Un futuro post-cuántico para Let's Encrypt
Modelo de amenaza post-cuántico y capacidades
- Varios comentarios señalan que las capacidades cuánticas están bien modeladas teóricamente (clases de complejidad como BQP, aceleraciones al estilo de Shor y Grover), aunque todavía no existan máquinas prácticas.
- La seguridad de los esquemas clásicos y post-cuánticos sigue siendo heurística: nadie puede demostrar su dureza, pero muchos años de ataques fallidos inspiran confianza.
- Algunos argumentan que “recopilar ahora, descifrar después” hace urgente la migración del cifrado; otros subrayan que las firmas y las claves de larga duración son al menos igual de urgentes porque las falsificaciones cuánticas serían indistinguibles de compromisos clásicos.
Cripto híbrida, KEMs y “cifrar dos veces”
- Fuerte rechazo a la idea ingenua de “simplemente cifrar los datos dos veces con dos esquemas”.
- Patrón recomendado: encapsulación híbrida de claves (múltiples KEMs, por ejemplo clásico + post-cuántico, cuyos secretos compartidos se combinan de forma segura, y luego se usa una sola AEAD simétrica).
- Énfasis repetido en que los KEMs no son “solo cifrado de claves” y en que la terminología precisa importa para evitar construcciones inseguras.
- Para los KEMs, los híbridos se consideran ampliamente razonables; para las firmas, los híbridos son más controvertidos porque pueden debilitar algunas propiedades de seguridad deseables.
Elecciones de algoritmos y confianza en las retículas
- La discusión se centra en esquemas basados en retículas (ML-KEM, ML-DSA) como los estándares post-cuánticos actuales, con niveles de seguridad de parámetros comparados con AES y la fuerza de los hashes.
- LWE y problemas de retículas relacionados se describen como algunas de las suposiciones de dureza mejor comprendidas en la criptografía de clave pública, posiblemente mejor comprendidas que RSA en ciertos aspectos.
- Fallos post-cuánticos pasados como SIKE/SIDH se usan como advertencias, pero no se consideran una refutación de las retículas en su conjunto.
Certificados de Árbol de Merkle (MTCs) y transparencia
- Los MTCs prometen apretones de manos más pequeños (en el caso común) y transparencia integrada: todo certificado debe estar en un árbol de Merkle.
- Principales inconvenientes señalados:
- Los clientes necesitan sincronización continua fuera de banda de “landmarks”; los entornos sin conexión o inestables pueden recaer en firmas post-cuánticas muy grandes.
- Los servidores TLS y los clientes se vuelven más complejos; las herramientas no orientadas al navegador y los sistemas embebidos pueden ir con retraso o evitar certificados relativos a landmarks.
- Los MTCs buscan corregir debilidades de la Transparencia de Certificados actual (SCTs, complejidad de múltiples registros), y se mencionan índices verificables como una futura mejora para la monitorización.
Confianza, puertas traseras y escepticismo
- Algunos comentaristas desconfían de la implicación de la NSA/UE y no ven una amenaza cuántica inmediata, por lo que abogan por mantener RSA/Ed25519.
- Otros responden que no existe un candidato concreto de puerta trasera en los esquemas post-cuánticos estandarizados y que múltiples jurisdicciones (incluidas no estadounidenses) convergen en diseños similares basados en retículas.