El problema fundamental que aborda este avance es la obsolescencia inminente de la criptografía de clave pública clásica frente a la computación cuántica. La amenaza de los ataques de 'cosechar ahora, descifrar después' (harvest-now-decrypt-later), donde los datos cifrados hoy pueden ser almacenados y descifrados por computadoras cuánticas futuras, exige una transición proactiva a algoritmos resistentes a cuánticos.

Aunque TLS ha avanzado rápidamente en la adopción de PQC híbrida, IPsec, crucial para la seguridad de las redes WAN y la conectividad site-to-site, ha enfrentado un retraso de aproximadamente cuatro años. Este retraso se debe en parte a la fragmentación de la comunidad IPsec y a la persistencia en explorar soluciones como la Distribución de Clave Cuántica (QKD), que no son escalables a Internet. La necesidad de una solución PQC interoperable y escalable para IPsec es crítica para asegurar la infraestructura de red global antes de la llegada de computadoras cuánticas capaces de romper los esquemas criptográficos actuales.

La solución propuesta se centra en la estandarización y adopción de ML-KEM híbrido (FIPS 203) dentro del protocolo IKEv2 de IPsec, permitiendo una transición segura y compatible con el hardware existente. Esto representa un esfuerzo concertado para alinear IPsec con los avances en PQC ya vistos en TLS y mitigar el riesgo cuántico a escala de Internet.

Arquitectura del Sistema

La implementación de criptografía post-cuántica en Cloudflare IPsec se basa en el borrador IETF draft-ietf-ipsecme-ikev2-mlkem, que especifica el uso de ML-KEM (Module-Lattice-Based Key-Encapsulation Mechanism) en un esquema híbrido. Este esquema combina la seguridad de los algoritmos clásicos de Diffie-Hellman con la resistencia cuántica de ML-KEM.

El handshake de IPsec modificado opera de la siguiente manera: primero, se realiza un intercambio clásico de Diffie-Hellman. La clave derivada de este intercambio se utiliza para cifrar un segundo intercambio, que ejecuta el algoritmo ML-KEM. Finalmente, las salidas de ambos intercambios (Diffie-Hellman y ML-KEM) se mezclan para generar las claves de sesión que aseguran el tráfico del plano de datos de IPsec, utilizando el protocolo Encapsulating Security Payload (ESP).

Esta arquitectura híbrida asegura una 'seguridad de respaldo' (fallback security): si uno de los algoritmos (clásico o post-cuántico) fuera comprometido, el otro aún proporcionaría seguridad. ML-KEM, al ser un algoritmo basado en retículos, está diseñado para ser implementado en software sobre procesadores estándar, eliminando la necesidad de hardware especializado o enlaces físicos dedicados, lo que es crucial para la escalabilidad a nivel de Internet. La interoperabilidad se ha logrado con implementaciones de Strongswan, Cisco 8000 Series Secure Routers (versión 26.1.1+) y Fortinet FortiOS (versión 7.6.6+), demostrando la viabilidad de un estándar unificado.

Handshake Híbrido ML-KEM en IPsec IKEv2

  1. 1 Inicio IKEv2 Cliente inicia el intercambio de claves IKEv2.
  2. 2 Intercambio Diffie-Hellman Se realiza un intercambio clásico de Diffie-Hellman para establecer una clave...
  3. 3 Cifrado con DH Key La clave derivada de Diffie-Hellman se usa para cifrar el siguiente paso.
  4. 4 Intercambio ML-KEM Se ejecuta el algoritmo ML-KEM para generar una clave post-cuántica.
  5. 5 Mezcla de Claves Las salidas de Diffie-Hellman y ML-KEM se mezclan para formar las claves de s...
  6. 6 Establecimiento ESP Las claves de sesión aseguran el tráfico del plano de datos IPsec (ESP).
CapaTecnologíaJustificación
security IPsec Protocolo de seguridad de red para establecer túneles VPN site-to-site y WAN. vs OpenVPN, WireGuard
security IKEv2 Protocolo de intercambio de claves para IPsec, modificado para soportar PQC híbrida. vs IKEv1
security ML-KEM (FIPS 203) Algoritmo de encapsulación de clave post-cuántica basado en retículos, resistente a ataques cuánticos. vs CRYSTALS-Dilithium (para firmas), SPHINCS+
security Diffie-Hellman Algoritmo clásico de intercambio de claves, utilizado en un esquema híbrido para seguridad de respaldo.
networking ESP (Encapsulating Security Payload) Protocolo de IPsec para proporcionar confidencialidad, autenticación e integridad de los datos. vs AH (Authentication Header)

Trade-offs

Ganancias
  • Resistencia a ataques cuánticos ('harvest-now-decrypt-later')
  • Interoperabilidad con hardware de red existente (Cisco, Fortinet)
  • Seguridad de respaldo (híbrida)
  • Escalabilidad a nivel de Internet (sin hardware especializado)
Costes
  • Mayor complejidad en el handshake (dos intercambios de claves)
  • Mayor tamaño de los mensajes de intercambio de claves (ML-KEM)

Fundamentos Teóricos

La base teórica de la criptografía post-cuántica, y específicamente de ML-KEM, se encuentra en los problemas matemáticos de retículos (lattice-based cryptography). Estos problemas, como el Shortest Vector Problem (SVP) o el Closest Vector Problem (CVP), se consideran intratables incluso para computadoras cuánticas, a diferencia de los problemas de factorización de enteros grandes (RSA) o el logaritmo discreto (Diffie-Hellman, Curvas Elípticas) que son vulnerables al algoritmo de Shor. El trabajo pionero en criptografía basada en retículos se remonta a la década de 1990, con contribuciones de Ajtai y Dwork (1997) y Regev (2005) sentando las bases para esquemas de cifrado y firma digital.

ML-KEM, anteriormente conocido como Kyber, fue seleccionado por el NIST como el algoritmo de encapsulación de clave (KEM) estándar post-cuántico en 2022. Su diseño se basa en el problema de aprendizaje con errores (Learning With Errors, LWE) y su variante modular (Module-LWE), que han sido extensamente estudiados por la comunidad académica. La elección de ML-KEM refleja un consenso científico sobre su seguridad y eficiencia, consolidando décadas de investigación en criptografía de retículos como una solución práctica para la era post-cuántica. La combinación híbrida con Diffie-Hellman clásico es una estrategia de mitigación de riesgos, asegurando que la seguridad no dependa únicamente de la robustez de un algoritmo post-cuántico aún en sus primeras etapas de adopción masiva.