La criptografía poscuántica es demasiado grande, maldita sea

Preocupaciones de rendimiento y tamaño para PQC

  • Muchos comentarios coinciden en que los esquemas actuales de firmas poscuánticas (p. ej., los basados en retículas como Dilithium) son muy grandes, lo que provoca hinchazón del handshake, latencia y presión sobre la memoria, especialmente problemático para dispositivos empotrados y con recursos محدودados.
  • Algunos sostienen que “14 KB no es mucho” comparado con páginas web de varios MB; otros responden que los datos del handshake crean bloqueo head-of-line, se repiten en muchas conexiones/CDN y, por tanto, son críticos para la latencia.
  • Existe la preocupación de que podamos quedar atrapados con esquemas grandes durante un tiempo; otros creen que cambios de protocolo (reutilización de conexiones, HTTP/2/3, eliminación de la cadena de certificados, registros de transparencia) pueden mitigar la sobrecarga.

Modelo de amenaza y momento de los ataques cuánticos

  • Los escépticos cuestionan si los computadores cuánticos a gran escala existirán lo suficientemente pronto como para justificar un despliegue generalizado de PQC, comparando la situación con la fusión o con tecnologías sobrevaloradas que siempre están “a 20 años de distancia”.
  • Otros argumentan que la computación cuántica sigue siendo la amenaza conocida más plausible para la criptografía asimétrica actual y que la migración criptográfica lleva décadas, así que actuar pronto es prudente.
  • Se discute “harvest now, decrypt later”: algunos lo ven exagerado; otros señalan que, una vez exista un gran computador cuántico, el tráfico archivado sin intercambio de claves PQ quedará expuesto.

Tecnologías alternativas: QKD y one-time pads

  • La Distribución Cuántica de Claves (Quantum Key Distribution) se considera más madura que los grandes computadores cuánticos, pero impracticable para el uso general en Internet: requiere hardware especial, buenos trayectos ópticos y aun así necesita un canal autenticado (por tanto, seguro frente a PQ).
  • Algunos sostienen que la distribución física de claves o la criptografía simétrica clásica con pequeños secretos compartidos es más simple; se cuestiona la relación coste-beneficio de QKD.
  • Los one-time pads se reconocen como teóricamente perfectos, pero operativamente difíciles; se prefiere la criptografía simétrica segura frente a PQ con un buen intercambio de claves.

Casos de uso: web, criptomonedas y firmas

  • Para la web, varios proponen centrarse primero en el intercambio de claves seguro frente a PQ para protegerse contra la descifrado retrospectivo, manteniendo por ahora los certificados clásicos.
  • Las criptomonedas se destacan como especialmente expuestas a futuros ataques cuánticos; se discuten modelos de cuentas con esquemas de firma enchufables y monederos basados en contratos como ruta de migración.
  • Algunos debaten separar integridad de confidencialidad (p. ej., subresource integrity, hashes), pero otros subrayan que las URLs y los patrones de acceso en sí mismos son sensibles, así que el cifrado sigue siendo importante.