Ir al contenido

Próximamente estarán disponibles los certificados de 47 días. ¿Todo listo?

Actúa ahora →

  1. Blog
    2. Firma de código

CNSA 1.0 vs. CNSA 2.0: Entendiendo el cambio y lo que significa para usted

Publicado porYogesh Giri 6 Minutos
CNSA 1.0 frente a CNSA 2.0
Tabla de contenido

El Conjunto de algoritmos de seguridad nacional comercial (CNSA) es el conjunto oficial de algoritmos criptográficos de la Agencia de Seguridad Nacional de EE. UU. para proteger Sistemas de Seguridad Nacional (NSS), que son sistemas que manejan información gubernamental clasificada y altamente sensible. Cualquier vulneración de estos sistemas podría tener consecuencias a nivel nacional. 

CNSA 1.0, introducido en 2016, reflejaba los requisitos de seguridad y el panorama de amenazas de la época. Empleaba algoritmos de clave pública consolidados, como RSA Criptografía de curva elíptica (ECC P-384)Combinado con un cifrado simétrico robusto y un hash seguro, este conjunto de herramientas constituyó la columna vertebral criptográfica de los sistemas clasificados durante casi una década. 

Sin embargo, acelerar la investigación sobre computación cuántica ha alterado fundamentalmente el perfil de riesgo. En respuesta, la NSA publicó Suite CNSA 2.0, reemplazando algoritmos de clave pública vulnerables con criptografía postcuántica (PQC) alternativas diseñadas para resistir ataques tanto clásicos como cuánticos. 

Por qué la cuántica lo cambia todo

En las arquitecturas informáticas clásicas, los mecanismos de cifrado asimétrico como RSA y ECC mantienen una seguridad eficaz durante la vida útil de los datos protegidos, suponiendo que no se produzcan avances en el criptoanálisis. Sin embargo, la computación cuántica introduce paradigmas computacionales fundamentalmente diferentes que hacen obsoletos estos supuestos. 

  • el algoritmo de Shor representa una amenaza directa a la integridad de criptografía de clave pública sistemas. Al factorizar eficientemente enteros y calcular logaritmos discretos en tiempo polinómico, el algoritmo de Shor rompería tanto RSA como ECC en plazos drásticamente reducidos, una capacidad totalmente fuera del alcance de los sistemas clásicos. 
  • Algoritmo de Grover Acelera las capacidades de búsqueda por fuerza bruta, ofreciendo una aceleración cuadrática frente a los esquemas de clave simétrica. Como resultado, los cifrados simétricos como AES Debe compensarse duplicando efectivamente las longitudes de las claves para preservar márgenes de seguridad equivalentes. 

La relevancia estratégica de la criptografía resistente a la cuántica es crucial. El enfoque de "recolectar ahora, descifrar después" exige una acción inmediata: los adversarios archivan textos cifrados hoy con la expectativa de contar con capacidad de descifrado en el futuro. Cualquier retraso en la migración a sistemas resistentes a la cuántica supone el riesgo de exposición irrevocable de datos sensibles de larga duración. 

CNSA 2.0 Está diseñado para neutralizar esta amenaza cuántica mucho antes de que se materialicen las capacidades de computación cuántica a gran escala.

Lo que permanece igual

CNSA 2.0 no reemplaza todos los algoritmos. Varias primitivas criptográficas ya se consideran seguras contra amenazas cuánticas y siguen recibiendo soporte: 

  • AES-256 sigue siendo el estándar de cifrado simétrico en todos los niveles de clasificación, ofreciendo un sólido margen de seguridad. 
  • SHA-384 continúa como predeterminado para el hash de propósito general, con SHA-512 También se permite cuando la interoperabilidad lo requiera. 
  • SHA-3 No está aprobado para un uso generalizado, pero está permitido en contextos muy limitados. Los proveedores pueden usar SHA3384 o SHA3-512 para funciones internas de hardware que no interoperan fuera de su entorno, como las comprobaciones de integridad en el arranque seguro. Además, SHA-3 está permitido cuando lo exigen explícitamente otros estándares aprobados, como LMS o XMSS del NIST. 

Al mantener estos algoritmos en su lugar, CNSA 2.0 garantiza que gran parte de la infraestructura de cifrado y hash pueda permanecer estable, con cambios enfocados solo en las áreas más afectadas por la transición post-cuántica. 

Diferencias clave entre CNSA 1.0 y CNSA 2.0

La transición de CNSA 1.0 a 2.0 no solo representa un cambio de algoritmo, sino un cambio fundamental en el diseño criptográfico y el modelado de amenazas. 

CategoríaCNSA 1.0CNSA 2.0
Enfócate Diseñado para fortalecer el cifrado existente, pero solo contra las amenazas actuales. Diseñado para afrontar el futuro, especialmente el auge de las computadoras cuánticas. 
Intercambio de claves Usado RSA y ECDH, que son sólidos pero vulnerables a ataques cuánticos. Cambia a Kyber, un algoritmo postcuántico, y admite el modo híbrido para una transición más segura. 
Firmas digitales Se basó en RSA-3072 y ECDSA, fuerte pero no resistente a los efectos cuánticos. Los reemplaza con Dilithium, más rápido, más liviano y seguro cuánticamente. 
Seguridad cuántica No está diseñado para sobrevivir a un futuro cuántico. Completamente preparado para el mundo post-cuántico. 
Fecha límite de implementación No hay urgencia oficial para adoptar. Debe utilizarse para los sistemas más críticos a más tardar en 2035, y cuanto antes, mejor. 

Solución de firma de código empresarial

Obtenga una solución para todas sus necesidades criptográficas de firma de código de software con nuestra solución de firma de código.

Solicitar demostración

Criptografía híbrida: un puente para la transición

La transición de CNSA 1.0 a CNSA 2.0 no ocurrirá de la noche a la mañana. La criptografía híbrida desempeña un papel importante durante esta fase al combinar un algoritmo clásico con uno poscuántico. Por ejemplo, un intercambio de claves híbrido podría utilizar ECDH P-384 junto con ML-KEM-1024, de modo que incluso si un algoritmo fallara, el sistema seguiría siendo seguro. 

La NSA ha dejado claro que los algoritmos CNSA 2.0 son suficientemente robustos por sí solos, pero los híbridos pueden ser útiles en ciertas situaciones. Son especialmente valiosos al abordar problemas de interoperabilidad, como en IKEv2, donde las claves ML-KEM-1024, de mayor tamaño, plantean desafíos que pueden resolverse mediante métodos híbridos.

Al mismo tiempo, los enfoques híbridos no son una solución perfecta. Añaden complejidad, pueden ralentizar la estandarización y, con el tiempo, requerirán una nueva migración cuando se eliminen gradualmente los algoritmos clásicos. Por ello, la NSA solo recomienda híbridos cuando sea necesario, con el objetivo final de migrar completamente a algoritmos CNSA 2.0 resistentes a la computación cuántica. 

¿Cómo puede ayudar la consultoría de cifrado?

Encryption Consulting ayuda a empresas y gobiernos a implementar infraestructuras de firma alineadas con CNSA 2.0 con soporte completo para PQC y criptografía híbrida.

CodeSign Secure v3.02 Compatible con PQC desde el primer momento, lo que ofrece a las organizaciones una ventaja para adaptarse a la nueva era de la criptografía sin sacrificar la usabilidad ni el rendimiento. Es una decisión inteligente ahora y necesaria para el futuro.

Migrar a CNSA 2.0 no se trata solo de seleccionar el algoritmo adecuado. Se trata de desarrollar una estrategia integral de firma de código que proteja las claves, automatice los flujos de trabajo, aplique políticas y garantice el cumplimiento normativo. Para eso se creó CodeSign Secure. 

Así es como CodeSign Secure es compatible con CNSA 2.0: 

  • Preparado para LMS y XMSS: Ya admite los esquemas de firma postcuántica necesarios para la firma de software y firmware. 
  • Protección de clave respaldada por HSM: Tus claves privadas permanecen protegidas en el interior FIPS 140-2 Nivel 3 HSM, asegurando que no haya exposición. 
  • Seguimiento de estado integrado: Administra automáticamente el estado de LMS y XMSS para garantizar que cada firma sea compatible. 
  • Compatible con DevOps: Se integra de forma nativa con Jenkins, GitHub Actions, Azure DevOps y más. 
  • Seguridad basada en políticas: Utilice RBAC, aprobaciones de múltiples aprobadores (M de N) y políticas de seguridad personalizadas para controlar cada aspecto de su firma de código. 
  • Registro listo para auditoría: Obtenga visibilidad completa de cada operación de firma para facilitar la generación de informes y el cumplimiento normativo. 

Ya sea que esté firmando software para Windows, Linux, macOS, Docker, dispositivos IoT o plataformas en la nube, CodeSign seguro Está listo para ayudarle a realizar la transición de manera segura y eficiente.  

Conclusión

CNSA 2.0 conserva las probadas funciones de cifrado simétrico y hash de su predecesor, al tiempo que reemplaza todos los mecanismos de clave pública vulnerables con algoritmos de resistencia cuánticaEsta revisión prospectiva, basada en ML-KEM para el establecimiento de claves, ML-DSA para firmas y esquemas basados ​​en hash para la firma de código, posiciona a los Sistemas de Seguridad Nacional para resistir las amenazas criptográficas actuales y futuras. 

Con la criptografía híbrida que facilita la migración, las organizaciones pueden comenzar a adoptarla ahora, garantizando que los sistemas, las políticas y las cadenas de suministro estén preparados para la computación cuántica antes de que los adversarios puedan explotar el próximo gran salto en la informática. 

Descubra nuestra

Blogs relacionados

Importancia de la firma de firmware

Confianza en el gestor de arranque: El papel fundamental de la firma del firmware

5 de junio de 2026
Integración de la criptografía postcuántica en los flujos de trabajo de firma de código

Integración de la criptografía postcuántica en los flujos de trabajo de firma de código

2 de junio de 2026
Integra CodeSign Secure con tu canalización de CircleCI.

Cómo integrar CodeSign Secure con tu canalización de CircleCI

13 de mayo de 2026

Explorar

Más temas