Tips para la seguridad en la computación post-cuántica
El 71% de los profesionales de TI reconocen la amenaza de la computación cuántica para la criptografía existente.
Avesta Hojjati, Head of R&D en DigiCert.
Tras décadas de investigaciones en el campo “cuántico”, esta nueva era se caracteriza por el surgimiento de tecnologías cuánticas con aplicaciones en distintas industrias e impacto en la vida cotidiana.
¿Para qué puede ayudar la computación cuántica? Aumentará fundamentalmente la potencia de procesamiento, lo que podría significar avances interesantes desde la física de partículas hasta el aprendizaje automático y la ciencia médica.
¿Por qué son tan importantes las computadoras cuánticas? Algunos puntos estratégicos para entender la era de la computación cuántica son los siguientes:
- Representa el siguiente paso evolutivo en mecánica cuántica.
- Combina la teoría de la información con la mecánica cuántica.
- Procesa enormes cantidades de datos a la vez.
- Posee capacidades para llegar rápidamente a respuestas no lineales.
- Factores números primos mucho más rápido que las computadoras existentes, amenazando el cifrado de clave pública cuando está en las manos equivocadas.
Desafortunadamente, este último punto es una desventaja para las organizaciones que intentan mantener sus datos seguros. En esta realidad de computación post-cuántica (PQC), los algoritmos de cifrado actuales no serán rival para el rápido descifrado de código posible con las computadoras cuánticas. Los ciberdelincuentes aprovecharán esta capacidad una vez que las computadoras cuánticas sean más accesibles.
Según la encuesta DigiCert Post Quantum Crypto Survey de 2019, el 71% de los profesionales de TI reconocen la amenaza que representa la computación cuántica para la criptografía existente, para los encuestados esta amenaza les preocupa ya que puede surgir para el año 2022. En general las empresas tienen dudas sobre la mejor manera de responder ante estas amenazas.
Esta amenaza es inminente. Es probable que los ciberdelincuentes acumulen datos cifrados en anticipación del día en que las computadoras cuánticas estén disponibles para el público en general y puedan usarlas para romper la criptografía moderna, ante este panorama las empresas no deberían esperar por lo tanto, es fundamental identificar el conocimiento de la empresa sobre la amenaza de la computación cuántica y su nivel actual de preparación para un futuro PQC.
Avesta Hojjati, Head of R&D en DigiCert indica: ‘Determinar el grado de conocimiento y el nivel de preparación de la empresa determinará el nivel de madurez PQC de la empresa. Una vez que una empresa logra el dominio, se encuentra en un lugar excelente para anticipar las necesidades de seguridad y proteger los sistemas y aplicaciones críticos. Cada nivel conlleva sus propios riesgos, incluido el dominio, ya que podría ser tentador volverse demasiado confiado, relajar los estándares de seguridad y volver a un nivel anterior’.
Tip No.1: aumentar la cripto-agilidad: En la cripto-agilidad, las empresas se esfuerzan por obtener un método eficiente para identificar y reemplazar sin esfuerzo algoritmos criptográficos obsoletos cuando sea necesario. Primero, es importante identificar todos los servidores (protocolos, bibliotecas, algoritmos y certificados) que utilizan cifrado dentro de una organización. Una forma de hacerlo es mediante la adopción de una plataforma de administración de certificados que automatice la administración del ciclo de vida del certificado. En segundo lugar, es primordial documentar lo que se ha aprendido como parte de un plan que incluye cómo se identificará y resolverá los problemas de cifrado. En tercer lugar, es clave preguntar a los proveedores externos cómo planean protegerse contra las amenazas cuánticas y así mismo verificar que los nuevos proveedores estén bien preparados.
Tip No.2: Identificar el HSM correcto: Las organizaciones confían en los módulos de seguridad de hardware (HSM) para proteger las claves personalizadas utilizadas en su infraestructura de clave pública (PKI). Para ello es importante que las empresas, investiguen cómo se están utilizando, si se pueden actualizar para admitir el cifrado de seguridad cuántica y, de ser así, qué tan rápido podrían ocurrir esas actualizaciones. Las firmas de seguridad digital Gemalto y Ultimaco, entre otras, ofrecen HSM con seguridad cuántica.
Tip No.3: Confiar en los certificados SSL: Varias compañías, incluidas Google y Microsoft, tienen la mejor práctica para Always On SSL (AOSSL), según la publicación del blog de Internet Society “Best Practice: Always On SSL (AOSSL)”. Los certificados SSL / TLS permiten a los visitantes del sitio web saber que el sitio es auténtico y que los datos que ingresen se cifrarán. Con AOSSL, las compañías pueden aplicar cifrado en todos los sitios web (internos y externos), reduciendo la exposición de la compañía a ataques cibernéticos como Man-In-The-Middle (MITM).
‘Un enfoque importante para prepararse para las amenazas criptográficas post cuánticas es ganar agilidad en el cifrado. Un AOSSL correctamente implementado facilita la actualización de los algoritmos de cifrado en respuesta a las amenazas de computación cuántica que surjan en el futuro’, añadió Avesta Hojjati.
Tip No.4: Comprobar la estrategia PQC: Las empresas que están mejor equipadas para la era de PQC regularmente prueban su seguridad para asegurarse de que se mantenga en caso de una verdadera amenaza. Por lo general, eso significa observar cómo funcionan sus certificados en un entorno de espacio aislado para que puedan ajustar su enfoque si algo no funciona de manera efectiva. Conocer su entorno, tener una amplia visibilidad de la organización y tomar las medidas correctas en el momento de un tratamiento real son pasos esenciales para protegerse contra la amenaza causada por las computadoras cuánticas.
La amenaza que representa la computación cuántica para el cifrado se ha avecinado durante años. Por lo tanto si las empresas no han tomado medidas hasta ahora es muy importante determinar su nivel de conocimiento, preparación y tomar medidas para avanzar en ambos casos. Cuanto más se pueda mejorar en ambas áreas, mejor será cuando los ciberdelincuentes comiencen a usar computadoras cuánticas para descifrar criptografía que antes eran difíciles de descifrar.
Nota del traductor Según estudios de prestigiosos criptógrafos las computadoras cuánticas podrán eventualmente atacar a los métodos asimétricos pero NO a los simétricos.