Prepararse para un mundo cuántico: Examinar la ruta de migración de los certificados híbridos

Para la migración a criptografía cuántica segurase utiliza a menudo el término "híbrido". En algunos debates, el propio término lleva a profundizar en lo que realmente significa.

El término "criptosistema híbrido" de Wikipedia no es útil, ya que lo describe como una combinación de criptosistemas asimétricos y simétricos. Esto no es lo que significa en el contexto de los debates sobre criptografía post-cuántica.

Lo que todo el mundo entiende por "criptografía híbrida" en el contexto de la seguridad cuántica es combinar criptografía asimétrica clásica con criptografía asimétrica post-cuántica. Por ejemplo, EC + Dilithium, RSA + SPHINCS+, ECDH + Kyber, u otras combinaciones en las que algoritmos clásicos o tradicionales suelen significar RSA o EC y poscuánticos significan Dilithium SPHINCS+, Kyber, o alguno de los otros algoritmos poscuánticos propuestos.

Si los nuevos algoritmos post-cuánticos son seguros contra un futuro ordenador cuántico¿por qué querríamos sistemas híbridos? es una pregunta que se hace mucha gente. Y es cierto que existe un debate en la comunidad sobre la necesidad de los híbridos y sobre los pros y los contras de los distintos sistemas híbridos. Hay (al menos) dos argumentos a favor de los sistemas híbridos:

1. Durante una fase de migración, habrá extremos con capacidad PQC y otros que no. Para que puedan comunicarse, se necesita una solución híbrida compatible con versiones anteriores en la que puedan negociar capacidades. Si ambos extremos son compatibles con PQC, pueden utilizar criptografía poscuántica, pero si uno de ellos no lo es, puede recurrir al cifrado clásico.
2. Algunos de los nuevos algoritmos post-cuánticos y sus implementaciones no están tan bien analizados y probados como los algoritmos de cifrado clásicos, lo que hace temer que algunos algoritmos PQC puedan, en el futuro, ser descifrados por los ordenadores actuales. Combinando inteligentemente los algoritmos en un diseño híbrido, se puede imponer la verificación de ambos. Si un futuro ordenador cuántico rompe RSA y EC mientras que los algoritmos PQC son seguros, la parte PQC del sistema híbrido protegerá el conjunto. Si los ordenadores actuales son capaces de romper los algoritmos PQC y no existe ningún ordenador cuántico criptográficamente relevante, el algoritmo clásico protegerá el conjunto.

Tres casos de uso inmediato de la criptografía híbrida fáciles de identificar:

• TLS conexiones: proteger los datos en tránsito del descifrado frente a los ordenadores actuales y los posibles ordenadores cuánticos del futuro.
  

• Identidades digitales: normalmente en forma de certificados para proteger la autenticación frente a las amenazas actuales y futuras.
  

• Firmas digitales: proteger la integridad del código y los documentos en el futuro.

Algunas organizaciones están en contra de los sistemas híbridos, mientras que otras están en favo. Ambas tienen argumentos a favor y en contra, como I he mencionado anteriormente. La conclusión más fácil es que "depende," que es, por desgraciatamente, una de las frases más utilizadas en ciberseguridad cuando se piden consejos sencillos. El hecho de necesitar o querer sistemas híbridos dependes de su caso de uso, nivel de amenaza, capacidad para gestionar la complejidad y muchos otros factores.

Si me atrevería a sacar alguna consensus, sería que hay muchas organizaciones cualificadas ahí fuera y si alguienuna considera esenciales los sistemas híbridos, no voy a discutir en contra de ellos. Pero, isi consideran los sistemas híbridos innecesarios, tampoco me opondré a ello. Tal como están las cosas, es probablemente tenemos que vivir con soluciones híbridas y no híbridas durante mucho tiempo.

Hemos identificado cuatro vías diferentes de migración de PKI diferentes tipos de soluciones híbridas y no híbridas propuestas actualmente. Los nombres dados a los distintos enfoques son invención mía. La estrategia que una organización deba utilizar dependerá del caso de uso y de cuánto control tenga sobre los puntos finales y sus capacidades.

1. Migración completa con corte duro: Cuando se establece una nueva PKI utilizando un algoritmo post-cuántico. Cuando todos los terminales son compatibles con PQC, se retira la PKI clásica y se emiten certificados desde la nueva PKI PQC. La PKI antigua se cierra muy poco después de que la nueva PKI entre en producción.
2. Migración transitoria con corte suave: Cuando se establece una nueva PKI utilizando un algoritmo post-cuántico. Ambas PKI funcionan en paralelo y los clientes pueden recibir un certificado clásico o un certificado PQC, o ambos, en función de sus capacidades. La PKI antigua y la nueva funcionan en paralelo durante un largo periodo de tiempo.
3. Migración híbrida compatible con versiones anteriores: Cuando se establece una nueva PKI con certificados híbridos compatibles con versiones anteriores. La nueva PKI puede emitir certificados a dispositivos con capacidad PQC, y los dispositivos sin capacidad PQC simplemente ignorarán los algoritmos PQC y negociarán la criptografía clásica. La PKI antigua puede cerrarse y sustituirse por la nueva PKI híbrida compatible con versiones anteriores.
4. Migración compuesta no compatible con versiones anteriores: Cuando se establece una nueva PKI con certificados híbridos no retrocompatibles (compuestos). Similar a un corte duro o blando en el sentido de que los certificados PQC solo pueden emitirse a dispositivos con capacidad PQC, con la característica adicional de que la criptografía poscuántica también está protegida por criptografía clásica.

Los pros y los contras de las distintas estrategias y las exigencias para el medio ambiente son temas para otro post. Por supuesto, tampoco hay nada que impida combinar las estrategias anteriores.

La migración a un conjunto completo de nuevos algoritmos no será un paseo por el parque. Algo puede parecer sencillo, pero en general, hay muchas cosas ahí fuera con cientos de miles de casos de uso diferentes y millones de entornos distintos. No existe una solución única para todos los casos, por lo que tenemos que desarrollar múltiples estrategias de migración diferentes, algo que, por desgracia, añade complejidad.

Mientras tanto, descubra cómo están avanzando las organizaciones para preparar y proteger sus datos frente a la futura amenaza de la computación cuántica en nuestro informe The State of Quantum Readiness in 2024.