La revolución cuántica amenaza el cifrado actual, pero la industria tecnológica ya está preparada

Si la computación cuántica está abriendo las puertas a un sinfín de aplicaciones y casos de uso inimaginables hace no tanto, no menos cierto es que también trae aparejados nuevos riesgos y desafíos. El más inmediato es el que concierne al ámbito de la ciberseguridad, donde el potencial de esta tecnología podría romper los sistemas de criptografía asimétrica que protegen gran parte de las comunicaciones y datos en la actualidad.

“La computación cuántica tiene especial impacto en la factorización de números primos, que es la base de la criptografía asimétrica actual. Pero, a su vez, garantizará una entropía total a la hora de generar aleatoriedad, algo que también generaba grandes quebraderos de cabeza en parte de la criptografía actual”, explica a este medio Daniel Rodríguez, director general de Redtrust.

Reto y oportunidad, por tanto, a partes iguales. Desde Redtrust, empresa integrada en el grupo internacional Keyfactor, ya están actuando en consecuencia. “El grupo entero tiene puesto el foco en la tecnología PQC (Post Quantum Cryptography), también conocida como quantum-safe”, detalla el directivo. “Nuestro catálogo de productos ya incluye soluciones postcuánticas en diversos ámbitos, como el desarrollo de aplicaciones resistentes a la cuántica gracias a Bouncy Castle, la emisión de certificados digitales postcuánticos mediante EJBCA, o la clasificación e inventariado de certificados de las organizaciones con Keyfactor Command”.

En el caso concreto de Redtrust, las soluciones de firma digital (Signum y SignServer) también se han preparado para lo que está por venir: “Ya contamos con la capacidad de realizar operaciones de autenticación y firma postcuánticas. No obstante, la limitación radica en las aplicaciones de terceros, tales como navegadores o aplicaciones nativas, que utilizan los certificados digitales. Hasta que dichas aplicaciones se adapten a los nuevos estándares, su impacto será limitado en este ámbito”.

Daniel Rodríguez defiende la posición internacional del grupo en estas lides: “Keyfactor es pionera en ese sentido, con la mayor oferta de productos que hoy por hoy puedan cubrir las necesidades del panorama postcuántico. Y lo más importante: la mejor preparada para lo que vendrá”. 

Transición sencilla, regulación en ciernes y desinformación

En ello estamos ahora, en ir avanzando por el camino para estar prevenidos cuando se produzca la ruptura del cifrado a hombros de la computación cuántica. Un trayecto por el que discurrimos con velocidad acelerada, gracias en parte a las nuevas regulaciones y estándares que comienzan a proliferar.

“La publicación de las nuevas normativas NIST y la presión de algunos gobiernos, como Estados Unidos y Reino Unido, para que todos sus proveedores sean seguros ante lo cuántico después de una fecha determinada, están acelerando considerablemente el proceso”, reconoce Daniel Rodríguez, al mismo tiempo que matiza: “Actualmente no existe una versión publicada de PKCS11 3.2 ni una versión final de OpenSSL 3.5, así como la adaptación de Microsoft y su CryptoAPI a los nuevos estándares. Aun así, todo está acelerando, por lo que es posible que en pocas semanas ya se hayan solventado algunos de estos escollos”.

Daniel Rodríguez, director general de Redtrust.

Redtrust, como parte de Keyfactor, ya ha integrado los algoritmos propuestos por el NIST. “El algoritmo anteriormente conocido como Dilithium (actualmente ML-DSA), propuesto para el FIPS-204, ya está integrado en nuestros sistemas y listo para ser utilizado por las aplicaciones que así lo requieran”.

Respecto al futuro de los certificados digitales actuales, explica el ejecutivo que “entraremos en una etapa de transición donde habrá certificados híbridos. Hasta que todos los sistemas estén adaptados a los nuevos estándares postcuánticos veremos como las claves RSA y ECC se seguirán usando”. Y subraya que “la centralización en sí no va a desaparecer, ya que la protección de las claves privadas post-quantum sigue siendo igual de necesaria que con RSA o ECC”.

La otra piedra en el camino es la preparación de las empresas ante la implantación de la seguridad postcuántica. En este asunto, el directivo no ve excesivo problema: “Bajo nuestro punto de vista debería ser una transición bastante sencilla si se tienen las herramientas adecuadas. Tener una imagen clara de cuál es el ecosistema de nuestra empresa en cuanto a certificados digitales, algoritmos de cifrado, intercambio de claves, firma, etc., ayudará a evaluar cuán lejos están de tener todos sus sistemas garantizados como resistentes a cuántica”.

Sin embargo, aqui se acaban las facilidades. Y, quién lo diría, el mayor desafío está en el conocimiento del nuevo escenario que se abre ante nuestros ojos. “Es cierto que existe desinformación, pero como siempre ocurre con este tipo de tecnologías. En una situación como la actual, donde aún no se ha desarrollado a nivel comercial la tecnología de computación cuántica y ya tenemos que estar remediando problemas futuros, es normal que haya cierta desconfianza”, admite Roríguez.

Asimismo, entran en juego factores geopolíticos y de compatibilidad: “Hay cuatro actores implicados que se verán afectados en cascada: reguladores, proveedores de servicios criptográficos, desarrolladores de aplicaciones y usuarios finales. Los estándares aún están por cerrar, y puede haber decisiones divergentes entre gobiernos como Estados Unidos y China”.

Flexibilidad y anticipación

Desde Redtrust están trabajando ya con clientes para anticiparse a este proceso. “La base de nuestro mensaje jamás ha sido el miedo. Creemos que la seguridad no puede basarse en el miedo, sino en la gestión de las amenazas y, ante todo, en la importancia de la usabilidad”, subraya Rodríguez. “Mantenemos reuniones regulares con clientes que hoy por hoy ya empiezan a llamar a nuestras puertas para que les pongamos al día de lo que viene en este sentido. Normalmente, se trata de clientes de gran cuenta como bancos o aseguradoras”.

Algunos de ellos, destaca, ya han designado personal especializado en criptografía postcuántica: “Esto nos da bastante confianza. Vemos la importancia que se le da desde ciertos sectores, lo que refleja que también son conscientes de los riesgos. Estamos en el momento ideal para planificar una transición bien estructurada y sin sorpresas. Como todo, si se hace con tiempo luego sale mucho mejor”.

Empero, no todo son amenazas. Para el director general de Redtrust, la computación cuántica también representa una palanca para fortalecer la identidad digital. “Va a impactar no sólo en la velocidad de proceso de algunos algoritmos, sino en la capacidad de generar aleatoriedad, algo importantísimo a la hora de crear identidades digitales seguras”, señala. “También anticipamos un impacto en los sistemas de inteligencia artificial. Ambas tecnologías combinadas harán que sea crucial tener una identidad digital segura y vinculada de manera única a la persona”.

La última de las claves, concluye, es la flexibilidad: “Nuestra filosofía crypto-agility hace que podamos adaptarnos fácilmente a los cambios que puedan surgir, así que tanto si hay una aceptación de los estándares como un viraje hacia otros, tenemos un equipo profesional más que preparado para poder adaptarnos en tiempo récord”.