Es hora de sofocar las alarmas en torno al criptocraqueo poscuántico



A medida que los científicos informáticos avanzan en el proceso de llevar la computación cuántica al ámbito práctico, los proveedores y profesionales de la ciberseguridad deberán estar preparados con mecanismos de encriptación que puedan resistir el poder del potencial informático cuántico. Pero los expertos en riesgos dicen que las medidas de prueba de futuro para la criptografía poscuántica no tienen que crearse con pánico.

Contrariamente a la forma en que algunos de los primeros expertos pintaron el panorama de la computación poscuántica, la verdad es que no habrá un precipicio cuántico en el que los mecanismos de encriptación actuales se vuelvan obsoletos repentinamente, dice el Dr. Colin Soutar, líder de ciberpreparación cuántica de EE. UU. y director normal de Deloitte Threat & Monetary Advisory, que acaba de publicar un informe sobre el cifrado cuántico. Explica que, en realidad, la transición a la cuántica será un proceso continuo.

«Hay mucha discusión en torno a la cuántica en este momento, y hay mucha combinación de diferentes tips. Incluso hay algunas declaraciones alarmistas sobre cómo todo debe cambiar de la noche a la mañana para actualizarse a algoritmos resistentes a la cuántica», dice Soutar. «Eso implica que hay una fecha específica (para la adopción cuántica), y realmente no la hay».

Ver los problemas de seguridad poscuánticos desde ese tipo de lente puede ayudar a la industria de la seguridad cibernética a comenzar a trabajar en el problema con el mismo tipo de gestión de riesgos y los mismos pasos de planificación de la hoja de ruta que tomarían para cualquier otro tipo de tendencia tecnológica emergente seria.

Crear conciencia, no alarmismo

Una cosa es segura: el ritmo de la computación cuántica y la criptografía poscuántica es cada vez más fuerte.

La computación cuántica está preparada para dar al mundo de la computación un gran impulso en la capacidad de abordar los problemas de análisis multidimensional que exigen a las supercomputadoras tradicionales más avanzadas de la actualidad. Mientras que las computadoras tradicionales funcionan fundamentalmente en base al almacenamiento de información en binario, la computación cuántica no está limitada por la posición de «encendido» o «apagado» del almacenamiento de información.

Las computadoras cuánticas dependen del fenómeno de la mecánica cuántica llamado superposición, en el que una partícula puede existir en dos estados diferentes simultáneamente. Se aprovechan de ese fenómeno mediante el uso de «qubits», que pueden almacenar información en una variedad de estados al mismo tiempo.

Una vez perfeccionado, esto le dará a las computadoras cuánticas la capacidad de acelerar en gran medida el análisis de datos en problemas difíciles en áreas tan dispares como la investigación de la salud y la IA. Sin embargo, este tipo de poder también hace que estas computadoras sean ideales para descifrar algoritmos criptográficos. Este es el quid de la campaña de concienciación de los defensores de la seguridad durante los últimos años para garantizar que la industria comience a prepararse para esa realidad poscuántica.

«Nuestra opinión sobre esto se trata menos de ser alarmistas y decir: ‘Necesita actualizar todo ahora’ y más de crear conciencia para comenzar a pensar sobre cuáles son sus datos, cuál podría ser su riesgo en relación con esos datos y la criptografía que usted usar», dice Soutar. «Y luego, decida cuándo querrá pensar, comience a buscar el descubrimiento en su hoja de ruta y luego actualice más tarde».

De acuerdo con la encuesta publicado por Deloitte esta semana, la buena noticia es que entre los ejecutivos de negocios y tecnología que conocen la computación cuántica, un poco más del 50% también entendieron las consideraciones de seguridad que conlleva.

Cronometraje del impacto de la seguridad poscuántica

El truco de todo esto para los profesionales de la seguridad es que hay muchos incendios que apagar en otros lugares antes de preocuparse por algo que podría estar a años de distancia. Las computadoras cuánticas de hoy operan solo en el ámbito de la investigación. Requieren equipos inmensamente especializados, incluidas microondas que manipulan objetos cuánticos dentro de entornos sobreenfriados que operan cerca del cero absoluto en muchos casos. Hay un largo camino por recorrer en el frente de la investigación para que las computadoras cuánticas funcionen de una manera comercialmente viable, y nadie está seguro de cuál será la línea de tiempo.

Esa «ambigüedad de la línea de tiempo» es complicada, dice Soutar, quien explica que hay numerosas líneas de tiempo a considerar desde una perspectiva de criptografía poscuántica.

«Las implicaciones de la computación cuántica en la ciberseguridad son bastante conocidas y podrían ser enormes. Quiero decir, la criptografía es endémica en lo que hacemos en toda la economía. La cuestión es que se desconoce el momento porque primero, una computadora cuántica debe ser maduro y lo suficientemente practical y comercialmente robusto como para poder ejecutar el algoritmo de Shor», dice, refiriéndose a un algoritmo para encontrar factores primos de un número entero que es el punto de referencia para determinar si una computadora cuántica podría descifrar efectivamente la criptografía de clave pública. «En segundo lugar, los atacantes necesitan obtener acceso a los datos y necesitan desenredarlos».

La otra variable en esto es un concepto de ataque llamado «cosechar ahora, descifrar más tarde», donde los atacantes recopilan información cifrada ahora con el entendimiento de que podrían romperla a través de los recursos informáticos cuánticos en una fecha posterior. La encuesta de Deloitte muestra que el 50,2% de las organizaciones creen que podrían estar en riesgo de cosechar ahora, descifrar esquemas posteriores.

«Eso abre el riesgo de estos datos que espero sean buenos para toda la vida de un individuo», dice Soutar. «Tal vez es información private, o es información financiera que quiero mantener segura durante al menos 10 años. O es información de seguridad nacional que puede tener requisitos más largos».

Y agrega: «Entonces, la gente está empezando a pensar: ‘Bueno, ¿qué datos tengo y cómo necesito protegerlos? ¿Por cuánto tiempo? En segundo lugar, ¿cuánto tiempo me llevará hacer las actualizaciones para publicar criptografía cuántica? ¿Cuándo debo empezar a pensar en ello?'»

Estas son las grandes preguntas de la línea de tiempo para los expertos en seguridad y computación cuántica, que todavía están en desacuerdo sobre si tenemos 5, 10 o 15 años antes de que el efecto cuántico afecte el cifrado. Soutar reitera que quizás el mejor proceso de pensamiento es dejar de pensar en ello como una fecha definitiva para la que la industria cronometra y, en cambio, pensar en el riesgo relativo a lo largo del tiempo. Explica que esta es una thought propuesta por la Dra. Michele Mosca, cofundadora y directora ejecutiva de Evolution Inc, y coautora de un reporte a principios de este año que detalla esa línea de pensamiento.

«Entonces puede comenzar a pensar, si estoy con una gran organización, tal vez me lleve una década hacer las actualizaciones», explica Soutar. «Tengo todos estos dispositivos médicos u otros dispositivos OT en los que tengo que pensar sobre las comunicaciones de la cadena de suministro, y ¿cómo hago cumplir esto con mis proveedores?»

Y agrega: «Así que, de nuevo, es obtener el grado adecuado de comprensión para que las personas puedan comenzar a cuantificar cuál es el riesgo y compararlo con otros riesgos cibernéticos en los que buscan invertir con el tiempo».

Trabajando en las partes aburridas

Al remaining del día, Soutar dice que tal vez la lente cuántica pueda distraer un poco la seguridad. Mientras las organizaciones mantengan la cuántica en el horizonte, puede que solo sea una cuestión de hacer «actualizaciones superficiales de la criptografía» que podrían no ser tan importantes para la industria si todo se hace a su debido tiempo.

«La amenaza cuántica para las criptomonedas realmente debería ser algo que se aborde con el tiempo. Simplemente haga actualizaciones a medida que los algoritmos se estandaricen», dice Soutar, quien cree que la industria debería hablar sobre los aspectos prácticos de la estandarización, que puede ser aburrido pero también son la forma más importante de empezar a avanzar. «A medida que pasan por ese proceso, las empresas y los gobiernos tienen más confianza para hacer los cambios, hacer las actualizaciones, y simplemente lo hacen. Entonces, realmente debería ser un evento nulo».

Eso no quiere decir que Soutar crea que los profesionales de la seguridad deberían esconder la cabeza en la arena con respecto al riesgo cuántico para las posturas de seguridad. Los riesgos se acelerarán, pero solo es cuestión de trabajar en esa hoja de ruta de encriptación como cualquier otra parte de la hoja de ruta de riesgo cibernético. Eso incluye hacer evaluaciones de riesgo, descubrir y clasificar datos y proyectar el riesgo a lo largo del tiempo.

«Nunca es una mala thought ir a buscar en el ático. No sabes lo que vas a encontrar allí. Cuando hacemos eso, cuando revisamos la criptografía básica, hay cosas que encontramos», dice. . “Podría decir: ‘Bueno, actualicemos eso o asegurémonos de que tenemos la segregación correcta de funciones en relación con eso’. O, ‘¿Hemos establecido todas las responsabilidades y la gobernanza?’ Nuevamente, son las cosas aburridas. Pero esas son cosas que encuentras cuando miras a través de la lente cuántica».

La encuesta de Deloitte muestra que puede ser necesario algún tipo de impulso regulatorio para impulsar a los profesionales de la seguridad a dar pasos serios en la criptografía poscuántica. Soutar espera que la industria pueda unirse en los próximos años para desarrollar un marco para métodos criptográficos poscuánticos, tal vez con el mismo espíritu que el marco de seguridad cibernética (CSF) del NIST.

«No es una mala plan tener algún marco cuando hay un soplo de regulación potencial aguas abajo», dice. «Creo que eso siempre es mejor que solo la regulación, tener algo que sea voluntario y basado en resultados».



Enlace a la noticia authentic