¿El mundo estará listo para la era de la computación cuántica? Es importante plantearse esta pregunta, ya que la computación cuántica aumentará fundamentalmente la potencia de los procesamientos, lo que podría significar avances en campos que van desde la física de partículas hasta el aprendizaje automático y la ciencia médica, pero también aumentará los riesgos de seguridad de los datos.
La computación cuántica ha logrado un progreso significativo en 2020, y si duda los avances en 2021 lo acercarán más a la realidad que nunca. Sin embargo, la preparación para la computación post-cuántica probablemente llevará más tiempo del esperado y los usuarios deberán empezar a prepararse ahora para proteger su organización.
Predicciones Post-cuánticas para 2021
Dados los muchos avances realizados este año para lograr ordenadores cuánticos prácticos a gran escala, la predicción más fácil para 2021 es que estos avances continuarán. Y esa predicción será casi con certeza correcta, ya que se puede esperar que una empresa anuncie en 2021 que ha utilizado una computadora cuántica para resolver con éxito un problema práctico que no pueden resolver las supercomputadoras convencionales.
Resolver un problema con la tecnología cuántica que no pueden solucionar las supercomputadoras convencionales, es el siguiente hito importante en la evolución de las computadoras cuánticas comercialmente viables. Por sí solo, no significa que los métodos de cifrado como RSA o ECC estén en riesgo, ya que para romper los algoritmos de cifrado se requieren computadoras cuánticas bastante grandes, y esas no existirán en 2021. Pero la capacidad de resolver problemas prácticos impulsará una inversión adicional en desarrollar mejores computadoras cuánticas. Ese es el mismo circuito de retroalimentación virtuoso que llevó a la ley de Moore, donde las computadoras clásicas se volvieron exponencialmente más poderosas cada año.
“Las transiciones criptográficas llevan tiempo, a menudo décadas, por lo que las organizaciones deberán comenzar a prepararse ahora si quieren estar listas cuando existan computadoras cuánticas escalables y capaces. Las organizaciones de estándares y los expertos en seguridad deben estar ocupados trabajando para sentar las bases de esas transiciones”, dijo Avesta Hojjati, director de I + D de DigiCert.
Cómo determinar la preparación de PQC de su organización
Es probable que los ciberdelincuentes acumulen datos encriptados antes del día en que las computadoras cuánticas estén disponibles para el público en general, y puedan usarlas para romper la criptografía moderna. Las empresas tampoco deberían esperar, es por ello que es fundamental identificar el conocimiento de la empresa sobre la amenaza de la computación cuántica y su nivel actual de preparación para un futuro de PQC.
“Una vez que una empresa logra el dominio, está en un lugar excelente para anticipar las necesidades de seguridad y proteger los sistemas y aplicaciones críticas. Cada nivel conlleva sus propios riesgos, incluido el dominio, ya que podría ser tentador volverse demasiado confiado, relajar los estándares de seguridad y volver a un nivel anterior. Dar algunos pasos ahora puede ayudar a las organizaciones a adelantarse a los desafíos que se avecinan con rapidez”, agregó Hojjati.
Pasos de Ciberseguridad hacia la era cuántica
Paso # 1: Aumentar la cripto-agilidad
Mediante la criptoagilidad, hay un esfuerzo por encontrar un método eficaz para identificar y reemplazar sin esfuerzo los algoritmos criptográficos obsoletos cuando sea necesario. Primero, es importante identificar todos los servidores (protocolos, bibliotecas, algoritmos y certificados) que utilizan cifrado dentro de la organización. Una forma de hacerlo es mediante la adopción de una plataforma de gestión de certificados que automatice la gestión del ciclo de vida de los certificados. En segundo lugar, se debe documentar lo que se ha aprendido como parte de un plan que incluya cómo se identificará y resolverá los problemas de cifrado. En tercer lugar, preguntar a los proveedores externos cómo planean protegerse contra las amenazas cuánticas. Y verificar que los posibles nuevos proveedores también estén preparados.
Paso # 2: Identificar el HSM correcto
Las organizaciones confían en los módulos de seguridad de hardware (HSM) para proteger las claves personalizadas utilizadas en su infraestructura de clave pública (PKI). Si su empresa es una de ellas, averigüe cómo se utilizan, si se pueden actualizar para admitir claves de residencia cuántica y, de ser así, qué tan rápido podrían ocurrir esas actualizaciones. Las firmas de seguridad digital Gemalto y Utimaco, entre otras, ofrecen HSM de seguridad cuántica.
Paso # 3: Adoptar Always On SSL
Varias empresas, incluidas Google y Microsoft, tienen las mejores prácticas para Always On SSL (AOSSL), según la publicación del blog de Internet Society «Best Practice: Always On SSL (AOSSL)». Los certificados SSL / TLS permiten a los visitantes del sitio web saber que el sitio es auténtico y que todos los datos que ingresen estarán encriptados. Con AOSSL, las empresas pueden aplicar cifrado en todos los sitios web (internos y externos), lo que reduce la exposición de la empresa a ciberataques como Man-In-The-Middle (MITM).
Un enfoque importante para prepararse para las amenazas criptográficas post-cuánticas es obtener agilidad de cifrado. Un AOSSL correctamente implementado, facilita la actualización de los algoritmos de cifrado en respuesta a las amenazas de la computación cuántica que surjan en el futuro.
Paso # 4: Poner a prueba la estrategia de PQC
Las empresas que están mejor equipadas para la era de PQC no adoptan un enfoque de seguridad de configurar y olvidar. En cambio, prueban regularmente su seguridad para asegurarse de que se mantenga en el caso de una verdadera amenaza. Por lo general, eso significa observar cómo funcionan los certificados en un entorno de zona de pruebas para que puedan ajustar su enfoque si algo no funciona de manera efectiva. Conocer su entorno, tener una amplia visibilidad de la organización y tomar la acción correcta en el momento de un verdadero placer son pasos esenciales para estar protegido contra la amenaza causada por las computadoras cuánticas.
La amenaza que representa la computación cuántica para el cifrado se ha estado gestando durante años. Si su empresa no ha tomado medidas hasta ahora, no hay tiempo que perder. Cuanto más pueda mejorar, mejor estará cuando los ciberdelincuentes comiencen a usar computadoras cuánticas para descifrar la criptografía que antes era difícil de descifrar.