STIGNING

Artículo Técnico

PQXDH como frontera de migracion de handshake hibrido

Deconstruccion en doctrina de seguridad para transicion poscuantica bajo compromiso de exposicion maxima

08 abr 2026 · PQC · 6 min

Publicación

Artículo

Volver al archivo del blog

Briefing del artículo

Contexto

Los programas de PQC requieren fronteras de control explicitas en research, adversarial-systems, cryptography bajo operacion adversarial y degradada.

Prerequisitos

  • Linea base de arquitectura y mapa de fronteras para PQC.
  • Supuestos de falla definidos y ownership de respuesta a incidentes.
  • Puntos de control observables para verificacion en despliegue y runtime.

Cuándo aplicar

  • Cuando pqc afecta directamente autorizacion o continuidad de servicio.
  • Cuando el compromiso de un solo componente no es un modo de falla aceptable.
  • Cuando decisiones de arquitectura deben estar respaldadas por evidencia para auditoria y assurance operativo.

Registro de Evidencia

Línea base de reclamaciones de la fuente: afirmaciones limitadas al paper.

Interpretación STIGNING: secciones 2-8 modelan implicaciones empresariales.

Paper
Security Analysis of Signal's PQXDH Handshake
Autores
Rune Fiedler; Felix Gunther
Fuente
IACR Cryptology ePrint 2024/702 (major revision aligned with PKC 2025)

1. Institutional Framing

La migracion poscuantica en produccion no es un simple cambio de algoritmo. Es un rediseño de fronteras de confianza donde componentes legados y poscuanticos coexisten bajo presion adversarial activa. El paper seleccionado es relevante porque analiza un handshake hibrido desplegado (PQXDH) con un modelo fino de compromiso y explicita que propiedades requieren supuestos adicionales.

Para infraestructura institucional, esto aplica de forma directa a identidad de servicios y migracion de transporte seguro. Muchas transiciones hibridas se aprueban por lenguaje de cumplimiento, pero fallan en limites concretos de downgrade, binding y ciclo de vida de claves.

Traceability Note

Paper: Security Analysis of Signal's PQXDH Handshake. Autores: Rune Fiedler, Felix Gunther. Fuente: IACR Cryptology ePrint 2024/702 (v2.1, mayo de 2025; revision correspondiente a PKC 2025). Link: https://eprint.iacr.org/2024/702.

Source Claim Baseline

Reclamos acotados a la fuente: el trabajo desarrolla un analisis reduccionista por juegos para PQXDH bajo modelo de exposicion maxima frente a adversarios clasicos y cuanticos; extiende la modelizacion para incluir claves publicas firmadas; deriva cotas concretas de seguridad; identifica KEM binding como propiedad necesaria; establece que la ausencia de separacion de dominio reduce la seguridad alcanzable; y afirma que Kyber y ML-KEM cumplen la nocion de binding usada en la prueba.

2. Technical Deconstruction

Matriz de ajuste institucional:

  • selected_domain: PQC
  • selected_capability_lines: hybrid handshake compatibility planning; downgrade resistance validation; certificate and key lifecycle redesign
  • why this paper supports enterprise engineering decisions: traduce afirmaciones de migracion hibrida en supuestos verificables y limites operativos de compromiso.

El punto clave es composicional: PQXDH no es solo X3DH mas una llamada KEM. Es un calendario hibrido de derivacion de claves cuya seguridad depende de binding entre componentes y de supuestos por modo.

Secsess(m,C)KEM_Bind=1DomainSep=1ModeAssump(m)(1)\mathsf{Sec}_{\mathrm{sess}}(m,\mathcal{C}) \Rightarrow \mathsf{KEM\_Bind}=1 \land \mathsf{DomainSep}=1 \land \mathsf{ModeAssump}(m) \tag{1}

La Ecuacion (1) define el criterio de decision de migracion: la adopcion de handshake hibrido solo es segura cuando todos los predicados se cumplen en implementacion y configuracion.

3. Hidden Assumptions

La primera suposicion oculta es el acoplamiento semantico entre salida del KEM y contexto correcto de clave publica. Sin ese binding, ambiguedades de re-encapsulacion pueden degradar garantias.

La segunda suposicion oculta es separacion de dominio consistente en todos los contextos de derivacion. Sin etiquetas fuertes, aumentan riesgos de confusion entre modos y reutilizacion de material.

La tercera suposicion oculta es disciplina de ciclo de vida entre claves de largo plazo, semi-estaticas y efimeras. El modelo del paper cubre combinaciones de compromiso; la operacion real a menudo no.

Ω(t)=k{LT,SS,EPH}wk1[k compromised at t](2)\Omega(t)=\sum_{k \in \{LT,SS,EPH\}} w_k \cdot \mathbf{1}[k\ \text{compromised at}\ t] \tag{2}

La Ecuacion (2) permite umbral operativo: si Ω(t)>θ\Omega(t)>\theta, deben activarse restricciones de modo y rekey forzado.

4. Adversarial Stress Test

Los handshakes hibridos deben evaluarse con clases de adversario explicitas.

Clase A: manipulador de transcript con inyeccion y replay para provocar confusion de modo.

Clase B: adversario con compromiso selectivo de claves de largo plazo, semi-estaticas o efimeras.

Clase C: explotacion de fallback entre pila legada y pila hibrida.

Clase D: explotacion de inconsistencias de etiquetas de dominio, parseo o maquina de estados.

Rhybrid(t)=Pr[¬Bind]+Pr[¬DomainSep]+Pr[Fallback_Downgrade]+Pr[Ω(t)>θ](3)R_{\mathrm{hybrid}}(t)=\Pr[\neg\mathsf{Bind}] + \Pr[\neg\mathsf{DomainSep}] + \Pr[\mathsf{Fallback\_Downgrade}] + \Pr[\Omega(t) > \theta] \tag{3}

La Ecuacion (3) debe actuar como gate de release. Si RhybridR_{\mathrm{hybrid}} excede presupuesto de riesgo, el despliegue debe detenerse.

5. Operationalization

Una migracion segura exige controles deterministicos sobre compatibilidad, ciclo de vida y resistencia a downgrade.

Compatibilidad:

  • definir matriz de modos (legacy, hybrid, pqc-preferred) con combinaciones permitidas;
  • fijar formato canonico de transcript;
  • exigir verificacion de binding como precondicion estricta para aceptar clave de sesion.

Ciclo de vida:

  • separar cadencia de rotacion para claves de identidad y prekeys semi-estaticas;
  • imponer limite de reutilizacion para material semi-estatico;
  • retirar claves por telemetria de compromiso y no solo por calendario.

Resistencia a downgrade:

  • prohibir fallback silencioso;
  • exigir token autenticado de downgrade con trazabilidad;
  • negar sesion cuando capacidades declaradas y modo negociado divergen.
funcion establecer_sesion_hibrida(msg, estado, politica):
    requerir verificar_cadena_firmas(msg.bundle_identidad)
    requerir verificar_matriz_modo(msg.modo, estado.modo_local)

    si !verificar_kem_binding(msg.kem_ct, msg.kem_pk, msg.hash_transcript):
        retornar DENEGAR_BINDING

    si !verificar_separacion_dominio(msg.labels_kdf, politica.labels_permitidos):
        retornar DENEGAR_DOMAIN_SEP

    si es_fallback(msg.modo) y !verificar_downgrade_autenticado(msg.token_downgrade):
        retornar DENEGAR_DOWNGRADE

    si superficie_compromiso(estado) > politica.max_superficie_compromiso:
        retornar DENEGAR_REKEY_OBLIGATORIO

    retornar PERMITIR
TmigTinventory+Tcompat_tests+Trekey+Tcutover(4)T_{\mathrm{mig}} \le T_{\mathrm{inventory}} + T_{\mathrm{compat\_tests}} + T_{\mathrm{rekey}} + T_{\mathrm{cutover}} \tag{4}

La Ecuacion (4) convierte la migracion en plan medible y auditable.

6. Enterprise Impact

El impacto empresarial principal es de precision de gobernanza. Cumplimiento por lista de algoritmos no basta; los criterios reales son binding, separacion de dominio y contencion medible de compromiso.

Primero, la seguridad de transporte pasa a ser responsabilidad compartida entre criptografia, ingenieria de protocolo y SRE.

Segundo, la calidad del inventario de claves se vuelve dependencia critica.

Tercero, la conformidad debe ser sensible al modo para detectar downgrade de manera continua.

WexposureTdetect+Trevoke+Treissue+Tsession_drain(5)W_{\mathrm{exposure}} \approx T_{\mathrm{detect}} + T_{\mathrm{revoke}} + T_{\mathrm{reissue}} + T_{\mathrm{session\_drain}} \tag{5}

La Ecuacion (5) define el SLO de respuesta a incidentes en programas de migracion PQC.

7. What STIGNING Would Do Differently

Para despliegue institucional bajo condiciones adversarias, se requieren controles adicionales.

  1. Etiquetas de dominio obligatorias en todas las fases KDF con pruebas negativas de colision entre modos.

  2. KEM binding tratado como artefacto ejecutable de conformidad, no solo supuesto de prueba.

  3. Fallback permitido solo con downgrade autenticado y auditable.

  4. Segregacion de roles de clave en namespaces HSM separados para reducir compromiso correlacionado.

  5. Telemetria de superficie de compromiso integrada a decisiones de admision en runtime.

  6. Chaos testing de dual-stack con upgrades parciales, skew de reloj y desorden de retransmision.

  7. Runbooks de rekey forzado y rollback de cutover con limites de blast radius preaprobados.

Admit(s)=1[Bind=1DomainSep=1DowngradeAuth=1Ωθ](6)\mathsf{Admit}(s)=\mathbf{1}[\mathsf{Bind}=1 \land \mathsf{DomainSep}=1 \land \mathsf{DowngradeAuth}=1 \land \Omega \le \theta] \tag{6}

La Ecuacion (6) se puede codificar directamente como policy-as-code en gateways de transporte.

8. Strategic Outlook

Los programas de transicion PQC fallan cuando tratan la migracion como reemplazo de primitiva y no como semantica de confianza en modo mixto. El valor estrategico del paper es anclar la correccion de migracion en modelos explicitos de adversario y compromiso.

A largo plazo, tres lineas son obligatorias: agilidad criptografica con fecha de retiro de modos legados; automatizacion del ciclo de vida con proveniencia verificable; y aseguramiento continuo mediante verificacion formal, pruebas adversariales y telemetria de admision.

Pr[Admit=1Secsess=1]1η under declared compromise model(7)\Pr\left[\mathsf{Admit}=1 \Rightarrow \mathsf{Sec}_{\mathrm{sess}}=1\right] \ge 1-\eta\ \text{under declared compromise model} \tag{7}

La Ecuacion (7) formaliza el objetivo institucional: las sesiones admitidas deben permanecer seguras bajo el modelo de amenaza declarado.

References

  • Rune Fiedler, Felix Gunther. Security Analysis of Signal's PQXDH Handshake. IACR Cryptology ePrint 2024/702. https://eprint.iacr.org/2024/702
  • Karthikeyan Bhargavan, Charlie Jacomme, Franziskus Kiefer, Rolfe Schmidt. Formal verification of the PQXDH Post-Quantum key agreement protocol for end-to-end secure messaging. USENIX Security 2024. https://www.usenix.org/conference/usenixsecurity24/presentation/bhargavan
  • Signal. The PQXDH Key Agreement Protocol. https://signal.org/docs/specifications/pqxdh/

Conclusion

La conclusion operativa es que la seguridad de handshake hibrido poscuantico es condicional. KEM binding, separacion de dominio y controles de modo sensibles al compromiso son requisitos estructurales, no mejoras opcionales. Los programas institucionales deben adoptar predicados de admision, downgrade autenticado y enforcement de ciclo de vida ligado a umbrales de riesgo medibles.

  • STIGNING Academic Deconstruction Series Engineering Under Adversarial Conditions

Referencias

Compartir artículo

LinkedInXEmail

Navegación del artículo

Artículo anterior

ChainFuzz y Gobernanza DevSecOps Orientada a Explotabilidad

Artículo siguiente

Doctrina de Gobernanza de Identidad de Máquina Post-Cuántica

Artículos relacionados

PQC

Hibridizacion de WireGuard para Migracion Poscuantica bajo Restricciones Operativas

Doctrina de infraestructura para preservar simplicidad de handshake con resistencia a downgrade y fallas de ciclo de claves

Leer artículo relacionado

PQC

Tamizado Cuántico de 3-Tuplas bajo Límites de Memoria

Doctrina de ingeniería para seguridad de retículos bajo aceleración adversaria

Leer artículo relacionado

DevSecOps

ChainFuzz y Gobernanza DevSecOps Orientada a Explotabilidad

Doctrina de infraestructura para demostrar impacto upstream antes de accionar el pipeline

Leer artículo relacionado

IIoT

Revocación como Plano de Control de Primera Clase en la Identidad IIoT Segura

Una deconstrucción de EVOKE para confianza en flotas restringidas, resistencia a rollback y convergencia operativa de revocación

Leer artículo relacionado

Feedback

¿Este artículo fue útil?

Enviar sugerencia de tema

Intake Técnico

Aplique este patrón en su entorno con revisión arquitectónica, restricciones de implementación y criterios de assurance alineados con su clase de sistema.

Aplicar este patrón -> Intake Técnico
Volver arribaVolver al blog