La perspectiva de un ingeniero criptográfico sobre el horizonte de la computación cuántica

 (words.filippo.io)
6 puntos por GN⁺ 24 일 전 | 1 comentarios | Compartir por WhatsApp
  • Resultados de investigación recientes adelantan a unos pocos años la posible aparición de una computadora cuántica criptográficamente relevante (CRQC), elevando drásticamente la urgencia de desplegar criptografía resistente a la computación cuántica (PQC)
  • Investigaciones de Google y Oratomic muestran una reducción de los recursos necesarios para atacar curvas elípticas de 256 bits, confirmando una tendencia de mejora acelerada en la eficiencia del hardware y de los algoritmos
  • Expertos señalan 2029 como fecha límite para la migración a PQC y advierten que ya hemos entrado en una “etapa de amenaza innegable”
  • Como respuesta, se propone la adopción inmediata de ML-DSA y ML-KEM, la retirada gradual de los esquemas no PQ y la exclusión de la autenticación híbrida
  • En conclusión, CRQC ya no es una hipótesis sino un riesgo real, y es indispensable una transición completa a PQC antes de 2029

La perspectiva de un ingeniero criptográfico sobre el horizonte de la computación cuántica

  • La urgencia de desplegar criptografía resistente a la computación cuántica (PQC) ha aumentado drásticamente en fechas recientes
    • Hasta hace apenas unos meses se pensaba que todavía había margen, pero los resultados recientes han cambiado la situación de forma abrupta
    • Han aparecido señales de que la llegada de una computadora cuántica criptográficamente relevante (CRQC) podría adelantarse a unos pocos años

Dos resultados de investigación publicados recientemente

  • El equipo de investigación de Google publicó un artículo que reduce de forma importante la cantidad de qubits lógicos y puertas necesarias para romper curvas elípticas de 256 bits (NIST P-256, secp256k1, etc.)
    • En una arquitectura de reloj rápido basada en qubits superconductores, presentan cálculos según los cuales el ataque podría completarse en pocos minutos
    • Aunque el artículo fue escrito en el contexto de las criptomonedas, en la práctica tiene implicaciones aún más serias para ataques de intermediario en WebPKI
  • El equipo de investigación de Oratomic presentó un escenario para romper curvas elípticas de 256 bits con solo 10 mil qubits físicos en sistemas de átomos neutros con conectividad no local (non-local connectivity)
    • La velocidad es menor, pero si una clave pudiera romperse aunque fuera una vez al mes, las consecuencias serían devastadoras
  • Ambos estudios muestran una tendencia común: mejoras en el rendimiento del hardware, mayor eficiencia algorítmica y menores exigencias de corrección de errores

Advertencias de los expertos y cambio en el horizonte temporal

  • Heather Adkins y Sophie Schmieg de Google afirman que “la frontera cuántica está mucho más cerca de lo previsto” y plantean 2029 como fecha límite para la migración
    • Eso deja apenas 33 meses, el calendario más agresivo planteado hasta ahora
  • Scott Aaronson lo comparó con “el periodo en que la investigación sobre fisión dejó de ser pública en 1939–1940” y advirtió sobre la posibilidad de avances radicales no divulgados
  • El calendario presentado en RWPQC 2026 quedó obsoleto en apenas unas semanas, y el viejo chiste de que “las computadoras cuánticas siempre están a 10 años de distancia” ya no aplica
  • El mensaje común de los expertos es que “ahora estamos en una etapa de amenaza innegable

Reconocimiento del riesgo y necesidad de actuar

  • La pregunta clave no es “¿es posible que exista una CRQC en 2030?”, sino “¿estamos seguros de que no existirá una CRQC en 2030?
    • Desde la perspectiva de quien es responsable de la seguridad de los usuarios, ni siquiera una probabilidad menor al 1% puede ignorarse
  • El escepticismo de que “todavía falta mucho” se considera una señal de falta de pericia
    • Scott Aaronson lo explicó con una analogía: después de entender la tolerancia a fallos cuántica, preguntar “¿cuándo factorizarán 35?” es como preguntarle en 1943 a un físico del Proyecto Manhattan “¿cuándo harán una pequeña explosión nuclear?”
  • Las predicciones podrían equivocarse, pero ahora importa más la posibilidad de que sean correctas que de que estén equivocadas, y el nivel actual de riesgo es inaceptable

Qué hay que hacer ahora

  • Se necesita desplegar ahora (Ship Now)
    • Aunque no sea perfecto, hay que adoptar de inmediato la PQC disponible hoy
    • Aplicar firmas ML-DSA en lugar de ECDSA, y los Merkle Tree Certificates para WebPKI ya están bastante avanzados
  • Antes se pensaba que “todavía había tiempo para ajustar los protocolos al tamaño de las firmas”, pero con la fecha límite de 2029 ya no hay margen

Transición del intercambio de claves y los esquemas de autenticación

  • El intercambio de claves PQ basado en ML-KEM avanza sin problemas, pero se requieren las siguientes medidas
    1. El intercambio de claves no PQ debe considerarse de inmediato como un riesgo de ataques activos, y debe advertirse al usuario, como hace OpenSSH
    2. El intercambio de claves no interactivo (NIKE) debe abandonarse por ahora, y solo pueden usarse métodos unidireccionales de autenticación basados en KEM

  • Queda prohibido desplegar nuevos esquemas criptográficos no PQ

    • ECDSA, pairings, criptografía basada en identidad y similares ya no son prácticos
    • La autenticación híbrida (clásica + PQ) es innecesaria, y debe hacerse la transición a ML-DSA-44 puro
    • Las firmas híbridas son complejas y una pérdida de tiempo; es más probable la aparición de una CRQC que una ruptura clásica de ML-DSA
    • Solo en protocolos que ya soportan estructuras de firmas múltiples podría aceptarse, como excepción, una firma híbrida simple de tipo “2-of-2”

Criptografía simétrica y algoritmo de Grover

  • La criptografía simétrica no requiere cambios

    • Una simplificación excesiva sobre el algoritmo de Grover ha generado la idea equivocada de que “se necesitan claves de 256 bits”
    • En realidad, 128 bits siguen siendo suficientes, y la aceleración cuántica de Grover no puede paralelizarse
    • Exigir 256 bits sin necesidad implica riesgo de perjudicar la interoperabilidad y retrasar la transición a PQC

Impacto en el ecosistema de software y hardware

  • Es posible que más de la mitad de la biblioteca estándar de Go quede pronto en un estado inseguro
    • Equilibrar los ataques de downgrade y la compatibilidad hacia atrás será un nuevo desafío
    • Se espera una disrupción mucho mayor que la transición de SHA-1 a SHA-256

  • Los TEE (entornos de ejecución confiable) —como Intel SGX y AMD SEV-SNP— ya no son confiables por no soportar claves PQ

    • Debido a límites de velocidad a nivel de hardware, no pueden migrar a PQ, y será necesario rebajarlos al nivel de simple “defense in depth”

Ecosistemas basados en criptografía y cifrado de archivos

  • Los sistemas de identidad basados en criptografía (por ejemplo, atproto, criptomonedas, etc.) deben iniciar su migración de inmediato

    • Si no terminan antes de la llegada de una CRQC, enfrentarán una situación en la que deberán elegir entre el compromiso de usuarios o la eliminación de cuentas
    • El cifrado de archivos es especialmente vulnerable a ataques de “almacenar ahora y descifrar después (store-now-decrypt-later)”
    • Está previsto introducir funciones de advertencia y bloqueo para los tipos de receptor no PQ de age
    • Los receptores PQ se introdujeron por primera vez en age 1.3.0

Educación y relevo generacional

  • En el curso doctoral de criptografía de la Universidad de Bolonia, RSA, ECDSA y ECDH se tratan solo como algoritmos legacy
    • Los estudiantes los encontrarán en su carrera profesional como “tecnología del pasado”
    • Esto simboliza que la transición a PQC es un punto de inflexión generacional

Patrocinio y mantenimiento de código abierto

  • Geomys es una organización especializada en mantenimiento dentro del ecosistema Go, operada con el patrocinio de Ava Labs, Teleport, Tailscale y Sentry
    • Estas organizaciones apoyan el mantenimiento sostenible y la garantía de seguridad de los protocolos criptográficos de código abierto
    • Teleport destaca el fortalecimiento del control de acceso para defender cuentas de usuario contra secuestro y phishing, mientras que Ava Labs subraya la garantía de confiabilidad a largo plazo de los protocolos criptográficos de blockchain

Conclusión

  • La posible aparición de una CRQC ya no es una hipótesis, sino un riesgo real
  • Es indispensable una transición completa a PQC antes de 2029
  • Hay que desplegar de inmediato ML-KEM y ML-DSA y retirar gradualmente los esquemas no PQ
  • Tanto los profesionales de la criptografía como quienes toman decisiones deben actuar ahora

Lecturas relacionadas

1 comentarios

 
GN⁺ 24 일 전
Comentarios de Hacker News

  • Si la llegada de las computadoras cuánticas prácticas está cerca, primero habría que aplicar FIPS 203 (ML-KEM) al intercambio de claves de sesión en protocolos como TLS o SSH
    ML-KEM reemplazará a Diffie-Hellman existente (clásico y de curva elíptica)
    Si no se usa, un atacante puede guardar los datos ahora y descifrarlos después
    En cambio, los certificados o las firmas digitales no pueden falsificarse retroactivamente, así que la urgencia es menor
    Aun así, en casos donde la falsificación sí importa, como los documentos digitales con validez legal, se necesitan esquemas de firma seguros también a futuro
    Bibliotecas importantes como OpenSSH y OpenSSL ya soportan ML-KEM, así que a nivel de servidor personal es fácil aplicarlo sin cambiar el esquema de autenticación

    • Hasta el año pasado yo pensaba lo mismo, y era el consenso general de la industria
      Pero el calendario podría adelantarse de 2035 a 2029, así que ya es momento de hacer la transición del esquema de autenticación al mismo tiempo
      El despliegue de ML-KEM ya va bien, pero ahora hay que considerar el intercambio de claves no cuántico como un riesgo potencial
      Es decir, si hay datos que se guardarán por más de 3 años, habría que tratarlos como nivel de alerta
    • Lo importante es no reemplazar por completo el Diffie-Hellman existente, sino usarlo junto con intercambio de claves híbrido
      Así, para atacar hay que romper tanto la criptografía clásica como la resistente a cuántica
      Como ML-KEM también es un algoritmo nuevo y podría romperse, lo híbrido es una defensa realista
      Expertos como Dan Bernstein (djb) también enfatizan que no usar híbridos es una decisión irresponsable
    • En la práctica, documentos legales o sellos de tiempo criptográficos ya se firman con base en RSA o EC
      En esos casos, hace falta migrar a firmas resistentes a cuántica para evitar falsificaciones futuras

  • Esta discusión se siente no lineal
    En RSA, la dificultad fue subiendo gradualmente con 8 bits, 64 bits, 256 bits, pero en computación cuántica no ha habido avances sobre RSA o EC en los últimos 10 años
    Entonces suena raro decir que de repente en unos años se podrá romper toda la criptografía de clave pública
    En la práctica, es difícil sacar conclusiones apresuradas antes de ver siquiera RSA-256 roto en laboratorio

    • Si lees el texto de Bas Westerbaan y el comentario de Scott Aaronson, el punto clave es la corrección de errores (error correction)
      En cuanto eso sea posible, pasar de RSA de 32 bits a RSA de 2048 bits no hace gran diferencia
      Es como cuando una reacción nuclear en cadena ya puede sostenerse sola: aumentar el tamaño de la bomba no es tan difícil
      Por eso los expertos dicen que el calendario se está acelerando
    • De hecho, en los últimos 10 años la precisión de las compuertas y la cantidad de qubits ha aumentado varias decenas de veces, y la eficiencia de la corrección de errores también ha mejorado muchísimo
      En los últimos 4 años, el avance en este campo ha sido explosivo
    • El punto central del texto es que el intercambio de claves públicas está en riesgo, no que el cifrado simétrico posterior esté en riesgo por sí mismo
    • Como referencia, hasta ahora el mayor número factorizado con una computadora cuántica es 21

  • Me parece un buen artículo
    Impresiona que la estandarización del receptor híbrido para HPKE haya tomado dos años por los retrasos del CFRG
    La IETF debería revisar internamente este tipo de problemas de proceso

    • Creo que la lógica anti-híbrida que plantea el artículo está equivocada
      Aunque un CRQC existiera hoy, un algoritmo híbrido elevaría el costo del ataque al menos al nivel de 1 millón de dólares
      Considerando que algunas candidatas de la tercera ronda de PQC podían romperse incluso con una laptop, me parece muchísimo mejor
    • Lástima que no te vi en la reunión reciente del CRFG

  • Este texto me hizo cambiar un poco mi postura de que “las computadoras cuánticas todavía están lejos y RSA está bien”
    Gracias por explicar el riesgo de forma realista para que incluso los escépticos puedan entenderlo

    • Lo de Scott Aaronson me impactó especialmente
      La analogía de que “si entiendes la tolerancia cuántica a errores, preguntar ‘¿cuándo van a factorizar 35?’ es como preguntarle a un científico del Proyecto Manhattan en 1943 ‘¿cuándo van a hacer una pequeña explosión nuclear?’” cambió por completo mi forma de verlo

  • Proponer omitir claves híbridas es peligroso
    Los algoritmos nuevos todavía tienen poca validación en producción, así que un solo defecto simple podría causar daños masivos

  • La computación cuántica también podría usarse para acelerar el entrenamiento de LLM, así que es inteligente que Google invierta en esto
    Google y SoftBank invirtieron 230 millones de dólares el año pasado, y Microsoft, IBM y Google han gastado en total 15 mil millones de dólares en los últimos 20 años
    Pero si se compara con los 150 mil millones de dólares que Google invierte al año en centros de datos, eso también podría ser una señal de que la aplicación práctica aún está lejos

  • Es totalmente posible que algún gobierno esté desarrollando una supercomputadora para romper cifrado
    Como en el Proyecto Manhattan, los principios ya se conocen y solo quedan problemas de ingeniería
    Los gobiernos son buenos reuniendo dinero, así que bien podría estar en marcha de verdad

    • En ese entonces, la bomba de uranio (Little Boy) tenía una estructura lo bastante simple como para confiar en su éxito sin necesidad de pruebas
      En cambio, la de plutonio (Fat Man) era mucho más compleja pero más eficiente, y sentó la base de la tecnología de misiles nucleares
      Los diseños de Little Boy y Fat Man siguen siendo interesantes incluso hoy
    • Una computadora cuántica es como el zero-day definitivo
      Es una tecnología que no se usa de inmediato, sino que se guarda para el momento decisivo
    • Me cuesta creer que los gobiernos no estén desarrollando tecnología en secreto
      Ya hubo casos como XKeyscore
    • Aun así, el Proyecto Manhattan fue un proyecto industrial gigantesco en el que participó una parte considerable de la población de Estados Unidos
      Es difícil imaginar una movilización de esa escala otra vez

  • Este artículo me hizo valorar de nuevo la importancia del cifrado simétrico
    Hasta que PQE quede completamente establecido, algunos sistemas importantes pueden reforzarse con cifrado simétrico basado en claves precompartidas (PSK)
    Por ejemplo, si operas un VPN WireGuard con PSK, tienes que distribuir las claves manualmente, pero el tráfico recolectado pierde valor
    Este enfoque no escala, pero puede ser una capa de seguridad realista y aplicable de inmediato
    Al final, PQE es lo mejor, pero como las nuevas matemáticas y los sistemas aún están menos probados, hace falta prepararse en paralelo

  • No entiendo por qué el autor insiste en AES-128
    AES-256 casi no tiene diferencia de costo y es más seguro frente a ataques de store-now-decrypt-later
    El estándar de la industria recomienda claves de 256 bits, así que basta con seguirlo
    Herramientas como Age también deberían usar por defecto claves de archivo de 256 bits

    • Pero NIST y BSI especifican que AES-128, 196 y 256 siguen siendo seguros incluso después de la era cuántica
      El consenso general de la industria es que AES-128 también es suficiente
      No existe un escenario en el que un CRQC amenace al cifrado simétrico
    • El autor dejó claro que AES-128 no está en riesgo inmediato
      Forzar una migración a 256 podría incluso distraer la atención de las transiciones realmente importantes

  • Aunque la computación cuántica parece producir efectos más rápidos que la luz por basarse en el entrelazamiento (entanglement), en realidad no viola las leyes de la física
    Por eso, más que ciencia ficción, corresponde verla como un reto de ingeniería extremadamente difícil