Post-Quantum — qué tener en cuenta hacia 2030
La criptografía post-cuántica —Post-Quantum Cryptography, PQC— es la rama que desarrolla algoritmos resistentes a computadoras cuánticas. Esto es relevante para SSI porque:
- Computadoras cuánticas suficientemente grandes romperían Ed25519, ECDSA, RSA — los algoritmos que sostienen el sistema actual.
- Las credenciales emitidas hoy podrían ser falsificables retroactivamente si quedan archivadas y un atacante futuro tiene capacidad cuántica.
- NIST está estandarizando algoritmos PQC para que la migración sea posible.
Este artículo introduce los conceptos clave para que un proyecto SSI gov tenga horizonte claro.
El problema cuántico en una frase
Las computadoras cuánticas pueden ejecutar el algoritmo de Shor que rompe los problemas matemáticos que sostienen RSA, ECDSA y Ed25519 (factorización + logaritmo discreto en curva elíptica). Sin esos problemas, no hay firma digital.
¿Cuándo es la amenaza real?
A 2026, los pronósticos son:
| Capacidad | Estimación 2026 |
|---|---|
| Computadoras cuánticas reales | Existen, pero pocos qubits estables (50-1000) |
| Para romper Ed25519 (128 bits) | Requiere ~10,000-20,000 qubits estables |
| Estimación de disponibilidad | 2030-2040 con incertidumbre alta |
| Riesgo "harvest now, decrypt later" | YA presente (datos archivados ahora pueden ser explotados después) |
Los algoritmos PQC estandarizados
NIST publicó en 2024 los primeros estándares post-quantum:
ML-DSA
Module-Lattice-based Digital Signature Algorithm (anteriormente CRYSTALS-Dilithium). Default recomendado por NIST.
Falcon
Fast Fourier Lattice-based Compact Signatures over NTRU. Alternativa con firmas más compactas.
SLH-DSA
Stateless Hash-Based Signature Algorithm (anteriormente SPHINCS+). Más conservativo, no basado en lattices.
Cada uno tiene tradeoffs. ML-DSA es el más probable como sucesor de Ed25519 en SSI moderna.
Comparación con algoritmos actuales
| Ed25519 | ML-DSA (PQC) | |
|---|---|---|
| Tamaño firma | 64 bytes | ~2,500 bytes |
| Tamaño clave pública | 32 bytes | ~1,300 bytes |
| Velocidad firma | ~80 µs | ~120 µs |
| Velocidad verificación | ~150 µs | ~150 µs |
| Resistencia cuántica | NO | SÍ |
El tradeoff es claro: PQC es mucho más grande que ECC clásica. 40-80x más bytes por firma. Esto importa para:
- QR codes (limitados a 2-3KB).
- Wallets en celulares limitados.
- Bandwidth en comunicaciones.
Implementar PQC requiere repensar varios aspectos del sistema.
Estrategias de migración
Tres aproximaciones para llegar a 2030 con SSI seguro:
Migración total
Reemplazar Ed25519 con ML-DSA en todo el sistema. Plan más limpio pero más costoso operativamente.
Hybrid signatures
Firmar con Ed25519 + ML-DSA en paralelo. Si una se rompe, la otra sostiene. Es la transición recomendada por NIST.
Re-emisión con notice
Mantener Ed25519 actual + plan de re-emisión cuando el riesgo se materialice. Más simple pero requiere ventana de transición.
Para una provincia argentina arrancando hoy con SSI, la recomendación es diseñar para hybrid signatures sin implementarlas aún. Cuando ML-DSA esté maduro en wallets y librerías (probablemente 2027-2028), activar el modo hybrid.
"Harvest now, decrypt later"
Una preocupación específica para gov: incluso si las computadoras cuánticas no existen aún, atacantes pueden estar archivando datos encriptados o firmados ahora para descifrarlos / falsificarlos cuando tengan capacidad.
Para credenciales con valor a largo plazo (diplomas válidos para vida, identidad ciudadana, historias clínicas), esto es real. Una credencial emitida hoy podría ser falsificada en 2035 si un atacante con capacidad cuántica decide reescribir el pasado.
Mitigación: archivar las credenciales con timestamps confiables (vía blockchain o Time-Stamping Services) + plan de revalidación periódica para evitar repudio post-cuántico.
El estado en SSI a 2026
Estado de adopción de PQC en el ecosistema SSI:
| Componente | Estado |
|---|---|
| W3C VC Data Model | Permite cualquier algoritmo; ML-DSA es válido |
| JWS / IETF | RFC para ML-DSA en proceso |
| Wallets ciudadanas | Sin implementación amplia todavía |
| Sovra Stack | En roadmap, plan de hybrid signatures |
| eIDAS 2.0 | No menciona PQC, pero permite |
| Hyperledger | Plan de migración documentado |
A 2026, ninguna implementación SSI de producción usa PQC nativamente. Es trabajo de los próximos 2-3 años.
Recomendaciones para una provincia hoy
Cinco principios para un proyecto SSI gov diseñado en 2026 con horizonte 2030+:
- 1Default Ed25519 para todo lo nuevo. Es el algoritmo más sólido a hoy.
- 2Diseñar el sistema para soportar múltiples algoritmos. Que cambiar de algoritmo no requiera rediseñar el sistema entero.
- 3Documentar el plan de migración PQC. Tener un roadmap antes de que sea urgente.
- 4Mantener trazabilidad de credenciales emitidas. Para poder identificar qué necesita reemisión cuando llegue el momento.
- 5Monitorear adopción PQC en el ecosistema. Cuando ML-DSA esté en wallets mainstream, evaluar migración.
PQC no es prioridad operativa hoy, pero ignorarlo es planificar fracaso a largo plazo.
Referencias
Relacionados
- Firmas digitales en 5 minutos — el contexto
- Ed25519 vs ECDSA — qué algoritmo elegir — algoritmos vigentes