Su guía para el nuevo Plan de Acción Cuántico Federal

As computación cuántica Sigue avanzando, el potencial amenaza La importancia que representa para la criptografía tradicional se ha convertido en una preocupación importante para gobiernos y organizaciones de todo el mundo. Reconociendo la urgencia de prepararse para esta nueva era de la criptografía, el Gobierno Federal de EE. UU. ha tomado medidas decisivas para desarrollar e implementar un sistema detallado. Criptografía poscuántica (PQC) Estrategia de migración. Consulte el documento original. aquí.

Este blog explorará los elementos clave del Plan de Acción Cuántica Federal, incluida la identificación de sistemas que pueden no ser compatibles con PQC, las acciones tomadas hasta el momento, los costos estimados y los esfuerzos en curso liderados por el Instituto Nacional de Estándares y Tecnología (NIST) Establecer estándares de PQC.

Plan y estrategia de acción cuántica federal: identificación de sistemas que no pueden respaldar la PQC 

La Estrategia Nacional de Ciberseguridad (NCS) de 2023 describe el compromiso del Gobierno Federal de reemplazar o actualizar los sistemas de TI y Tecnología Operativa (TO) que no pueden defenderse de ciberamenazas sofisticadas, incluidas las que plantea una Computadora Cuántica Criptográficamente Relevante (CRQC). Uno de los pasos críticos en este proceso es la identificación temprana de sistemas que podrían no ser capaces de migrar a... PQC. 

Existen diversas razones por las que ciertos sistemas, tanto modernos como antiguos, podrían no ser compatibles con PQC. Algunos hardware y software no se diseñaron con implementaciones criptográficas fáciles de modificar. Los sistemas antiguos, en particular, pueden carecer de la potencia de procesamiento, la memoria o el ancho de banda necesarios para implementar algoritmos de PQC. Reemplazar estos sistemas probablemente será una tarea que consumirá mucho tiempo y recursos, y que ya está en marcha como parte de la implementación más amplia de NCS. 

Las agencias deben identificar estos sistemas sin soporte lo antes posible para evitar retrasos en el proceso de migración de PQC. Dada la naturaleza interconectada de los sistemas criptográficos en las redes de las agencias, la imposibilidad de migrar un sistema podría dificultar la migración de otros.

Para abordar esto, se alienta a las agencias a realizar pruebas en el mundo real utilizando algoritmos PQC estandarizados previamente y a continuar con estos esfuerzos una vez que el NIST finalice el proceso. Normas de PQCLa orientación contenida en el memorando M-23-02 de la OMB refuerza este enfoque, instando a las agencias a probar el PQC en entornos de producción con las salvaguardas adecuadas para garantizar que las pruebas reflejen las condiciones del mundo real. 

Medidas adoptadas: sentar las bases para la migración de PQC

En noviembre de 2022, la Oficina de Administración y Presupuesto (OMB) emitió la M-23-02, una directiva que requiere que las agencias federales prioricen el inventario de sistemas criptográficos y desarrollen estimaciones de financiamiento para su migración a PQCEste memorando también estableció un grupo de trabajo interinstitucional sobre migración de PQC que se reúne quincenalmente e informa trimestralmente a un comité de políticas interinstitucional sobre la implementación del Memorando de Seguridad Nacional 10 (NSM-10), que se centra en la criptografía resistente a la cuántica. 

En enero de 2024, la OMB y la Oficina de Política Científica y Tecnológica convocaron una mesa redonda con representantes gubernamentales, líderes de la industria y expertos académicos para debatir los requisitos de la NSM-10 y las leyes pertinentes. Se espera que los conocimientos adquiridos en esta mesa redonda orienten las futuras iniciativas de migración del PQC. 

De cara al futuro, la OMB, en coordinación con la Agencia de Ciberseguridad y Seguridad de la Infraestructura (CISA) y el NIST, emitirá una guía en el plazo de un año tras la adopción del primer conjunto de estándares PQC del NIST. Esta guía orientará a las agencias para que desarrollen planes de migración priorizados y seguirán aprovechando el grupo de trabajo interinstitucional para coordinar esfuerzos y conectar a las partes interesadas a medida que avanza la migración. 

Estimación de los costos de la migración de PQC: un panorama financiero preliminar

Se prevé que la transición a la PQC suponga un importante esfuerzo financiero. La OMB y la Oficina del Director Nacional de Ciberseguridad (ONCD), en colaboración con la CISA y el NIST, han estado trabajando con agencias federales para preparar esta transición. Sus esfuerzos se han centrado en tres actividades clave: 

• Desarrollo de un inventario criptográfico inicial

  Se ha encomendado a las agencias la tarea de crear un inventario de sistemas criptográficos en sistemas de información priorizados, excluyendo los sistemas de seguridad nacional (NSS).

• Desarrollo de estimaciones de costos

  Con base en los inventarios iniciales, las agencias han elaborado estimaciones aproximadas de costos para la migración de sus sistemas a PQC. La estimación preliminar del costo para todo el gobierno para esta migración, que abarca el período de 2025 a 2035, es de aproximadamente $7.1 mil millones (en dólares de 2024). El Departamento de Defensa, la Oficina del Director de Inteligencia Nacional y el Gerente Nacional del Servicio de Seguridad Nacional (NSS) están elaborando estimaciones por separado.

• Priorizar la transición

  Las agencias también han desarrollado criterios para priorizar los sistemas de migración basándose en las condiciones y cualidades específicas de sus sistemas y redes anfitriones.

Estas estimaciones de costos se actualizan anualmente a medida que las agencias se familiarizan con sus inventarios criptográficos, metodologías de cálculo de costos y el proceso de transición. Las proyecciones iniciales reflejan un alto nivel de incertidumbre, ya que muchos sistemas podrían no ser capaces de integrar nuevos algoritmos criptográficos debido a limitaciones de hardware o firmware. Se espera que la sustitución de estos sistemas represente una parte significativa del costo total de la migración. 

El papel del NIST en el desarrollo de estándares PQC y el abordaje de desafíos

El éxito del Gobierno Federal PQC La estrategia de migración depende de la amplia disponibilidad y adopción de estándares PQC abiertos. El NIST lidera este esfuerzo mediante un proceso de desarrollo de estándares abiertos, que implica una amplia colaboración con criptógrafos e investigadores de seguridad, tanto en EE. UU. como a nivel internacional. Este proceso comenzó en diciembre de 2016, cuando el NIST publicó una convocatoria para la presentación de algoritmos PQC. 

Desde entonces, el NIST ha evaluado metódicamente los algoritmos presentados, seleccionando los más prometedores mediante múltiples rondas de revisión. Para julio de 2020, el NIST había seleccionado cuatro algoritmos para la estandarización inicial, y se considerarían más a medida que surgieran nuevos casos de uso. 

Sin embargo, los algoritmos robustos por sí solos no son suficientes. La seguridad de los sistemas criptográficos también depende de cómo se implementan estos algoritmos. El NIST, a través de su Programa de Validación de Módulos Criptográficos (CMVP), realiza pruebas independientes para garantizar que las defensas criptográficas estén correctamente diseñadas y funcionen según lo previsto.

El CMVP se ha convertido en una parte crucial del proceso de migración de PQC, pero el volumen de módulos criptográficos pendientes de prueba ha superado la capacidad actual del programa, lo que ha llevado al NIST a iniciar un proceso de modernización del CMVP. Este esfuerzo busca ampliar las capacidades del laboratorio de pruebas, aumentar la dotación de personal y asegurar el soporte contractual para gestionar el aumento repentino de solicitudes, todo lo cual es fundamental para resolver el atraso actual y prepararse para las futuras demandas de la migración de PQC.

Además de la estandarización, el Centro Nacional de Excelencia en Ciberseguridad (NCCoE) del NIST ha lanzado el proyecto "Migración a la Criptografía Post-Cuántica", que explora las mejores prácticas para la preparación y migración a la Criptografía Post-Cuántica (PQC). Este proyecto ha generado varias publicaciones clave, entre ellas: 

• Norma NIST SP 1800-38B

  Enfoque, arquitectura y características de seguridad de las herramientas de descubrimiento de aplicaciones de clave pública.

• NIST SP 1800-38C

  Informe de rendimiento e interoperabilidad de la tecnología de criptografía resistente cuántica.

Cronología de los hitos clave en el proceso de migración de PQC 

El viaje hacia la migración de PQC ha estado marcado por varios hitos clave: 

• 2015 de abril: Taller sobre ciberseguridad en un mundo post-cuántico celebrado en el NIST, Gaithersburg, MD.

• Diciembre 2016: El Aviso del Registro Federal anuncia la Solicitud de Nominaciones para Algoritmos Criptográficos Post-Cuánticos de Clave Pública.

• Julio 2020: NIST anuncia los finalistas de la tercera ronda y los candidatos suplentes.

• Junio ​​2021: Tercera Conferencia de Estandarización PQC del NIST celebrada virtualmente.

• 2024 de enero: La OMB y la Oficina de Política Científica y Tecnológica convocan la mesa redonda del grupo de trabajo interinstitucional sobre migración del PQC.

Estos hitos reflejan el esfuerzo colaborativo continuo entre agencias federales, socios de la industria e instituciones académicas para prepararse para la transición a la criptografía resistente a la cuántica.

Cómo la consultoría de cifrado puede ayudar con la migración criptográfica post-cuántica

At Consultoría de cifrado, ofrecemos Servicios de asesoramiento criptográfico postcuántico Diseñado para ayudar a las organizaciones a abordar las complejidades de la ciberseguridad cuántica. Nuestros servicios ofrecen un profundo conocimiento de los posibles riesgos cuánticos y le guían en la transición hacia la preparación para la ciberseguridad cuántica, de acuerdo con los estándares PQC recomendados por CISA, NSA y NIST. 

Le ayudamos a evaluar y modernizar su infraestructura criptográfica mediante la planificación estratégica y el descubrimiento criptográfico proactivo. Hoja de ruta y estrategia de preparación cuántica garantiza una transición fluida a la criptografía resistente a la cuántica, protegiendo sus datos contra amenazas cuánticas emergentes y garantizando resiliencia a largo plazo. 

• Evaluación de amenazas cuánticas: Identifique y mitigue los riesgos cuánticos para proteger datos confidenciales.

• Mejora de la visibilidad y el cumplimiento: Garantice el cumplimiento y mejore la postura de seguridad de su infraestructura criptográfica.

• Estrategia e implementación personalizadas: Desarrollar e implementar una estrategia de preparación cuántica personalizada para una transición segura.

• Cómo proteger sus activos digitales del futuro: Reforzar la seguridad, el cumplimiento y la confianza contra las crecientes amenazas cuánticas.

¡Prepárese para la era cuántica con consultoría de cifrado! Con nuestra experiencia, su organización puede afrontar el futuro con confianza, garantizando que su infraestructura criptográfica sea robusta, compatible y esté preparada para afrontar los desafíos que plantean los avances de la computación cuántica. 

Conclusión

El Plan de Acción Cuántica Federal es una iniciativa crucial para proteger la infraestructura digital de las amenazas emergentes de la computación cuántica. Se centra en la identificación de sistemas vulnerables, la estimación de los costos de migración y el desarrollo de soluciones robustas. PQC normas, el Gobierno Federal de Estados Unidos está sentando las bases para una transición segura. 

A medida que la tecnología cuántica continúa avanzando, anticiparse a las amenazas potenciales y alinearse con las mejores prácticas será esencial para proteger sus activos digitales. Al asociarse con Encryption Consulting, podrá abordar eficazmente estos desafíos y proteger a su organización ante las incertidumbres del futuro.