Migração para criptografia pós-quântica: desafios e estratégias

#!/intro

A transição para algoritmos criptográficos resistentes a ataques com recurso a computação quântica (PQC) constitui um dos maiores desafios tecnológicos da década. À medida que se aproxima o ponto de inflexão no desenvolvimento de computadores quânticos criptograficamente relevantes, conhecido como “Q-Day”, aumenta a urgência em mitigar os riscos relacionados com a vulnerabilidade dos algoritmos atualmente utilizados.

Os novos algoritmos (veja também Criptografia pós-quântica: os novos algoritmos) já foram normalizados, mas a sua adoção generalizada vai requerer uma transformação profunda da infraestrutura tecnológica e dos processos organizacionais.

Segue-se uma reflexão sobre alguns dos que, na minha perspetiva, poderão ser os principais desafios associados a esta migração, bem como sugestões práticas e operacionais que poderão apoiar as organizações numa transição mais segura e controlada.

> desafios_tecnicos

A migração para algoritmos PQC envolve alterações significativas nos sistemas de comunicação, armazenamento, processamento e autenticação. Os algoritmos padronizados impõem novos requisitos computacionais, muitos dos quais incompatíveis com ambientes atuais.

O primeiro desafio é o aumento considerável da dimensão das chaves, assinaturas e textos cifrados. Assinaturas como as do tipo SLH-DSA, por exemplo, podem ultrapassar os 40 kilobytes, o que representa um crescimento de várias ordens de grandeza face às soluções baseadas em curvas elípticas. Este aumento tem impacto direto na largura de banda necessária para transmissões, nos tempos de processamento e verificação e na ocupação de memória em bases de dados ou dispositivos com recursos limitados. Em ambientes como redes IoT, aplicações móveis ou sistemas de controlo industrial, estas mudanças podem comprometer a operação, exigindo ajustamentos como reengenharia de protocolos, técnicas de compressão ou adoção de abordagens híbridas com fallback clássico.

Outro obstáculo técnico é a dificuldade de integração com sistemas legacy. Nestes casos, a criptografia está frequentemente embebida em camadas de baixo nível, recorrendo a código fechado, firmware não atualizável ou hardware específico, como é o caso de smart cards, HSMs antigos ou bibliotecas proprietárias de dispositivos críticos.

Mesmo nos sistemas que oferecem algum grau de flexibilidade, a adaptação de protocolos de comunicação como TLS, SSH ou S/MIME poderá não ser imediata. Muitos destes protocolos não estão ainda preparados, ou apenas recentemente começaram a oferecer suporte, para os novos algoritmos pós-quânticos. Sempre que tal é possível, a sua adaptação implica modificações relevantes, nomeadamente ao nível da atualização de bibliotecas, da compatibilidade com estruturas de mensagens e da revisão de políticas de validação e revogação de certificados.

A coexistência entre algoritmos clássicos e pós-quânticos durante o período de transição levanta, por si só, um conjunto de dificuldades operacionais. A introdução de criptografia híbrida pode criar redundâncias e incoerências na lógica de funcionamento dos sistemas, dificultando a gestão de chaves, a validação de múltiplas assinaturas e o controlo de versões de certificados. Estes riscos exigem um elevado grau de coordenação entre clientes, servidores e autoridades certificadoras, com mecanismos de validação cruzada e fallback devidamente testados.

Estes requisitos tornam essencial uma abordagem faseada, com extensiva validação de interoperabilidade e teste de compatibilidade retroativa.

> desafios_organizacionais

A complexidade da migração não se esgota nos aspetos técnicos. Implica também uma mudança organizacional e estratégica, para a qual muitas organizações não estão ainda preparadas.

A ausência de um inventário criptográfico fiável impede uma análise rigorosa da exposição a algoritmos vulneráveis. Em infraestruturas distribuídas, onde coexistem aplicações externas e componentes legacy, é comum a utilização de bibliotecas obsoletas ou não documentadas, o que torna difícil identificar pontos críticos e planear a substituição dos mecanismos existentes.

Paralelamente, a falta de competências internas em criptografia moderna limita a capacidade das organizações para tomar decisões informadas. A forte dependência de fornecedores e a escassez de especialistas com experiência prática em algoritmos pós-quânticos reduzem a margem de manobra e dificultam a supervisão técnica dos processos de migração.

Do ponto de vista da governação, a ausência de uma estrutura claramente definida agrava a dispersão de responsabilidades. Muitas organizações não possuem um responsável formalmente nomeado com autoridade sobre todas as áreas relevantes da transição, o que impede a definição de planos estruturados de resposta técnica, ensaio de rollback e o alinhamento eficaz entre as equipas de sistemas, redes, aplicações e cibersegurança.

Por fim, a entrada em aplicação da Diretiva (UE) 2022/2555 (SRI2), em articulação com o RGPD, vem reforçar as obrigações legais relativas à resiliência criptográfica, sobretudo nos contextos que envolvem dados pessoais ou comunicações sensíveis. A utilização continuada de algoritmos considerados inseguros, mesmo que ainda funcionais, pode vir a ser interpretada como uma forma de negligência técnica.

> recomendações

Perante o atual cenário de risco, impõe-se a adoção de um plano estruturado, faseado e adaptativo, sustentado em fundamentos técnicos e organizacionais sólidos, que garantam a continuidade operacional e assegurem a resiliência criptográfica a longo prazo.

O ponto de partida deve ser um inventário completo e rigoroso, que permita mapear, de forma exaustiva, todos os ativos criptográficos utilizados pela organização. Este levantamento deve incluir a natureza dos dados protegidos, distinguindo entre informação de natureza pessoal, sensível ou estratégica, avaliando a respetiva validade, sensibilidade e longevidade, bem como o grau de exposição a redes públicas, terceiros ou canais de comunicação externos.

Neste contexto, os mecanismos assimétricos surgem como os mais vulneráveis. A troca de chaves é particularmente crítica, uma vez que dados capturados hoje poderão ser decifrados retroativamente, caso as chaves envolvidas venham a ser comprometidas com recurso a capacidades quânticas. Recomenda-se a máxima prioridade na adoção de algoritmos resistentes que mitiguem o risco de compromissos futuros, especialmente em cenários com exigências de confidencialidade associadas a horizontes temporais prolongados.

Os certificados digitais e as assinaturas eletrónicas deverão ser alvo de substituição apenas na proximidade do denominado “Q-Day”, de forma a garantir continuidade operacional sem comprometer a fiabilidade da cadeia de confiança existente. Embora vulneráveis a ataques futuros, não podem ser comprometidos retroativamente. No entanto, os sistemas devem estar tecnicamente preparados para proceder à substituição imediata assim que tal se revele necessário.

No que respeita à criptografia simétrica, embora o impacto esperado seja mais restrito, não é negligenciável. A degradação da segurança será essencialmente quantitativa, com redução efetiva do esforço computacional requerido para comprometer os algoritmos. Isso obriga à reavaliação de margens de segurança utilizadas em ambientes que exigem confidencialidade de longo prazo ou proteção contra atacantes com acesso a recursos quânticos avançados.

As funções de dispersão criptográfica são, atualmente, consideradas menos vulneráveis do que outros mecanismos criptográficos. No entanto, também sofrem uma redução do seu nível de segurança, uma vez que é possível reduzir o esforço necessário à procura de pré-imagens e segundas pré-imagens. Assim, para manter um nível de segurança considerado adequado, recomenda-se a utilização de funções com saídas de, pelo menos, 256 bits. Devem no entanto, ser continuamente reavaliadas face aos avanços na computação, uma vez que melhorias nos métodos de análise ou descoberta de novas técnicas podem vir a comprometer a sua segurança.

A definição de uma estratégia de priorização baseada no risco é crucial, devendo esta assentar na criticidade operacional, no horizonte temporal da confidencialidade requerida e no grau de vulnerabilidade da criptografia utilizada. Sistemas que armazenem ou processem dados com valor residual elevado, com relevância superior a cinco ou dez anos, deverão ser tratados como prioritários, sobretudo em setores como o financeiro, saúde, defesa, administração pública e propriedade industrial, onde o risco de compromisso retroativo associado ao modelo store now, decrypt later se torna particularmente relevante.

Do ponto de vista técnico, o processo de transição deve iniciar-se com a adoção progressiva de esquemas híbridos que combinem mecanismos clássicos e pós-quânticos, introduzindo resiliência criptográfica futura sem comprometer a interoperabilidade com sistemas existentes. Esses esquemas devem incorporar mecanismos de fallback que suportem uma migração controlada e minimizem o impacto em ambientes operacionais com diferentes níveis de maturidade ou restrições técnicas. Este processo deve ser orientado por princípios de agilidade criptográfica, permitindo substituir, reforçar ou ajustar componentes criptográficos de forma célere sempre que tal se revele necessário face à evolução do risco ou da maturidade tecnológica.

Paralelamente, torna-se necessário atualizar bibliotecas criptográficas e adotar componentes com suporte nativo para algoritmos PQC. A escolha deve recair sobre projetos ativos, com manutenção regular, auditáveis, conformes com os standards emergentes do NIST, que sigam práticas de desenvolvimento seguras e garantam interoperabilidade com ecossistemas modernos. A resistência a ataques de canal lateral constitui um requisito essencial, sendo igualmente importante que a eficiência em contextos com restrições de recursos seja tida em consideração.

A componente humana deste esforço é igualmente crítica. Deve ser promovido um investimento sustentado na formação técnica e no reforço contínuo de competências. As iniciativas de capacitação devem abranger a modelação de ameaças quânticas, a análise de impacto organizacional, a implementação segura e verificação formal de primitivas criptográficas, assim como práticas avançadas de hardening, fuzzing e mitigação de canais laterais.

A governação da transição criptográfica exige ainda a constituição de uma estrutura técnica dedicada, com um responsável formalmente designado. Este deverá dispor de autoridade transversal sobre equipas de arquitetura, desenvolvimento e cibersegurança, bem como sobre fornecedores, parceiros de integração e entidades externas de auditoria ou consultoria no âmbito da migração.

É fundamental garantir mecanismos permanentes de monitorização e auditoria, a fim de detetar vulnerabilidades emergentes, assegurar a correta implementação dos novos mecanismos criptográficos e permitir uma adaptação contínua face à evolução dos riscos. A estratégia de controlo deve incluir capacidades de observabilidade criptográfica em tempo real, relatórios regulares sobre o progresso e a execução sistemática de testes de penetração com vetores de ataque inspirados em cenários de computação quântica.

Por fim, importa adotar medidas complementares que mitiguem o risco de compromissos retroativos. Sempre que estejam em causa dados sensíveis com um horizonte temporal de confidencialidade prolongado, deve evitar-se a sua transmissão por canais suscetíveis de intercetação, mesmo que cifrada com algoritmos atualmente considerados seguros.

No atual contexto de ameaça, e tendo em conta a possibilidade de compromissos futuros resultantes de estratégias de tipo store now, decrypt later, a proteção de longo prazo exige mais do que apenas criptografia robusta. Implica igualmente reduzir a exposição desnecessária desses dados em trânsito. Deve, sempre que possível, privilegiar-se o armazenamento local seguro, a utilização de canais dedicados ou controlados, bem como a aplicação de técnicas de fragmentação, encapsulamento ou retenção diferida.

> conclusão

A transição para criptografia resistente à computação quântica representa um passo inevitável na evolução da cibersegurança. Não se trata de uma opção, mas de uma necessidade estratégica.

A ameaça quântica é previsível, e os recursos para a enfrentar já estão disponíveis. Os algoritmos recentemente normalizados oferecem uma base segura para esta transformação. No entanto, a complexidade técnica, a escassez de competências especializadas e os riscos organizacionais, exigem uma abordagem técnica e organizacional cuidadosamente estruturada e sustentada em critérios de risco.

O melhor momento para iniciar esta transição foi no ano passado, com a publicação dos primeiros algoritmos normalizados pelo NIST. O segundo melhor é agora. Começar cedo é crucial. Adiar poderá implicar riscos operacionais e reputacionais elevados, bem como potenciais penalizações legais.

O sucesso da migração dependerá da capacidade de planear com rigor, executar com competência e adaptar-se continuamente a novas exigências técnicas e normativas. As organizações que encararem esta transição como uma oportunidade estratégica para reforçar a sua resiliência digital estarão melhor posicionadas para enfrentar os desafios das próximas décadas.

> status: pending
> exit 0