Solo en los últimos tres meses, hemos visto tres incidentes importantes (muy diferentes) que han impactado la Infraestructura Nacional Crítica (CNI) de Estados Unidos. El primero fue un apagón generalizado en la red eléctrica de Texas que dejó a millones de personas sin electricidad y sin servicios vitales funcionando con generadores de emergencia. Otros dos ataques son más recientes, con ataques de ransomware que afectan a Colonial Pipeline y a la empresa de procesamiento de carne más grande del mundo . Para mí, estos eventos son solo una pequeña vista previa de lo que un ataque de futuras computadoras cuánticas, con su extraordinaria capacidad para descifrar los sistemas de cifrado existentes, podría hacer en la infraestructura y las empresas en las que más confiamos.
Si bien muchos pueden considerar la amenaza cuántica como alarmante en el peor de los casos, y “no en mi vida” en el mejor de los casos, no están considerando las amenazas muy reales que las computadoras cuánticas pueden tener en la actualidad. Si queremos evitar las catastróficas consecuencias económicas y para la salud de un ataque de computadora cuántica a nuestro CNI, que se predice que serán mucho más prolongados y mucho peores en sus efectos, debemos comenzar a tomar en serio la amenaza cuántica, ahora mismo.
¿Qué es la amenaza cuántica?
Las máquinas cuánticas son extremadamente buenas para realizar grandes cantidades de cálculos en paralelo, mientras que las computadoras de hoy tienen que resolver los problemas uno a la vez. Como tal, pueden obtener conocimientos de pequeños conjuntos de datos, lo que les permitirá romper el cifrado de clave pública actual.
Entonces, si bien las computadoras cuánticas prometen beneficios revolucionarios para muchas industrias, también representan una amenaza existencial para el cifrado de clave pública existente, como RSA, que permite el comercio digital, las comunicaciones seguras y el acceso remoto a los servicios financieros en los que todos confiamos hoy.
Sin embargo, a este problema se suma el hecho de que el descifrado cuántico se puede aplicar retrospectivamente, en el sentido de que las bases para un ataque de “recopilar ahora, descifrar más tarde” podrían establecerse hoy. Esto significa que, si un estado-nación deshonesto o un mal actor interceptara los datos hoy, podrían descifrar estos datos recolectados una vez que las capacidades de las computadoras cuánticas superen las de las computadoras clásicas, a menudo denominadas “Y2Q”.
El camino hacia la estandarización
En 2014, el Instituto Nacional de Estándares y Tecnología (NIST) sugirió que para 2030 se construiría una computadora cuántica capaz de romper RSA de 2000 bits. En respuesta, NIST lanzó un proceso para desarrollar nuevos algoritmos que puedan resistir la amenaza cuántica.
Este proceso creará una nueva generación de herramientas criptográficas resistentes a los cuánticos (a menudo llamadas ” criptografía post-cuántica ” o PQC), que reemplazarán, o complementarán, los estándares actuales y contrarrestarán las computadoras cuánticas. Fundamentalmente, se espera que un nuevo estándar de cifrado esté listo para fines de este año.
Si bien muchos esperan que surja el estándar del NIST antes de tomar medidas sobre el cifrado cuántico, las cosas no son tan simples. La criptografía ha sido una técnica fundamental en el panorama de la seguridad de la información y la hemos integrado en casi todo lo que hacemos. La mayoría de las organizaciones necesitarán revisar toda su infraestructura criptográfica y de seguridad de la información para garantizar que los sistemas sean seguros cuánticamente y estén en línea con los nuevos estándares del NIST. Sin embargo, reemplazar RSA y Elliptic Curve no ocurrirá de la noche a la mañana y podría llevar años completarlo.
Solo piense en la desaprobación de SHA1 y cuánto tiempo tomó esta transición: se recomendó cuatro o cinco años antes de que entrara en vigencia, pero finalmente tomó más de 13 años desde la etapa de recomendación hasta que se produjo un cambio generalizado. La transición a la criptografía post-cuántica será mucho más compleja, por lo que debemos actuar ahora si queremos estar preparados cuánticamente a tiempo para Y2Q. Pero, ¿por dónde empezar? Aquí están mis 3 sugerencias:
1. Asigne recursos y cree un equipo dedicado: si aún no lo ha hecho, el mejor lugar para comenzar es crear un equipo dedicado, asignar la inversión de recursos y construir un plan de proyecto. Después de establecer este equipo, primero deben realizar una auditoría de inventario para evaluar qué dispositivos, sistemas y aplicaciones en su entorno están utilizando criptografía de clave pública. Esto lo ayudará a trazar una ruta de migración que priorice los activos de alto valor, al tiempo que identifica cualquier impacto esperado en los sistemas operativos. Será vital enfocarse primero en los sistemas más críticos y vulnerables, particularmente aquellos que son externos y se refieren a la autenticación.
2. Adopte un enfoque cripto-ágil: no podemos estar seguros de qué algoritmos de seguridad cuántica NIST estandarizará y, debido a que estos algoritmos aún son relativamente nuevos, es posible que no desee eliminar por completo los estándares actuales. Después de todo, las computadoras cuánticas todavía son demasiado primitivas para romper los estándares de cifrado actuales, por lo que usar los métodos actuales sigue siendo una forma efectiva de protegerse contra las amenazas actuales a la seguridad de la información. Por lo tanto, a medida que hacemos la transición a la seguridad cuántica segura, es importante practicar la ‘criptoagilidad’.
La criptoagilidad es el proceso de comprender qué medidas criptográficas existentes se pueden migrar a soluciones listas para usar. Adoptar este enfoque significa que es posible mantener la criptografía clásica probada y comprobada que usamos hoy, como RSA, junto con uno o más algoritmos post-cuánticos, mientras que también ayuda a los equipos de seguridad a priorizar los ajustes que abordan primero al ingresar a la fase de migración. Este enfoque cripto-ágil ofrecerá una mayor seguridad contra los ataques tradicionales y las amenazas futuras.
Esto es vital ya que muchos dispositivos, sistemas y aplicaciones que dependen del cifrado para la seguridad ahora buscan implementarse y se espera que tengan una vida útil de más de 10 años, si no son lo suficientemente ágiles criptográficamente para hacer frente a un futuro ataque cuántico, las organizaciones se volverán vulnerables en el futuro.
3. Por lo menos, céntrese en la identidad: en el futuro, necesitaremos que toda nuestra infraestructura digital sea de extremo a extremo a prueba de cuántica, pero, si no está seguro de por dónde empezar, la identidad debería ser la consideración más importante ahora. ya que es la llave del castillo. Puede asegurar todos sus otros cifrados, pero si alguien puede acceder a su sistema de identidad, entonces no importa qué más haga: sus sistemas pensarán que es la persona adecuada, para que puedan obtener acceso ‘legítimo’ a sus sistemas. e infraestructura.
No tiene mucho sentido proteger toda su infraestructura si no ha considerado también la identidad, y comenzar en el front-end del ecosistema de seguridad de la información también le permitirá abordar uno de los sistemas históricamente más desafiantes para que una organización lo actualice o lo reemplace.
Fuente:
Editor’s Choice. (2021b, junio 14). Why quantum computers are a risk to your business today, and what you can do about it. Recuperado 14 de junio de 2021, de https://www.information-age.com/why-quantum-computers-risk-your-business-what-to-do-about-it-123495596/