El Instituto Nacional de Estándares y Tecnología de EE. UU. dio a conocer esta semana tres algoritmos de cifrado diseñados para resistir los ataques cibernéticos, que según los observadores de la industria son un paso positivo hacia la prevención de ataques cibernéticos que rompen los métodos de cifrado actuales.
El Estándar federal de procesamiento de información (FIPS) 203, 204 y 205 proporciona estándares para el cifrado general y la protección de firmas digitales. Se derivaron de múltiples presentaciones en el proyecto de estandarización de criptografía post-cuántica del NIST.
Las computadoras cuánticas están aumentando rápidamente la capacidad de computación de alto rendimiento y los nuevos estándares están listos para su uso inmediato, dijo el NIST.
“La tecnología de computación cuántica podría convertirse en una fuerza para resolver muchos de los problemas más difíciles de la sociedad, y los nuevos estándares representan el compromiso del NIST de garantizar que no perturbe simultáneamente nuestra seguridad”, dijo la subsecretaria de Comercio para Estándares y Tecnología y directora del NIST, Laurie E. Locascio, en un comunicado. “Estos estándares finalizados son la piedra angular de los esfuerzos del NIST para salvaguardar nuestra información electrónica confidencial”.
El cifrado RSA actual no será suficiente
Aunque el IEEE señaló que es probable que no se construyan computadoras cuánticas a gran escala hasta dentro de 10 años, el NIST está preocupado por el PQC porque casi todos los datos en Internet están protegidos con el esquema de cifrado RSA. Una vez que se construyan grandes computadoras cuánticas, podrían socavar la seguridad de todo Internet, dijo el IEEE.
Los dispositivos que utilizan seguridad RSA, como automóviles y dispositivos IoT, permanecerán vigentes durante al menos otra década, dijo el IEEE, por lo que deben estar equipados con criptografía cuántica segura antes de usarse.
Otra razón por la que se necesitan nuevos estándares es la estrategia de “cosechar ahora, descifrar después”, en la que un actor de amenazas potencialmente descarga y almacena datos cifrados hoy con planes de descifrarlos una vez que una computadora cuántica entre en línea, señaló el IEEE.
Los estándares, que contienen el código informático de los algoritmos de cifrado, instrucciones sobre cómo implementarlos y sus usos previstos, tardaron ocho años en desarrollarse, dijo el NIST. La agencia añadió que había creado una amplia red entre los expertos en criptografía del mundo para concebir, presentar y luego evaluar algoritmos criptográficos que pudieran resistir el ataque de las computadoras cuánticas.
Aunque la tecnología incipiente podría cambiar la naturaleza de industrias que abarcan desde la previsión meteorológica hasta la física fundamental y el diseño de fármacos, también plantea amenazas.
‘Un momento crucial en nuestro panorama de ciberseguridad’
Estos nuevos algoritmos son los primeros de muchos que el NIST proporcionará en los próximos años, dijo Aaron Kemp, director de asesoramiento sobre riesgos tecnológicos de KPMG.
“No se puede subestimar la amenaza de la computación cuántica contra los estándares criptográficos actuales”, dijo. “Y estos algoritmos proporcionan el primer paso hacia una nueva era de agilidad criptográfica”.
Las organizaciones que han estado esperando comenzar su migración criptográfica poscuántica ahora tienen un conjunto de estándares para integrar en sus sistemas, añadió Kemp.
“El gobierno federal ha ordenado la adopción de estos estándares para 2035 para las entidades federales, y las empresas que trabajan con el gobierno deberán hacer lo mismo”, señaló. “Este es el primer paso en la migración criptográfica más grande de la historia”.
Tom Patterson, líder de seguridad de tecnología emergente en Accenture, caracterizó los nuevos estándares globales de cifrado cuántico como “un momento crucial en nuestro panorama de ciberseguridad”.
Las computadoras cuánticas presentan un riesgo significativo para nuestros métodos de cifrado actuales, dijo Patterson.
En consecuencia, “las organizaciones deben evaluar su riesgo cuántico, descubrir cifrados vulnerables dentro de sus sistemas y desarrollar una arquitectura criptográfica resistente ahora”, explicó, y agregó que los nuevos estándares ayudarán a las organizaciones a mantener su resiliencia cibernética en el mundo poscuántico.
Si bien las computadoras cuánticas actuales son pequeñas y experimentales, rápidamente se están volviendo más capaces, “y es sólo cuestión de tiempo antes de que lleguen las computadoras cuánticas criptográficamente relevantes (CRQC)”, observó Tim Hollebeek, estratega técnico de estándares e industria de DigiCert.
“Estas son computadoras cuánticas que son lo suficientemente poderosas como para romper la criptografía asimétrica utilizada para proteger las comunicaciones y los dispositivos en Internet, y podrían llegar en tan solo cinco a 10 años”.
Hollebeek añadió: “La buena noticia es que el problema se puede resolver cambiando a nuevos problemas matemáticos difíciles que no sean vulnerables a las computadoras cuánticas, y los nuevos estándares del NIST describen con detalle y precisión exactamente cómo utilizar estos nuevos problemas matemáticos difíciles para proteger Internet. tráfico en el futuro”.
Colin Soutar, líder de preparación cibernética cuántica en EE. UU. y el mundo en Deloitte, calificó los nuevos estándares del NIST como “un gran logro”. Pero señaló que la cuestión clave en torno a la preparación cibernética cuántica no es tanto cuándo existirá un CRQC sino si existe una probabilidad de que exista uno en los próximos cinco a diez años.
En ese caso, las organizaciones deben comprender cuál será su exposición a futuros CRQC y preguntarse cuánto tiempo llevará actualizar su criptografía de clave pública para la confidencialidad e integridad de los datos, dijo.
“Damos la bienvenida a la conciencia más amplia que los estándares NIST evocan en muchas industrias y esperamos que estas actualizaciones se realicen en un proceso voluntario basado en la gestión de riesgos”, dijo Soutar.
