A migração para a criptografia pós-quântica começou — a maioria das organizações não está preparada

Em agosto de 2024, o NIST publicou três padrões finalizados de criptografia pós-quântica: ML-KEM (baseado em CRYSTALS-Kyber), ML-DSA (baseado em CRYSTALS-Dilithium) e SLH-DSA (baseado em SPHINCS+). Esses algoritmos são projetados para resistir a ataques de computadores quânticos — uma ameaça que ainda não existe completamente, mas se aproxima rápido o suficiente para que organizações que protegem segredos de longa duração precisem agir agora.

A maioria não agiu. As equipes de segurança que já estão sobrecarregadas gerenciando as ameaças atuais geralmente tratam a migração pós-quântica como um problema futuro. Não é. O modelo de ameaça já está ativo.

O problema "Colha agora, descriptografe depois" (Harvest Now, Decrypt Later)

A razão pela qual a migração pós-quântica é urgente hoje — mesmo que computadores quânticos criptograficamente relevantes ainda não existam — é uma estratégia chamada Harvest Now, Decrypt Later (HNDL). Atores de ameaças estatais estão coletando tráfego da Internet criptografado hoje, armazenando-o e planejando descriptografá-lo quando a computação quântica atingir capacidade suficiente.

Se sua organização transmitiu dados sensíveis — registros financeiros, propriedade intelectual, comunicações governamentais, informações pessoais de saúde — nos últimos anos, esses dados podem já estar armazenados por adversários. Quando um computador quântico suficientemente poderoso chegar, a criptografia RSA e de curva elíptica que os protege se torna quebrável retroativamente.

CISA e NSA estimam que computadores quânticos criptograficamente relevantes podem surgir entre 2030 e 2035. Isso não é uma margem confortável — é um prazo firme para migrar quaisquer dados ou comunicações que precisem permanecer confidenciais por mais de alguns anos.

O que os novos padrões realmente são

Os três padrões do NIST abordam funções criptográficas diferentes:

ML-KEM (Mecanismo de encapsulamento de chave baseado em módulo reticular) substitui RSA e Diffie-Hellman de curva elíptica para troca de chaves — o mecanismo que estabelece segredos compartilhados entre duas partes se comunicando por um canal inseguro. Isso é o que protege conexões HTTPS e sessões TLS.

ML-DSA (Algoritmo de assinatura digital baseado em módulo reticular) substitui RSA e ECDSA para assinaturas digitais — verificar se uma mensagem, atualização de software ou certificado realmente veio de quem afirma vir.

SLH-DSA (Algoritmo de assinatura digital baseado em hash sem estado) fornece um esquema de assinatura alternativo com fundamentos matemáticos diferentes (funções hash em vez de retículos), servindo como uma proteção contra vulnerabilidades baseadas em retículos.

Todos os três são baseados em problemas matemáticos — problemas de retículos e funções hash — que se acredita serem difíceis para computadores quânticos resolverem, ao contrário dos problemas de fatoração e logaritmo discreto que sustentam a criptografia RSA e de curva elíptica.

Quem já está se movendo

Os primeiros a se mover são previsivelmente as organizações com os perfis de ameaça mais altos e as vidas úteis de dados mais longas.

O Google integrou ML-KEM no Chrome 116 em 2023, tornando as conexões TLS entre o Chrome e os servidores Google resistentes a quantum por padrão — uma implantação real em escala de bilhões de conexões. A Apple adicionou troca de chaves pós-quântica ao protocolo PQ3 do iMessage, protegendo as chaves de criptografia de mensagens contra descriptografia retroativa. O Signal implementou seu próprio acordo de chaves pós-quântico (PQXDH) em 2023. A Cloudflare vem experimentando TLS pós-quântico há anos e agora o oferece em produção.

No governo: a NSA determinou que os National Security Systems (NSS) — os sistemas que lidam com informações classificadas — devem iniciar a migração até 2025 e concluí-la até 2030. A CISA publicou orientações para operadores de infraestrutura crítica. O Centro Nacional de Segurança Cibernética do Reino Unido publicou prazos semelhantes.

O que torna a migração difícil

A migração pós-quântica não é uma simples atualização de software. Requer encontrar e substituir primitivas criptográficas incorporadas em todos os sistemas de uma organização — um processo chamado inventário criptográfico ou avaliação de agilidade criptográfica (crypto-agility assessment).

A escala do problema é grande. Uma empresa típica usa TLS em toda parte, assinatura de código para implantações de software, SSH para acesso ao servidor, e-mail criptografado, bancos de dados criptografados, sistemas de backup criptografados, VPNs e módulos de segurança de hardware para armazenamento de chaves. Cada um desses precisa de avaliação: qual algoritmo está em uso, quais dados ele protege e por quanto tempo esses dados precisam permanecer confidenciais.

Sistemas legados agravam a dificuldade. Sistemas de controle industrial, dispositivos médicos, infraestrutura financeira e sistemas governamentais geralmente executam software que não é atualizado há uma década ou mais. Corrigir algoritmos criptográficos em Firmware ou sistemas embarcados é frequentemente impraticável sem substituição de hardware.

O desempenho é outra preocupação. Algoritmos pós-quânticos têm tamanhos de chave e assinatura maiores que seus equivalentes clássicos. As chaves públicas ML-KEM têm 1.2 KB contra 91 bytes para ECDH. As assinaturas ML-DSA têm 2.4-4.6 KB contra 64-72 bytes para ECDSA. Para aplicações com largura de banda limitada ou sensíveis à latência, isso importa.

Agilidade criptográfica: a arquitetura correta de longo prazo

A lição que a comunidade de segurança está tirando da migração pós-quântica não é apenas "atualizar para novos algoritmos" — é "construir sistemas que possam mudar de algoritmos sem reconstruir tudo". Esse princípio é chamado de agilidade criptográfica (crypto-agility).

Sistemas com agilidade criptográfica negociam quais algoritmos usar em tempo de execução, armazenam identificadores de algoritmo junto com dados criptografados e suportam vários algoritmos simultaneamente durante períodos de transição. TLS 1.3 tem agilidade criptográfica embutida — é por isso que implantar TLS pós-quântico é alcançável por meio de uma atualização de software. Sistemas que codificaram rigidamente seus algoritmos não têm essa opção.

Organizações que constroem nova infraestrutura hoje devem tratar a agilidade criptográfica como um requisito arquitetônico inegociável. As organizações que mais sofrerão na próxima onda de transições criptográficas — seja pós-quântica, novos esquemas de assinatura ou depreciações de algoritmos — são aquelas que trataram a criptografia como um problema resolvido em vez de uma camada que precisa ser mantida.

O que fazer agora

As etapas práticas imediatas para a maioria das organizações: realizar um inventário criptográfico para identificar onde RSA, ECDH e ECDSA estão em uso; priorizar sistemas que protegem segredos de longa duração ou comunicações sensíveis; começar a testar algoritmos pós-quânticos em ambientes não produtivos; e atualizar configurações TLS para negociar troca de chaves pós-quântica onde houver suporte de biblioteca (OpenSSL 3.x suporta ML-KEM em modo híbrido).

As organizações que tratam 2030 como um prazo confortável se encontrarão em modo de crise até 2028, quando a carga de trabalho de migração se tornar inegável e a oferta de engenheiros criptográficos experientes se tornar competitiva. Aqueles que começarem o inventário agora — mesmo que a migração completa leve anos — terão opções. Aqueles que não o fizerem, não terão.