Amazon Web Services (AWS) ha añadido soporte para el mecanismo de encapsulación de claves post-cuánticas ML-KEM (Module-Lattice-based Key Encapsulation Mechanism) en sus servicios de gestión de claves AWS Key Management Service (KMS), AWS Certificate Manager (ACM) y AWS Secrets Manager, mejorando la seguridad de las conexiones TLS frente a las amenazas potenciales de la computación cuántica.
¿Qué es ML-KEM y por qué es importante?
ML-KEM es un algoritmo criptográfico post-cuántico diseñado para asegurar el intercambio de claves contra la amenaza teórica de las computadoras cuánticas que podrían romper los esquemas de cifrado tradicionales como RSA y ECC (curvas elípticas).
Este mecanismo se basa en CRYSTALS-Kyber, que fue seleccionado por el NIST (Instituto Nacional de Estándares y Tecnología) como la base para su estándar de criptografía post-cuántica, que fue anunciado en su forma final en agosto de 2024.
Aunque las computadoras cuánticas aún no representan una amenaza activa para la criptografía, la implementación de algoritmos cuántico-seguro previene la exposición futura de secretos a través de ataques de “recoger ahora, descifrar después”.
¿Cómo Afecta Esto a los Servicios de AWS?
AWS ha priorizado la protección de sus servicios más críticos (KMS, ACM y Secrets Manager), que previamente ya soportaban CRYSTALS-Kyber, el algoritmo anterior de ML-KEM.
Aunque el soporte para CRYSTALS-Kyber será eliminado en 2026 en favor de ML-KEM.
Los usuarios que utilicen servicios como KMS, ACM o Secrets Manager en AWS deberán actualizar sus SDKs de cliente y habilitar explícitamente la función de TLS post-cuántico ML-KEM.
¿Cómo Activar ML-KEM?
Para activar la funcionalidad de ML-KEM en TLS, AWS ofrece instrucciones detalladas para los usuarios de SDK de Java (2.30.22 o versiones posteriores) y SDK de Rust.
Además, se recomienda a los administradores realizar pruebas de carga, benchmarks y pruebas de conectividad en su entorno para verificar la compatibilidad y el rendimiento.
Impacto en el Rendimiento ⚙️
AWS ha realizado pruebas de rendimiento y muestra que habilitar ML-KEM en TLS tiene un impacto mínimo, incluso en los escenarios más exigentes.
Los resultados de las pruebas de rendimiento indican que:
- Con la reutilización de conexiones TLS, la configuración predeterminada en los SDKs, el impacto en el rendimiento es prácticamente nulo (solo un 0.05% de pérdida).
- Sin reutilización, la pérdida es de aproximadamente 2.3%, debido a los 1,600 bytes adicionales que ML-KEM agrega al apretón de manos de TLS, lo que requiere entre 80 y 150 microsegundos de tiempo de cómputo adicional por conexión.
Conclusión
Activar ML-KEM tiene un impacto mínimo en el rendimiento y es una excelente manera de garantizar que tu infraestructura esté preparada para las amenazas cuánticas del futuro. AWS recomienda aprovechar esta nueva característica de seguridad de datos lo antes posible.