Los avances en la computación cuántica amenazan los mecanismos criptográficos que TLS usa desde hace mucho tiempo. Google cree que las computadoras cuánticas podrían vulnerar la seguridad de la criptografía asimétrica que se usa en TLS a partir de 2029 si el progreso de la investigación continúa al ritmo actual.
Para mitigar este riesgo, Google Cloud los balanceadores de cargas admiten capacidades de intercambio de claves poscuántico, diseñadas para resistir las capacidades teóricas de las computadoras cuánticas. Estos algoritmos fueron desarrollados y verificados por el Instituto Nacional de Estándares y Tecnología (NIST), y su uso en TLS cumple con los estándares que se desarrollan en el IETF.
Para obtener más información, consulta Criptografía poscuántica en Google Cloud.
Cómo la computación cuántica amenaza la seguridad de TLS
Las computadoras cuánticas criptográficamente relevantes podrán habilitar ataques contra dos componentes críticos de la seguridad de TLS: el intercambio de claves y la autenticación.
Ataques contra el intercambio de claves
Las computadoras cuánticas criptográficamente relevantes podrán vulnerar los algoritmos de intercambio de claves que se usan durante el protocolo de enlace de TLS, revelar las claves simétricas que encriptan las sesiones de TLS y exponer el tráfico de la capa de aplicación en texto sin formato. Esto se aplica incluso a las conexiones de TLS que usan métodos de intercambio de claves de confidencialidad directa perfecta, como ECDHE. Un atacante que registre una sesión completa de TLS hoy podría incluso desencriptarla años en el futuro cuando las capacidades de computación cuántica estén disponibles, en lo que se denomina ataque de recolección ahora, descifrado después.
Ataques contra la autenticación
Las computadoras cuánticas criptográficamente relevantes podrán vulnerar las claves que se usan en los certificados de TLS o las autoridades certificadoras, lo que permitirá que un atacante afirme falsamente la identidad de un cliente o servidor. Si se usa con un ataque de intermediario, esto podría permitir que un atacante vea y manipule el contenido de las sesiones encriptadas con TLS. A diferencia de los ataques contra el intercambio de claves, los ataques contra la autenticación no se pueden realizar de forma retrospectiva contra el tráfico registrado. Sin embargo, los ataques contra la autenticación amenazan significativamente la integridad de la autenticación web.
Los algoritmos de cifrado simétricos no están amenazados
Los algoritmos de cifrado criptográficos simétricos, como AES-128, AES-256 y ChaCha20, que se usan para encriptar sesiones de TLS una vez que se completan el protocolo de enlace y la autenticación, no están amenazados por la computación cuántica.
Intercambio de claves poscuántico
Para mitigar el riesgo de ataques de recolección ahora, descifrado después, te recomendamos que habilites el intercambio de claves poscuántico para las conexiones entre clientes y balanceadores de cargas.
El intercambio de claves poscuántico solo se admite para las conexiones de TLS de frontend, es decir, para las conexiones entre el cliente y el balanceador de cargas.
El intercambio de claves poscuántico se puede habilitar para los siguientes balanceadores de cargas:
- Balanceadores de cargas de aplicaciones externos globales
- Balanceadores de cargas de aplicaciones clásicos
- Balanceadores de cargas de aplicaciones regionales externos
- Balanceadores de cargas de aplicaciones internos entre regiones
- Balanceadores de cargas de aplicaciones internos regionales
- Balanceadores de cargas de red del proxy externos globales
- Balanceadores de cargas de red del proxy clásicos
X25519MLKEM768 es la forma particular de
intercambio de claves poscuántico admitida en Google Cloud balanceadores de cargas. Este es un método de intercambio de claves híbrido, lo que significa que está protegido por mecanismos criptográficos clásicos y poscuánticos.
Cuando se habilita el intercambio de claves poscuántico, el balanceador de cargas lo usa cuando se conecta a clientes que anuncian la compatibilidad con TLS 1.3 y X25519MLKEM768.
Las conexiones a clientes que no admiten TLS 1.3 o X25519MLKEM768 no se ven afectadas.
Cuando se habilita el intercambio de claves poscuántico, el balanceador de cargas lo usa cuando un cliente que se conecta anuncia la compatibilidad con TLS 1.3 y el mecanismo de intercambio de claves X25519MLKEM768. Las conexiones de clientes que no admiten TLS 1.3 o X25519MLKEM768 no se ven afectadas.
Habilita el intercambio de claves poscuántico
Puedes habilitar el intercambio de claves poscuántico en tu balanceador de cargas con el
post-quantum-key-exchange parámetro de configuración en una política de SSL, ya sea adjuntando una
política de SSL nueva a tu TargetHttpsProxy o
TargetSslProxy,
o modificando una política de SSL ya adjunta.
Para obtener más información sobre cómo crear políticas de SSL con el parámetro de configuración de intercambio de claves poscuántico, consulta Crea políticas de SSL.
Te recomendamos que habilites el intercambio de claves poscuántico ahora, ya que proporciona protección inmediata contra los ataques de recolección ahora, descifrado después. No se espera que los clientes implementados correctamente experimenten problemas. Sin embargo, si tu aplicación cliente es incompatible, puedes configurar post-quantum-key-exchange como DEFERRED, lo que te permite retrasar la habilitación del intercambio de claves poscuántico hasta octubre de 2027, lo que te da tiempo para hacer que tu aplicación sea compatible.
Lanzamiento del intercambio de claves poscuántico
Debido a que la protección de seguridad que ofrece el intercambio de claves poscuántico
es importante, Google Cloud comenzará a habilitarlo de forma predeterminada en
octubre de 2026. Esto afectará a los balanceadores de cargas que no tengan adjunta una política de SSL o que usen una política de SSL sin configuración de intercambio de claves poscuántico. Si es necesario, puedes diferir la habilitación del intercambio de claves poscuántico hasta octubre de 2027 con el parámetro de configuración DEFERRED.
En el siguiente cronograma, se muestra el lanzamiento planificado de la compatibilidad con el intercambio de claves poscuántico para los balanceadores de cargas.
| Cronograma | Estado del intercambio de claves poscuántico |
|---|---|
| Ahora | Inhabilitado de forma predeterminada, habilitado solo cuando se establece en ENABLED |
| Después de octubre de 2026 | Habilitado de forma predeterminada, inhabilitado cuando se establece en DEFERRED |
| Después de octubre de 2027 | Siempre habilitado |