Cifrado post-cuántico de OpenSSH

• OpenSSH admite algoritmos criptográficos post-cuánticos para defenderse de ataques de computadoras cuánticas
• A partir de la versión 9.0, aplica de forma predeterminada el algoritmo sntrup761x25519-sha512, y desde la 10.0 adopta mlkem768x25519-sha256 como mecanismo de conexión por defecto
• A partir de la versión 10.1, cuando se usa un intercambio de claves que no sea post-cuántico, aparece un mensaje de advertencia
• También se espera que en el futuro se agregue soporte para la mayoría de los algoritmos de firma existentes (RSA, ECDSA, etc.)
• Para proteger con seguridad el tráfico existente, es necesario aplicar algoritmos post-cuánticos tanto en el servidor como en el cliente

Adopción de OpenSSH y el cifrado post-cuántico

OpenSSH admite múltiples algoritmos de intercambio de claves seguros frente a ataques de computadoras cuánticas
Recomienda usar esos algoritmos en todas las conexiones SSH

Desde OpenSSH 9.0 (2022), sntrup761x25519-sha512 ofrecía por defecto algoritmos de intercambio de claves post-cuánticos (KexAlgorithms), y desde OpenSSH 9.9 se agregó mlkem768x25519-sha256
mlkem768x25519-sha256 quedó configurado como el método de cifrado predeterminado desde OpenSSH 10.0

Para impulsar la adopción de algoritmos post-cuánticos, OpenSSH 10.1 muestra la siguiente advertencia cuando no se usa un intercambio de claves resistente a la computación cuántica:

** WARNING: connection is not using a post-quantum kex exchange algorithm. **
This session may be vulnerable to "store now, decrypt later" attacks.
The server may need to be upgraded. See https://openssh.com/pq.html

Esta advertencia se muestra de forma predeterminada, pero puede desactivarse con la opción WarnWeakCrypto de ssh_config(5)

Contexto

Una computadora cuántica es un dispositivo que calcula codificando información en estados cuánticos
Puede resolver rápidamente ciertos problemas matemáticos que con una computadora tradicional son imposibles

Muchos algoritmos criptográficos se basan en problemas matemáticos que pueden resolverse fácilmente con una computadora cuántica
Si aparece una computadora cuántica suficientemente poderosa (desde un punto de vista criptográficamente relevante), existe riesgo de que estos esquemas de cifrado se rompan
Especialmente, los algoritmos usados para intercambio de claves y firmas digitales son los más afectados

Aún no se han materializado tales computadoras cuánticas, pero especialistas pronostican que aparecerán en 5 a 20 años o a mediados de la década de 2030

La garantía de privacidad de una conexión SSH depende del cifrado del intercambio de claves
Si un atacante rompe el algoritmo de intercambio de claves, podría descifrar todo el contenido de la sesión
Además, incluso sin ser en tiempo real, podría realizarse un ataque de "store now, decrypt later" guardando una sesión cifrada y descifrándola más tarde cuando exista una computadora cuántica

OpenSSH está reforzando el soporte de cifrado post-cuántico para contrarrestar este tipo de ataques

FAQ

Q: OpenSSH muestra una advertencia en ssh, ¿qué debo hacer?

• OpenSSH 10.1 y versiones posteriores muestran una advertencia al usuario si se usa cifrado con autenticación no segura para computación cuántica
• En este caso, significa que el servidor conectado no ofrece algoritmos de intercambio de claves post-cuánticas (mlkem768x25519-sha256, sntrup761x25519-sha512)
• La opción recomendada es actualizar el servidor a OpenSSH 9.0 o superior (9.9 o superior para lo último) y verificar que KexAlgorithms no tenga desactivados esos algoritmos
• Si no es posible actualizar el servidor o si aceptas el riesgo, también es posible ocultar solo la advertencia con la opción WarnWeakCrypto en ssh_config(5)
• Si es necesario, aplica este ajuste solo para hosts específicos de la siguiente manera:

  Match host unsafe.example.com
      WarnWeakCrypto no
  

Q: ¿Por qué prepararse si todavía no hay computadoras cuánticas?

• Es por el ataque mencionado como "store now, decrypt later"
• El tráfico enviado hoy podría descifrarse más tarde, por lo que se recomienda una conexión segura post-cuántica desde ahora

Q: También dijeron que los algoritmos de firma son riesgosos, ¿por qué no es un problema ahora?

• La mayoría de los algoritmos de firma actuales (RSA, ECDSA, etc.) también pueden neutralizarse con una computadora cuántica
• Sin embargo, en este caso no hay escenarios donde el tráfico existente se guarde para descifrado posterior
• En lo urgente respecto a las firmas, se trata de retirar las claves de firma antiguas cuando la llegada de computadoras cuánticas esté más cerca
• OpenSSH planea agregar soporte de algoritmos de firma post-cuántica en el futuro

Q: Creo que las computadoras cuánticas no serán posibles, ¿por qué es importante?

• Algunos piensan que las computadoras cuánticas no se lograrán, pero las barreras técnicas actuales son un problema de ingeniería, no de física fundamental
• Si las computadoras cuánticas son posibles, las medidas de hoy acabarán protegiendo una enorme cantidad de datos de usuarios
• Incluso si al final resultara una preparación innecesaria, no es más que una migración a cifrado matemáticamente más fuerte

Q: ¿No podrían también ser vulnerables los algoritmos post-cuánticos?

• OpenSSH también está abordando esto con cautela
• Ha seleccionado únicamente algoritmos que han sido evaluados en profundidad durante los últimos años, pero sigue existiendo la posibilidad de que se descubran nuevos métodos de ataque
• Para cubrir eso, se eligieron algoritmos con holgura de seguridad suficiente, lo que aumenta la probabilidad de mantener seguridad operativa incluso si resultan más débiles de lo esperado
• Además, los algoritmos post-cuánticos de OpenSSH son completamente de tipo híbrido
  • Por ejemplo: mlkem768x25519-sha256 combina ML-KEM (post-cuántico) y el algoritmo ECDH/x25519 (clásico) existente
  • De este modo, incluso si el algoritmo post-cuántico se vuelve ineficaz en el futuro, se conservaría al menos el mismo nivel de seguridad que antes