Próximos pasos en la preparación para el DNSSEC post-cuántico

En julio de 2022, el Instituto Nacional de Normas y Tecnología (NIST) seleccionó un algoritmo de encriptación poscuántica y tres algoritmos de firma poscuántica para su estandarización, y las normas para estos algoritmos llegarán ya en 2024. En consonancia con este trabajo, el Grupo de Trabajo de Ingeniería de Internet (IETF) también ha iniciado actividades de desarrollo de normas sobre la aplicación de algoritmos poscuánticos a los protocolos de Internet en varios grupos de trabajo, incluido el recién formado grupo de trabajo de Uso Poscuántico en Protocolos (PQUIP).

Es probable que las normas que se desarrollen en los próximos años sean las que se desplieguen cuando finalmente se produzca la transición post-cuántica, por lo que ahora es el momento de tener en cuenta los requisitos operativos de protocolos específicos.

Para DNSSEC, las preocupaciones operativas son dobles.

En primer lugar, los grandes tamaños de firma de las actuales firmas poscuánticas seleccionadas por el NIST darían lugar a respuestas DNSSEC que superarían los límites de tamaño del Protocolo de Datagramas de Usuario, ampliamente desplegado en el ecosistema DNS. Aunque el Protocolo de Control de Transmisión y otros transportes están disponibles, la sobrecarga adicional de tener grandes firmas post-cuánticas en cada respuesta -que pueden ser de uno a dos órdenes de magnitud más largas que las firmas tradicionales- introduce un riesgo operativo en el ecosistema DNS que sería preferible evitar.

En segundo lugar, las grandes firmas aumentarían significativamente los requisitos de memoria para los resolutores que utilizan cachés en memoria y los servidores de nombres autoritativos que utilizan bases de datos en memoria.

A través de CircleID