NIST finalizó FIPS 204 (Dilithium) y FIPS 205 (SLH-DSA) en agosto de 2024. La mayoría de las cadenas respondieron con declaraciones de hoja de ruta. Dieciocho meses después, la nuestra acaba de desplegar ambas.
No en una testnet. No como un experimento detrás de un flag. Como la firma principal en cada entrada de cadena, en cuatro nodos en cuatro jurisdicciones, reemplazando completamente Ed25519.
Tomó una semana enfocada. La mayor parte de esa semana fue decidir qué *no* hacer.
La primera decisión fue la fuerza. Dilithium tiene tres niveles NIST. El Nivel 3 es al que están migrando la mayoría de los sistemas de producción — equivale a AES-192 contra ataque cuántico y tiene tamaños de firma razonables (unos 3 KB). El Nivel 5 es el máximo: equivalente a AES-256, firmas de 4,6 KB.
Me pregunté: ¿quién es el adversario? Las computadoras cuánticas criptográficamente relevantes aún no existen, pero los gobiernos están grabando tráfico cifrado ahora para descifrarlo después. El adversario que importa es un actor estatal en 2035 con un CRQC real, mirando hacia atrás a las entradas de cadena de esta semana.
Contra ese adversario, el Nivel 5 no es paranoia. Es el suelo racional.
La segunda decisión fue híbrido versus puro. La migración post-cuántica ortodoxa es cambiar un esquema de firma por otro. Dilithium reemplaza a Ed25519. Listo.
No quería hacer eso. Todo el sentido de pasar a la criptografía de retículos es que no estamos seguros de que aguante. El criptoanálisis de retículos es un área de investigación activa. Las sorpresas ocurren.
Si los retículos caen y firmaste todo solo con Dilithium, cada entrada escrita se vuelve falsificable retroactivamente. Eso no es hipotético — es exactamente lo que les pasa a RSA y ECC el día que se lance una computadora cuántica suficientemente grande.
Así que firmamos todo tres veces. Dilithium-5 (retículo). Ed25519 (clásico, defensa en profundidad). SLH-DSA-SHAKE-256f (basado en hash, el respaldo conservador). Tres fundamentos matemáticos independientes. Un atacante tiene que romper los tres para falsificar algo.
La huella de firma pasó de 64 bytes a unos 95 KB por entrada. Un aumento de 1500x. Acepté el intercambio. El almacenamiento es barato. Una sola apuesta mala en un esquema de firma es irreemplazable.
La tercera decisión fue el límite. Podríamos reconstruir todo — consenso, transporte, almacenamiento, gestión de claves. O podríamos elegir la capa que más importaba esta semana y enviarla limpiamente.
Elegí la firma. El transporte de la malla obtuvo mTLS. La serialización obtuvo un formato protobuf canónico. El almacenamiento de claves se quedó en disco con permisos de archivo — el HSM está en cola para la próxima ronda.
La regla que seguía recordándome: enviar primero el suelo criptográfico. La capa de integridad después. Las cosas de consenso y HSM pueden aterrizar más tarde porque no cambian las garantías de seguridad de las entradas ya escritas.
Para el viernes, cada entrada en Helsinki, Oregón, Singapur y Ashburn estaba triplemente firmada en protobuf canónico v2 con mTLS entre pares. Cuatro jurisdicciones, sin proveedor compartido, sin dependencia de Render.
La semana anterior, TreeChain era una malla de firma única con un proveedor en el bucle. La semana siguiente, es el suelo criptográfico que queríamos.
La mayor parte de la diferencia fue decidir rápido y no titubear.