Comienza la cuenta atrás para Keyfactor Tech Days | ¡Asegura tu plaza hoy mismo!

  • Inicio
  • Blog
  • PQC
  • Principales conclusiones de la quinta conferencia del NIST sobre normalización PQC

Principales conclusiones de la quinta conferencia del NIST sobre normalización PQC

PQC

A medida que nos acercamos a un mundo poscuántico, todas las miradas se dirigen al NIST (Instituto Nacional de Normas y Tecnología).

El NIST es la organización responsable de normalizar un algoritmo diseñado específicamente para resistir los ataques de los ordenadores cuánticos. El proceso de selección de varios años se acerca a su fase final, con tres algoritmos (BIKE, McEliece clásico y HQC) superaron un riguroso proceso de pruebas en 2023 y pasaron a la cuarta ronda.

Ahora, estos algoritmos están un paso más cerca de ser accesibles a organizaciones de todo el mundo para que los integren en su infraestructura de cifrado. Pero aún no han llegado.

El último paso en el camino hacia la normalización fue Quinta Conferencia de Normalización PQC del NISTcelebrada en abril en Rockville, Maryland.

El objetivo de la conferencia era debatir diversos aspectos de los algoritmos y obtener valiosos comentarios que servirán de base a las decisiones sobre normalización. Los equipos de BIKE, Classic McEliece, Falcon y HQC también presentaron información actualizada sobre sus algoritmos.

Tuve la oportunidad de asistir a la conferencia, y aquí están mis principales conclusiones.

Pero primero, por qué importa...

Antes de entrar en los pormenores de la Conferencia de Normalización PQC, es importante dejar clara la importancia de este proceso.

La criptografía cuántica está al caer y, aunque nadie sabe exactamente cuándo llegará, sabemos que una vez que los primeros ordenadores cuánticos estén en funcionamiento, la mayoría de nuestros algoritmos de cifrado actuales quedarán obsoletos.

Así pues, aunque nuestros algoritmos actuales aún pueden proteger contra amenazas no cuánticas, los expertos insisten en la necesidad de planificación proactiva para garantizar la seguridad a largo plazo. Esto es especialmente importante, ya que la integración de nuevos algoritmos en todos los sistemas informáticos puede llevar mucho tiempo y abarcar varios años.

En consecuencia, la industria y las organizaciones gubernamentales se apresuran a implantar nuevas normas para hacer frente al avance del PQC. El algoritmo o algoritmos seleccionados por el NIST cumplirán esas normas, proporcionando al mundo las primeras herramientas para proteger la información sensible frente a esta nueva amenaza.

Una nueva etapa implica nuevos retos

El NIST anunció que publicará las Normas Federales de Procesamiento de la Información (FIPS) 203, 204 y 205 en torno al verano de 2024. Este anuncio llevó a cada uno de los candidatos de la Ronda 4 a compartir actualizaciones sobre cómo planean avanzar. Varios candidatos también abordaron los recientes retos descubiertos con sus algoritmos. He aquí los principales mensajes de cada uno de ellos:

BICICLETA
El equipo BIKE abordó un artículo en el que se atacaba su algoritmo, afirmando que el ataque no era práctico en la práctica, y propuso un cambio en la implementación para solucionarlo.

Clásico McEliece
El equipo de Classic McEliece se mantiene firme en su algoritmo. Afirman que es el más estable de todos los demás algoritmos PQC, y citan varios proyectos que lo han utilizado, como Adva en redes ópticas de alta velocidad, crypt4a en HSM, implementaciones de software como Bouncy Castle, y VPN como MULLVAD VPN y ROSENPASS.

Halcón
El equipo de Falcon (junto con el NIST) publicará un borrador inicial en otoño de 2024. Mencionaron la dificultad de implementar la aritmética de coma flotante y los problemas que podría plantear, y compartieron cómo planean adoptar características del algoritmo Hawk, que utiliza ANTRAG para reducir la cantidad de operaciones aritméticas de coma flotante.

HQC
El equipo de HQC ha publicado nuevas pruebas de seguridad que no afectan al estado actual de la implementación ni a sus entradas y salidas. También se han ocupado de una contramedida para un reciente ataque de sincronización y una solución para su ataque de canal lateral de sincronización modular de desviación.

Los nuevos FIPS introducen cambios adicionales

El NIST hizo varios anuncios sobre los cambios que cabe esperar con los nuevos documentos FIPS. El FIPS 203 para Kyber/ML-KEM sufrirá algunos cambios significativos. Estos cambios incluyen la reversión de la indexación de la matriz A, lo que hará que ya no sea compatible con versiones anteriores y cambiará los vectores de prueba estandarizados. 

A continuación, Sample NTT utilizará ahora una API XOF específica porque la norma existente no permitía SHAKE como flujo. También especificarán una API desandomizada de "nivel inferior", que permite las pruebas CAVP, y no darán orientaciones a los KEM en FIPS 203, sino en SP 800-277. 

El FIPS 204 Dilithium/ML-DSA también tendrá grandes cambios. La función SampleInBall cambiará, lo que causará problemas de retrocompatibilidad y requerirá nuevos vectores de prueba. Mientras tanto, ExpandMask no utilizará un desplazamiento para la salida SHAKE, se han corregido las comprobaciones que faltaban y se han introducido las variantes domain-separated pure y pre-hash. 

Por último, el FIPS 205 no tendrá cambios significativos. El mayor cambio será que las funciones internas tomen la aleatoriedad como entrada para permitir las pruebas CAVP.  

Los ataques por canal lateral están en el punto de mira

Los canales laterales salieron a relucir varias veces, con muchas conversaciones sobre cómo evitar estos ataques.

Un ponente habló de cómo hicieron Sphincs+ resistente a los canales laterales, pero redujo el rendimiento de la implementación de referencia en un 70%. Mientras tanto, otro ponente compartió su experiencia combinando varias fugas físicas débiles de HQC para recuperar la clave compartida utilizando SASCA; sin embargo, esto solo era aplicable a la implementación de referencia de HQC y no a la versión optimizada. 

En particular, en una sesión sobre el tema se utilizaron redes neuronales para atacar la función de desempaquetado de claves de Dilithium y recuperar la clave secreta. Dilithium respondió que considera que la función de desempaquetado está protegida y sugirió enmascarar estáticamente la clave almacenada, realizar una codificación de peso constante o barajar el bucle de desempaquetado de claves para evitar vulnerabilidades.  

Planificación de la transición a PQC

Aunque las normas aún no se han finalizado, las organizaciones de todo el mundo deben tener muy presente la transición a PQC. Por ello, la preparación de esta transición fue un tema importante durante la conferencia.

Las actividades clave para la transición incluyen la identificación de todos los objetos PKI y su vida útil en el sistema, la preparación de formatos de datos y restricciones tecnológicas, y la implementación y utilización de las herramientas disponibles en open-source .

Algunos obstáculos comunes de la ingeniería poscuántica con los que ya se están encontrando las organizaciones son los identificadores de algoritmos, la codificación de objetos, la conciencia de interoperabilidad y los tokens criptográficos. En concreto, los OID ASN.1 son muy desordenados y necesitan estar más unificados. Afortunadamente, se están llevando a cabo algunos esfuerzos para ayudar, como el página GitHub del IETF Hackathonque contiene una tabla de los OID actuales.

Comprender el impacto de PQC en las conexiones del mundo real

Una pregunta que surgió fue sobre el efecto que tendrá PQC en las conexiones del mundo real, como TLS 1.3.

La respuesta corta es que los algoritmos PQC ralentizan el proceso de handshake para TLS. Dicho esto, cuantos más datos necesita una página web, menos impacto tiene en la ralentización del handshake. En consecuencia, fijarse sólo en la velocidad del handshake no es una forma viable de medir la eficiencia, ya que los datos enviados son importantes. 

Las firmas digitales siguen siendo un importante punto de interés

Se habló mucho de los métodos utilizados en la nueva ronda de firmas, sobre todo de cómo se optimizaron los árboles GGM para que fueran útiles en los algoritmos de firmas. 

En concreto, ANTRAG simplifica y mejora Falcon sin comprometer la seguridad al utilizar un muestreador híbrido en lugar de un muestreador kgpy. Como resultado, el uso de ANTRAG hace que el esquema de firma sea mucho más simple, con un rendimiento mejorado y sin pérdida de seguridad, razón por la cual el equipo de Falcon está interesado en adaptar este enfoque a su algoritmo. Sin embargo, no elimina el problema de los puntos flotantes con el que se enfrenta actualmente el NIST (pero lo reduce). 

También hay estudios que exploran los conjuntos de parámetros de Sphincs+ para casos de uso específicos. Para casos de uso como la firma de firmware, es redundante tener una capacidad de firma máxima tan alta, y reducir este límite ayuda a reducir el tamaño de la firma en un 50% y mejora la verificación en un 80%. El riesgo de este enfoque es que el recuento de firmas de seguimiento lo convierta en algo con estado, en cuyo caso hay mejores opciones que Sphincs+. Además, tener límites de uso bajos ha sido problemático en el pasado, como en el caso de AES-GCM. 

Por último, hubo varias charlas sobre hardware centradas en los nuevos algoritmos de firma y la teoría que los sustenta. En una de las charlas se mencionó un nuevo diseño de BIKE, denominado lean BIKE, que sacrifica la seguridad CCA para mejorar el rendimiento y simplificar la implementación. También se debatió si los KEM multirreceptor podrían proporcionar sincronización de estados en flotas HSM y hacer más eficientes los MLS treeKEM. 

¿Podemos acelerar el hashing?

En una charla se habló de acelerar SLH-DSA en dos órdenes de magnitud, pero sólo para hardware. Por desgracia, es difícil acelerar software , ya que gran parte del cuello de botella proviene del hash y los aceleradores de hash están diseñados para hacer hash de datos, no de otros hashes, por lo que es difícil acelerar este proceso.

¿Qué significa todo esto? PQC se acerca rápidamente y ahora es el momento de prepararse

La Quinta Conferencia sobre Normalización de PQC del NIST estuvo repleta de conversaciones con visión de futuro sobre lo que cabe esperar en un mundo poscuántico, los cambios que se están produciendo en la actualidad y los retos a tener en cuenta. Quizá lo más importante es que el PQC llegará antes de que nos demos cuenta, y aún queda mucho por preparar.

Para ello, el NIST seguirá trabajando para normalizar los algoritmos finales y haciendo cambios adicionales para mantener la seguridad en un mundo post-cuántico. Al mismo tiempo, todas las organizaciones deben empezar a prepararse para el cambio de algoritmo y cualquier otro cambio que el NIST pueda recomendar a medida que nos acercamos al PQC.

¿Necesita ayuda para empezar? KeyfactorEl equipo de expertos en PKI de la empresa puede ayudarle a preparar su estrategia de PKI para el futuro. Póngase en contacto con nosotros aquí.