Este audio se generó automáticamente. Háganos saber si tiene comentario.
El Instituto Nacional de Estándares y Tecnología publicó el jueves una guía que describe cómo la implementación de la criptografía posterior al quanto (PQC) apoya y se basa en las salvaguardas en las principales publicaciones de ciberseguridad de la agencia.
El borrador del documento NIST, derivado de la producción del proyecto de migración PQC de la agencia, está diseñado para ilustrar las conexiones entre las herramientas necesarias para adoptar el cifrado resistente a la cantidad y las prácticas de seguridad que NIST recomienda en su marco de seguridad cibernética y otra orientación.
«Las capacidades demostradas en el proyecto respaldan varios objetivos y controles de seguridad identificados» en otros documentos de orientación NIST, dijo la agencia en su nueva publicación. «Al mismo tiempo, la implementación responsable de las capacidades demostradas depende de la adherencia a varios objetivos y controles de seguridad identificados en estos documentos marco de riesgos».
La recopilación de información sobre qué tecnologías utilizan la criptografía respalda las prácticas del marco de seguridad cibernética de la creación de inventarios de hardware y software, señala el documento. Del mismo modo, el análisis de las debilidades criptográficas respalda la práctica del CSF de identificar vulnerabilidades en los activos tecnológicos.
Por otro lado, la práctica de CSF de establecer procesos claros para la gestión de configuraciones tecnológicas es un requisito previo para el paso de migración de PQC de implementar nuevos algoritmos resistentes a la cantidad cuántica, dice el documento. Y la práctica de CSF de identificar amenazas a una organización «puede informar los requisitos para» módulos de seguridad de hardware listos para cuándo.
Además de mapear actividades de PQC en el CSF, el documento también las asigna al catálogo de controles de seguridad y privacidad de NIST, conocido como Publicación Especial 800-53. El análisis de las debilidades criptográficas respalda los principios en la categoría de evaluación de riesgos de 800-53, de acuerdo con el documento, mientras que la implementación de algoritmos PQC a menudo requerirá la adherencia a la sección de esa publicación sobre certificados de infraestructura de clave pública.
En el documento, NIST también alienta a las organizaciones centradas en la migración de PQC para colaborar en un perfil de CSF, un documento que explica cómo su comunidad está utilizando el CSF para lograr sus objetivos. Perfiles de CSF similares Existen para la mitigación de ransomware, la integridad de los datos del GPS y la fabricación de semiconductores. NIST dijo que un perfil de CSF para las actividades de PQC «facilitaría la migración de la comunidad a PQC».
Fuente