Niveles de seguridad de criptografía postcuántica del NIST: Guía de las categorías 1 a 5

Imagina una caja fuerte con cerradura de combinación. Normalmente, la única forma de abrirla es probando diferentes combinaciones numéricas hasta encontrar la correcta.

Algunas cajas fuertes tienen combinaciones muy largas, por lo que se tardarían millones de años en adivinarlas. Por eso se consideran seguras. Ahora, imagina una máquina del futuro que pueda ver la combinación correcta al instante sin probar todas las posibilidades. Cajas fuertes que antes parecían imposibles de abrir podrían desbloquearse en segundos.

La nueva herramienta es la computadora cuánticaMientras que las computadoras clásicas usan bits como unidad básica de información, las computadoras cuánticas usan bits cuánticos (qubits). Esto les permite realizar cálculos matemáticos complejos y resolver problemas exponencialmente más rápido que las computadoras clásicas.

Las cerraduras que se vuelven vulnerables en este escenario son: RSA, Diffie-Hellman y Criptografía de curva elíptica (ECC), los tres algoritmos que protegen la mayor parte del tráfico cifrado en Internet hoy en día.

Durante décadas, las decisiones de seguridad se basaron en un entendimiento común sobre la dificultad de vulnerar estos sistemas. Pero la computación cuántica cambia las reglas por completo. La escala utilizada para medir la solidez de la seguridad ya no refleja la realidad completa.

El desafío es aún más inquietante porque la amenaza aún no está completamente aquí, pero ya sabemos que se acerca. Por eso la Instituto Nacional de Estándares y Tecnología El NIST dedicó casi una década a prepararse para ello. Su objetivo era diseñar y estandarizar una nueva generación de algoritmos criptográficos capaces de resistir la potencia de las computadoras cuánticas.

Este esfuerzo condujo al desarrollo de Criptografía post-cuántica (PQC). Se refiere a la nueva clase de algoritmos criptográficos diseñados específicamente para permanecer seguros incluso frente a computadoras cuánticas capaces de ejecutar algoritmos como el de Shor, que podría romper los sistemas criptográficos de clave pública tradicionales.

¿Qué son las categorías de seguridad NIST PQC?

PQC se refiere a algoritmos criptográficos diseñados para mantenerse seguros frente a ataques tanto de computadoras clásicas como cuánticas. El NIST define cinco categorías de seguridad (1-5), cada una vinculada a un problema de referencia específico y bien comprendido que sigue siendo computacionalmente difícil incluso frente al hardware cuántico. Las categorías se dividen en dos tipos de problemas:

• Las categorías 1, 3 y 5 se basan en la búsqueda de claves por fuerza bruta contra AES-128, AES-192 y AES-256, respectivamente, el modelo de ataque relevante para el cifrado y el intercambio de claves. La categoría 1 se ajusta al nivel de seguridad de los protocolos de internet estándar actuales; la categoría 3 es la configuración predeterminada recomendada por el NIST para nuevas implementaciones; la categoría 5 está diseñada para secretos de larga duración, autoridades de certificación raíz y sistemas de alta seguridad.
• Las categorías 2 y 4 se basan en la búsqueda de colisiones contra SHA-256 y SHA-384, respectivamente, el modelo de ataque relevante para las firmas digitales y los esquemas basados ​​en funciones hash.

¿Qué es lo que realmente está en riesgo?

La mayoría de los datos cifrados hoy en día están protegidos por uno de tres algoritmos: RSA, Diffie-Hellman o ECC. Todos ellos se basan en el mismo concepto: su seguridad proviene de problemas matemáticos extremadamente difíciles de revertir.

Por ejemplo:

• RSA se basa en la dificultad de factorizar números muy grandes en sus componentes primos.
• El algoritmo Diffie-Hellman depende de la dificultad del problema del logaritmo discreto.
• ECC se basa en la resolución del problema del logaritmo discreto de curvas elípticas.

Para las computadoras clásicas, estos problemas son computacionalmente inviables a gran escala. Y esto es lo que protege hoy en día sus conexiones TLS, sesiones SSH, firmas digitales y correos electrónicos cifrados.

Sin embargo, en 1994, el matemático Peter Shor demostró que una computadora cuántica suficientemente potente podía resolver problemas de factorización y de logaritmos discretos en tiempo polinomial, exponencialmente más rápido que cualquier método clásico conocido.

La implicación práctica es dramática. Para explicarlo, romper el algoritmo RSA-2048 con ordenadores clásicos requeriría aproximadamente 2¹¹² operaciones, una cantidad tan grande que resulta prácticamente imposible con la tecnología actual. Sin embargo, el algoritmo de Shor sugiere que un ordenador cuántico podría resolver el mismo problema con tan solo unos miles de operaciones.

Por lo tanto, si las computadoras cuánticas a gran escala se vuelven viables, los tres pilares de la criptografía de clave pública moderna (RSA, Diffie-Hellman y ECC) serán vulnerables a computadoras cuánticas tolerantes a fallos suficientemente grandes que ejecuten el algoritmo de Shor. Y con ellas, gran parte de la infraestructura de clave pública existente en internet.

Los algoritmos de criptografía simétrica como AES o ChaCha20, que cifran los datos después de que se intercambian las claves, no se basan en las mismas estructuras algebraicas que explota el algoritmo de Shor.

Existe un algoritmo cuántico que afecta a la simetría. cifrado Conocido como el algoritmo de Grover, que acelera las búsquedas de claves por fuerza bruta. Sin embargo, su ventaja es solo cuadrática, no exponencial.

En un análisis sencillo, esto significa que la seguridad efectiva de AES-128 se reduce de 2¹²⁸ operaciones a aproximadamente 2⁶⁴ frente a un atacante cuántico. Esto puede sonar alarmante, pero en la práctica no es tan grave como parece.

Por lo tanto, el problema inmediato y mucho más urgente reside en la criptografía de clave pública. Esto se debe a que, si los algoritmos criptográficos de clave pública se vuelven vulnerables, internet necesitará algoritmos alternativos basados ​​en problemas matemáticos que ni siquiera las computadoras cuánticas pueden resolver de manera eficiente.

Ese campo se conoce como PQC, y es precisamente lo que el NIST dedicó casi una década a evaluar y estandarizar. Pero elegir los algoritmos adecuados era solo la mitad del desafío. El problema más difícil era determinar cómo medir su seguridad desde el principio.

¿Por qué la escala de seguridad tradicional no funciona con PQC?

En criptografía clásica, medir la seguridad es relativamente sencillo. Los investigadores estudian el ataque más conocido contra un algoritmo, estiman cuántas operaciones requeriría dicho ataque y, a continuación, calculan el logaritmo en base 2 de ese número. El resultado se convierte en el nivel de seguridad del algoritmo en bits.

Dado que los diferentes sistemas criptográficos pueden expresarse utilizando la misma medida, pueden compararse directamente. Por ejemplo:

• AES-128 proporciona aproximadamente 128 bits de seguridad, lo que significa que el ataque más conocido requeriría aproximadamente 2¹²⁸ operaciones.
• ECDH utilizando la curva P-256 proporciona aproximadamente 128 bits de seguridad, basándose en la dificultad de resolver el problema del logaritmo discreto de curva elíptica.
• RSA-3072 también se sitúa aproximadamente en el rango de seguridad de 128 bits, según la dificultad estimada de factorizar un número entero de 3072 bits.

La criptografía cualitativa probabilística (PQC) aún no goza del mismo nivel de confianza a largo plazo que la criptografía clásica, ya que se basa en supuestos de dificultad relativamente nuevos, como el aprendizaje con errores (LWE), la decodificación de síndromes a partir de códigos correctores de errores y las construcciones basadas en funciones hash. En consecuencia, las estimaciones de seguridad para estos esquemas siguen evolucionando gracias a la investigación y el criptoanálisis en curso.

Sin embargo, a medida que el proceso avanzaba, el criptoanálisis continuo comenzó a cuestionar algunas de esas suposiciones. En varios casos, las estimaciones de seguridad tuvieron que revisarse a la baja a medida que los investigadores descubrían ataques más eficientes. Esto no fue un fallo del proceso; fue el proceso funcionando según lo previsto, exponiendo vulnerabilidades bajo un escrutinio global constante.

El ejemplo más llamativo fue TALLAInicialmente considerado un candidato prometedor, SIKE fue finalmente vulnerado después de que los investigadores descubrieran un nuevo ataque clásico que permitía recuperar las claves privadas en cuestión de horas en un ordenador portátil estándar, sin necesidad de hardware cuántico. El resultado fue decisivo y provocó su descarte.

Así pues, el primer problema es que las afirmaciones precisas sobre la seguridad de los bits para los nuevos algoritmos PQC son tan fiables como el estado actual del criptoanálisis, que todavía está en pleno desarrollo.

El segundo desafío proviene de incertidumbre del hardwarePara estimar la resistencia a los ataques cuánticos, es necesario predecir cómo serán realmente las futuras computadoras cuánticas.

El tercer problema es aún más fundamental. Las operaciones clásicas y cuánticas no son unidades comparables. Según las estimaciones actuales, una puerta cuántica cuesta hoy en día entre mil millones y un billón de veces más que una puerta clásica, en términos de hardware, energía y tiempo.

Ante estas incertidumbres, El NIST adoptó un enfoque diferente.En lugar de intentar asignar niveles de seguridad numéricos precisos a los nuevos algoritmos PQC, optaron por definir la seguridad. en comparación, basando los nuevos sistemas en la reconocida solidez de la criptografía clásica existente.

La idea central de las referencias para algoritmos cuánticos seguros

El marco desarrollado por el NIST se basa en una simple observación: aunque no podamos afirmar con certeza que un algoritmo criptográfico post-cuántico tenga exactamente X bits de seguridad cuántica, aún podemos determinar si es más difícil o más fácil de romper que un problema de referencia que ya comprendemos bien.

En lugar de buscar una medición precisa, el NIST define niveles mínimos de seguridad. Los problemas de referencia elegidos son la búsqueda de claves AES y la búsqueda de colisiones en anchos de hash específicos, SHA-256 para la Categoría 2 y SHA-384 para la Categoría 4. Tanto SHA-256 como SHA-384 pertenecen a la familia SHA-2, pero las categorías de seguridad del NIST no hacen referencia a la familia en su conjunto; se basan en longitudes de salida de hash individuales porque cada ancho proporciona un nivel mínimo de seguridad distinto.

La salida de 256 bits de SHA-256 proporciona 128 bits de resistencia a colisiones (debido a la paradoja del cumpleaños), que es el mínimo exacto que requiere la Categoría 2. SHA3-256, de la familia SHA-3 más reciente, ofrece una garantía equivalente y el NIST lo cita formalmente junto con SHA-256 como una referencia aceptable para la Categoría 2. Estas primitivas simétricas se han estudiado más exhaustivamente que casi cualquier otro componente criptográfico.

Miles de investigadores los han analizado, así como los ataques cuánticos contra ellos, en particular el algoritmo de Grover, que afecta al lado de la búsqueda de claves, y el algoritmo de Brassard-Høyer-Tapp, que afecta al lado de la búsqueda de colisiones. Dado que estos problemas de referencia están bien analizados, proporcionan un punto de referencia estable. Por lo tanto, en lugar de decir «este algoritmo tiene 143 bits de seguridad», el NIST afirma algo más práctico:

Este algoritmo debe ser al menos tan difícil de romper como AES-192 bajo cualquier ataque que podamos modelar de forma realista.

No se trata de una cifra exacta, sino de una categoría. Y dado que los problemas de referencia se comprenden bien, la categoría conserva su relevancia incluso con la evolución del hardware cuántico y el surgimiento de nuevos métodos de criptoanálisis. El resultado son cinco categorías de seguridad, cada una vinculada a una tarea de referencia específica.

Las cinco categorías de seguridad

Para estandarizar la evaluación de algoritmos post-cuánticos, el NIST definió cinco categorías de seguridad basadas en la dificultad estimada de romper primitivas criptográficas establecidas, como AES y SHA-2, tanto bajo ataques clásicos como cuánticos. Cada categoría representa un nivel de seguridad, un modelo de ataque y un objetivo de protección a largo plazo diferentes, lo que ayuda a las organizaciones a elegir los algoritmos adecuados para el cifrado, las firmas digitales y la seguridad de los datos a largo plazo. Analicemos cada categoría en detalle.

Categoría 1,

La categoría 1 se basa en la búsqueda de claves por fuerza bruta contra AES-128. Un atacante que intente romper un algoritmo post-cuántico de categoría 1 debe invertir al menos tanto esfuerzo computacional como al probar todas las posibles claves AES de 128 bits. Cuando se incluyen los costos de circuito realistas, esto corresponde aproximadamente a 2¹⁴³ Operaciones de compuertas clásicas.

En términos criptográficos clásicos, este nivel de seguridad se corresponde aproximadamente con RSA-3072 y la curva NIST P-256 utilizada en la criptografía de código entero moderna. Este es el nivel de protección que respalda la mayoría de las conexiones TLS en internet hoy en día.

Para las organizaciones cuyos datos deben permanecer confidenciales durante los próximos cinco a diez años, la migración de RSA-3072 a un algoritmo post-cuántico de Categoría 1 mantiene un nivel de seguridad comparable.

El algoritmo concreto que opera a este nivel es ML-KEM-512, el conjunto de parámetros más pequeño del mecanismo de encapsulación de claves Kyber. Utiliza una clave pública de 800 bytes y un texto cifrado de 768 bytes. En comparación, el algoritmo Diffie-Hellman de curva elíptica sobre P-256 realiza la misma función con una clave pública de 64 bytes. Esta diferencia ilustra lo que muchos ingenieros denominan informalmente el coste de la era poscuántica.

Categoría 2,

La categoría 2 cambia el problema de referencia de la búsqueda de claves a la búsqueda de colisiones en SHA-256. Esta distinción es importante porque el cifrado y las firmas digitales se atacan de maneras fundamentalmente diferentes.

Romper el cifrado suele ser un problema de búsqueda de claves, donde el atacante intenta descubrir una clave secreta específica. Por otro lado, falsificar una firma digital suele ser un problema de colisión. El atacante intenta encontrar dos entradas diferentes que produzcan el mismo valor hash, de modo que un documento malicioso pueda reemplazar a uno legítimo sin dejar de verificar la firma.

Estos dos tipos de ataque se comportan de manera diferente en la computación cuántica. Considerarlos equivalentes implicaría evaluar los esquemas de firmas con un modelo de amenaza erróneo, razón por la cual existe la Categoría 2.

Para SHA-256, la búsqueda de colisiones clásica requiere aproximadamente 2¹²⁸ operaciones, basadas en la paradoja del cumpleaños. Un algoritmo cuántico conocido como algoritmo Brassard-Høyer-Tapp reduce esto a aproximadamente 2⁸⁵ operaciones, aunque requiere una enorme cantidad de memoria cuántica de escala comparable. Actualmente no existe hardware capaz de soportar ese ataque y no se prevé que exista en un futuro próximo.

Por este motivo, el NIST sitúa la Categoría 2 ligeramente por debajo de la Categoría 3. En la mayoría de los escenarios tecnológicos plausibles, las colisiones SHA-256 serían factibles algo antes que la recuperación de claves AES-192.

El esquema de firmas diseñado para esta categoría es ML-DSA-44, el conjunto de parámetros más pequeño de la familia de firmas digitales Dilithium.

Categoría 3,

La categoría 3 se basa en la búsqueda de claves por fuerza bruta contra AES-192, lo que corresponde aproximadamente a 2²⁰⁷ Operaciones de puerta clásicas. A primera vista, aumentar el nivel de seguridad de la Categoría 1 a la Categoría 3 puede parecer modesto porque el tamaño de la clave aumenta solo en 64 bits. En la práctica, esa diferencia es enorme. Una brecha de 2⁶⁴ Esto representa aproximadamente 18 quintillones de veces más esfuerzo computacional. Si romper un sistema de Categoría 1 requiriera que todas las computadoras de la Tierra funcionaran continuamente durante mil millones de años, romper un sistema de Categoría 3 requeriría 18 quintillones de veces más trabajo.

En términos criptográficos clásicos, la Categoría 3 se corresponde aproximadamente con RSA de 7680 bits o con el estándar de curva elíptica NIST P-384. La curva P-384 se utilizó históricamente para comunicaciones clasificadas de nivel SECRETO dentro del marco NSA Suite B de la NSA.

La categoría 3 es el nivel que recomienda el NIST para la mayoría de las nuevas implementaciones. Proporciona un margen de seguridad adecuado para un período de protección de 10 a 20 años y se ajusta al cronograma de desarrollo previsto para las computadoras cuánticas a gran escala.

Los principales algoritmos que operan a este nivel son: ML-KEM-768 para encapsulación de claves y ML-DSA-65 para firmas digitales. Sus claves públicas son de aproximadamente 1184 bytes y 1952 bytes, respectivamente, lo que las convierte en los conjuntos de parámetros más utilizados para la mayoría de las implementaciones post-cuánticas del mundo real.

Categoría 4,

La categoría 4 es la contraparte de búsqueda de colisiones de la categoría 3. En lugar de hacer referencia a la búsqueda de clave AES, se basa en la resistencia a colisiones de SHA-384, que corresponde aproximadamente a 2¹⁹² operaciones clásicas.

En la práctica, la Categoría 4 sirve principalmente como marco analítico, más que como nivel de implementación comúnmente utilizado. Las Categorías 2 y 4 funcionan como puntos de referencia intermedios para evaluar esquemas que dependen en gran medida de supuestos de seguridad basados ​​en funciones hash.

Categoría 5,

La categoría 5 representa el nivel de seguridad más alto en el marco. Está anclada a la búsqueda de claves por fuerza bruta contra AES-256, que corresponde aproximadamente a 2²⁷² Operaciones de compuertas clásicas.

Bajo un ataque cuántico utilizando el algoritmo de Grover, el costo se convierte aproximadamente en 2²⁹⁸ / Puertas cuánticas MAXDEPTH, donde MAXDEPTH representa el límite realista de cuánto tiempo puede ejecutarse secuencialmente un cálculo cuántico antes de que el ruido y los gastos generales de corrección de errores hagan imposible una ejecución posterior.

Incluso con las proyecciones más optimistas para el desarrollo del hardware cuántico, este nivel de computación sigue estando muy por encima de cualquier adversario plausible. En términos clásicos, la Categoría 5 corresponde aproximadamente a RSA de 15360 bits o a la curva NIST P-521. La curva P-521 era la recomendada para comunicaciones de ALTO SECRETO dentro del marco criptográfico Suite B.

Esta categoría es apropiada para autoridades de certificación raíz, comunicaciones gubernamentales clasificadas, claves de cifrado de larga duración y sistemas diseñados para resistir la Cosecha ahora, descifra después. Modelo de amenaza en el que los adversarios almacenan datos cifrados hoy con la esperanza de descifrarlos una vez que las computadoras cuánticas sean viables.

Varios algoritmos post-cuánticos operan a este nivel, incluidos ML-KEM-1024, ML-DSA-87 y SLH-DSA-SHA2-256s.

Familia de algoritmos PQC	Conjuntos de parámetros	Categoría de seguridad
ML-DSA	ML-DSA-44	2
	ML-DSA-65	3
	ML-DSA-87	5
SLH-DSA	SLH-DSA-SHA2-128[s/f]	1
	SLH-DSA-SHAKE-128[s/f]	1
	SLH-DSA-SHA2-192[s/f]	3
	SLH-DSA-SHAKE-192[s/f]	3
	SLH-DSA-SHA2-256[s/f]	5
	SLH-DSA-SHAKE-256[s/f]	5
LMS, HSS	Con SHA-256/192	3
	Con SHAKE256/192	3
	Con SHA-256	5
	Con SHAKE256	5
XMSS, XMSSMT	Con SHA-256/192	3
	Con SHAKE256/192	3
	Con SHA-256	5
	Con SHAKE256	5
ML-KEM	ML-KEM-512	1
	ML-KEM-768	3
	ML-KEM-1024	5

¿Cuál es el concepto erróneo de Grover y por qué MAXDEPTH lo cambia todo?

Esta es la parte en la que la mayoría de las coberturas se equivocan, y acertar cambia la forma en que uno piensa sobre la urgencia y el riesgo.

La afirmación popular es: «El algoritmo de Grover reduce a la mitad la seguridad en bits de la criptografía simétrica. AES-128 se reduce a una seguridad de 64 bits. AES-256 se reduce a 128 bits. Así que simplemente duplique el tamaño de sus claves». Esto es técnicamente cierto en un sentido estricto, pero resulta engañoso en casi todos los aspectos importantes.

Grover proporciona una aceleración cuadrática. Esta parte es real. Pero Grover es inherentemente secuencial; cada iteración se basa en el resultado de la anterior. No se puede dividir entre múltiples procesadores cuánticos como se divide la computación clásica. Si se intenta paralelizar ejecutando múltiples búsquedas de Grover más pequeñas en paralelo, cada búsqueda más pequeña realiza proporcionalmente menos trabajo útil, por lo que se necesitan más instancias paralelas exponencialmente para compensar. El costo total de recursos, incluyendo hardware, energía y tiempo, aumenta drásticamente más rápido que el ingenuo 2⁶⁴ La estimación sugiere.

El NIST captura esto a través de un parámetro llamado "MAXDEPTH", que se define como el número máximo realista de operaciones de puerta cuántica secuenciales que una computadora cuántica puede ejecutar en un cálculo antes de que la decoherencia, los errores o las limitaciones prácticas obliguen a detenerlo. Los valores plausibles van desde 2⁴⁰ (aproximadamente lo que las arquitecturas cuánticas del futuro cercano podrían ejecutar en serie en un año, basándose en las arquitecturas de hardware estudiadas cuando el NIST escribió los criterios de evaluación) a través de 2⁶⁴ y hasta un techo teórico de 2⁹⁶.

Con esta restricción, atacar AES-128 a través de Grover requiere 2¹⁷⁰ / Puertas cuánticas MAXDEPTH. En MAXDEPTH 2⁴⁰, eso es 2¹³⁰. En MAXDEPTH 2⁶⁴, son 2¹⁰⁶Ninguno de esos números es 2.⁶⁴Ninguno de los dos es barato.

Para AES-256, la estimación es 2²⁹⁸/MAXDEPTH. En MAXDEPTH 2⁶⁴, eso es 2²³⁴, una cifra que no se ve amenazada de manera significativa incluso si el hardware cuántico mejora en muchos órdenes de magnitud más allá de las proyecciones actuales.

Así pues, cuando el NIST afirma que un algoritmo de Categoría 1 debe resistir ataques tan costosos como la búsqueda de claves AES-128, no se refiere a que tenga seguridad cuántica de 64 bits. Se refiere a que tiene una seguridad cuántica cercana a los 106 o 130 bits, dependiendo de las especificaciones del hardware.

La relación de costos entre una puerta cuántica y una puerta clásica se encuentra actualmente en algún punto entre 10⁹ y séptima¹². Un ataque cuántico a la Categoría 1 que requiere 2¹⁰⁶ Las puertas cuánticas, donde cada puerta cuesta un billón de veces más que una puerta clásica, podrían seguir siendo económicamente menos viables que un ataque clásico de fuerza bruta durante mucho tiempo.

El NIST tiene esto en cuenta al permitir que las evaluaciones de seguridad asignen un mayor valor a las puertas cuánticas que a las puertas clásicas en los modelos de costos. Y, lo que es más importante, para las categorías de seguridad más altas, el NIST recomienda asumir que esta disparidad de costos eventualmente desaparecerá, y que el hardware cuántico futuro será tan económico de operar como el hardware clásico. La categoría 5 está diseñada para soportar ese escenario.

Entendiendo qué significa “romper”

Los niveles de seguridad solo tienen sentido cuando se define con precisión qué significa "romper" un algoritmo criptográfico. Por eso, el NIST define los requisitos de seguridad con sumo cuidado, y estas definiciones influyen directamente en cómo deben interpretarse las categorías de seguridad.

Para los mecanismos de encapsulación de claves (KEM) y los esquemas de cifrado, la noción de seguridad requerida es la indistinguibilidad bajo un ataque adaptativo de texto cifrado elegido (IND-CCA2). En términos prácticos, esto significa que incluso si un atacante puede solicitar una enorme cantidad de descifrados (hasta (2⁶⁴)) en los textos cifrados de su elección, aún no pueden distinguir cuál de los dos textos planos elegidos corresponde a un texto cifrado de desafío dado.

Esto refleja fielmente las condiciones del mundo real, donde los atacantes pueden observar el tráfico, manipular las conexiones o sondear los sistemas mediante consultas de descifrado. IND-CCA2 garantiza que ninguna de estas capacidades proporcione una ventaja significativa.

En escenarios más limitados, como el intercambio de claves puramente efímero, donde los pares de claves se generan nuevos para cada sesión y nunca se reutilizan, una noción más débil, Indistinguibilidad bajo ataque de texto plano elegido (IND-CPA)Puede ser aceptable. Sin embargo, esta flexibilización solo se aplica bajo supuestos de implementación estrictos y no debe generalizarse.

Para las firmas digitales, el estándar es la infalsificación existencial bajo ataque de mensaje elegido (EUF-CMA). Según esta definición, un atacante puede solicitar firmas en una gran cantidad de mensajes de su elección (nuevamente hasta (2⁶⁴Sin embargo, aún no puede generar una firma válida para ningún mensaje nuevo. El término «existencial» es importante porque el atacante no necesita atacar un mensaje específico; su éxito radica en poder falsificar cualquier par mensaje-firma válido. Si incluso esta forma mínima de falsificación resulta inviable, el esquema se considera seguro.

Finalmente, para cumplir con una determinada categoría de seguridad PQC, un algoritmo debe mantener estas garantías contra todos modelos de ataque relevantes: clásico, cuántico o camiones híbridos dentro del umbral de coste definido. Un esquema que sea seguro en el sentido clásico pero vulnerable a un ataque cuántico más eficiente por debajo del umbral requerido no cumple los requisitos, independientemente de sus otras ventajas.

Comprender las tres propiedades prácticas

Las cinco categorías de seguridad son el punto principal. Pero el NIST también evaluó tres propiedades prácticas que determinan si un algoritmo que cumple con su definición de seguridad en teoría sigue siendo seguro en implementaciones reales.

1. Secreto perfecto hacia adelante (PFS)

El secreto perfecto hacia adelante garantiza que, incluso si una clave privada a largo plazo se ve comprometida en el futuro, las comunicaciones pasadas permanecen seguras. Esto se logra generando pares de claves nuevas y efímeras para cada sesión y descartándolas inmediatamente después de su uso.

En sistemas más antiguos, como el intercambio de claves basado en RSA, esto resulta poco práctico debido a la lentitud en la generación de claves. En cambio, los esquemas PQC modernos, como ML-KEM, generan claves en microsegundos, lo que hace que el secreto directo por sesión sea prácticamente "gratuito" y mejora significativamente la seguridad en el mundo real.

2. Resistencia de canal lateral

La resistencia a ataques de canal lateral determina si un algoritmo se mantiene seguro al implementarse en hardware real. Incluso si las fórmulas matemáticas son correctas, los atacantes pueden explotar variaciones en el tiempo de ejecución, el consumo de energía o los patrones de acceso a la memoria para extraer claves secretas. Estos ataques están bien documentados en sistemas reales. La principal defensa es la implementación en tiempo constante, donde el comportamiento de ejecución no depende de valores secretos. El NIST favoreció explícitamente los algoritmos que pueden lograr esto sin comprometer significativamente el rendimiento, ya que esto es fundamental para una implementación segura.

3. Resistencia a múltiples teclas y al mal uso

Las implementaciones en entornos reales implican sistemas a gran escala y errores humanos, por lo que los algoritmos deben mantener la seguridad en ambas condiciones. La resistencia a ataques de múltiples claves garantiza que la seguridad no se vea afectada significativamente cuando un atacante ataca varias claves simultáneamente, como ocurre en los entornos de nube.

La resistencia al uso indebido se centra en la resiliencia frente a errores de implementación, como la reutilización de nonce, la aleatoriedad débil o el manejo incorrecto del estado. Diseños como el hash sin estado (en SLH-DSA) y la firma determinista (en ML-DSA) reducen la dependencia de una implementación perfecta, lo que ayuda a mantener la seguridad incluso cuando surgen problemas.

Marco de selección de nivel PQC

Si tienes que tomar decisiones reales sobre la implementación, aquí tienes el marco práctico.

1. Adapte la categoría de seguridad a su horizonte de riesgo.

Si va a reemplazar sistemas que actualmente operan con niveles de seguridad de Internet estándar (AES-128 con RSA-3072 o ECC P-256), apuntar a la Categoría 1 o 2 mantiene su nivel de referencia actual; ese es el mínimo. Para infraestructuras difíciles de actualizar, como sistemas embebidos, HSM o PKI de larga duración, la Categoría 3 es la opción predeterminada recomendada.

Proporciona un margen de seguridad frente a futuros avances, especialmente en computación cuántica. Para datos altamente sensibles con un horizonte de confidencialidad prolongado (más de 20 años) o entornos expuestos a amenazas de recopilación y descifrado, la Categoría 5 es la opción adecuada. La sobrecarga de rendimiento en comparación con la Categoría 3 es relativamente pequeña y suele estar justificada por la mayor seguridad que ofrece.

2. Elija algoritmos en función del contexto de implementación.

Para el intercambio de claves, ML-KEM es la opción estándar en casi todos los entornos debido a su equilibrio entre rendimiento y seguridad. Para las firmas digitales, ML-DSA es la opción predeterminada en la práctica cuando se aceptan incrementos moderados en el tamaño de la firma. En cambio, SLH-DSA es más adecuado para escenarios de alta seguridad, como autoridades de certificación raíz o infraestructuras de firma críticas, donde la confianza a largo plazo y las suposiciones conservadoras son más importantes que la eficiencia.

3. Diseño para la agilidad criptográfica

El sistema de categorías del NIST está diseñado intencionadamente como una ruta de actualización. A medida que evolucionan las capacidades computacionales, los niveles de seguridad inferiores pueden quedar obsoletos, tal como sucedió con la seguridad de 80 y 112 bits en el pasado. La principal ventaja de la estandarización de PQC es que pasar de una categoría a una superior (por ejemplo, de la categoría 1 a la 3) generalmente implica modificar parámetros dentro de la misma familia de algoritmos, sin necesidad de reemplazar el algoritmo por completo.

Esto permite que los sistemas construidos hoy se adapten sin problemas en el futuro. Verdadero. agilidad criptográfica Esto significa planificar esa transición con antelación, de modo que las actualizaciones sean graduales en lugar de disruptivas.

¿Cómo puede ayudar la consultoría de cifrado?

Si se pregunta dónde y cómo comenzar su post-cuántico Encryption Consulting está aquí para apoyarle. Puede contar con nosotros como su socio de confianza y le guiaremos en cada paso con claridad, confianza y experiencia práctica.  

Empezamos con un Descubrimiento e inventario criptográficoAnalizamos todo su entorno para identificar certificados, claves, algoritmos y protocolos en todos los puntos finales, aplicaciones, API e infraestructura. Esto crea la base necesaria antes de que pueda comenzar cualquier migración.

Desde allí, realizamos una Evaluación PQC Evaluar su exposición a amenazas cuánticas, identificar sistemas dependientes de RSA y ECC, y proporcionar un informe priorizado de activos vulnerables con clasificaciones de gravedad del riesgo.

Con esa claridad, desarrollamos un Estrategia y hoja de ruta de PQCun plan de migración por fases alineado con su tolerancia al riesgo, los requisitos normativos y los objetivos de seguridad a largo plazo, incluida la agilidad criptográfica para que sus sistemas puedan adaptarse a medida que evolucionan los estándares.

Luego apoyamos Evaluación de proveedores y pruebas piloto, ayudándote a seleccionar las herramientas adecuadas, realizar pruebas de concepto y validar la interoperabilidad antes de cualquier implementación a gran escala.

Finalmente, gestionamos Plena aplicación, implementando modelos híbridos clásicos y cuánticos seguros, desplegando PQC en toda su infraestructura y PKI, y configurando la monitorización para garantizar la salud criptográfica a largo plazo.

CBOM seguro

Consultoría de cifrado CBOM seguro Esta herramienta desempeña un papel fundamental para ayudar a las organizaciones a prepararse. En lugar de lidiar con hojas de cálculo, salidas manuales de OpenSSL o archivos de configuración dispersos, nuestra herramienta CBOM ofrece una visión clara del uso de la criptografía en diferentes entornos. Muestra qué algoritmos se utilizan, qué cambios deben realizarse para la seguridad post-cuántica y si los sistemas cumplen los objetivos de seguridad. Para las organizaciones que se preparan para reuniones de directorio, decisiones de arquitectura o planificación de cumplimiento, nuestra herramienta proporciona claridad y rapidez.

Nuestro CBOM Secure es más que una simple herramienta de informes; también agiliza el proceso. Automatiza los inventarios de criptomonedas, verifica las configuraciones TLS, valida algoritmos y alinea las políticas, para que los equipos puedan pasar del descubrimiento a la acción sin tener que adivinar. En futuras versiones, Encryption Consulting planea añadir correcciones automatizadas, integraciones nativas de la nube y la aplicación de políticas para mantener las configuraciones en línea con los estándares de seguridad en todo momento.

Ahora es un buen momento para empezar: prueba PQC En un entorno de prueba, mapee su uso actual de criptomonedas y comience a crear políticas internas. Si su organización desea probar proyectos seguros contra la computación cuántica, brindar comentarios o ayudar a dar forma a nuevas funciones, en Encryption Consulting lo animamos a que contactarCuanto antes empiecen los equipos, más fácil será el trabajo a largo plazo.

Conclusión

La idea más importante detrás de las categorías de seguridad postcuántica del NIST es que la estabilidad importa más que la precisión. En lugar de buscar valores exactos de seguridad de bits, el marco vincula los algoritmos a problemas de referencia que ya comprendemos a fondo: la búsqueda de claves contra AES y la búsqueda de colisiones en SHA-256. Siempre que un algoritmo sea al menos tan difícil de romper como su tarea de referencia, la categoría se mantiene.

Para ingenieros y arquitectos, la conclusión práctica es sencilla: la Categoría 1 preserva el nivel básico de seguridad de Internet actual, la Categoría 3 es el objetivo recomendado para la mayoría de las nuevas implementaciones y la Categoría 5 es la opción correcta para secretos de larga duración y sistemas de alta seguridad.

La estandarización inicial de ML-KEM, ML-DSA y SLH-DSA por parte del NIST no marca el final del proceso. FN-DSA ya está finalizado y otros candidatos de la cuarta ronda de evaluación en curso siguen bajo consideración. A medida que este proceso madura y la mayoría de las implementaciones atraviesan un período de transición híbrido entre la computación clásica y la poscuántica, el marco de categorías proporciona el vocabulario estable necesario para tomar decisiones coherentes en todos los protocolos, infraestructuras y jerarquías de confianza.