Antes de explicar qué es la cripto-agilidad, conviene observar que la criptografía y los módulos de seguridad hardware (HSMs), asociados a la misma, juegan un papel clave para la protección de los activos críticos mediante el cifrado, minimizando los posibles riesgos de fraude y ciberataques.
La ciberseguridad es un eje estratégico para la supervivencia de cualquier organización. Los datos son un activo sensible que debemos proteger siempre, por lo que no sólo vale conocer el ahora del cifrado, sino que tenemos que ser proactivos ante lo que está por venir. Y es aquí donde la cripto-agilidad, es decir, la agilidad y capacidad de adaptación a los nuevos algoritmos seguros de cifrado, se convierte en una disciplina clave para que la ciberseguridad no se quebrante en ningún momento.
La maquinaria de los malos nunca descansa y, por lo tanto, la del cifrado tampoco puede parar. Un algoritmo que hoy se considera robusto mañana puede ser débil o romperse, lo que obliga a la industria a adoptar claves de mayor longitud conforme la capacidad de procesamiento evoluciona en los ordenadores. Estos cambios pueden llegar a ser obsoletos ante una nueva tecnología de ataques del futuro: los ataques cuánticos, siendo importante tener en cuenta que la investigación en criptografía poscuántica es un campo en evolución constante.
¿Qué es la cripto-agilidad?
La cripto-agilidad o agilidad criptográfica se refiere a la habilidad de un sistema para cambiar de manera práctica a un sistema criptográfico alternativo sin alterar de manera significativa la infraestructura actual. Esta se logra cuando una infraestructura tiene un control completo sobre sus operaciones criptográficas, de modo que un cambio en dichas operaciones no afecta a las funciones diarias del hardware.
A medida que el tiempo avanza, los sistemas informáticos se vuelven más complejos, al igual que los algoritmos de cifrado y los métodos de ataque de los agresores. Dado que algunos algoritmos serán vulnerables con el uso de algoritmos cuánticos, las organizaciones deben aprender hoy a vivir en un mundo combinado pre y postcuántico; es decir, estar preparados para adaptarse al cambio sin tener que hacer cambios significativos en sus sistemas.
¿Por qué es importante?
Como se mencionó anteriormente, la vulneración de los algoritmos de cifrado por parte de los atacantes es una de las principales razones por las que se reemplazan dichos algoritmos. Los ciberdelincuentes descubren constantemente nuevas formas de vulnerar los algoritmos seguros que se utilizan a diario. En 2018, el Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés) publicó una directriz que destacó la vulnerabilidad Sweet32, que hizo que el algoritmo de cifrado 3DES fuera inseguro. 3DES se utiliza ampliamente en el sector financiero, lo que significa que cambiar de 3DES a un nuevo algoritmo de cifrado podría afectar el hardware utilizado en dicho sector, a menos que sea criptográficamente ágil.
Con el paso del tiempo se descubrirán nuevas vulnerabilidades en todos los tipos de cifrado, a la vez que los procesadores serán más rápidos y se llegará al punto de aceleración y rompimiento de algunos algoritmos con el uso de la computación cuántica.
Además, el NIST está llevando a cabo un proceso para definir los algoritmos que van a ser estandarizados y reconocidos como prueba cuántica. Dado que los algoritmos están aún en proceso de normalización y siempre surgen nuevos desarrollos, es importante que las organizaciones sean cripto-ágiles; es decir, que cuenten con los protocolos y estándares de seguridad de la información necesarios para cambiar rápidamente entre algoritmos, primitivas criptográficas y criptoactivos de forma segura.
Seguridad cuántica
Todo este panorama pone de manifiesto que el contar, en el momento preciso, con los algoritmos adecuados y administrar las claves correctamente para estar listos ante una implementación futura de algoritmos postcuánticos, y la seguridad necesaria para evitar un ataque cuántico futuro, puede ahorrar a la industria miles de horas de trabajo y mucho dinero.
Actualmente, el estudio de la resistencia de los algoritmos simétricos actuales frente a ataques cuánticos para desarrollar nuevos algoritmos criptográficos que sean seguros en un entorno cuántico es una de las tareas de esta agilidad criptográfica.
A medida que avanza la investigación es posible que surjan nuevos algoritmos criptográficos simétricos postcuánticos o que se realicen adaptaciones y mejoras en los algoritmos existentes para garantizar su seguridad en un entorno cuántico.
Socio estratégico
Según Gartner, “si no se migra a los nuevos algoritmos criptográficos de seguridad cuántica, la seguridad de las aplicaciones y los datos puede verse comprometida. Los líderes de seguridad y gestión de riesgos deben prepararse para los ataques de cosecha ahora, descifra después fusionando el mantenimiento criptográfico con DevSecOps”.
Desde hace varios años, Utimaco, como líder en soluciones de ciberseguridad y cumplimento, se posiciona a la vanguardia en investigación y desarrollo de soluciones alineadas a los procesos de cripto-agilidad, lo que le valida como el mejor socio estratégico con quien contar para el cifrado de sus activos críticos sin riesgos ni sorpresas desagradables para su ciberseguridad.
En esta línea, ofrece su simulador Q-safe, Security Server, en cuyo diseño se ha considerado la agilidad criptográfica actual y los casos de uso futuros relativos a los algoritmos PQC recomendados por NIST y BSI. Todo esto permite a sus HSMs actualizarse con algoritmos específicos a prueba de quantum como CRYSTALS-KYBER, CRYSTALS-Dilithium, XMSS, XMSS-MT y HSS a través de la extensión de firmware Q-safe.
A su vez, en este proceso de agilidad criptográfica debemos considerar la importancia estratégica de la infraestructura de clave pública (PKI), responsable de la gestión de certificados, y que junto con soluciones de gestión de claves (key management) puede ayudar a automatizar la sustitución, creación y rotación de claves y certificados. Esto elimina el riesgo de errores humanos en la gestión de claves y certificados. Además, proporciona control sobre la cadena de confianza y las autoridades de certificación (CA) utilizadas en la PKI, lo que permite a la organización tener un mayor control sobre el cifrado de los datos.
Los animamos a visitar toda esta información en la página web de Utimaco y participar activamente en el proceso de contar con una seguridad robusta y de confianza.