Un futuro post-cuántico para Let's Encrypt

Modelo de amenaza post-cuántico y capacidades

  • Varios comentarios señalan que las capacidades cuánticas están bien modeladas teóricamente (clases de complejidad como BQP, aceleraciones al estilo de Shor y Grover), aunque todavía no existan máquinas prácticas.
  • La seguridad de los esquemas clásicos y post-cuánticos sigue siendo heurística: nadie puede demostrar su dureza, pero muchos años de ataques fallidos inspiran confianza.
  • Algunos argumentan que “recopilar ahora, descifrar después” hace urgente la migración del cifrado; otros subrayan que las firmas y las claves de larga duración son al menos igual de urgentes porque las falsificaciones cuánticas serían indistinguibles de compromisos clásicos.

Cripto híbrida, KEMs y “cifrar dos veces”

  • Fuerte rechazo a la idea ingenua de “simplemente cifrar los datos dos veces con dos esquemas”.
  • Patrón recomendado: encapsulación híbrida de claves (múltiples KEMs, por ejemplo clásico + post-cuántico, cuyos secretos compartidos se combinan de forma segura, y luego se usa una sola AEAD simétrica).
  • Énfasis repetido en que los KEMs no son “solo cifrado de claves” y en que la terminología precisa importa para evitar construcciones inseguras.
  • Para los KEMs, los híbridos se consideran ampliamente razonables; para las firmas, los híbridos son más controvertidos porque pueden debilitar algunas propiedades de seguridad deseables.

Elecciones de algoritmos y confianza en las retículas

  • La discusión se centra en esquemas basados en retículas (ML-KEM, ML-DSA) como los estándares post-cuánticos actuales, con niveles de seguridad de parámetros comparados con AES y la fuerza de los hashes.
  • LWE y problemas de retículas relacionados se describen como algunas de las suposiciones de dureza mejor comprendidas en la criptografía de clave pública, posiblemente mejor comprendidas que RSA en ciertos aspectos.
  • Fallos post-cuánticos pasados como SIKE/SIDH se usan como advertencias, pero no se consideran una refutación de las retículas en su conjunto.

Certificados de Árbol de Merkle (MTCs) y transparencia

  • Los MTCs prometen apretones de manos más pequeños (en el caso común) y transparencia integrada: todo certificado debe estar en un árbol de Merkle.
  • Principales inconvenientes señalados:
    • Los clientes necesitan sincronización continua fuera de banda de “landmarks”; los entornos sin conexión o inestables pueden recaer en firmas post-cuánticas muy grandes.
    • Los servidores TLS y los clientes se vuelven más complejos; las herramientas no orientadas al navegador y los sistemas embebidos pueden ir con retraso o evitar certificados relativos a landmarks.
  • Los MTCs buscan corregir debilidades de la Transparencia de Certificados actual (SCTs, complejidad de múltiples registros), y se mencionan índices verificables como una futura mejora para la monitorización.

Confianza, puertas traseras y escepticismo

  • Algunos comentaristas desconfían de la implicación de la NSA/UE y no ven una amenaza cuántica inmediata, por lo que abogan por mantener RSA/Ed25519.
  • Otros responden que no existe un candidato concreto de puerta trasera en los esquemas post-cuánticos estandarizados y que múltiples jurisdicciones (incluidas no estadounidenses) convergen en diseños similares basados en retículas.