Quantum Computing Cybersecurity Preparedness Act: Comienza la era de Ciberseguridad Post-Quantum en Estados Unidos
El gobierno de Estados Unidos ha decidido aprobar en el congreso la llamada «Quantum Computing Cybersecurity Preparedness Act«, que abre el camino de la era de ciberseguridad post-cuántica en la seguridad de la administración de EEUU. Ha sido firmada por el presidente Biden, y en ella se establecen los primeros pasos a tomar para preparar los sistemas criptográficos para la llegada en algún momento en el tiempo, de los ordenadores cuánticos.
Comienza la era de Ciberseguridad Post-Quantum en Estados Unidos
Mucho se ha hablado de los problemas de ciberseguridad que existirán cuando los ordenadores cuánticos sean una realidad práctica en nuestras vidas, ya que las «complejas» operaciones matemáticas que hoy en día garantizan la confidencialidad de los datos que hoy se cifran con nuestros algoritmos criptográficos, ya no servirán con la existencia de equipos informáticos cuánticos, lo que dejará al descubierto todos los datos que hoy protegemos. Grandes investigadores, como son el Dr. Ignacio Cirac o el Dr. Luciano Bello, que dedican su trabajo al campo de la computación cuántica, llevan años en sus ponencias hablando del impacto que en el mundo de la ciberseguridad.
En el libro de «El cifrado de las comunicaciones digitales: De la cifra clásica a RSA (2ª Edición)«, tienes la base de toda la criptografía clásica y moderna de nuestros sistemas, y con la llegada en el futuro, que sea en la década del 2030, todas esas protecciones caerán, y podríamos tener muchas consecuencias no deseadas. Datos cifrados capturados en transmisiones, copias de archivos con claves olvidadas, volúmenes de almacenamiento con datos confidenciales protegidos, etcétera, se abrirán para todos.
Figura 3: Libro de Cifrado de las comunicaciones digitales: de la cifra clásica a RSA 2ª Edición de 0xWord |
Hace ya años, en el artículo de Quantum Cryptography, os contaba cómo en Telefónica habíamos utilizado tecnología cuántica para hacer el cifrado de datos, que es otra aproximación válida, ya que se basa en proteger las claves de cifrado compartiéndolas con tecnología cuántica. Una aproximación válida hoy en día, pero que no funcionaría en el futuro si el algoritmo de cifrado no fuera PQE, ya que permitiría al atacante acceder a la información incluso sin clave.
Figura 4: PoC de cifrado cuántico de Telefónica, la UPM y Huawei
Con el objetivo de preparase, se lleva años trabajando en los algoritmos PQE (Post-Quantum Encryption), que utilizan diferentes aproximaciones para evitar el uso de las funciones matemáticas que hoy son útiles, pero con la llegada de los ordenadores cuánticos dejarán de serlo. Y es por ello que se lleva trabajando en la elección de algoritmos criptográficos PQE desde el hace años para que, con tiempo, preparamos la seguridad de la información de nuestros datos, y fueron anunciados en Julio de este año.
Algoritmos de cifrado post-cuántico elegidos por el NIST
Para ello el NIST ha estado trabajando en el programa de Post-Quantum Cryptography Standarization en la elección de cuáles deberían de ser esos algoritmos PQE, que al final fueron cuatro los elegidos. Para el cifrado general, se eligió a Crystals-Kyber como el algoritmo a utilizar para cifrado público.
Figura 5: Algoritmos PQE elegidos por NIST: Cifrado público
Para firma digital, los algoritmos elegidos han sido tres, que son Crystals-Delithium, Falcon y Sphincs+, que están totalmente documentados, y disponibles para que todo el mundo los pueda implementar.
Figura 6: Algoritmos PQE elegidos por NIST: Firma Digital
Ahora, ya que existe una recomendación clara de cuáles son los algoritmos de criptografía post-quantum, lo que ha aprobado el gobierno de EEUU en su Quantum Computing Cybersecurity PreparednessAct es comenzar el proyecto de transformación de todos los algoritmos criptográficos a un modelo PQE, por lo que con el nuevo acto se insta a dos cosas:
- Establecer cuáles son las guías de transición para migrar a algoritmos PQE para toda la administración.
- En un plazo máximo de 15 meses, se presente la estrategia nacional de ciberseguridad para la era post-quantum.
Lo que llevará a trabajar en criptografía mirando, y dando por hecho, en breve habremos entrado en una nueva era. No está mal para terminar el año.
¡Saludos Malignos!
Autor: Chema Alonso (Contactar con Chema Alonso)
Powered by WPeMatico