¿Qué son los certificados híbridos y seguros frente a la computación cuántica?

La computación cuántica representa uno de los mayores cambios en el ecosistema digital moderno. Transformará la informática tal y como la conocemos, superando las restricciones que durante mucho tiempo han limitado la informática clásica y dando paso a una nueva era de innovación.

Estos avances traen consigo nuevas y emocionantes oportunidades en áreas de gran alcance como la inteligencia artificial y el Internet de las cosas (IoT), pero también hay un inconveniente claro: las ventajas de la computación cuántica vendrán acompañadas de importantes retos de seguridad, entre ellos una gran sacudida al statu quo del cifrado y la autenticación. Algoritmos como RSA y ECC, que actualmente protegen la mayoría de las comunicaciones digitales, serán fácilmente vulnerables por los futuros sistemas cuánticos.

La criptografía poscuántica (PQC) ofrece un enfoque proactivo para hacer frente a estas amenazas emergentes, pero muchas empresas siguen considerándola una preocupación futura en lugar de una prioridad inmediata. Sin embargo, esta percepción está cambiando rápidamente. Ha llegado el momento de que las organizaciones comiencen a desarrollar una estrategia y un plan para la adopción de la PQC, que incluya la evaluación de normas, la realización de pruebas en entornos controlados y la planificación de futuras vías de migración.

Por qué la computación cuántica rompe la criptografía tradicional

La criptografía tradicional se basa en unos pocos algoritmos probados que, hasta hace poco, han protegido eficazmente los datos confidenciales aprovechando la complejidad computacional. Opciones como RSA (Rivest-Shamir-Adleman) y ECC (criptografía de curva elíptica) han prestado un buen servicio a los usuarios y a las organizaciones durante las últimas décadas, partiendo del supuesto de que la potencia de cálculo necesaria para factorizar números primos grandes sería simplemente demasiado importante para que los actores maliciosos pudieran superarla.

Los ordenadores cuánticos cambian esta ecuación al resolver problemas que los sistemas clásicos no pueden manejar de manera eficiente. Uno de los algoritmos cuánticos más conocidos, el algoritmo de Shor, factoriza números grandes de forma exponencialmente más rápida que los métodos clásicos, lo que permite romper rápidamente el cifrado RSA y ECC. Este cambio pone en peligro el futuro de la seguridad digital, a menos que se adopten algoritmos más fuertes y resistentes a la cuántica.

La urgencia de la criptografía poscuántica

La cronología de la computación cuántica muestra que la era poscuántica no está tan lejos como podría parecer. El Instituto Nacional de Estándares y Tecnología (NIST) ya ha establecido un plazo estricto para dejar de utilizar algunos algoritmos de cifrado heredados y pasar a la PQC: esto debe lograrse antes de 2030. Este calendario incluye la eliminación gradual de RSA-2048 y ECC-256, con la prohibición total de su uso prevista para 2035.

Esta sensación de urgencia se ve agravada por la preocupación que suscitan los ataques «cosecha ahora, descifra después» (HNDL), en los que los delincuentes podrían recopilar información cifrada con la intención de descifrarla una vez que los sistemas cuánticos estén más disponibles. Como resultado, los datos vulnerables podrían quedar expuestos de forma retroactiva, incluso si aún no se ha detectado que han sido comprometidos.

Los actores maliciosos se están preparando activamente para el cambio cuántico, y las organizaciones que retrasan la planificación corren el riesgo de quedarse atrás. Para mantenerse a la vanguardia, las empresas deben empezar a probar soluciones de criptografía postcuántica ahora, incluso antes de que se adopten plenamente las normas definitivas.

¿Qué es un certificado cuántico seguro?

Los certificados digitales se consideran cuánticos seguros si son compatibles con algoritmos postcuánticos que han sido diseñados específicamente para combatir los ataques de los ordenadores cuánticos.

¿Cuáles son los algoritmos PQC definitivos?

Algunos algoritmos PQC tienen el potencial de proteger las comunicaciones digitales, incluso durante la transición a la era cuántica. El NIST ha finalizado los siguientes estándares de cifrado poscuántico:

• FIPS-203: este estándar se basa en el mecanismo de encapsulación de claves basado en módulos de celosía (ML-KEM), que permite generar claves seguras para el cifrado de datos. Se basa en el problema del aprendizaje modular con errores, que lo mantiene seguro frente a los ataques cuánticos. FIPS 203 incluye tres conjuntos de parámetros, ML-KEM-512, ML-KEM-768 y ML-KEM-1024, y cada número de parámetro más alto proporciona una mayor seguridad a costa de un rendimiento más lento y claves más largas.
  
• FIPS-204: Esta norma utiliza el algoritmo de firma digital basado en retículas modulares (ML-DSA), un conjunto de algoritmos para crear y validar firmas digitales. FIPS-204 utiliza criptografía basada en retículas para proteger las firmas digitales contra la computación cuántica.
  
• FIPS-205: Este estándar, que también se utiliza para proteger las firmas digitales, se basa en el algoritmo de firma digital sin estado basado en hash (SLH-DSA). El enfoque basado en hash ofrece un método matemático alternativo a los métodos basados en retículos de FIPS-204 para resistir las amenazas de la computación cuántica.

¿Qué son los certificados híbridos?

Los certificados híbridos son una solución propuesta diseñada para facilitar la transición a la criptografía postcuántica. Aún no son una tecnología establecida o implementable, sino más bien un enfoque potencial que se está debatiendo en la comunidad criptográfica.

El concepto detrás de los certificados híbridos es adaptarse a las necesidades actuales de cifrado y autenticación, al tiempo que se ayuda a las organizaciones a prepararse para la realidad de la era cuántica. Este tipo único de certificado incorporaría algoritmos clásicos y postcuánticos en un solo certificado. Cada certificado híbrido incluiría dos claves públicas y dos firmas, una utilizando un algoritmo tradicional como RSA o ECC, y la otra utilizando un algoritmo cuántico seguro para proporcionar compatibilidad y resiliencia.

Esta posible solución tiene por objeto permitir una migración gradual hacia la PQC, manteniendo la compatibilidad con los sistemas existentes.

¿Cómo funcionarían los certificados híbridos?

El valor del certificado híbrido se deriva en gran medida de la norma X.509, que aclara los formatos de los certificados de clave pública e incluye el lenguaje de descripción de interfaces Abstract Syntax Notation One (ASN.1). La norma X.509 ha sido durante mucho tiempo un componente fundamental de los certificados SSL/TLS, pero los certificados híbridos ampliarían este formato tradicional para incorporar también claves y firmas PQC preparadas para el futuro.

Con los certificados híbridos, las extensiones no críticas podrían almacenar detalles centrados en PQC, como claves públicas cuánticas y firmas digitales resistentes a la cuántica. Dado que estos elementos no son necesarios de inmediato para garantizar la compatibilidad con los sistemas heredados, sería posible seguir trabajando con algoritmos clásicos como RSA o ECC, y los sistemas heredados ignorarían los elementos PQC por el momento. Al mismo tiempo, los sistemas preparados para PQC podrían detectar y validar los componentes poscuánticos, lo que permitiría una transición fluida a medida que evoluciona el soporte para los nuevos estándares.

Básicamente, este enfoque dual constituye la base de la compatibilidad con versiones anteriores, ya que aprovecha las ventajas actuales de la criptografía clásica y, al mismo tiempo, proporciona una capa de protección que resultará valiosa en el futuro.

Ventajas del uso de certificados híbridos

Si se adoptan, los certificados híbridos podrían ofrecer muchas ventajas que los convierten en una opción potencialmente atractiva para abordar los retos de seguridad actuales y futuros. Entre las ventajas se incluyen:

• Interoperabilidad: al ofrecer compatibilidad tanto con los sistemas heredados como con los centrados en PQC, los certificados híbridos podrían alcanzar un nivel elevado de interoperabilidad que sigue estando fuera del alcance de otros tipos de certificados. Esto significa que tanto los clientes actuales como los de próxima generación podrían validar el mismo certificado durante el periodo de migración.
  
• Criptoagilidad: para mantener la seguridad total en un entorno digital en rápida evolución, las organizaciones deben ser capaces de cambiar rápidamente de algoritmo sin interrumpir las operaciones. Los certificados híbridos están diseñados para que esto sea posible, promoviendo así la tan defendida calidad conocida como criptoagilidad.
  
• Simplicidad: Evite las complicaciones de mantener cadenas de certificados separadas; los certificados híbridos se diseñarían para simplificar procesos que, de otro modo, serían complejos, combinando componentes clásicos y PQC para formar un certificado sencillo y eficaz. Esto limitaría los gastos generales y reduciría la carga administrativa que probablemente se produciría al manejar múltiples sistemas o soluciones de certificados.
  
• Seguridad: La PQC promete una seguridad robusta en el futuro, abordando los retos con algoritmos más fuertes. Los certificados híbridos tienen por objeto añadir flexibilidad al incluir algoritmos clásicos y poscuánticos, lo que facilita la transición de las organizaciones si posteriormente se detecta alguna vulnerabilidad.
  

Limitaciones y retos

Los certificados híbridos ofrecen una de las soluciones potenciales más valiosas para hacer frente a los retos actuales y futuros en materia de ciberseguridad, pero no están exentos de complicaciones. El mayor tamaño de las claves en los algoritmos cuánticos puede aumentar los requisitos de ancho de banda y procesamiento, lo que convierte el rendimiento en un factor clave a tener en cuenta a la hora de adoptarlos.

Otra limitación potencial es la compatibilidad. Dado que los certificados híbridos son todavía una solución propuesta, ningún proveedor o sistema los admite en la actualidad. Si se adoptan en el futuro, la compatibilidad puede variar entre aplicaciones y plataformas, lo que obligará a las organizaciones a evaluar cuidadosamente la interoperabilidad antes de su implementación.

¿Otra preocupación que vale la pena abordar? Las deficiencias de la gestión manual de certificados, que es mucho menos eficiente y puede suponer una carga significativa para los departamentos de TI. Esta carga no hará más que aumentar a medida que las necesidades de certificados se vuelvan más complejas, lo que sería una respuesta probable a la posible adopción de certificados híbridos. Afortunadamente, las soluciones automatizadas de gestión del ciclo de vida de los certificados pueden resolver estos problemas, mejorando tanto la eficiencia como la seguridad, incluso cuando las organizaciones adoptan certificados cuánticos o híbridos.

Por qué no puede esperar a la compatibilidad perfecta

El camino hacia la PQC puede parecer acelerado en la actualidad, pero se trata más de una maratón que de un sprint. El ecosistema PKI global tardará tiempo en adoptar con éxito la PQC y, en algún momento, será necesario tender un puente entre los sistemas actuales y los futuros para agilizar esta transición. La compatibilidad total entre plataformas y proveedores llevará años, y retrasar la adopción aumenta el riesgo a largo plazo.

Aquí es donde podrían entrar en juego los certificados híbridos. Puede que no representen una solución permanente, pero podrían ser beneficiosos durante la transición a la PQC.

Cómo pueden empezar a prepararse las organizaciones

Nunca es demasiado pronto para empezar a navegar hacia la PQC. El primer paso es realizar un inventario detallado, en el que se destaquen todos los sistemas criptográficos, algoritmos, claves y otros activos existentes para determinar dónde se encuentran actualmente las principales fuentes de riesgo. Este inventario constituye la base para comprender la exposición criptográfica y planificar estrategias de mitigación eficaces.

Existen varias estrategias prácticas que pueden aprovechar este sólido conocimiento para garantizar que los sistemas estén preparados para la próxima transición cuántica.

• Automatizar la gestión del ciclo de vida de los certificados (CLM): A medida que avanza la tecnología cuántica, no hay lugar para los procesos manuales de certificación. La agilidad criptográfica se consigue más fácilmente cuando se aprovecha la CLM automatizada, que permite la emisión y renovación fluida de certificados digitales a gran escala, lo que permite responder rápidamente a las amenazas emergentes.
  
• Prueba en entornos sandbox: Los certificados PQC e híbridos requerirán pruebas exhaustivas, pero los entornos sandbox ofrecen la oportunidad perfecta para explorar estas opciones en espacios altamente controlados. Este esfuerzo podría proporcionar información valiosa sobre el rendimiento o las posibles vulnerabilidades sin riesgo de interrupciones.
  
• Priorizar los activos de larga duración: Dado el riesgo de HNDL, es importante examinar los activos con una vida útil prolongada para determinar si son vulnerables y la dificultad que podría suponer actualizarlos en el contexto de la PQC. Estas prioridades pueden variar, pero a menudo incluyen contratos firmados, firmware o incluso registros legales.
  
• Formar a los equipos: Los profesionales de TI deben estar al tanto de las amenazas cuánticas y las PQC. Las iniciativas de formación proactivas garantizarán que estos profesionales estén plenamente preparados para adoptar soluciones poscuánticas y también para aprovechar estrategias complementarias, como la CLM automatizada. La formación también debe introducir las normas PQC, las herramientas disponibles y las consideraciones clave para las futuras vías de migración.

Sectigo lidera el camino hacia la preparación cuántica

Como pionero en PQC, Sectigo ofrece varias soluciones diseñadas para preparar a las organizaciones para las realidades de la era poscuántica, empezando por Sectigo Certificate Manager (SCM). SCM es una plataforma diseñada específicamente para automatizar la gestión del ciclo de vida de los certificados, lo que permite una emisión y renovación más rápida y eficiente.

La CLM automatizada proporciona una base sólida para la agilidad criptográfica, pero este esfuerzo puede reforzarse con el marco Q.U.A.N.T. de Sectigo, que ofrece la orientación necesaria para simplificar la transición a la PQC. Esta estrategia integral permite a las organizaciones adoptar un enfoque proactivo ante la próxima transición cuántica, al tiempo que les proporciona apoyo en cada paso del camino.

Prepare su seguridad para el futuro con las soluciones cuánticas de Sectigo

Las amenazas cuánticas se acercan rápidamente. Explorar los certificados híbridos como opción futura podría proporcionar una vía completa para prepararse durante la transición a PQC, sin interrumpir los sistemas actuales. Sectigo ofrece el apoyo necesario para afrontar esta transición con confianza.

Empiece por probar los certificados cuánticos en el espacio más seguro: Sectigo's PQC Labs, que ofrece un entorno específico para explorar soluciones postcuánticas. Empiece hoy mismo con Sectigo Certificate Manager u obtenga más información sobre nuestras oportunidades cuánticas.

¿Quieres saber más? Ponte en contacto con nosotros para reservar una demo de Sectigo Certificate Manager.

Entradas asociadas:

¿Cuáles son las diferencias entre los algoritmos de cifrado RSA, DSA y ECC?

Comprender la cronología de la computación cuántica: ¿cuándo se hará realidad?

Cosecha ahora, descifra después: los ataques y su relación con la amenaza cuántica