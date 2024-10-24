Las computadoras cuánticas están saliendo de la fase de investigación pura y convirtiéndose en herramientas útiles. Se utilizan en todas las industrias y organizaciones para explorar las fronteras de los desafíos en la atención médica y las ciencias de la vida, la física de alta energía, el desarrollo de materiales, la optimización y la sustentabilidad. Sin embargo, a medida que las computadoras cuánticas escalan, también podrán resolver ciertos problemas matemáticos difíciles en los que se basa la criptografía de clave pública actual. Una futura computadora cuántica criptográficamente relevante (CRQC) podría romper algoritmos de criptografía asimétrica usados a nivel global, que actualmente ayudan a garantizar la confidencialidad e integridad de los datos y la autenticidad del acceso a los sistemas.
Los riesgos impuestos por una CRQC son de gran alcance: posibles filtraciones de datos, interrupciones de la infraestructura digital e incluso manipulación global a gran escala. Estas futuras computadoras cuánticas serán uno de los mayores riesgos para la economía digital y supondrán un riesgo cibernético significativo para las empresas.
Ya existe un riesgo activo hoy en día. Los delincuentes cibernéticos están recopilando datos cifrados hoy con el objetivo de descifrarlos más tarde cuando una CRQC esté a su disposición, una amenaza conocida como "cosechar ahora, descifrar más tarde". Si tienen acceso a una CRQC, pueden descifrar retroactivamente los datos, obteniendo acceso no autorizado a información altamente confidencial.
Afortunadamente, los algoritmos de criptografía postcuántica (PQC), capaces de proteger los sistemas y datos actuales, se han estandarizado. El Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU. publicó recientemente el primer conjunto de tres normas:
Dos de los estándares (ML-KEM y ML-DSA) fueron desarrollados por IBM con colaboradores externos, y el tercero (SLH-DSA) fue desarrollado conjuntamente por un científico que se unió a IBM.
Esos algoritmos serán adoptados por gobiernos e industrias de todo el mundo como parte de protocolos de seguridad como "Transport Layer Security" (TLS) y muchos otros.
La buena noticia es que estos algoritmos están a nuestra disposición para protegernos contra el riesgo cuántico. La mala noticia es que las empresas deben migrar su patrimonio para adoptar estos nuevos estándares de PQC.
Los anteriores programas de migración de algoritmos de criptografía tardaron años en completarse. Pregúntese como organización: ¿cuánto duró su programa de migración de SHA1 a SHA2? ¿Qué pasa con su programa de actualización de infraestructura de clave pública (PKI) en el que aumentó el tamaño de la clave de la cadena de confianza de PKI de 1024 bits a claves de 2048 bits o claves de 3072 bits o 4096 bits? ¿Cuánto tiempo tardó todo eso en implementarse en su complejo entorno empresarial? ¿Varios años?
El impacto de la computación cuántica y la implementación de los estándares de PQC es vasto, cubriendo un patrimonio integral de su organización. El riesgo de la computación cuántica afecta a muchos más sistemas, herramientas y servicios de seguridad, aplicaciones e infraestructura de red. Su organización necesita hacer una transición inmediata hacia los estándares de PQC para proteger sus activos y datos.
Boletín de investigación
Descubra la investigación emergente en IA, computación cuántica, nube híbrida y más de los expertos de IBM con el boletín mensual Future Forward. Consulte la Declaración de privacidad de IBM.
Su suscripción se entregará en inglés. En cada boletín, encontrará un enlace para darse de baja. Puede gestionar sus suscripciones o darse de baja aquí. Consulte nuestra Declaración de privacidad de IBM para obtener más información.
Para proteger a su organización contra los riesgos de "cosechar ahora, descifrar más tarde", le recomendamos que ejecute un programa de transformación de seguridad cuántica. Comience a adoptar herramientas y utilice servicios que le permitan implementar los estándares de cifrado de PQC recientemente anunciados.
IBM ha desarrollado una metodología integral de programas de seguridad cuántica, que actualmente se está aplicando en docenas de clientes, repartidos por industrias clave y docenas de países, incluidos gobiernos nacionales.
Aconsejamos a los clientes que adopten un programa con las siguientes fases clave:
En la fase 1 del recorrido del programa, céntrese en áreas clave, como la creación de una campaña de concientización en toda la organización para educar a los stakeholders y expertos en la materia (SME) sobre el riesgo cuántico. Establezca “embajadores” o “defensores” de seguridad cuántica que se mantengan al tanto del riesgo cuántico y de la evolución de seguridad cuántica, que actúen como contacto central del programa y que ayuden a definir la estrategia empresarial.
A continuación, realice evaluaciones de riesgo con respecto al riesgo cuántico contra los activos del negocio criptográficamente relevantes de su organización, que es cualquier activo que utilice o se base en la criptografía en general. * Por ejemplo, su evaluación de riesgos e impactos debe valorar la relevancia comercial del activo, la complejidad de su entorno y la dificultad de migración, entre otras áreas de evaluación. Identifique las vulnerabilidades dentro de los activos del negocio, incluidas las acciones urgentes, y elabore un informe que destaque los hallazgos para los stakeholders clave, ayudándoles a comprender la postura de riesgo cuántico de la organización. Esto también puede servir como referencia para desarrollar el inventario de criptografía de su empresa.
En la fase 2, guíe a sus stakeholders sobre cómo abordar las áreas prioritarias identificadas y las posibles debilidades criptográficas y riesgos cuánticos. Luego, detalle las acciones de corrección, como resaltar los sistemas que podrían no ser compatibles con los algoritmos de PQC. Por último, exprese los objetivos del programa de migración.
En esta etapa, IBM ayuda a los clientes a delinear una hoja de ruta de migración de seguridad cuántica que detalla las iniciativas de seguridad cuántica necesarias para que su organización alcance sus objetivos.
Como aconsejamos a nuestros clientes: considere iniciativas críticas en sus hojas de ruta, como desarrollar una infraestructura de gobernanza para criptografía, y priorizar sistemas y datos para la migración de PQC. Actualice sus prácticas y pautas de desarrollo de software seguro para usar PQC por diseño y producir listas de materiales de criptografía (CBOM). Trabaje con sus proveedores para comprender las dependencias de terceros y los artefactos criptográficos. Actualice sus procesos de adquisiciones para centrarse en soluciones y servicios que admitan PQC para evitar la creación de nueva deuda criptográfica o un nuevo legado.
Una de las capacidades clave requeridas es la “observabilidad” criptográfica, un inventario criptográfico que permite a los stakeholders monitorear el progreso de la adopción de PQC a lo largo de su camino hacia la seguridad cuántica. Dicho inventario debe estar respaldado por la recopilación automática de datos, el análisis de datos y la gestión de riesgos y posturas de cumplimiento.
En la fase 3, su organización ejecuta el programa de migración de seguridad cuántica mediante la implementación de iniciativas basadas en sistemas prioritarios/riesgo/costo, objetivos estratégicos, capacidad de entrega, etc. Desarrolle una estrategia de seguridad cuántica aplicada a través de los estándares y políticas de seguridad de la información de su organización.
Ejecute la migración de tecnología mediante el uso de arquitecturas de referencia estandarizadas, probadas y comprobadas, así como patrones de migración, recorridos y proyectos técnicos.
Incluya la habilitación de la agilidad criptográfica dentro de las soluciones de desarrollo y migración e implemente el desacoplamiento criptográfico abstrayendo el procesamiento criptográfico local a servicios de plataforma centralizados, gobernados y fácilmente adaptables.
Incluya en su programa un ciclo de feedback con las lecciones aprendidas. Permita la innovación y la prueba rápida de nuevos enfoques y soluciones para apoyar el programa de migración en los próximos años.
Muchos elementos son difíciles de migrar. Por ejemplo, los componentes fundamentales de la infraestructura de Internet, como las redes de área amplia (WAN), las redes de área local (LAN), los concentradores VPN y los enlaces de sitio a sitio, serán más complejos de migrar. Por lo tanto, estos elementos requieren más atención que aquellos que tienen un uso limitado dentro de la organización. Los servicios de criptografía centrales, como PKI, sistemas de gestión de claves, sistemas de pago seguros, aplicaciones de criptografía o backends como HSM, encriptadores de enlaces y mainframes, son complejos de migrar. Debe considerar las dependencias de diferentes aplicaciones y hardware, incluidos los problemas de interoperabilidad de tecnología.
También debe considerar probar el rendimiento de los estándares de PQC con sus sistemas internos y flujos de trabajo de datos para garantizar la compatibilidad y la aceptabilidad del rendimiento e identificar cualquier inquietud. Por ejemplo, la PQC a veces requiere tamaños de clave, texto cifrado o tamaños de firma más largos en comparación con los algoritmos utilizados actualmente, lo que deberá tenerse en cuenta en las pruebas de integración y rendimiento. Algunas tecnologías críticas para la organización aún dependen de la criptografía heredada y puede resultarles difícil o incluso imposible migrar a los estándares de PQC. Es posible que sea necesario refactorizar y rediseñar la aplicación.
Otros desafíos incluyen la falta de habilidades o la falta de documentación, que han creado brechas de conocimiento dentro de su empresa. La información codificada dentro de los sistemas/archivos de configuración/scripts, etc., hará que la migración sea aún más compleja.
Asegúrese de que sus claves de cifrado y certificados digitales se rastreen y gestionen con precisión. Una mala gestión complicará aún más la migración.
No todos los casos de uso serán probados por grupos de trabajo internacionales de PQC. Habrá muchas combinaciones o configuraciones de tecnologías únicas para sus organizaciones, y necesita probar exhaustivamente sus sistemas desde una perspectiva de flujo de trabajo de extremo a extremo.
Ahora que el NIST ha publicado un primer conjunto de estándares de PQC, debemos anticipar que la regulación fuera de EE. UU. seguirá rápidamente. Algunos ejemplos en el contexto de la industria financiera son:
Por lo tanto, le recomendamos que se centre en desarrollar su infraestructura de gobernanza de criptografía, que incluye el desarrollo de una estrategia de seguridad cuántica para su organización. Debe alinearse con los objetivos estratégicos y la visión de su negocio y con los plazos previstos. Un centro de excelencia debe brindar apoyo y asesoramiento como parte del programa de transformación. La infraestructura de gobernanza debe centrarse en pilares básicos, como la supervisión regulatoria de su organización, la garantía criptográfica y la gestión de riesgos, el desarrollo de capacidades de entrega y la educación sobre PQC. Debe apoyar la adopción de mejores prácticas en sus patrones de arquitectura de desarrollo de aplicaciones y seguridad de suministros y en los paneles de revisión de diseño técnico.
El programa de transformación va a ser largo y complejo. Requiere una amplia colaboración entre departamentos y una gran variedad de habilidades. Asegúrese de gestionar y observar la moral del equipo y considere la cultura de trabajo de su organización y las prácticas de gestión de cambios para garantizar la cohesión del programa a lo largo de los muchos años de ejecución.
Además, considere el desarrollo de asociaciones, ya que muchas organizaciones dependen de muchos proveedores específicos para su industria y ecosistema. Colabore con otros dentro de sus industrias para aprender y Compartir ideas para dirección el riesgo quantum y la migración de PQC juntos a través de grupos de trabajo y grupos de usuarios.
Desde una perspectiva operativa, asegúrese de contar con un catálogo de trazabilidad de los servicios empresariales y comerciales clave que se ajusten a las normativas y leyes, y comience a planificar un calendario para la transición de cada uno de ellos.
* Nota: En muchos casos, incluso el uso de criptografía simétrica dependerá de alguna forma de criptografía de clave pública, por ejemplo, el intercambio de claves.
Refuerce sus defensas criptográficas contra futuras amenazas de quantum con las soluciones de seguridad cuántica de IBM.