La criptografía poscuántica es demasiado grande, maldita sea
Preocupaciones de rendimiento y tamaño para PQC
- Muchos comentarios coinciden en que los esquemas actuales de firmas poscuánticas (p. ej., los basados en retículas como Dilithium) son muy grandes, lo que provoca hinchazón del handshake, latencia y presión sobre la memoria, especialmente problemático para dispositivos empotrados y con recursos محدودados.
- Algunos sostienen que “14 KB no es mucho” comparado con páginas web de varios MB; otros responden que los datos del handshake crean bloqueo head-of-line, se repiten en muchas conexiones/CDN y, por tanto, son críticos para la latencia.
- Existe la preocupación de que podamos quedar atrapados con esquemas grandes durante un tiempo; otros creen que cambios de protocolo (reutilización de conexiones, HTTP/2/3, eliminación de la cadena de certificados, registros de transparencia) pueden mitigar la sobrecarga.
Modelo de amenaza y momento de los ataques cuánticos
- Los escépticos cuestionan si los computadores cuánticos a gran escala existirán lo suficientemente pronto como para justificar un despliegue generalizado de PQC, comparando la situación con la fusión o con tecnologías sobrevaloradas que siempre están “a 20 años de distancia”.
- Otros argumentan que la computación cuántica sigue siendo la amenaza conocida más plausible para la criptografía asimétrica actual y que la migración criptográfica lleva décadas, así que actuar pronto es prudente.
- Se discute “harvest now, decrypt later”: algunos lo ven exagerado; otros señalan que, una vez exista un gran computador cuántico, el tráfico archivado sin intercambio de claves PQ quedará expuesto.
Tecnologías alternativas: QKD y one-time pads
- La Distribución Cuántica de Claves (Quantum Key Distribution) se considera más madura que los grandes computadores cuánticos, pero impracticable para el uso general en Internet: requiere hardware especial, buenos trayectos ópticos y aun así necesita un canal autenticado (por tanto, seguro frente a PQ).
- Algunos sostienen que la distribución física de claves o la criptografía simétrica clásica con pequeños secretos compartidos es más simple; se cuestiona la relación coste-beneficio de QKD.
- Los one-time pads se reconocen como teóricamente perfectos, pero operativamente difíciles; se prefiere la criptografía simétrica segura frente a PQ con un buen intercambio de claves.
Casos de uso: web, criptomonedas y firmas
- Para la web, varios proponen centrarse primero en el intercambio de claves seguro frente a PQ para protegerse contra la descifrado retrospectivo, manteniendo por ahora los certificados clásicos.
- Las criptomonedas se destacan como especialmente expuestas a futuros ataques cuánticos; se discuten modelos de cuentas con esquemas de firma enchufables y monederos basados en contratos como ruta de migración.
- Algunos debaten separar integridad de confidencialidad (p. ej., subresource integrity, hashes), pero otros subrayan que las URLs y los patrones de acceso en sí mismos son sensibles, así que el cifrado sigue siendo importante.