Qué significa la Ley de preparación para la ciberseguridad de la computación cuántica para la seguridad nacional
Share
Skip Sanzeri es el fundador, presidente de la junta y director de operaciones de QuSecure, una de las principales empresas de ciberseguridad poscuántica.
getty
El 21 de diciembre de 2022, el presidente Biden promulgó la ley HR7535, la Ley de Preparación para la Ciberseguridad de la Computación Cuántica, que alienta a las “agencias del gobierno federal a adoptar tecnología que protegerá contra los ataques de la computación cuántica”.
Esto marca un hito importante en el esfuerzo global para desarrollar e implementar ciberseguridad con resiliencia cuántica. Es importante que EE. UU. actúe rápidamente contra la amenaza de la computación cuántica que se avecina, ya que se necesita un esfuerzo significativo y años para actualizar la criptografía y la tecnología federal y comercial existente. Mientras tanto, las computadoras cuánticas se están desarrollando rápidamente, con algunos estados-nación adversarios invirtiendo decenas de miles de millones de dólares en programas para crear estas máquinas muy poderosas que romperán el cifrado que usamos hoy.
El acto.
HR7535 requiere que las agencias federales "migren los sistemas a la criptografía poscuántica, que es resistente a los ataques de las computadoras cuánticas y las computadoras estándar". Para ilustrar el progreso alcista que han logrado nuestros representantes federales, HR7535 sigue tres iniciativas importantes de principios del año pasado que describen cómo debemos crear un EE. UU. con resiliencia cuántica.
1. El 19 de enero de 2022, el Departamento de Estado emitió una iniciativa clave denominada “Memorándum sobre la mejora de la seguridad cibernética de la seguridad nacional, el Departamento de Defensa y los sistemas comunitarios de inteligencia”, que establece que “Dentro de los 180 días a partir de la fecha de este memorando, las agencias identificarán cualquier caso de encriptación que no cumpla con los algoritmos de resistencia cuántica aprobados por la NSA”.
2. El 4 de mayo de 2022, el Departamento de Estado publicó un memorando de seguimiento llamado Memorándum de Seguridad Nacional 10 (NSM-10), "Promover el liderazgo de los Estados Unidos en computación cuántica mientras se mitigan los riesgos de los sistemas criptográficos vulnerables".
3. El 18 de noviembre de 2022, Shalanda D. Young, Directora de la Oficina de Administración y Presupuesto, emitió el M-23-02. Este memorando describe los pasos que deben tomar las agencias federales en su transición a la ciberseguridad poscuántica (PQC) mediante la creación de un inventario priorizado de sus sistemas criptográficos.
HR7535 ahora codifica que dentro de seis meses, las agencias federales deben desarrollar una estrategia para migrar a la criptografía poscuántica. Además, obliga a las agencias federales a abordar el riesgo que plantea el cifrado debilitado debido a la capacidad de una computadora cuántica para violar ese cifrado. Dentro de los 180 días posteriores al memorando (para mayo de 2023), la ley establece un requisito para que “cada agencia establezca y mantenga un inventario actualizado de la tecnología de la información en uso por la agencia que es vulnerable al descifrado por computadoras cuánticas”.
Lo que es más importante, esta nueva ley tiene fondos adjuntos, ya que requiere que cada agencia presente una estimación de la cantidad de dinero que se necesitará para el cambio a sistemas cuánticos seguros.
¿Qué son las computadoras cuánticas?
Las computadoras cuánticas son máquinas muy poderosas que funcionan de manera diferente a las computadoras estándar que usamos hoy. Las computadoras estándar luchan con ciertos conjuntos de problemas, uno de los cuales resulta ser la base de la criptografía actual que actualmente protege nuestros datos. Los datos que componen este artículo y el Internet por el que viajó usan encriptación protegida por una ecuación matemática que usa números grandes y los factores que intervienen en esos números. También llamado factorización prima, este problema matemático es increíblemente difícil de resolver para las computadoras clásicas.
Las computadoras cuánticas funcionan de manera diferente. Usando una propiedad subatómica llamada superposición, las computadoras cuánticas pueden procesar problemas como la factorización prima y problemas multivariados debido a la forma en que procesan los datos y la forma en que pueden programarse. A diferencia de nuestras computadoras clásicas, donde los elementos base deben ser cero o uno, la superposición permite que las computadoras cuánticas aprovechen que un elemento base sea cero, uno y cualquier valor intermedio, todo al mismo tiempo.
¿Por qué tenemos que actuar ahora?
Se entiende ampliamente que los estados-nación adversarios están construyendo computadoras cuánticas para usarlas como armas. Para decirlo de la manera más clara posible, el primer estado-nación nefasto que traiga una computadora cuántica en línea con suficiente poder para descifrar el cifrado podría tener un control global sin precedentes al alcance de su mano. Toda la información privada y secreta que viaje por internet estará disponible para cualquiera que tenga este poder. Esto incluye secretos nacionales, datos de atención médica, información financiera y bancaria, así como acceso a infraestructura como redes de energía, comunicaciones satelitales y suministros de agua.
Peor aún, está muy documentado que algunas naciones están robando grandes cantidades de datos que actualmente están encriptados, pero que se descifrarán cuando haya disponible una computadora cuántica con suficiente potencia. A veces llamado "Robar ahora, descifrar más tarde" (SNDL), describe el robo y el almacenamiento de datos para una fecha futura cuando hay sistemas que pueden descifrar, ver y poner en funcionamiento esos datos.
La mayoría de estos conjuntos de datos deben permanecer en secreto durante 25 a 75 años y serían valiosos si se descifraran antes. Pero si una computadora cuántica los roba ahora y los descifra dentro de unos años, un adversario tendría la capacidad de poner en funcionamiento esos datos para alterar la sociedad, robar propiedad intelectual, obtener ganancias financieras o aumentar las posibilidades de ganar una guerra.
¿Qué se puede hacer?
La mayoría de las agencias gubernamentales y las empresas comerciales deberán tomar tres pasos principales para preparar su infraestructura digital para la ciberseguridad cuántica resistente.
1. Comience por evaluar y documentar la criptografía actual, que es vulnerable a los ataques cuánticos.
2. Desarrolle un plan para agregar criptografía cuántica segura donde corresponda en su red, incluidos servidores, dispositivos perimetrales e IoT.
3. Pruebe una solución segura desde el punto de vista cuántico y criptográficamente ágil en su infraestructura de TI.
La selección de algoritmos criptográficos adecuados se puede hacer rápidamente con la ayuda de un consultor o proveedor calificado. Sin embargo, la implementación de una solución de seguridad cuántica segura llevará más tiempo, según el tamaño y la complejidad de la red de su empresa.
Según el congresista Ro Khanna, quien patrocinó HR7535, "A medida que la computación cuántica continúa progresando, debemos tomar medidas ahora para proteger la economía y la seguridad nacional de Estados Unidos… tenemos que planificar con anticipación las posibles vulnerabilidades que pueda crear".
Es imperativo que continuemos este rápido progreso hacia una tecnología de resistencia cuántica en los EE. UU. como se describe en HR7535 para que cuando (no si) un mal actor tenga acceso a suficiente poder de cómputo cuántico, nuestros datos, comunicaciones, sistemas y futuro serán protegido.
El Consejo de Tecnología de Forbes es una comunidad a la que solo se puede acceder por invitación para CIO, CTO y ejecutivos de tecnología de clase mundial. ¿Califico?
