Una práctica de seguridad visionaria, explorando conjuntamente soluciones de seguridad para Web2 y Web3 en la era post-cuántica

En una era de rápida evolución tecnológica, la seguridad es un viaje continuo de exploración y progreso. La computación cuántica, como tecnología de vanguardia, ofrece grandes oportunidades al mismo tiempo que plantea una posible amenaza a largo plazo para los sistemas actuales de criptografía de clave pública (como RSA, ECC) que protegen la seguridad digital global. Reconociendo esta tendencia, elegimos explorar proactivamente en lugar de esperar pasivamente.

Hoy, nos complace compartir un resultado importante de nuestra exploración: KuCoin, en colaboración con el proyecto de código abierto pqc-gateway (https://github.com/web3infra-foundation/pqc-gateway) bajo la Web3 Infrastructure Foundation (W3IF) y el socio técnico flomesh.io , ha completado con éxito la prueba de concepto (POC) para un gateway de criptografía resistente a la computación cuántica (PQC) y lo ha abierto para experiencia pública. Esto marca un sólido paso adelante en nuestro largo camino hacia la seguridad post-cuántica.

 

Acerca de la Web3 Infrastructure Foundation (W3IF)
La Fundación W3IF (sitio web oficial: https://web3infra.foundation/ ) es una fundación de software de código abierto sin fines de lucro con sede en Hong Kong, cuyo objetivo es reunir proyectos de infraestructura Web3 de código abierto de alta calidad a nivel global, promoviendo la construcción de un ecosistema tecnológico descentralizado en áreas clave como algoritmos de consenso, pruebas de conocimiento cero, autenticación de identidad descentralizada (DID) y computación confiable. El proyecto pqc-gateway, parte de esta colaboración, es un componente importante del ecosistema de la fundación.

 

• PQC, abreviatura de criptografía post-cuántica o criptografía resistente a los ataques cuánticos. No se refiere a un algoritmo específico, sino a una clase de algoritmos criptográficos de próxima generación que pueden resistir los ataques futuros de las computadoras cuánticas.

• El problema central que aborda es: la seguridad de los algoritmos de cifrado asimétrico ampliamente utilizados (como RSA, ECC) se basa en la complejidad computacional de ciertos problemas matemáticos. Sin embargo, las computadoras cuánticas pueden utilizar sus qubits únicos (como el algoritmo de Shor) para resolver estos problemas en un tiempo muy corto, lo que pone en peligro los sistemas de seguridad de todo, desde las comunicaciones de red hasta los activos en blockchain que dependen de estos algoritmos.
• El valor de PQC radica en el hecho de que, incluso con computadoras cuánticas poderosas, romper los algoritmos PQC es, en teoría, muy difícil. Su objetivo es construir un nuevo puente de seguridad que pueda atravesar la "era cuántica".

Los organismos regulatorios y de estandarización global también han tomado medidas activas, indicando la dirección y urgencia de esta migración:

• El Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés) ha liderado y completado la estandarización del primer lote de algoritmos PQC (como Kyber, Dilithium, etc.), marcando un camino tecnológico claro^[1]. Al mismo tiempo, más algoritmos han ingresado en la versión de borrador final, y el ecosistema está madurando rápidamente.

• La Agencia de Seguridad Nacional (NSA, por sus siglas en inglés) ha emitido una estrategia nacional vinculante que requiere la transición de los algoritmos de clave pública tradicionales (RSA, ECC) para completarse alrededor del 2030. A partir de 2035, todos los nuevos dispositivos y software utilizados para sistemas de seguridad nacional solo deberán emplear algoritmos PQC^[2].

• . La Comisión de Bolsa y Valores (SEC, por sus siglas en inglés) también ha comenzado a prepararse para el futuro, redactando una propuesta para las instituciones financieras globales titulada "Preparación para la Criptografía Post-Cuántica para la Industria Financiera (PQFIF)", lo que indica que la seguridad resistente a los ataques cuánticos está a punto de convertirse en un requisito obligatorio para el cumplimiento financiero^[3].

. Todo esto indica que la transición a PQC ya no es una cuestión de "si", sino más bien de "cuándo" y "cómo".

 

En este contexto, KuCoin se ha asociado con el proyecto de código abierto pqc-gateway y un socio técnico.flomesh.io bajo la Fundación W3IF para poner la exploración teórica en práctica. Juntos, hemos construido un entorno de prueba de concepto para un gateway resistente a la computación cuántica.

Su principio fundamental es: durante el establecimiento de una conexión HTTPS entre el navegador del usuario y el servidor de KuCoin, los algoritmos de intercambio de claves y autenticación se reemplazan de RSA/ECC tradicionales a los algoritmos resistentes a la computación cuántica (PQC) en el borrador estándar del NIST.

Te invitamos sinceramente a experimentar este resultado inicial: visita https://pqctest.kucoin.biz , tu conexión ya está protegida por criptografía poscuántica.

Para una mejor experiencia, se recomienda usar las siguientes versiones de navegador:

• Chrome: Versión 142.0.7444.135 y superiores

• Safari: Versión 26.0.1 y superiores

• Firefox: Versión 144.0.2 y superiores

Por ejemplo, en el navegador Chrome, presiona F12 para abrir la consola, selecciona el panel de Seguridad . Si tu navegador admite PQC, verás bajo Conexión en la sección de Intercambio de claves que tu algoritmo de intercambio de claves ha utilizado el algoritmo PQC X25519MLKEM768 , lo que indica que tu comunicación está protegida por PQC.

Transformar PQC de estándares teóricos a soluciones utilizables en entornos de producción está lleno de desafíos. En esta práctica de prueba de concepto, abordamos varios problemas centrales con el equipo del proyecto pqc-gateway de la Fundación W3IF y flomesh.io , que también son los "desafíos profundos" que enfrenta la industria en su conjunto:

1. Rendimiento y Sobrecarga: El arte de equilibrar seguridad y eficiencia, así como las rutas futuras de optimización.

Este es el desafío más directo para la implementación de PQC, principalmente reflejado en dos aspectos: cálculo y comunicación.

• Sobrecarga Computacional: La carga computacional de la mayoría de los algoritmos PQC supera con creces a la de las actuales ECC. Por ejemplo, la velocidad de generación y verificación de firmas del algoritmo de firma Dilithium es varias veces, e incluso decenas de veces, más lenta que la del tradicional ECDSA. Para pasarelas de plataformas de trading de alto rendimiento como KuCoin, esto implica un aumento significativo en la carga de la CPU, lo que podría afectar directamente la tasa de consultas del sistema y la latencia del servicio.

• Sobrecarga de comunicación (ancho de banda): Este es actualmente uno de los mayores puntos críticos para el PQC.

• • Intercambio de claves: El tamaño del texto cifrado y la clave pública del algoritmo Kyber es de aproximadamente 1-2 KB, mientras que el ECDH tradicional es solo de 32-64 bytes.
  • Firmas: El tamaño de las firmas de Dilithium es de aproximadamente 2-4 KB, mientras que las firmas de ECDSA suelen ser solo de 64-128 bytes.
• Desafíos de certificados e infraestructura de claves públicas (PKI):
  • Expansión de la cadena de certificados: Las cadenas de certificados TLS suelen incluir certificados de entidad final, certificados de CA intermedia y certificados de CA raíz. Si todos usan firmas PQC, el tamaño de toda la cadena de certificados podría alcanzar varias decenas de KB. Los navegadores podrían necesitar descargar cientos de KB de datos de certificados durante el proceso de handshake, lo que podría afectar gravemente la velocidad de carga de la primera pantalla y la experiencia del usuario.
• Impacto general y soluciones futuras: Un handshake completo de TLS 1.3, si utiliza completamente algoritmos PQC para reemplazar los algoritmos existentes, podría provocar un aumento de 10 a 20 veces en la cantidad de datos transmitidos. Este es un enorme desafío para escenarios sensibles a la latencia de red y entornos con limitaciones de ancho de banda (como redes móviles).

Mirando hacia el futuro, planeamos trabajar estrechamente con la Fundación W3IF y sus socios técnicos para explorar soluciones sistemáticas juntos:  

• • Descarga de tareas en hardware: Investigando el uso de hardware dedicado (como tarjetas de red inteligentes, tarjetas de aceleración criptográfica) para asumir tareas de computación PQC de alta intensidad, liberando a la CPU para manejar negocios principales.
  • Tecnología de compresión de certificados: Explorando algoritmos de compresión eficientes para abordar el gran tamaño de los certificados PQC, reduciendo significativamente la cantidad de datos transmitidos sin comprometer la seguridad.
  • Optimización del conjunto de instrucciones de la CPU: Promoviendo y adoptando conjuntos de instrucciones de CPU optimizados para algoritmos PQC principales para mejorar la eficiencia computacional desde su base.

Nuestro objetivo es, en última instancia, lograr la coexistencia de seguridad y eficiencia a través de estas innovaciones tecnológicas.

 

2. Protocolos e interoperabilidad: La complejidad de la colaboración ecológica

TLS es un ecosistema de protocolos complejo, y la introducción de PQC requiere colaboración por parte de todas las partes, lo que implica extensiones de protocolo y sistemas de certificados.

• Compatibilidad con el ecosistema existente y una ruta de implementación gradual: Las innovaciones tecnológicas completas y radicales no son realistas a nivel de infraestructura de internet. Por lo tanto, una implementación gradual es el único camino viable.
  • Desafíos de compatibilidad resueltos: En este POC, hemos abordado exitosamente los problemas de compatibilidad con el ecosistema existente a través de un diseño ingenioso de gateway y estrategias de negociación de protocolos. Nuestro gateway puede identificar de manera inteligente las capacidades de soporte PQC del cliente (navegador). Para los navegadores que aún no son compatibles con PQC, el gateway puede retroceder de manera fluida a los algoritmos de encriptación tradicionales, garantizando que todos los usuarios puedan acceder al sitio web sin problemas y asegurando así la disponibilidad universal del servicio. Este es un avance clave que hemos logrado en esta práctica.
  • Estado actual y limitaciones del soporte de los navegadores: Por qué actualmente solo ves PQC en el nivel de intercambio de claves.
    Actualmente, los navegadores principales (Chrome, Safari, Firefox) están en las primeras etapas de soporte para PQC. Su estrategia de soporte es gradual y por fases:

1. 1. Soporte prioritario para el intercambio de claves: Las versiones actuales de navegadores integran principalmente soporte para algoritmos PQC (como Kyber) en la etapa de intercambio de claves. Esto se debe a que el intercambio de claves afecta directamente la seguridad de las claves de sesión para comunicaciones posteriores, lo cual es clave para protegerse contra ataques de tipo "almacenar ahora, descifrar después". Por lo tanto, cuando accedes a nuestro dominio de prueba, tu navegador ya puede negociar una clave de sesión resistente a la computación cuántica con nuestro gateway utilizando algoritmos PQC.
   2. Retraso en el soporte de firma digital:En contraste, el soporte para firmas digitales (principalmente utilizado para la autenticación de identidad del servidor, es decir, la verificación de la cadena de certificados) todavía está en proceso de mejora en los navegadores. Es por ello que, en la experiencia actual, la aplicación de PQC se refleja principalmente en el nivel de intercambio de claves. La industria en su conjunto aún necesita esperar a que los navegadores y las autoridades certificadoras (CAs) implementen plenamente el soporte en el nivel de firmas.

 

3. Gestión de seguridad de materiales clave sensibles

Las actualizaciones criptográficas no se limitan a cambiar algoritmos; también imponen nuevos requisitos en la gestión de todo el ciclo de vida de la seguridad. Cómo generar, almacenar, rotar y destruir de manera segura las claves privadas correspondientes al algoritmo PQC, garantizando que esta nueva y potencialmente más compleja información sensible no se filtre, es un desafío más complejo y crítico que el propio reemplazo del algoritmo. Estamos adaptando y validando el sistema de gestión de claves maduras existentes con las nuevas características de PQC.

A pesar de los numerosos desafíos, la validación de concepto (POC) de esta puerta de enlace nos ha abierto la puerta a escenarios más amplios para la aplicación de PQC. La seguridad de la plataforma de trading es solo el punto de partida; la seguridad de la propia blockchain, especialmente la seguridad de las wallets y los smart contracts, también enfrenta desafíos derivados de la computación cuántica. En el futuro, ampliaremos nuestra visión exploratoria hacia el ámbito on-chain, comprometidos con proteger de manera integral la seguridad de los activos digitales de los usuarios:

• Wallets resistentes a la computación cuántica: Explorando el uso de algoritmos PQC para generar y almacenar claves privadas, o construyendo esquemas de firmas resistentes a la computación cuántica para proteger fundamentalmente los activos de las wallets frente a amenazas futuras de la computación cuántica.

• Aplicaciones DApp seguras: Apoyando y promoviendo que los desarrolladores de DApps utilicen algoritmos PQC para la autenticación de identidad de usuarios y la firma de transacciones, construyendo una base de seguridad post-cuántica para todo el ecosistema de aplicaciones descentralizadas.

• Transacciones on-chain y smart contracts: Investigando nuevos formatos de firma de transacciones y mecanismos de verificación de smart contracts compatibles con PQC, asegurando que las operaciones on-chain se mantengan seguras y confiables en la era cuántica.

Nuestra visión es construir un sistema de protección de seguridad resistente a la computación cuántica en tres dimensiones: desde las plataformas de trading hasta las redes blockchain, desde los servicios centralizados hasta las aplicaciones descentralizadas, protegiendo verdaderamente la seguridad en la cadena de todos.

Esta colaboración POC con la Fundación W3IF,flomesh.ioy su proyecto de código abierto pqc-gateway, junto con nuestro análisis profundo de desafíos y planificación futura, es solo el punto de partida para KuCoin en el largo camino hacia la migración post-cuántica. No nos atrevemos a afirmar que hemos solucionado todos los problemas, pero creemos firmemente que la exploración temprana, la práctica activa y la cooperación abierta son las mejores formas de enfrentar las incertidumbres futuras.

KuCoin siempre considera la seguridad de los activos y datos de los usuarios como su principal responsabilidad. A través de una exploración integral, desde plataformas de trading hasta el ecosistema blockchain, nuestro objetivo no es solo mejorar nuestras barreras tecnológicas de seguridad, sino también acumular las mejores prácticas para la industria en la implementación de PQC. Esperamos trabajar con más socios y usuarios para construir juntos un ecosistema de activos digitales más seguro que pueda enfrentar con confianza la próxima era de la computación.

Porque la verdadera seguridad proviene de la reverencia por el futuro y de las acciones que comienzan en el presente.

Referencias:

[1] NIST PQC Standardization:https://csrc.nist.gov/projects/post-quantum-cryptography/selected-algorithms-2022
[2] NSA Cybersecurity Advisory - PQC Migration: https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/3498776/post-quantum-cryptography-cisa-nist-and-nsa-recommend-how-to-prepare-now/
[3] SEC - PQFIF Draft Recommendations:https://www.sec.gov/files/cft-written-input-daniel-bruno-corvelo-costa-090325.pdf

 

Aviso: Esta página fue traducida utilizando tecnología de IA (impulsada por GPT) para tu conveniencia. Para obtener la información más precisa, consulta la versión original en inglés.