By Noticias IQT publicado el 12 de octubre de 2022
(Por el equipo post-cuántico) Las computadoras cuánticas son la mayor amenaza existencial para la seguridad de la información del mundo. Una vez que surja una máquina lo suficientemente poderosa, los estándares de criptografía de clave pública (PKC) que actualmente salvaguardan el mundo digital quedarán obsoletos en un instante, causando daños inconmensurables a industrias enteras, desde la seguridad nacional hasta la banca y las redes de servicios públicos.
Aunque se desconoce la fecha exacta en la que se romperá el PKC, la amenaza de que los adversarios recopilen datos ahora con miras a descifrarlos cuando surja una máquina suficientemente potente (también conocida como Harvest Now, Decrypt Later) es real y está ocurriendo hoy.
Dada la inmediatez del problema, los gobiernos y los organismos reguladores han comenzado a actuar, particularmente en Estados Unidos (EE.UU.). Pero, ¿qué significan estas acciones en la práctica y qué medidas pueden tomar las organizaciones en mayor riesgo para salir adelante?
Los gobiernos exigen medidas
2022 ha sido un hito importante en el futuro de la seguridad poscuántica.
Después de más de seis años de deliberaciones, el Instituto Nacional de Estándares y Tecnología (NIST) dio a conocer sus recomendaciones para la estandarización de un nuevo algoritmo resistente a los cuánticos en julio. CRISTALES-Kyber fue seleccionado para cifrado general, y CRISTALES-Dilithium, FALCONy SPHINCS + fueron seleccionados para firmas digitales.
El NIST también ha presentado otros cuatro candidatos para un escrutinio adicional, uno de los cuales es Classic McEliece, una presentación conjunta de nuestro equipo en Post-Quantum. El organismo nacional de seguridad cibernética de Alemania conocido como BSI, y la equivalente holandés, ya recomiendan que las empresas utilicen e implementen Classic McEliece debido a sus inigualables credenciales de seguridad.
A medida que los gobiernos europeos comienzan a tomar medidas, también lo han hecho los EE. UU. En mayo, la Administración Biden emitió el Memorando de Seguridad Nacional 10. Entre otras cosas, el memorando establece la dirección que las agencias gubernamentales de los EE. UU. deben tomar para migrar sistemas criptográficos vulnerables a sistemas criptográficos resistentes a los cuánticos. criptografía.
Unos meses más tarde, la Ley de Preparación para la Ciberseguridad de la Computación Cuántica fue aprobada en la Cámara tras su introducción en abril de 2022. De manera similar al memorando de Biden, el proyecto de ley busca abordar la migración de los sistemas de información de las agencias ejecutivas a la criptografía poscuántica (PQC). Ordena que las agencias federales necesitarán preparar un inventario de elementos para la transición a los nuevos estándares, y a la OBM (Oficina de Presupuesto y Gestión) se le daría un año para preparar un presupuesto y una estrategia para la transición lejos de los estándares criptográficos actuales. estándares. También se exigiría a las agencias que actualizaran estos sistemas anualmente y el Congreso recibiría un informe anual sobre su situación.
A continuación, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) publicó un conjunto de directrices para organizaciones de infraestructura crítica que buscan una transición sin problemas. Aunque es poco probable que se confirme el estándar final del NIST antes de 2024, el CISA publicó un documento: 'Preparación de infraestructura crítica para la criptografía poscuántica' – destacando la necesidad de que la infraestructura crítica comience la migración ahora para mitigar los riesgos de la computación cuántica y los ataques HNDL.
Es importante destacar que la CISA no está sola en sus esfuerzos por enfatizar la ventaja de comenzar la migración ahora. El Departamento de Seguridad Nacional (DHS) publicó su propio 'Hoja de ruta de criptografía poscuántica' destacando la necesidad de comenzar a sentar las bases de inmediato, y la Alianza de seguridad en la nube (CSA) ha fijado como fecha límite abril de 2030 para que todas las empresas hayan implementado una infraestructura poscuántica.
Próximos pasos para las agencias federales y más allá
A medida que los gobiernos y los reguladores comienzan a exigir acciones, particularmente cuando se trata de migrar agencias e industrias gubernamentales de alto riesgo, el costo de la inacción está aumentando.
Pero más allá de las hojas de ruta y la clara necesidad inicial de hacer un balance de dónde se utiliza PKC hoy en día, ¿qué más deberíamos considerar?
- Priorizar la criptoagilidad, la interoperabilidad y la compatibilidad con versiones anteriores
Al pensar en la transición, es importante tener en cuenta los siguientes tres conceptos para asegurarse de equilibrar la seguridad con la agilidad.
- Usando soluciones interoperables: para que pueda establecer comunicaciones seguras con socios independientemente de los algoritmos de cifrado que utilicen.
- Garantizar la compatibilidad con versiones anteriores: por lo que el cifrado cuántico seguro se puede introducir sin problemas en sus sistemas de TI existentes.
- Practicando la criptoagilidad: para que pueda utilizar cualquier combinación de algoritmos poscuánticos del NIST o cifrado tradicional
- Introducir productos que reflejen estos conceptos para obtener un mayor nivel de flexibilidad.
Una vez que se ha seleccionado un proveedor de soluciones, es importante considerar si los productos que ofrece tienen estos pilares integrados en el diseño.
Un ejemplo de un paso introductorio en la migración poscuántica es la selección de una red privada virtual (VPN) de seguridad cuántica para proteger los flujos de comunicación de datos a través de la red pública de Internet. El post-cuánticoVPN híbrida poscuántica' fue probado recientemente con éxito por la OTAN y combinó nuevos algoritmos de cifrado tradicionales y de seguridad cuántica para mantener un sistema interoperable.
- No descuides la identidad; de hecho, deberías empezar por ella.
Podría proteger el resto de sus cifrados, pero si alguien puede acceder a su sistema de identidad, entonces no importa qué más haga: sus sistemas pensarán que es la persona adecuada, por lo que podrán obtener acceso "legítimo" a sus sistemas. e infraestructura.
Es decir, no tiene mucho sentido proteger toda su infraestructura si no ha considerado también la identidad, y comenzar en el front-end del ecosistema de seguridad de la información también le permitirá abordar uno de los sistemas históricamente más difíciles de actualizar para una organización. o reemplazar.
En el futuro, necesitaremos que toda nuestra infraestructura digital sea a prueba de cuántica de extremo a extremo pero, si no está seguro de por dónde empezar, la identidad debería ser la consideración más importante ahora, ya que es la clave del castillo.
PATROCINADO
Post-Quantum es el patrocinador Diamante del próximo Evento IQT Quantum Cybersecurity en Nueva York, del 25 al 27 de octubre de 2022. El director ejecutivo, Andersen Chang, pronunciará el discurso de apertura.
