Preparación post-cuántica

A continuación se ofrece una introducción a lo que está sucediendo con la criptografía postcuántica (PQC) en este momento y se describe lo que podría implicar prepararse para la PQC, la emisión de certificados y firmas digitales, y la agilidad criptográfica.

Fondo

¿De qué trata la criptografía post-cuántica?

Para la Infraestructura de Clave Pública (PKI) , la llegada de las computadoras cuánticas significará que la mayoría de los algoritmos en los que confiamos actualmente dejarán de ser seguros. Según el Instituto Nacional de Estándares y Tecnología (NIST):

El objetivo de la criptografía postcuántica es desarrollar sistemas criptográficos que sean seguros contra las computadoras cuánticas y clásicas y que puedan interoperar con los protocolos y redes de comunicaciones existentes.

La cuestión de cuándo se construirá una computadora cuántica a gran escala es compleja. Actualmente, se estima que la llegada de computadoras cuánticas significativas (al menos en este sentido) ocurrirá alrededor de 2030 o poco después.

¿Qué está pasando con la criptografía post-cuántica en este momento?

Lo más importante en este momento es la Competencia Post-Cuántica del NIST, que está llegando a su fase final. Decimos "final" porque ya hay planes para una nueva fase que analice algoritmos de firma. Se espera que, una vez completadas todas las etapas, se cuente con un conjunto de nuevos estándares del NIST que describan algoritmos que seguirán siendo robustos cuando las computadoras cuánticas estén disponibles.

¿Cuándo se publicarán los estándares iniciales de la Competencia de Criptografía Post-Cuántica (PQC)?

El NIST ha declarado que los nuevos estándares se publicarán en 2024. También existe un estándar exclusivo, el SP 800-208, que proporciona parámetros para su uso con XMSS y LMS. El SP 800-208 debería considerarse una solución provisional, ya que tanto XMSS como LMS se consideran complejos de usar de forma segura.

¿Nadie ha implementado aún los finalistas y candidatos suplentes del PQC?

Así es. No sabremos cuáles serán los parámetros, las configuraciones ni, posiblemente, los resultados exactos antes de 2024, fecha prevista por el NIST para la publicación final de los estándares. Bouncy Castle ya ofrece soporte para XMSS y LMS, y planea proporcionar implementaciones iniciales de los finalistas del NIST PQC y de los candidatos alternativos a medida que se finalicen las presentaciones (SPHINCS+, FrodoKEM, Classic McEliece y SABER ya están en fase de desarrollo). Aun así, insistimos en que estas serán implementaciones candidatas; es posible que existan, y muy probablemente, diferencias entre los algoritmos candidatos finales y los estándares finales. Por lo tanto, si bien estas implementaciones serán útiles para la experimentación y las pruebas, no son necesariamente aptas para la producción. Hasta que el NIST publique los estándares finales, todo debe considerarse modificable.

Preparación post-cuántica

Las siguientes secciones desarrollan estrategias para prepararse y exploran desafíos en las siguientes áreas:

  • Criptografía

  • Emisión de certificados y firmas digitales

  • Agilidad criptográfica

Criptografía

La criptografía en la mayoría de los productos de Keyfactor se implementa en las API de criptografía de Bouncy Castle y en los Módulos de Seguridad de Hardware (HSM). En el ámbito de la criptografía, es razonable considerar varias consideraciones.

¿Qué deberías estar haciendo ahora?

Al probar los nuevos algoritmos a medida que estén disponibles las implementaciones candidatas finales, si bien es probable que existan algunas diferencias con los estándares finales, es improbable que las características de los algoritmos cambien. Descubrirá que los tamaños de clave, los tamaños de firma y, en algunos casos, incluso los usos de clave son diferentes a los que conocemos. Es probable que todo esto tenga efectos a largo plazo en la dotación de recursos, el diseño, los protocolos y el rendimiento. Dicho esto, el Gobierno de EE. UU. ya ha indicado que espera que los proveedores adopten estos algoritmos cuando los estándares estén disponibles, y es probable que otros gobiernos y sectores del mercado empresarial hagan lo mismo. ¡Prepárese ahora para evitar sorpresas desagradables en el futuro!

¡2030 está muy cerca! ¿Qué hay de tu PKI? Necesitas un ancla de confianza que perdure mucho más allá de 2030.

También existen dos estándares de firma postcuántica, LMS y XMSS, estandarizados tanto por el NIST (SP 800-208) como por el IETF (RFC 8554 y RFC 8391). Si bien estos algoritmos son seguros en sí mismos, el estándar del NIST exige el uso de un HSM, ya que son algoritmos con estado, lo que significa que con cada firma realizada, el estado de la clave privada debe cambiar ligeramente. Usar el mismo estado de la clave privada dos veces comprometerá la seguridad del algoritmo. Bouncy Castle agregó compatibilidad con LMS en BC 1.65 y XMSS en BC 1.68. LMS también cuenta con un perfil completo de CMS/certificado definido en RFC 8708, lo que lo hace adecuado para su uso en certificados, S/MIME y TSP. La compatibilidad con esto también se agregó en BC 1.70. Si busca una solución hoy, el esquema de firma LMS probablemente sea su mejor opción.

Bouncy Castle también ha comenzado a agregar LMS a las API de BCFIPS, aparecerá en BC-FJA 2.0.0, pero el algoritmo solo estará certificado para verificación de firma, debido a los requisitos de NIST HSM para algoritmos con estado.

Emisión de certificados y firmas digitales

La emisión de certificados y firmas digitales se pueden lograr utilizando algoritmos de criptografía postcuántica.

¿Qué está buscando Keyfactor en materia de firmas digitales?

Keyfactor demostrará la firma de código mediante Criptografía Post-Cuántica (PQC) basada en la jerarquía de CA de PQC en aplicaciones de IoT, ya que se espera que sea una de las primeras áreas donde se aplique PQC. La demostración se basa en el algoritmo SPHINCS+ y estará disponible en el stand de PrimeKey en la conferencia RSA 2022.

Otros casos de uso de firma, como la firma de código para plataformas de propósito general y la firma de documentos para validación pública, dependen del ecosistema PKI actualizado para estos casos de uso donde LMS, estandarizado en SP 800-208, puede ser el más preparado para producción.

¿Qué busca Keyfactor en las autoridades de certificación?

Recomendamos crear una jerarquía independiente de CA de PQC, similar a la que ya es estándar para RSA y EC. Actualmente, no vemos la necesidad de certificados híbridos en el mercado para la mayoría de los casos de uso.

El plan actual es implementar PQC PKI cuando el NIST lo oficialice y realizar pruebas de concepto cuando sea necesario. Para la interoperabilidad, es necesario estandarizar los protocolos X.509, CMS y otros para un uso eficiente. Hasta la fecha, esta estandarización solo se ha implementado para LMS, por ejemplo, en la RFC 8708, lo que convierte a LMS en el algoritmo más cubierto en la SP 800-208.

Por esta razón, para cualquier uso en producción actual, recomendamos usar LMS como ancla de confianza, con algoritmos más convencionales para certificados de CA y de entidad final por ahora. Tenga en cuenta que, si desea usar esto en una situación de FedRAMP, también deberá aprovechar la compatibilidad con HSM, para la cual aún no existe una API estandarizada (PKCS#11 o REST), por lo que requerirá el uso de alguna API propietaria.

Agilidad criptográfica

A medida que se acerca la fecha de implementación de nuevos algoritmos, conviene establecer un alto nivel de agilidad criptográfica en su organización. Esto ya es necesario para el uso de la criptografía clásica (incluso si Quantum nunca se convierte en una amenaza legítima), como lo han demostrado la migración a SHA-1 y otros incidentes en los últimos años.

Una "criptoagilidad" eficaz implica que, para poder actuar a gran escala, es necesario saber dónde actuar. Ser criptoágil implica factores como:

  • Tener un inventario de claves, certificados y algoritmos en uso.

  • Automatización y compartimentación: para poder realizar mejores cambios y reducir los efectos secundarios.

  • Validez más corta: hacer que la agilidad sea obligatoria en productos y soluciones.

Se trata de mucho más que cambiar el nombre de un algoritmo; y Keyfactor puede ayudarle a resolver todos estos temas.

Contáctanos

Nos complace explorar con nuestros usuarios el uso más general de LMS, pero tengan en cuenta que representantes del NIST y varios otros han afirmado que los riesgos asociados con los esquemas basados en hash con estado los hacen más adecuados para claves a largo plazo y usos de baja frecuencia. Si bien TSP es otro posible candidato para LMS, también se debe considerar el uso de marcas de tiempo de archivo, que ofrecen una solución real a largo plazo. Otros algoritmos candidatos se están implementando de abajo a arriba y podrían estar disponibles para experimentos próximamente.

Nuevamente, todo depende de lo que estés intentando hacer, así que no dudes en preguntar , estamos aquí para ayudarte.

Blog - Tres conclusiones clave del Simposio sobre Criptomonedas del Mundo Real

Lea este blog de David Hook de Keyfactor para conocer sus tres conclusiones clave del Simposio Real World Crypto (RWC) 2022 en Ámsterdam; consulte Tres conclusiones clave del Simposio Real World Crypto .