Comienza la cuenta atrás para Keyfactor Tech Days | ¡Asegura tu plaza hoy mismo!

  • Inicio
  • Blog
  • PQC
  • Certificados Quantum-Safe: ¿qué son y qué quieren de nosotros?

Certificados Quantum-Safe: ¿qué son y qué quieren de nosotros?

PQC

Estamos empezando a ver el principio del fin -o el fin del principio- de cómo hemos hecho PKI durante los últimos 30 años. La amenaza de la computación cuántica contra nuestras queridas claves RSA y EC, aunque exagerada, sigue estando a diez años vista, como lo ha estado durante los últimos veinte.

Es necesario descubrir nuevos campos de la física o la informática antes de que alguien pueda construir un ordenador cuántico capaz de descifrar las claves asimétricas contemporáneas. A menos que este progreso científico cambie realmente el mundo, la construcción de un ordenador cuántico seguirá estando al alcance de unos pocos grandes actores.

Aun así, hay buenas razones para tomarse en serio la amenaza: un salto de este tipo puede producirse más rápido de lo que prevemos, y todavía tenemos que poner a prueba de futuro muchos de los datos que enviamos hoy contra el descifrado no deseado dentro de décadas.

Aunque es de esperar que el concurso y la evaluación de algoritmos de seguridad cuántica que está llevando a cabo el NIST concluyan a mediados de este año, los cifradores en sí no son más que una pieza del rompecabezas. La gestión de claves, desde un punto de vista práctico, depende de que los proveedores de HSM admitan los cifrados elegidos, y el ecosistema PKI también tiene que migrar. Aunque la producción de certificados X.509 utilizando los candidatos del NIST se ha experimentado durante varios años, con la migración de SHA1 vimos que el reto reside en la transición.

El problema práctico tiene dos elementos principales: 

  • Pasará tiempo hasta que todos los clientes admitan los nuevos algoritmos.
  • Los certificados pueden expedirse con una validez de años.


Ignorar cualquiera de estos dos puntos y apostar por una conversión atómica única puede tener y tendrá repercusiones para toda la sociedad en muchos ámbitos.

Afortunadamente, este problema no se ha ignorado, y se están preparando varios candidatos a certificados transitorios, capaces de manejar tanto claves heredadas como seguras desde el punto de vista cuántico. Al igual que ocurre con los cifrados, cada uno tiene sus pros y sus contras, y distintos ámbitos de aplicación.

Exploremos a continuación algunas de las diferentes opciones post-cuánticas.

Certificados híbridos

Híbridos, también conocido como Catalyst o Alternativa X.509, es la más sencilla y directa de las propuestas. Está promovida por ISARA, Entrust y Cisco, y aunque fue (in)famosa hace unos años por problemas de patentes, ya se han resuelto. Como sugiere uno de sus nombres, es hasta ahora la única propuesta que se ha estandarizado como Claves Alternativas X.509 y se sigue debatiendo en la UIT-T X.509, X9.146 (20240122), así como en un contexto no cuántico en ISO 15118-20.

La norma sobre certificados híbridos propone añadir tres extensiones no críticas, que contienen:

  • La clave alternativa
  • El algoritmo de firma alternativo
  • La firma alternativa

En la práctica, la firma heredada se construye sobre todo el certificado, salvo la firma alternativa, mientras que la firma alternativa se construye sobre todo el certificado, salvo la firma heredada.

La naturaleza no crítica de las extensiones significa que los clientes heredados no se ven afectados al encontrarse con un certificado híbrido, mientras que la simplicidad de la implementación promueve un amplio apoyo por parte de los emisores y consumidores de certificados. Además, la norma ISO 15118-20 está estudiando casos de uso no cuánticos en los que puede resultar ventajoso proporcionar una clave de firma y otra de cifrado en un solo certificado.

El día del juicio final, la transición consistiría en que tanto el servidor como el cliente acordaran utilizar únicamente la clave pública definida en la extensión en lugar de la codificada en el campo X.509 estándar.

Keyfactor EJBCA tiene compatibilidad total con los certificados híbridos (así como con Dilithum, Falcon y Kyber en sus estados actuales como candidatos) a partir de EJBCA 8.3.0.

Camaleones

Aunque ganaron inmediatamente el premio al nombre y concepto más interesantes, los camaleones llevan más lejos el concepto de híbridos. El proyecto Chameleon, redactado por DigiCert y Entrust, implica la emisión de dos certificados durante el mismo proceso de emisión:

  • A Certificado de base
  • Un certificado Delta


Empezando por el final, el certificado Delta utilizaría cifrados de seguridad cuántica, mientras que el certificado Base contiene una clave pública heredada y la adición de una extensión no crítica llamada Descriptor. La clave de la transición es que el certificado Delta puede derivarse utilizando la Base y el Descriptor, lo que permite una transición mientras que la naturaleza no crítica de la extensión no bloquea a los clientes heredados.

La ventaja de los Camaleones frente a los Híbridos es que los dos certificados no sólo pueden tener claves diferentes, sino también validaciones y usos de clave. Incluso pueden revocarse independientemente el uno del otro. Esto no sólo es una solución elegante, sino que proporciona a Chameleons muchos otros usos, como poder derivar un certificado SMIME de un certificado TLS . Sin embargo, la complejidad añadida crea naturalmente un mayor obstáculo para emisores y consumidores.

Compuestos

Los certificados compuestos, cuyo borrador promueven Entrust, CableLabs y D-Trust, son la primera propuesta que supone una ruptura limpia con X.509.

Las firmas compuestas adoptan un enfoque diferente al utilizar una forma de firma compleja denominada firma compuesta, en la que varias firmas se combinan en una construcción, que sigue siendo válida incluso si uno o más (pero no todos) de los cifradores se rompen. Esto no sólo resuelve el problema de la transición, sino que también tiene en cuenta la relativa novedad de las matemáticas que hay detrás de la mayoría de los cifradores candidatos del NIST, minimizando el impacto si se descubre una vulnerabilidad dentro de unos años.

La principal desventaja de Composites puede verse también como su principal ventaja, que es la falta de compatibilidad con versiones anteriores. Muchos siguen sintiendo el dolor de la desaparición de SHA1 debido a la inercia en el lado del cliente, por lo que forzar una ruptura limpia puede ser lo mejor para el ecosistema.

Otro inconveniente no trivial heredado de los cifrados de seguridad cuántica son las grandes claves y/o firmas asociadas a ellos (dependiendo del cifrado), lo que hace que los Composites con múltiples claves de seguridad cuántica sean quizás una mala elección para aplicaciones críticas de ancho de banda.

Certificados Merkle Tree

Incluso en 2024, el bombo del blockchain sigue asomando la cabeza. No, es broma. Tal y como proponen Google y Cloudflare, los certificados Merkle Tree renuncian a incluir una firma en el propio certificado, en gran medida para contrarrestar los grandes tamaños de firma asociados a los cifrados de seguridad cuántica, como ya se ha comentado.

En su lugar, las firmas se almacenarían en un árbol Merkle, normalmente en los registros de transparencia de certificados basados en Trillian que ya se utilizan en la esfera pública de TLS desde hace muchos años. Esto permitiría que los certificados de seguridad cuántica tuvieran un tamaño inferior a 1.000 bytes, lo que supondría una gran ayuda en TLS y otros entornos con poco ancho de banda.

Sin embargo, esta solución tiene sus inconvenientes: el más obvio es que un consumidor de certificados debe tener conectividad con el registro o registros para verificar el certificado, lo que también añade otro elemento crítico al tiempo de actividad del registro. También puede producirse un retraso significativo de hasta una hora desde la emisión hasta la utilización, debido a los complejos cálculos necesarios para codificar otro nodo en un registro; incluso los autores del borrador reconocen que se trata de una grave desventaja.

Resumen

A diferencia de la evaluación de la seguridad cuántica de los cifrados, no hay ningún organismo gubernamental que decida cuál de las normas propuestas se convertirá en la nueva norma. Aunque varían mucho en complejidad e impacto, los proponentes de cada una prevén un caso de uso que necesitan resolver, por lo que quien decidirá en última instancia dónde aterrizaremos será el propio mercado.

En Keyfactor, los retos técnicos son la razón por la que nos lavamos los dientes y nos ponemos los calcetines por las mañanas; por tanto, proponer casos de uso y soluciones novedosas no es más que amenazar con hacernos pasar un buen rato. Así pues, aunque el Ragnarök cuántico se vislumbra en el horizonte, desde nuestro punto de vista, el futuro es brillante.

Tómese unos minutos para explorar Keyfactor's PQC Lab, un lugar para que los responsables de TI, los profesionales de la seguridad y los desarrolladores aprendan, exploren y se preparen para el mundo post-cuántico.