Microsoft acelera el enfoque en la seguridad cuántica segura
Microsoft está acelerando su cronograma de seguridad cuántica, diciendo que los avances en la computación cuántica y los nuevos requisitos federales han llevado a la criptografía poscuántica de un tema de planificación futura a una prioridad de ingeniería inmediata.
En una publicación reciente en el blog de Microsoft Security, Mark Russinovich, director de tecnología de Microsoft Azure, dijo que la compañía está adelantando su cronograma interno para la transición de productos y servicios críticos a la criptografía poscuántica, o PQC, para 2029.
«Durante años, la planificación de la criptografía poscuántica (PQC) se planteó como un problema futuro: importante, inevitable, pero distante», escribió Russinovich. «Esa perspectiva está evolucionando a medida que la tecnología avanza y las organizaciones se preparan para la escala y la complejidad de la transición que se avecina».
La actualización se produce poco después de que la Casa Blanca emitiera la Orden Ejecutiva 14412, «Asegurar la nación contra ataques criptográficos avanzados», que ordena a las agencias federales que comiencen a trasladar activos de alto valor y sistemas de alto impacto hacia los estándares de criptografía poscuántica aprobados por el NIST.
La orden refleja la creciente preocupación de que los malos actores puedan estar recopilando datos cifrados ahora con la expectativa de que las computadoras cuánticas eventualmente sean lo suficientemente poderosas como para romper los sistemas criptográficos ampliamente utilizados.
«La llegada de ordenadores cuánticos a gran escala, especialmente en manos de adversarios, supondrá una amenaza significativa para los sistemas de seguridad criptográficos ampliamente utilizados», afirma la orden. También advierte que la actividad cibernética en curso crea el riesgo de que los adversarios «recopilen información de Estados Unidos ahora y la descifren más tarde, una vez que las computadoras cuánticas a gran escala estén operativas».
Microsoft dijo que el mismo riesgo de «cosechar ahora, descifrar después» ya está cambiando la forma en que los clientes piensan acerca de los datos confidenciales de larga duración. La compañía dijo que las organizaciones en industrias reguladas, infraestructura crítica y otros entornos de alto riesgo están dando prioridad a la información que puede necesitar permanecer confidencial durante muchos años.
Russinovich dijo que Microsoft ahora cree que el horizonte de riesgo ha cambiado.
«Creemos que las computadoras cuánticas criptográficamente relevantes podrían llegar antes de lo esperado, y el trabajo requerido para prepararlas es significativo, por lo que las organizaciones deben comenzar ahora», escribió. «Las capacidades cuánticas se están acelerando. Ahora es el momento de responder».
Como parte de ese cambio, Microsoft dijo que está acelerando su Programa Quantum Safe e incorporando requisitos de PQC en su Iniciativa Futuro Seguro, el esfuerzo de ingeniería de seguridad de toda la empresa lanzado después de una serie de fallas de seguridad de alto perfil y revisiones gubernamentales. La compañía dijo que la medida tiene como objetivo colocar la preparación para la seguridad cuántica en el mismo marco operativo utilizado para otras prioridades de seguridad, incluida la propiedad, los hitos mensurables y el seguimiento del progreso.
Microsoft dijo que su trabajo a corto plazo se centrará en tres áreas: actualizar la criptografía de la red, desarrollar la criptoagilidad para los datos almacenados y modernizar las cadenas de confianza criptográficas utilizadas para la identidad, la firma y los certificados.
Para la criptografía de red, Microsoft dijo que la adopción de TLS 1.3 puede establecer una base para el intercambio de claves híbridas y poscuánticas a medida que los estándares maduren. Para los datos almacenados, la compañía dijo que las organizaciones necesitan criptoagilidad, lo que significa que las configuraciones criptográficas deben ser configurables sin forzar rediseños amplios de las aplicaciones. Para las cadenas de confianza, Microsoft señaló la firma de códigos, la emisión de certificados, la protección de claves y los canales de actualización como algunas de las áreas más complejas que deberán modernizarse.
La orden de la Casa Blanca establece una dirección similar para los sistemas federales. Requiere que las agencias identifiquen un líder de migración de PQC dentro de los 30 días y ordena a la OMB, en consulta con CISA y el director cibernético nacional, que emita una guía dentro de los 90 días exigiendo a las agencias que revisen los inventarios de activos de alto valor y sistemas de alto impacto.
Según la orden, esos sistemas deben realizar la transición a PQC para el establecimiento de claves antes del 31 de diciembre de 2030 y para las firmas digitales antes del 31 de diciembre de 2031. La orden también exige que se complete un proyecto piloto del NIST antes del 31 de diciembre de 2027 y ordena a CISA y NIST que publiquen orientación pública sobre los elementos mínimos para una lista de materiales criptográficos.
«Es política de Estados Unidos salvaguardar la seguridad nacional y mantener el liderazgo tecnológico ejecutando de manera responsable y efectiva la transición de los sistemas de información federales a los Estándares Federales de Procesamiento de Información (FIPS) para Criptografía Post-Cuántica (PQC) aprobados por el Instituto Nacional de Estándares y Tecnología (NIST), y ayudar a los propietarios y operadores de infraestructura crítica con sus transiciones», afirma la orden.
Para los equipos de TI empresariales, Microsoft dijo que la parte más difícil puede no ser elegir algoritmos, sino encontrar dónde ya existe la criptografía en aplicaciones, servicios, redes, identidades, certificados y hardware.
«La mayoría de las organizaciones carecen de una visibilidad clara de dónde existe la criptografía en las aplicaciones, la infraestructura y los sistemas heredados, lo que hace que el descubrimiento y la priorización sean el principal desafío», escribió Russinovich.
Microsoft insta a las organizaciones a comenzar con la estrategia, la propiedad y el inventario, al mismo tiempo que modernizan los protocolos y diseñan nuevos sistemas teniendo en cuenta la criptoagilidad, y agrega que comenzar antes puede reducir el riesgo y al mismo tiempo ayudar a evitar migraciones disruptivas y apresuradas más adelante.
