Comienza la cuenta atrás para Keyfactor Tech Days | ¡Asegura tu plaza hoy mismo!

  • Inicio
  • Blog
  • PQC
  • Los nuevos algoritmos cuánticos seguros ya están aquí, ¿y ahora qué?

Los nuevos algoritmos cuánticos seguros ya están aquí, ¿y ahora qué?

PQC

La larga espera ha terminado: Las Normas Federales de Procesamiento de la Información (FIPS) definitivas para los tres primeros algoritmos criptográficos de seguridad cuántica.

  1. FIPS 203 es el método de encapsulación de claves ML-KEM, basado en el algoritmo Kyber, presentado al concurso de algoritmos PQC.
  2. FIPS 204 es el algoritmo de firma digital ML-DSA más genérico, basado en el algoritmo Dilithium.
  3. FIPS 205 es el algoritmo de firma digital basado en hash, basado en el algoritmo SPHINCS+.

Con la publicación de las normas definitivas, es importante abandonar los borradores de algoritmos, ya que sus identificadores asociados (OIDS) han quedado obsoletos. Cualquier trabajo realizado con los borradores seguirá siendo útil, ya que las características son similares en los algoritmos definitivos, pero toda la interoperabilidad futura reside en las normas definitivas.

Además de abandonar el proyecto de algoritmos, ¿qué más podemos esperar ahora que ya están disponibles las normas definitivas? Esto es lo que hay que saber.

Actualizaciones en todas partes: Qué esperar de los proveedores de tecnología

La publicación de estos algoritmos de seguridad cuántica ha dado paso a un periodo de gran actividad en el que los proveedores de tecnología trabajan para realizar las actualizaciones necesarias. Algunas de estas actualizaciones pueden realizarse simultáneamente, mientras que otras deben llevarse a cabo de forma secuencial, lo que significa que pasarán unos meses antes de que todo esté listo y totalmente actualizado. 

Entre las actividades clave para los vendedores de software se incluyen:

  • Actualizaciones estructurales: Las organizaciones de normalización finalizarán y publicarán actualizaciones de estructuras como certificados y mensajes CMS.
  • Actualizaciones de bibliotecas criptográficas: Los proveedores actualizarán las bibliotecas criptográficas para adaptarlas a los nuevos algoritmos. En el caso de Keyfactor, esto significa actualizar las API criptográficas de Bouncy Castle , lo que constituye una prioridad absoluta para nuestro equipo.
  • Pruebas de interoperabilidad: Los equipos tendrán que dirigir nuevas pruebas de interoperabilidad entre diferentes bibliotecas, tanto contra los servidores de prueba del NIST para los propios algoritmos como contra estructuras como certificados y mensajes CMS bajo el paraguas del IETF.
  • Actualizaciones de aplicaciones: Una vez publicadas, los proveedores actualizarán las aplicaciones con nuevas versiones de las bibliotecas criptográficas y otros detalles de gestión, como los nombres en las IU y los OID.
  • Garantía de calidad: Los proveedores también tendrán que dirigir los esfuerzos de control de calidad para garantizar que todo funciona de forma segura y adecuada una vez que las nuevas actualizaciones estén en marcha.

Y el trabajo no acaba ahí. También hay que tener en cuenta las actualizaciones de hardware , ya que los módulos de seguridad hardware (HSM) son obligatorios en la mayoría de los entornos de producción. Como resultado, los proveedores de HSM ya están trabajando en el firmware para soportar los nuevos algoritmos. Estas actualizaciones también implican normas, como PKCS#11, que deben ser actualizadas por la organización de normalización. 

Una vez que el nuevo firmware HSM esté disponible, los equipos podrán dirigir las pruebas de integración para entregar un sistema PKI totalmente probado. La buena noticia es que, dado que la mayoría de los equipos probaron con los borradores de algoritmos, ya está todo preparado para probar las normas definitivas lo antes posible. 

El juego de la espera: Cuánto pueden tardar las actualizaciones

Dado que casi todo requiere una actualización, ¿qué podemos esperar en cuanto al calendario de todo esto? Entre el número de pasos que hay que dar y el hecho de que se trata de ciberseguridad, es inevitable que haya sorpresas, así que es difícil fijar un calendario exacto.

Dicho esto, si todo va según lo previsto, podemos esperar ver primero bibliotecas criptográficas actualizadas, seguidas de aplicaciones actualizadas y, por último, una nueva integración de HSM. Si tenemos suerte, podremos mostrar un sistema totalmente integrado y listo para la producción a tiempo para la temporada navideña. Por supuesto, el calendario exacto también dependerá de las funciones específicas que cada organización necesite en el producto final.

Por ejemplo, la certificación FIPS es muy importante para algunas organizaciones, pero el NIST aún está trabajando en ello. Esto significa que es probable que la certificación FIPS no se haya completado para cuando estén listos los nuevos módulos criptográficos y HSM. El plazo exacto para la certificación es difícil de predecir; históricamente, ha oscilado entre dos y 18 meses, dependiendo de la cola del NIST y de otros factores. Basándonos en estos antecedentes, podemos esperar razonablemente que se finalice en algún momento de 2025.

Aunque la certificación FIPS sea importante para su proyecto, no deje que la falta de certificación retrase su proyecto: la certificación llegará en llegará, y las soluciones no certificadas pueden implantarse en pruebas para facilitar el paso a producción cuando llegue el momento.

Planificar, planificar, planificar: Qué hacer ahora para adelantarse al cambio

El juego de la informática post-cuántica se está calentando. Estamos entrando en el sprint final, cuando pasamos de la fase de planificación a la de implantación de la transición.

¿Qué debe hacer ahora?

  • Comience a planificar una actualización de sus sistemas de prueba a los algoritmos finales, con el objetivo de que esto sea lo que traslade a producción. 
  • Asegúrese de que sus proveedores tienen una hoja de ruta para dar soporte a las versiones finales de los algoritmos.
  • Siga trabajando en el descubrimiento, la criptoagilidad y la planificación de sus migraciones criptográficas.

Lo más importante es que no hay tiempo que perder, ya que la transición avanza a toda velocidad. Pronto veremos lo importante que es toda la planificación que los equipos han hecho hasta la fecha.

¿Necesita ayuda en su transición a PQC?

Keyfactor está aquí para ayudar a que la transición de su equipo a la criptografía poscuántica sea lo más sencilla posible. Con varios productos preparados para la cuántica y un laboratorio PQC dedicado, Keyfactor tiene todos los recursos que necesita para proteger sus sistemas y datos y probar certificados preparados para la cuántica.

Haga clic aquí para obtener más información y empezar a utilizar Keyfactor's PQC Lab.