Por Timothy Hollebeek, estratega de tecnología industrial en DigiCert
Es esencial tener confianza digital para permitir que las personas y las empresas participen en línea con la confianza de que su huella en un mundo digital es segura. Sin embargo, las computadoras cuánticas son una amenaza para realizar interacciones en línea de manera segura. Ante ese panorama, en países como Estados Unidos el NIST (Instituto Nacional de estándares y Tecnología) ha estado revisando posibles algoritmos criptográficos que podrían soportar tanto computadoras tradicionales como cuánticas.
Dada la selección reciente del NIST de algoritmos criptográficos primarios resistentes a la cuántica, ahora es el momento de considerar la agilidad criptográfica en las organizaciones. Si bien puede llevar varios años incorporar los algoritmos seleccionados de NIST en varios estándares, la entidad recomienda que aunque haya algunos cambios antes de que se finalice el estándar, hay pasos que puede tomar ahora para estar preparado. Lo más importante es lo que las organizaciones pueden hacer ahora, para prepararse hacia la criptografía poscuántica (PQC) y mejorar la criptoagilidad.
Cripto-agilidad: ¿qué es y por qué es importante?
La criptoagilidad es la capacidad de un sistema de seguridad para cambiar rápidamente entre mecanismos de encriptación y se centra en la visibilidad y el movimiento dinámico de los criptoactivos de una organización. Esta práctica explora cómo se usa la criptografía en la organización y como debe tener las herramientas para identificar problemas y solucionarlos rápidamente. Asimismo, incorpora el establecimiento de políticas claras sobre las mejores prácticas criptográficas. También incluye la capacidad de probar nuevos algoritmos criptográficos, lo cual es especialmente importante ahora que los usuarios de algoritmos criptográficos tradicionales necesitan comenzar a probar cómo incorporar los algoritmos PQC recomendados por NIST en su software.
Volverse criptoágil es esencial para todas las industrias y todas las organizaciones, ya que los algoritmos criptográficos existentes en la actualidad (RSA, ECC) serán vulnerables al compromiso de las computadoras cuánticas. Por lo tanto, la agilidad criptográfica es una ventaja competitiva, especialmente a medida que crece la cantidad de puntos finales conectados a su red.
Las computadoras cuánticas no serán una amenaza importante durante al menos otros cinco a diez años, pero mientras tanto, todos los protocolos de Internet seguros deberán migrar a los algoritmos estandarizados de NIST.
Alcanzar la criptoagilidad
Lograr este proceso requerirá una visibilidad completa de dónde se usa el cifrado dentro de una organización y cómo se implementan las tecnologías de cifrado, y la capacidad de identificar y remediar rápidamente los problemas cuando surjan. Sin embargo, la visibilidad es solo la mitad de la ecuación. Igualmente, importante es la capacidad de reemplazar criptoactivos obsoletos sin interrumpir significativamente la infraestructura de su sistema. Una de las mejores maneras de lograr esto es a través de la automatización. Por lo tanto, esta práctica se puede lograr en dos pasos: visibilidad y automatización.
Primer paso: visibilidad
Desafortunadamente, es común que muchos profesionales de la seguridad carezcan de una imagen completa de dónde se utilizan las criptomonedas en su infraestructura. Más allá de ayudar a prepararse para PQC, obtener visibilidad de su criptografía puede reducir su riesgo actual de ataques. Las organizaciones de hoy tienen más criptografía para proteger que nunca. Si bien los certificados TLS/SSL para la web siguen siendo comunes, en un mundo posterior a la pandemia, las organizaciones tienen Infraestructura de clave pública (PKI) para hardware, software, gestión de acceso e identidad y más. Pero aumentar las conexiones también aumenta la superficie de ataque de las organizaciones. Por lo tanto, es fundamental obtener información en tiempo real sobre las vulnerabilidades para identificarlas y remediarlas rápidamente.
Es recomendable comenzar a aumentar su agilidad criptográfica descubriendo e inventariando lo que necesitará ser reemplazado. Esto requerirá un análisis exhaustivo de los sistemas y aplicaciones que utilizan criptografía de clave pública.
Segundo paso: automatización
Una vez que haya ganado visibilidad sobre la infraestructura criptográfica, el siguiente paso es reemplazar la criptografía obsoleta según sea necesario con la automatización. La capacidad de reemplazar claves y certificados rápidamente será clave para mantenerse seguro en un entorno poscuántico. Sin embargo, la gestión manual de certificados requiere mucho tiempo y es propensa a errores humanos. En su lugar, es recomendable automatizar el proceso de renovación e instalación de certificados, para así mantener la criptografía actualizada y simplificar la gestión del ciclo de vida de los certificados. La forma más sencilla de hacerlo es utilizar una PKI como servicio con un administrador de automatización.