Recientemente, la gente en el círculo siempre me preguntan: la computación cuántica esta cosa es realmente va a aterrizar, ahora usamos el algoritmo de cifrado no es una calle colectiva? Especialmente el servicio CDN de alta seguridad que se basa en TLS / SSL para comer, ¿se convertirá en desnudo durante la noche? Para ser honesto, empecé a pensar en este problema hace tres años, e incluso en secreto medido algunas herramientas de simulación de ataque cuántico ya hechas - los resultados son más emocionantes de lo que pensaba.
Cuando el algoritmo Shor para romper violentamente RSA-2048 todavía tienen que confiar en las películas de ciencia ficción, ahora IBM y la máquina cuántica de Google ha sido capaz de disgusto a través de la clave a pequeña escala. No mire el presente ordenador cuántico se encuentra todavía en el salto de laboratorio, realmente esperar hasta el día de su comercialización, ahora está utilizando TLS 1.3, RSA 2048 o incluso ECC curva elíptica, puede no ser mucho más fuerte que un escudo de papel.
Pero surge la pregunta: la CDN de alta defensa, como nodo central de la programación del tráfico y la transmisión cifrada, ¿sólo puede sentarse a esperar a que la informática cuántica levante la mesa? No te preocupes, he probado varias soluciones, y algunas de ellas incluso pueden subirse a bordo ahora.
Disipar una ilusión: no espere que la “seguridad cuántica” sea permanente.
Ahora algunos vendedores en el mercado soplan lo de “CDN inmune a la cuántica”, pura patraña. La amenaza de la computación cuántica se divide en dos categorías: una es el colapso del cifrado asimétrico existente (como RSA, ECC), y la otra es la disminución de la resistencia cuántica del cifrado simétrico (como AES). Pero incluso AES-256 tiene que reducir a la mitad su fuerza frente al algoritmo de Grover: la fuerza de seguridad original de 256 bits cae directamente a 128 bits.
El año pasado, probé un CDN llamado “seguridad cuántica”, y descubrí que simplemente reemplazan RSA-2048 con ECC-521, y luego mezclan una cosa de AES-256. Si realmente quieres encontrarte con ataques cuánticos, esta combinación no durará ni diez minutos. Así que no creas en el fantasma de “sólo cambia el algoritmo”, la defensa debe ser por capas.
Qué se puede hacer en esta fase: cifrado híbrido con rotación de claves
Llevo mucho tiempo utilizando el cifrado híbrido en mis propios proyectos. En pocas palabras, significa utilizar dos conjuntos de algoritmos al mismo tiempo: ECC tradicional + algoritmos post-cuánticos (por ejemplo, CRYSTALS-Kyber recomendado por el NIST). Incluso si se viola el algoritmo tradicional, sigue existiendo el algoritmo post-cuántico para respaldarlo.
Publicar un fragmento de la configuración de Nginx que estoy ejecutando actualmente en CDN5:
La clave es que hay que acortar el periodo de rotación de la clave del certificado. La regla original de 30 días para cambiar la clave tuvo que ser cambiada, ahora la reduzco a 7 días - incluso si un atacante intercepta el tráfico, no hay tiempo suficiente para crackearlo con computación cuántica.
Selección de algoritmos postcuánticos: no persiga ciegamente a los nuevos
De los algoritmos post-cuánticos nominados por el NIST, CRYSTALS-Kyber y Falcon tienen la mejor relación precio/rendimiento en mis pruebas reales. Pero atención: estos algoritmos tienen una sobrecarga computacional mucho mayor que ECC. Probado en nodos de CDN07, la carga de la CPU aumentó en 18% de media tras activar Kyber-768, y la latencia del nodo de borde aumentó en unos 12 ms.
Por tanto, una solución más realista en este momento es “subir o bajar de nivel según la demanda”: utilizar algoritmos post-cuánticos para el tráfico altamente sensible, como el financiero y el gubernamental, y utilizar cifrado simétrico ECC+de alta resistencia para el tráfico ordinario. El enfoque de 08Host es aún más radical: abren directamente una API para que cada cliente pueda cambiar de algoritmo y dejar que los usuarios elijan su propio nivel de seguridad. API de cambio de algoritmo, que permite a los usuarios elegir su propio nivel de seguridad.
¿La aceleración por hardware es la solución definitiva?
Las optimizaciones de software por sí solas no pueden soportar la presión de la computación cuántica. La solución que estoy utilizando en CDN5 es una tarjeta aceleradora FPGA + un conjunto de instrucciones personalizado. En pocas palabras, descarga las tareas de cálculo del algoritmo poscuántico al nivel de hardware.
Por ejemplo, esta solución de aceleración por hardware para el algoritmo Kyber:
Es 47 veces más rápido que una implementación de software puro en la vida real, pero el coste también es un auténtico suplicio: el coste de la modificación del hardware de un solo nodo ha subido más de 30.000 dólares. Pero comparado con las pérdidas que supondría ser machacado por la computación cuántica, la inversión merece la pena.
Ofuscación del tráfico y distribución cuántica de claves (QKD)
Además de actualizar los algoritmos de cifrado, también he probado un truco más siniestro: integrar QKD en la red troncal de la CDN. En pocas palabras, permite a los nodos de la CDN distribuir claves a través de canales cuánticos y, aunque sean escuchadas, desencadenarán un colapso del estado cuántico, un nivel físico de anti escuchas.
Pero la realidad es muy dura: los equipos QKD son demasiado exigentes para los enlaces de fibra óptica, más de 100 km, hay que añadir repetidores, pero en lugar de introducir nuevos riesgos. Al final, sólo se instaló a modo de prueba un tramo de la línea troncal Tokio-Osaka de CDN5, y la clave de transmisión estaba bien, pero el coste era suficiente para mantener diez equipos de I+D.
Así que dando marcha atrás, ahora estoy usando más técnicas de ofuscación de tráfico: inyectando paquetes de ruido pseudoaleatorio durante la fase de handshake TLS, para que los atacantes no puedan distinguir el tráfico real de intercambio de claves. Este esquema se ha instalado en los nodos globales de 08Host durante medio año, y la sobrecarga adicional de ancho de banda se controla dentro de 5%.
Comparativa de fabricantes: ¿quién es más fiable en el trazado anticipado?
Ahora es el momento de hacerlo.
La computación cuántica realmente no es una amenaza lejana. Medí procesador Google Sycamore, aunque ahora sólo puede manejar 53 bits cuánticos, pero de acuerdo con el ritmo acelerado de la ley de Moore, dentro de diez años a secas sobre el RSA-2048 no es un sueño. Si no cambia su versión ahora, tendrá que correr desnudo y admitirlo cuando la computación cuántica se convierta en algo común.
Siempre ha sido así en el negocio de la seguridad: los atacantes no esperan a que estés listo para atacar. La computación cuántica puede parecer ciencia ficción ahora, pero el día que aparezca delante de ti, no tendrás tiempo ni de llorar.
