 

Si los nuevos algoritmos postcuánticos son seguros frente a un futuro ordenador cuántico, ¿por qué querríamos sistemas híbridos? Es una pregunta que mucha gente se hace. Y es cierto que existe un debate en la comunidad sobre la necesidad de los sistemas híbridos, y sobre los pros y los contras de los diferentes sistemas híbridos. Existen (al menos) dos argumentos a favor de los sistemas híbridos: 

1. Durante una fase de migración, habrá puntos finales con capacidad PQC y otros que no la tengan. Para que puedan comunicarse, se necesita una solución híbrida retrocompatible en la que puedan negociar las capacidades. Si ambos puntos finales tienen capacidad PQC, pueden utilizar criptografía postcuántica, pero si un punto final no tiene capacidad PQC, puede recurrir a la criptografía clásica.
2. Algunos de los nuevos algoritmos postcuánticos y sus implementaciones no están tan bien analizados y probados como los algoritmos de cifrado clásicos, lo que genera el temor de que algunos algoritmos PQC puedan, en el futuro, ser vulnerados por los ordenadores actuales. Al combinar inteligentemente algoritmos en un diseño híbrido, se puede forzar la verificación de ambos. Si un futuro ordenador cuántico rompe RSA y EC mientras los algoritmos PQC son seguros, la parte PQC del sistema híbrido protegerá el conjunto. Si los ordenadores actuales son capaces de romper los algoritmos PQC, y no existe ningún ordenador cuántico criptográficamente relevante, el algoritmo clásico protege el conjunto. 

Tres casos de uso inmediatos para la criptografía híbrida que son fáciles de identificar: 

• Conexiones TLS: protección de los datos en tránsito contra el descifrado por parte de los ordenadores actuales y los posibles ordenadores cuánticos del futuro.
   

• Identidades digitales: normalmente en forma de certificados para proteger la autenticación de las amenazas actuales y futuras.
   

• Firmas digitales: protección de la integridad del código y los documentos a largo plazo. 

Algunas organizaciones están en contra de los sistemas híbridos, mientras que algunas están a favor. Ambas tienen argumentos a favor y en contra, como mencioné anteriormente. La conclusión más fácil de sacar es que «depende,» que es, desafortunadamente, una de las frases más utilizadas en ciberseguridad cuando se pide un consejo sencillo. Si necesita o desea sistemas híbridos dependerá de su caso de uso, nivel de amenaza, capacidad para gestionar la complejidad y muchos otros factores.

Si me atre viera a sacar algún consenso, sería que hay muchas organizaciones cualificadas y si alguien considera los sistemas híbridos esenciales, no discutiré en su contra. Pero, si consideran los sistemas híbridos innecesarios, tampoco discutiré en contra de ello. Tal como están las cosas, probablemente tendremos que convivir con soluciones híbridas y no híbridas durante mucho tiempo. 

Hemos identificado cuatro rutas de migración de PKI diferentes, utilizando distintos tipos de soluciones no híbridas y las soluciones híbridas propuestas actualmente. Los nombres dados a los diferentes enfoques son de mi propia invención. La estrategia que una organización debe utilizar dependerá del caso de uso y del control que tenga sobre los puntos finales y sus capacidades. 

1. Migración completa con corte estricto: Donde se establece una nueva PKI utilizando un algoritmo postcuántico. Cuando todos los puntos finales tienen capacidad PQC, la PKI clásica se retira y los certificados se emiten desde la nueva PKI PQC. La antigua PKI se desactiva muy poco después de que la nueva PKI entre en producción.
2. Migración transicional con corte flexible: Donde se establece una nueva PKI utilizando un algoritmo postcuántico. Ambas PKI conviven en paralelo, y los clientes pueden recibir un certificado clásico o un certificado PQC, o ambos, dependiendo de sus capacidades. La PKI antigua y la nueva conviven en paralelo durante un período de tiempo prolongado.
3. Migración híbrida retrocompatible: Donde se establece una nueva PKI con certificados híbridos retrocompatibles. La nueva PKI puede emitir certificados a dispositivos con capacidad PQC, y los dispositivos sin capacidad PQC simplemente ignorarán los algoritmos PQC y negociarán la criptografía clásica. La antigua PKI puede ser desactivada y reemplazada por la nueva PKI híbrida retrocompatible.
4. Migración compuesta no retrocompatible: Donde se establece una nueva PKI con certificados híbridos no retrocompatibles (compuestos). Similar a un corte estricto o suave en el sentido de que los certificados PQC solo pueden emitirse a dispositivos compatibles con PQC, con la característica adicional de que la criptografía postcuántica también está protegida por criptografía clásica. 

Las ventajas y desventajas de las diferentes estrategias, y las exigencias sobre el entorno son temas para otra publicación. Por supuesto, tampoco hay nada que impida las combinaciones de las estrategias anteriores. 

La migración a un conjunto completo de nuevos algoritmos no será un camino fácil. Algo puede parecer simple, pero en general, existen muchas cosas con cientos de miles de casos de uso diferentes y millones de entornos distintos. No existe una solución única para todos, por lo que debemos desarrollar múltiples y diversas estrategias de migración, algo que lamentablemente añade complejidad. 

Mientras tanto, descubra cómo las organizaciones están avanzando para preparar y proteger sus datos de la futura amenaza de la computación cuántica en nuestro informe, El estado de la preparación cuántica en 2024.