Padrões de criptografia pós-quântica do NIST estão finalizados — a contagem regressiva para migração começou
Em agosto de 2024, o Instituto Nacional de Padrões e Tecnologia (NIST) publicou três padrões finalizados de criptografia pós-quântica (PQC) — um marco que estava sendo construído há anos. Para a maioria das pessoas, essa notícia chegou discretamente, enterrada sob o turbilhão diário de manchetes de tecnologia. Mas, para profissionais de segurança cibernética e agências governamentais, foi o tiro de largada.
O que foi padronizado — e por que isso importa
Os três novos padrões são:
ML-KEM (FIPS 203), baseado no CRYSTALS-Kyber — projetado para encapsulamento de chaves e troca de chaves, substituindo os mecanismos usados hoje em TLS, VPNs e mensagens seguras.
ML-DSA (FIPS 204), baseado no CRYSTALS-Dilithium — um algoritmo de assinatura digital para autenticar software, documentos e comunicações.
SLH-DSA (FIPS 205), baseado no SPHINCS+ — um esquema de assinatura digital de backup que utiliza uma abordagem matemática completamente diferente (criptografia baseada em hash) para maior resiliência.
Esses algoritmos foram especificamente projetados para resistir a ataques de computadores quânticos. Essa distinção é o que os torna necessários: os protocolos de criptografia nos quais o mundo confia atualmente — RSA, criptografia de curva elíptica (ECC) e troca de chaves Diffie-Hellman — são todos matematicamente vulneráveis a um computador quântico suficientemente poderoso executando o algoritmo de Shor.
Por que a criptografia atual está em risco
A segurança do RSA e da ECC baseia-se na suposição de que fatorar números grandes ou resolver o problema do logaritmo discreto leva um tempo impraticável para computadores clássicos. Para uma chave RSA de 2048 bits, isso levaria mais tempo do que a idade do universo com o hardware atual. Um computador quântico em grande escala executando o algoritmo de Shor poderia fazer isso em horas.
Computadores quânticos poderosos o suficiente para quebrar a criptografia atual — chamados de computadores quânticos criptograficamente relevantes, ou CRQCs — ainda não existem. Mas estimativas confiáveis colocam sua chegada em algum lugar entre 5 e 15 anos. Algumas avaliações são mais agressivas. IBM, Google e programas de pesquisa apoiados por governos estão avançando rapidamente, e a própria incerteza é a ameaça.
A ameaça “colete agora, descriptografe depois”
Você não precisa de um computador quântico hoje para se beneficiar de um amanhã. Adversários estatais — e as agências de inteligência que os monitoram — estão bem cientes disso. A estratégia é direta: interceptar e arquivar o tráfego criptografado agora, enquanto ainda está protegido, e descriptografá-lo assim que um computador quântico suficientemente poderoso estiver disponível.
Essa abordagem, conhecida como “colete agora, descriptografe depois” (HNDL), transforma o que parece ser um problema futuro em um problema presente. Comunicações classificadas, registros financeiros de longo prazo, dados médicos, propriedade intelectual protegida hoje sob RSA ou ECC — tudo isso está potencialmente em risco se estiver sendo coletado por um adversário paciente. NSA, CISA e NIST emitiram orientações explicitamente classificando o HNDL como uma ameaça atual que exige ação imediata, e não uma preocupação de esperar para ver.
Quem tem prazos — e quais são eles
As agências federais dos EUA estão operando sob um mandato formal de migração. O Memorando de Segurança Nacional 10 (NSM-10) da Casa Branca, emitido em 2022, exigia que as agências inventariassem seus sistemas criptográficos e começassem o planejamento da migração. As diretrizes da CISA pressionam para que sistemas críticos sejam migrados para algoritmos PQC até 2030, com uma meta mais ampla de concluir a migração em toda a infraestrutura federal até 2035.
Os reguladores financeiros nos EUA e na UE estão observando de perto. A SWIFT, que lida com mensagens interbancárias para o sistema financeiro global, tem trabalhado com bancos membros na preparação para PQC. Redes de cartões de pagamento e câmaras de compensação com longos requisitos de retenção de dados enfrentam urgência particular devido ao risco HNDL.
Operadores de infraestrutura crítica — energia, água, telecomunicações — estão sob pressão semelhante. O problema é especialmente grave em ambientes de tecnologia operacional (OT), onde sistemas embarcados podem ter vida útil de 20 anos e nenhum caminho fácil de atualização.
O período de transição híbrida
Ninguém espera que as organizações virem uma chave da noite para o dia. A orientação atual do NIST e dos principais órgãos normativos recomenda uma abordagem “híbrida” durante a transição: executar simultaneamente um algoritmo clássico e um algoritmo pós-quântico, para que a conexão seja segura mesmo que um deles seja posteriormente descoberto como tendo uma vulnerabilidade.
Essa abordagem já está sendo implantada na prática. Cloudflare, Google e Apple implementaram troca de chaves híbrida em conexões TLS. A Signal adicionou uma camada pós-quântica ao seu protocolo de acordo de chaves em 2023. A abordagem híbrida custa um pouco mais em sobrecarga computacional, mas fornece uma rede de segurança enquanto os novos algoritmos acumulam escrutínio no mundo real.
O que empresas e indivíduos devem fazer agora
O desafio da migração não é principalmente matemático — os algoritmos estão prontos. É um desafio operacional e organizacional. Para empresas e instituições, as etapas práticas são:
Inventariar ativos criptográficos. Você não pode migrar o que não mapeou. Isso significa identificar todos os lugares em sua infraestrutura onde RSA, ECC ou DH estão em uso — certificados TLS, chaves SSH, pipelines de assinatura de código, configurações de VPN, bancos de dados criptografados e autenticação de API.
Priorizar dados confidenciais de longa duração. Dados criptografados hoje que precisam permanecer confidenciais por dez anos ou mais — registros de saúde, documentos legais, segredos comerciais — devem ser tratados como já em risco sob as premissas HNDL. Priorize a re-criptografia desses dados com métodos protegidos por PQC primeiro.
Atualizar configurações de TLS e SSH. As principais bibliotecas — OpenSSL, BoringSSL, libsodium — estão adicionando suporte a PQC. Fornecedores de navegadores e softwares de servidor estão seguindo o mesmo caminho. Manter as dependências atualizadas e observar o suporte a conjuntos de cifras compatíveis com PQC em sua pilha web é uma etapa concreta que qualquer pessoa que gerencia infraestrutura pode tomar.
Não espere pelos fornecedores. Muitos fornecedores de software empresarial estão se movendo lentamente na integração de PQC. Se você está preso a sistemas que não têm um roadmap para PQC, isso é um risco a ser levantado com seu fornecedor agora, não em 2029.
Para usuários comuns, o conselho mais prático é mais simples: use software que seja ativamente mantido e atualizado. Se seu aplicativo de mensagens, navegador e sistema operacional estão atualizados, você provavelmente receberá as proteções de PQC conforme elas forem lançadas sem fazer nada especial. O trabalho pesado está sendo feito no nível da infraestrutura.
A conclusão
A finalização dos padrões pós-quânticos do NIST encerra a pergunta “quais algoritmos devemos usar?” que manteve muitas organizações em uma postura de esperar para ver. Essa pergunta agora tem uma resposta. As questões restantes são operacionais: quão rápido você consegue se mover, qual é sua exposição de maior prioridade e seus fornecedores têm um plano crível?
Migrações criptográficas são lentas, caras e disruptivas — a transição do SHA-1 para o SHA-256 levou mais de uma década e foi muito mais simples do que a migração PQC exige. O fato de que computadores quânticos capazes de quebrar o RSA ainda não existem não é motivo para atrasar. É precisamente o motivo para começar agora, enquanto ainda há tempo para fazê-lo de forma metódica, e não em pânico.
A contagem regressiva começou. Os padrões estão finalizados. A única variável restante é quanta vantagem a migração conseguirá.