La informática cuántica está en boca de todos. Podríamos pasarnos días hablando de hacia dónde se dirigen las tecnologías cuánticas, cómo nos afectan y de qué serán capaces en el futuro.
Pero la pregunta más importante que hay que hacerse ahora es cómo afectará la criptografía poscuántica a la ciberseguridad.
Pensar en esta cuestión puede inducir fácilmente al pánico y la presunción, pero no hay necesidad de ello. Sin embargo, hay que prepararse ahora.
KeyfactorChris Hickman, Director de Seguridad de Thales, se sentó recientemente con Blair Canavan, Director de Alianzas de Thales, para compartir más sobre este tema, incluyendo por qué nos estamos asociando para ayudar a las organizaciones a prepararse para la criptografía post-cuántica y qué esperar en el camino. Siga leyendo para ver un resumen de su conversación, o haga clic aquí para ver el seminario web completo.
Un futuro cuántico muy cercano y real
La pregunta número uno que todo el mundo se hace es: "¿Cuándo es el post quantum?". La respuesta, por desgracia, es que no lo sabemos. Pero sí sabemos que es real y que está llegando.
Los ordenadores poscuánticos existen hoy en día, pero no están en condiciones de romper los algoritmos criptográficos que utilizamos actualmente. Dicho esto, se están acelerando rápidamente, y ese día llegará. Y si el algoritmo RSA 2048, en el que se basa todo el mundo, se ve comprometido por el avance a corto plazo de los ordenadores cuánticos, nos encontraremos rápidamente en un escenario en el que todas las sesiones cifradas, TLS, los certificados de servidor, la PKI, la firma de código, etc., estarán bajo una gran presión.
Considere el siguiente gráfico de Quantum Amsterdam, que ilustra varias líneas de tiempo para un potencial Día Q, o el momento en que la criptografía RSA puede romperse en cuestión de segundos y, por lo tanto, se prestaría a un escenario de violación en tiempo real. Esto es interesante porque si observamos nuestros activos dentro de una organización y empezamos a pensar en todos los lugares en los que utilizamos la criptografía, nos daremos cuenta rápidamente de lo vasta que es.
Lo más importante es que controlemos la criptografía asimétrica, porque, independientemente del momento en que se celebre el Día Q, en EE.UU. hay requisitos gubernamentales que exigen la firma resistente post-cuántica. Ya estamos en las maquinaciones finales de los algoritmos post-cuánticos del NIST, y para finales de 2023, se ratificarán las nuevas normas que luego podremos implementar en PKI y firma de código. Y podemos esperar que, una vez que caigan los estándares existentes, los siguientes empiecen a entrar en vigor con bastante rapidez.
Este cambio también nos obliga a considerar la criptoagilidad que exigirá el auge de la computación cuántica a medida que construyamos dispositivos con una larga vida útil. Por ejemplo, ¿queremos sustituir todas las ECU (unidades de control del motor) de todos los coches dentro de tres o cinco años porque la poscuántica ya está aquí, o deberíamos esperar que el vehículo que compremos lleve incorporada la criptoagilidad? Incluso en el ámbito empresarial, hay muchos datos valiosos que tienen una vida útil mucho más larga de lo que podríamos imaginar en un principio. Pensemos en el caso de los marcadores biométricos para el pasaporte: Todo lo que permite la identificación electrónica tiene probablemente información con una larga vida útil.
Con este telón de fondo, es esencial empezar a pensar en lo que significa el post-quantum para su organización y dónde residirá el riesgo a corto, medio y largo plazo. También debe considerar cómo su organización empezará a hacer cambios para llegar a un estado mejor antes del Día Q.
Navegar por la criptografía post-cuántica es estar preparado
Comprender todo el alcance de la criptografía post-cuántica es abrumador para muchas organizaciones, ya que la mayoría de las empresas tienen criptografía incorporada en lugares de los que ni siquiera se dan cuenta. De hecho, el 62 % de las organizaciones no saben exactamente cuántas claves y certificados tienen, lo que dificultará enormemente la capacidad de gestionar y mitigar los riesgos, incluso para los equipos más grandes.
Sabiendo que estos puntos ciegos son frecuentes, no es de extrañar que muchas organizaciones esperen que la fase de descubrimiento y planificación posterior al inventario cuántico -ni siquiera la implantación real- sea una actividad de varios años. Por eso ahora es el momento de prepararse.
En concreto, en lugar de prepararse para un momento determinado, hay que prepararse para la eventual necesidad de adoptar estos nuevos algoritmos. Y cuanto antes lo haga, mejor le irá a su organización.
Es importante tener en cuenta que la adopción de estos nuevos algoritmos no es sólo apretar un botón, sino que supone un replanteamiento completo de la criptografía con un nuevo conjunto de políticas, procedimientos operativos y metodologías. Por ejemplo, el tamaño de las claves es bastante grande, lo que dificulta el funcionamiento de algunos dispositivos. Aunque se están estudiando varios esquemas para superar algunos de estos tamaños de clave más grandes, crearán más sobrecarga y causarán problemas a algunos de los protocolos tradicionales que se utilizan. Hay que tener en cuenta estos cambios y planificarlos adecuadamente, o acabaremos con cuellos de botella en toda la red.
Esta reintroducción hará que la transición sea aún más complicada que la última vez que se produjo un gran cambio en la criptografía, cuando SHA1 quedó obsoleto en favor de SHA2. La última vez, aprendimos lecciones importantes sobre la gestión de las raíces de confianza junto con el material clave y la planificación anticipada para evitar desconectar sistemas inadvertidamente, algo que será esencial tener en cuenta.
Qué esperar al prepararse para la criptografía poscuántica
Sabiendo que ha llegado el momento de prepararse para la criptografía post-cuántica, ¿qué debe hacer su organización? Considere los siguientes pasos:
Conozca su criptografía: No puedes prepararte a menos que conozcas tus claves, certificados, algoritmos y las aplicaciones que los utilizan. Sólo hay una forma de afrontar todo este escenario, y es conociendo tu criptografía, comprendiendo lo que hay en tu organización e identificando lo que se puede migrar y lo que no. Para ayudarte, Keyfactor tiene una herramienta disponible en nuestro sitio web en la que puedes emitir tú mismo claves post-cuánticas y ver qué puede leerlas y qué no. Hasta que no conozcas cómo es ese panorama en tu organización, no podrás elaborar un plan para hacer la migración porque no podrás evaluar el riesgo, qué hay que sustituir, qué va a ser compatible y qué hay que actualizar.
Sienta las bases: A continuación, empiece a determinar dónde están las mayores necesidades y con qué equipos tendrá que trabajar. La mayoría de las organizaciones tendrán una matriz de datos grande y compleja, y usted necesita entender qué datos son valiosos, qué datos tienen IIP, etc., para identificar las áreas de preocupación. Considere cuándo necesita realizar cambios en el cifrado de cada conjunto de datos, cómo lo hará y el apoyo que obtendrá para llevarlo a cabo. A partir de ahí, es importante pensar en la compatibilidad de las aplicaciones y en si el cambio de algoritmo romperá algo o no. Tendrás que explorar todas las opciones posibles, ya que no se trata de un escenario de un solo paso.
Explora tus opciones: Los algoritmos tardarán un tiempo en finalizarse, pero nunca es demasiado pronto para probar y explorar, de modo que puedas familiarizarte con las cosas que deben suceder. Piensa en los posibles escenarios que podrían darse: ¿Qué pasa si se descubre que un algoritmo es vulnerable? ¿Cómo lo gestionará después de la implantación? Esas dinámicas seguirán existiendo en su organización y habrá que abordarlas más adelante.
Reforzar las asociaciones estratégicas: Las organizaciones no pueden prepararse con éxito para el cambio al PQC en el vacío: ahí es donde entran en juego las asociaciones estratégicas. Busque socios que le permitan probar sus soluciones poscuánticas, como el E-Lab de Thales y el PQC Lab deKeyfactor.
Una estrategia cuántica preparada para el futuro
La criptografía poscuántica afectará a todo lo que hacemos, y adaptarse en consecuencia es inevitable.
Incluso en este nuevo mundo, la criptografía sigue estando en el centro de la seguridad. Las claves, el cifrado, las firmas digitales y todas las tecnologías y tejidos subyacentes en los que confiamos hoy seguirán siendo importantes, pero los algoritmos que los sustentan tendrán que cambiar. Por eso, organizaciones como el NIST, X9, el CA Browser Forum, el IETF y el National Cybersecurity Center of Excellence colaboran para producir algoritmos resistentes a la cuántica.
Si aún no ha empezado a abordar este cambio inminente en su organización, el momento de hacerlo es ahora. Todo empieza por comprender sus activos criptográficos y prepararse para el cambio de una forma muy ágil. Será una gran empresa, ya que para desarrollar una estrategia de criptoagilidad post-cuántica se necesita un pueblo, así que cuanto antes reúna a su equipo, encuentre los recursos que necesita y empiece a planificar, mejor.
¿Listo para empezar? Visite Keyfactor's PQC Lab - a place for IT leaders, security pros, and developers to learn, explore, and prepare for the post-quantum world. Ponga a prueba su preparación para el PQC con la evaluación de riesgos gratuita de Thales para saber si su organización corre el riesgo de sufrir una brecha poscuántica.
