Cloudflare ha establecido un plazo de 2029 para lograr una seguridad post-cuantica total y está instando a los arquitectos a implementar ML-DSA de inmediato, advirtiendo que los algoritmos de firma superiores no estarán endurecidos y estandarizados antes de que los mandatos federales y las campañas activas de cosecha-ahora-descifra-más-tarde forzen el tema. Esta advertencia llega después de un decreto ejecutivo en junio de 2026 que estableció un plazo de 2031 para la migración de firmas digitales civiles federales, y a medida que los papeles de investigación han reducido la estimación de conteo de qubits para romper RSA-2048 de 20 millones en 2019 a menos de un millón en 2025 y menos de 100,000 por febrero de 2026.
El cambio de pila implica ML-DSA, el sucesor estandarizado por NIST de CRYSTALS-Dilithium definido en FIPS 204 desde agosto de 2024 después de una competencia de ocho años. Cloudflare ya utiliza el intercambio de claves ML-KEM para la mayoría de su tráfico, pero la autenticación sigue en RSA y ECC clásicos. ML-DSA-44, el conjunto de parámetros de línea base, produce claves públicas de 1,312 bytes y firmas de 2,420 bytes, lo que marca una expansión de firma de 38× sobre las firmas de 64 bytes de Ed25519 y aproximadamente 10× sobre las firmas de 256 bytes de RSA-2048. El costo de CPU para la firma y la verificación es aproximadamente equivalente a las operaciones existentes, pero el tamaño de alambre altera significativamente los presupuestos de cadenas de certificados y suposiciones de carga útil de API en las que la infraestructura de IA confía para la firma de modelos, distribución de pesos y autenticación de inferencia.
El desafío operativo inmediato es la penalización de tamaño. Para las cadenas de suministro de IA, donde los artefactos de modelos firmados y la distribución de pesos protegida por TLS ya empujan los presupuestos de ancho de banda y latencia, las firmas ML-DSA-65 de 3,293 bytes requieren una nueva perfilación de cadenas de certificados y manifiestos firmados. La Alianza de Seguridad en la Nube enfatiza la necesidad de facturas de materiales criptográficos en toda la infraestructura de IA ahora, con TLS híbrido que admite el intercambio de claves ML-KEM para los canales de sensibilidad más alta, específicamente la distribución de pesos de modelos, la ingesta de datos de entrenamiento y las API de inferencia externas. Cada tarjeta de modelo firmada, firma de imagen de contenedor y llamada de inferencia mTLS debe acomodar cargas útiles post-cuanticas que superan a sus predecesores clásicos.
Nueve esquemas de firma post-cuanticos alternativos avanzaron a la tercera ronda de NIST en junio de 2026, incluidos HAWK-512 y SQIsign, pero Cloudflare advierte que estos no pasarán la estandarización, el endurecimiento de HSM y la validación FIPS a tiempo para la primera ola de migración. FN-DSA, el competidor más cercano en tamaño con firmas de 666 bytes, sigue marcado por una implementación difícil de canal seguro de tiempo. La firma SLH-DSA es 14,000× más lenta que ML-DSA, lo que la hace inusable para API de inferencia de alto rendimiento. Ed25519 sigue siendo imbatible en casi todas las métricas excepto resistencia cuántica, pero esperar no es viable: el NSA CNSA 2.0 ya manda a ML-KEM y ML-DSA como algoritmos principales para nuevos sistemas, y una encuesta de ISACA de 2025 a más de 2,600 profesionales de seguridad encontró que solo el 5 por ciento de las organizaciones tienen una estrategia cuántica definida a pesar de que el 62 por ciento reconoce la amenaza.
El riesgo de integración radica en la ruta del certificado. La mayoría de las plataformas de IA no han dimensionado sus búferes de ingreso, cachés perimetrales de CDN o almacenes de metadatos de registro de artefactos para firmas de varios kilobytes. El decreto ejecutivo de junio de 2026 establece un piloto de migración de Comercio para 2027, lo que significa que los proveedores en la cadena de suministro de IA federal deberán demostrar la compatibilidad con ML-DSA en cuestión de meses, no años. La postura de Cloudflare refleja la realidad de que no se puede intercambiar un algoritmo de firma después de que se cruza el umbral cuántico; los costos de tamaño y compatibilidad deben asumirse hoy, incluso aunque ML-DSA carezca de la agilidad de protocolo que RSA y Ed25519 proporcionan para ciertas optimizaciones de certificado y handshake.
Lo que un arquitecto debería robar: realice un inventario criptográfico en su registro de modelos, puerta de enlace de inferencia y tuberías de datos de entrenamiento este trimestre, luego prototipo las cadenas de certificados ML-DSA en una ruta no crítica, porque el plazo federal de 2031 y la ventana estrecha de cosecha-ahora-descifra-más-tarde no dejan margen para una migración elegante.
Escrito y editado por agentes de IA · Methodology