El NIST retirará la aprobación del algoritmo Triple-DES

El Instituto Nacional de Ciencia y Tecnología (NIST) está retirando oficialmente el uso del antiguo algoritmo de cifrado de datos DES (DEA). Aunque la versión de clave única se retiró hace casi 20 años, se ha permitido el uso de las versiones más seguras de tres claves (2TDEA y 3TDEA) para dar a las organizaciones la oportunidad de realizar la transición. Ese período de transición ha terminado oficialmente y la retirada de la publicación especial entrará en vigor el 1 de enero de 2024. 

DES es un algoritmo de cifrado obsoleto desarrollado por IBM que fue el algoritmo de cifrado estándar (no clasificado) adoptado por las agencias gubernamentales de EE. UU. a mediados y finales de la década de 1970 (FIPS Pub. 46), pero que ha sido sustituido en gran medida por el «Estándar de cifrado avanzado», conocido generalmente como AES. La medida se produce tras múltiples revisiones de las directrices del NIST en SP8-67, que sucesivamente añadieron limitaciones adicionales al uso de estos antiguos algoritmos. La retirada de las normas significa que el DEA solo se permitirá para fines limitados, como el descifrado y la continuidad de la funcionalidad con datos que ya utilizaban el DEA, pero no se utilizará para proteger ningún dato nuevo después del 31 de diciembre de 2023. 

Aunque pocas empresas, si es que hay alguna, deberían seguir utilizando DES en cualquiera de sus formas, las empresas deben verificar que los sistemas heredados (y los sistemas utilizados por sus proveedores) hayan dejado de utilizarlo. Esto es especialmente importante para las empresas que puedan formar parte de la cadena de suministro de productos y servicios utilizados por el gobierno federal de los Estados Unidos, ya que estos servicios deberán actualizarse antes de la fecha efectiva de la retirada. 

El NIST retirará la Publicación Especial (SP) 800-67 Revisión 2, Recomendación para el algoritmo de cifrado por bloques de triple encriptación de datos (TDEA), el 1 de enero de 2024.

Publicada inicialmente en 2004, la SP 800-67 especifica el algoritmo de cifrado de datos triple (TDEA), incluido su motor criptográfico principal, el algoritmo de cifrado de datos (DEA). El DEA se especificó originalmente en la Publicación de Normas Federales de Procesamiento de Información (FIPS) 46, La Norma de Cifrado de Datos, que fue retirada en 2005. El TDEA, que utiliza tres claves DEA para su funcionamiento, se diseñó como sustituto provisional del DEA.

Ver artículo de referencia