Hay un reloj en el mundo de ciberseguridad Y se está contando a lo que los expertos llaman Q Day, el día en que las computadoras cuánticas teóricamente se volverán lo suficientemente potentes como para romper algunos de los métodos criptográficos actuales y hacer que muchos métodos de cifrado existentes sean obsoletos.
O al menos esa es la teoría. En verdad, nadie puede predecir con absoluta precisión cuando, o incluso si las computadoras cuánticas alcanzarán el nivel de sofisticación y practicidad para manifestar esta amenaza. Pero eso no significa que las empresas no deberían estar pensando en ello.
Mientras que algunos escuchan la garrapata del reloj Q Day, otros no se dan cuenta. Entonces, ¿qué es Q Day, es un gran problema, y qué necesitan saber las empresas para prepararse?
COTS CTO y asesor estratégico en Splunk.
¿Las empresas deben estar al tanto de Q Day?
La respuesta corta es sí. La amenaza potencial que las computadoras cuánticas podrían representar para los métodos actuales de ciberseguridad no puede ser subestimada. Lo que una vez fue la teoría académica, similar a la tecnología que verías en una novela de ciencia ficción, es avanzar hacia la realidad.
Las grandes empresas como IBM y Google, así como los gobiernos y las nuevas empresas, están corriendo para construir máquinas cuánticas más potentes. Estas computadoras todavía se encuentran en las primeras etapas, pero ya han crecido desde el manejo de algunos bits cuánticos (o “qubits”) para manejar cientos, y están mejorando para resolver problemas complejos y específicos.
Mientras que las computadoras cuánticas aún no pueden romper el software de cifrado Y protocolos que protegen a Internet, los expertos parecen estar llegando a un consenso de que el día en que esto podría ser una realidad está a unos 10-15 años de distancia. Este es el llamado día Q.
Además de la amenaza obvia de que plantea el cifrado actual, las empresas también deben ser conscientes de que los gobiernos y los reguladores toman en serio el aumento de la tecnología cuántica.
Las agencias como el Instituto Nacional de Normas y Tecnología (NIST) han estandarizado los algoritmos de criptográficos post-quantum (PQC), mientras que la ENISA de Europa se centra en estandarizar la implementación y certificación de PQC a través de esquemas como EUCC, todo en preparación para Q Day.
¿Cuándo es Q Day?
Desafortunadamente, como con todas las cosas cuánticas, responder cuando Q Day será no es simple, porque nadie lo sabe con certeza. Todo depende de cuándo (y si) la tecnología alcanza un nivel específico de capacidad y practicidad. Y no se trata solo de la cantidad de qubits.
Sin embargo, la velocidad a la que está avanzando la computación cuántica ha llevado a agencias como el Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC) a establecer plazos en su lugar.
La línea de tiempo del NCSC para migrar a un método de cifrado de seguridad cuántica tiene tres fases: descubrimiento y planificación para 2028, migración temprana en 2031 y migración completa en 2035.
Eso le da a las empresas un máximo de seis años para planificar y prepararse para migrar sus activos críticos. Pero nuevamente, esta línea de tiempo no está establecida en piedra: Q Day podría llegar antes de 2035, o nunca podría llegar.
Es difícil porque estamos hablando de tecnología que aún no se ha dado cuenta de su potencial teórico, y nadie tiene una bola de cristal. Las computadoras cuánticas no siguen la ley de Moore; Escalan no linealmente, y la calidad importa más que la cantidad cuando se trata de qubits.
¿Qué deben hacer las empresas para prepararse?
Mantener la calma debe ser el paso número uno. Las tecnologías cuánticas a veces pueden estar sujetas a alarmistas, empujando a las personas a tomar decisiones prematuras o mal informadas. Y odio este Fud; No lleva a los mejores resultados de seguridad.
Por supuesto, la amenaza se acerca teóricamente, pero no es inminente. Incluso si la computación cuántica eventualmente rompe los métodos de cifrado comunes, es poco probable que todo cambie en el abrir y cerrar de ojos, habrá tiempo para prepararse.
Sin embargo, el tiempo para prepararse ahora es, no cuando la primera violación de energía cuántica es noticia. Y eso comienza con la ordenación básica de su higiene digital.
Las organizaciones deben comenzar auditando su finca de TI con dos objetivos: el primero es identificar qué Activos Ellos tienen, porque no puedes actualizar o proteger lo que no sabes que tienes. El segundo es identificar cuáles de esos activos están más en riesgo, especialmente aquellos que dependen del cifrado de clave pública o que requieren la confidencialidad de datos a largo plazo.
Esta es una gran práctica de seguridad de todos modos: construir un inventario de activos decente le traerá ganancias más allá de la planificación de la migración posterior al cuanto al cuanto.
El siguiente paso es preparar el inventario; Decida qué debe ser finalizado y priorice lo que tiene para migrar. Es una oración corta para escribir, pero un ejercicio muy largo. Buena suerte. El Anexo A de este estándar ETSI tiene un conjunto muy útil de preguntas para ayudar.
Si desea seguir los últimos estándares, aquí hay una actualización rápida de dónde estamos. NIST ha publicado 3 estándares PQC: FIPS 203, 204 y 205, con dos más en camino: FIPS 206 en Draft y un nuevo quinto algoritmo anunciado recientemente.
Las matemáticas están ahí, pero nos faltan la integración en protocolos y tecnologías ampliamente utilizadas. En lugar de rastrear NIST ahora, recomendaría que el mejor grupo a seguir es el grupo de trabajo de criptografía cuántica segura de Etsi se centra en la implementación práctica de primitivas seguras cuánticas y el grupo PQUIP del IETF, que resume todos los esfuerzos posteriores al quantum en la estandarización de Internet hoy.
¿Cuándo deberían prepararse las empresas para Q Day?
Los plazos de NCSC son muy claros: preparar y planificar para 2028, para que pueda migrar antes de 2031. Pero la incertidumbre sobre cuándo/si el día Q llegue lo complica ligeramente.
Prepárese demasiado temprano y corre el riesgo de adoptar tecnologías y estándares inmaduros, potencialmente aumentando las vulnerabilidades. Espere demasiado y puede dejar a los sistemas críticos expuestos.
La clave es encontrar el momento en que es correcto: es lo que yo llamo la teoría de Ricitos de Oro y nuevamente, se trata de preparación: hacer un buen inventario de activos, mientras me mantengo al tanto de los últimos estándares posteriores al quanto.
Q Day puede ser incierto, pero su preparación no debería serlo. Comience a planificar ahora, no por miedo, sino por previsión.
Enumeramos la mejor herramienta de gestión de activos de software (SAM).
Este artículo fue producido como parte del canal de Insights Expert de TechRadarpro, donde presentamos las mejores y más brillantes mentes de la industria de la tecnología en la actualidad. Las opiniones expresadas aquí son las del autor y no son necesariamente las de TechRadarpro o Future PLC. Si está interesado en contribuir, obtenga más información aquí: https://www.techradar.com/news/submit-your-story-to-techradar-pro
