El problema fundamental de la computación que aborda este artículo es la obsolescencia inminente de los algoritmos criptográficos asimétricos actuales (RSA, ECC) frente al desarrollo de computadoras cuánticas criptográficamente relevantes (CRQC). La tesis central es que los plazos para la aparición de CRQC se han acortado drásticamente, haciendo que la migración a criptografía post-cuántica (PQC) sea una prioridad crítica e inmediata, no una preocupación a largo plazo. La ventana de oportunidad para una transición segura se está cerrando rápidamente, con estimaciones de expertos apuntando a 2029 como una fecha límite.

Históricamente, la criptografía se ha basado en la dificultad computacional de ciertos problemas matemáticos para las computadoras clásicas, como la factorización de números grandes o el problema del logaritmo discreto. Sin embargo, algoritmos cuánticos como el algoritmo de Shor pueden resolver estos problemas de manera eficiente, rompiendo la seguridad de RSA y ECC. Aunque la computación cuántica ha sido una promesa distante durante décadas, los recientes avances en hardware (qubits superconductores, átomos neutros) y algoritmos (reducción de requisitos de qubits lógicos y físicos) han acelerado la línea de tiempo, transformando una amenaza teórica en un riesgo operacional inminente.

La urgencia se ve exacerbada por la naturaleza de los ataques de 'store-now-decrypt-later', donde los datos cifrados hoy pueden ser recolectados y descifrados en el futuro por una CRQC. Esto implica que incluso los datos cifrados con algoritmos clásicos que se consideran seguros hoy, podrían ser comprometidos retrospectivamente. La comunidad de seguridad debe pasar de la evaluación de la probabilidad de existencia de una CRQC a la mitigación del riesgo de su aparición, asumiendo que es una posibilidad real y cercana.

Arquitectura del Sistema

La migración a criptografía post-cuántica implica la adopción de nuevos algoritmos asimétricos que son resistentes a ataques cuánticos. Los principales candidatos son los esquemas basados en retículos (lattice-based cryptography), como ML-KEM (Module-Lattice-based Key Encapsulation Mechanism) para intercambio de claves y ML-DSA (Module-Lattice-based Digital Signature Algorithm) para firmas digitales. Estos algoritmos se basan en la dificultad de problemas en retículos, que se cree que son intratables incluso para computadoras cuánticas.

La implementación de ML-DSA presenta desafíos debido a que las firmas son significativamente más grandes que las de ECDSA, lo que requiere adaptaciones en protocolos existentes como X.509. Para el intercambio de claves, la migración a ML-KEM está progresando, pero se enfatiza que cualquier intercambio de claves no-PQ debe considerarse un compromiso potencial. Esto implica la necesidad de abandonar los intercambios de claves no interactivos (NIKEs) por ahora, ya que el toolkit PQ actual se centra en KEMs que solo ofrecen autenticación unidireccional sin interactividad.

El artículo desaconseja las implementaciones híbridas (clásica + post-cuántica) para la autenticación, argumentando que añaden complejidad y retrasan la adopción de soluciones puramente PQC como ML-DSA-44. Para el intercambio de claves, las soluciones híbridas son más viables, especialmente con claves efímeras. En cuanto a la criptografía simétrica, los algoritmos actuales como AES-128 se consideran seguros frente a ataques cuánticos como el algoritmo de Grover, ya que requerirían un tamaño de circuito cuántico prohibitivo (2^106 para un ataque a una clave de 128 bits). Esto significa que no se requiere una migración urgente para la criptografía simétrica.

Un área crítica de preocupación son los Trusted Execution Environments (TEEs) como Intel SGX y AMD SEV-SNP, cuyas claves y raíces de confianza no son post-cuánticas. Esto los hace vulnerables y potencialmente no confiables en un futuro cercano. Los ecosistemas con identidades criptográficas (ej. criptomonedas) y el cifrado de archivos también son particularmente vulnerables, requiriendo una migración temprana para evitar compromisos masivos o la inutilización de datos.

Flujo de Migración de Criptografía Asimétrica

  1. 1 Identificación de Activos Inventariar todos los sistemas y datos protegidos por criptografía asimétrica...
  2. 2 Evaluación de Riesgos Determinar la exposición a ataques 'store-now-decrypt-later' y la vida útil d...
  3. 3 Selección de Algoritmos PQ Adoptar ML-KEM para intercambio de claves y ML-DSA para firmas digitales (ej....
  4. 4 Adaptación de Protocolos Modificar X.509 y otros formatos para acomodar firmas ML-DSA más grandes.
  5. 5 Implementación y Pruebas Integrar las nuevas primitivas PQ en bibliotecas y aplicaciones, con pruebas ...
  6. 6 Despliegue y Monitoreo Rollout gradual, monitoreando rendimiento y compatibilidad, priorizando la se...
CapaTecnologíaJustificación
security ML-KEM Mecanismo de encapsulación de claves post-cuántico para establecer secretos compartidos. vs RSA-KEM, ECDH
security ML-DSA Algoritmo de firma digital post-cuántico para autenticación e integridad. vs RSA-PSS, ECDSA ML-DSA-44 (NIST Level 2, preferido sobre ML-DSA-65 o ML-DSA-87 por eficiencia).
security X.509 Formato de certificado digital que requiere adaptación para firmas ML-DSA más grandes.
security AES-128 Algoritmo de cifrado simétrico considerado resistente a ataques cuánticos (Grover).

Trade-offs

Ganancias
  • ▲▲ Seguridad a largo plazo
  • Mitigación de riesgo de CRQC
Costes
  • Tamaño de firmas y claves
  • Complejidad de implementación y adaptación de protocolos
  • Rendimiento (potencialmente)

Fundamentos Teóricos

La amenaza a la criptografía asimétrica actual se predijo con la publicación del algoritmo de Shor en 1994 por Peter Shor. Este algoritmo demostró que una computadora cuántica suficientemente potente podría factorizar números grandes y resolver el problema del logaritmo discreto en tiempo polinomial, lo que comprometería la seguridad de RSA y ECC, respectivamente. La existencia de este algoritmo fue la chispa que inició la investigación en criptografía post-cuántica, buscando esquemas que resistieran ataques de computadoras cuánticas.

Los algoritmos de retículos, como ML-KEM y ML-DSA, se basan en la dificultad de problemas como el Shortest Vector Problem (SVP) y el Closest Vector Problem (CVP) en retículos, que se cree que son NP-hard y no tienen un speedup cuántico conocido. La investigación en esta área ha sido activa durante décadas, con contribuciones significativas de criptógrafos como Ajtai, Dwork, Regev, y Gentry, entre otros, que sentaron las bases teóricas para la seguridad de estos esquemas. La estandarización actual de ML-KEM y ML-DSA por parte del NIST es el resultado de un esfuerzo colaborativo de la comunidad académica y de la industria para seleccionar y validar estos algoritmos, basándose en décadas de investigación teórica y criptoanálisis.