BLOG

Aplicativos, redes e sistemas legados sob o olhar quântico: A visão de um CISO

Miniatura de Chuck Herrin
Chuck Herrin
Publicado em 06 de agosto de 2025

Computação quântica está chegando para transformar os sistemas criptográficos que protegem seus dados, comunicações e infraestrutura. Comece a se preparar agora. Nesta série de seis posts sobre criptografia pós-quântica (PQC), especialistas em criptografia da F5 explicarão o que está em risco, as oportunidades à frente e quais passos sua organização pode adotar hoje para garantir segurança em um mundo pós-quântico. O futuro está mais próximo do que você imagina. Vamos nos preparar juntos.

Como destacamos nas primeiras postagens desta série, a computação quântica capaz de quebrar a criptografia padrão atual — o chamado "Dia Q" — é uma questão de quando, não se. O prazo ainda é incerto, mas as consequências são imediatas, principalmente pelo risco de "capturar agora, decifrar depois": Adversários podem coletar dados criptografados hoje e decifrá-los quando a tecnologia quântica estiver disponível.

Muitas organizações precisam proteger dados sensíveis muito além dos prazos convencionais de planejamento de riscos. Embora novos padrões criptográficos pós-quânticos já tenham sido aprovados e alguns controladores de entrega de aplicações (ADCs) e redes de entrega de conteúdo (CDNs) ofereçam proteções híbridas, o desafio é imediato: A dívida técnica acumulada em sistemas legados exigirá atenção em breve, e a pressão de reguladores e partes interessadas aumenta.

O conselho do CISO: comece já e não subestime os aspectos de governança, risco e conformidade (GRC) envolvidos. Prepare-se para auditorias, fiscalização mais rigorosa e um novo ecossistema que validará a prontidão quântica já a partir de 2026. Você já enfrenta uma complexidade enorme ao avaliar fornecedores, especialmente para dispositivos antigos ou que não podem ser atualizados. Manter uma mensagem clara, com status e relatórios transparentes, será fundamental para sua organização nos próximos anos.

O futuro já começou

Embora muitos considerem os riscos quânticos uma questão para o futuro, a ratificação oficial dos padrões PQC inaugura uma nova era. A Gartner projeta que métodos criptográficos assimétricos amplamente usados poderão ser vulneráveis já em 2029 e completamente superados até 2034.*

Estamos mais perto de 2029 do que de 2020 — o que significa pouco tempo para um projeto de vários anos, especialmente se ele ainda não foi definido, priorizado, orçado ou aprovado. Como veremos, o impacto das tecnologias legadas e dos dispositivos não atualizáveis será maior do que muitos esperam.

Para CISOs, CTOs e CIOs, não se preparar proativamente para o PQC está se tornando um risco crítico para a resiliência dos negócios e, pior ainda, um risco que já identificamos há mais de uma década. Adiar essa ação pode deixar as organizações vulneráveis a invasões previsíveis, violações regulatórias, como o Regulamento Geral de Proteção de Dados (GDPR), e prejuízos à reputação. 

Não é hora de entrar em pânico, mas é o momento de agir com urgência e planejar de forma coordenada entre organizações e cadeias de suprimentos. Ao planejar para 2026, você deve investir estrategicamente e definir planos de ação concretos para PQC, requisitos essenciais para liderar a segurança com responsabilidade na era da IA e da computação quântica. 

Normas do NIST e exigências federais

Os EUA O Instituto Nacional de Padrões e Tecnologia (NIST) estabeleceu um caminho definido, finalizando algoritmos PQC como ML-KEM (FIPS 203) para troca de chaves, ML-DSA (FIPS 204) para assinaturas digitais e SLH-DSA (FIPS 205) para assinaturas alternativas. Esses padrões validados oferecem uma base técnica sólida, tirando o PQC do campo teórico para o prático. A recomendação do NIST é clara: com os padrões ratificados, é o momento de você implementar a primeira leva.

E como os computadores contra os quais precisamos nos defender ainda não foram construídos (até onde sabemos), esta é a PRIMEIRA migração para uma nova criptografia. Nosso objetivo não é uma atualização pontual, mas sim implementar “criptoagilidade” como uma capacidade central do seu time de TI e da cadeia de suprimentos, já que teremos que repetir esse processo conforme surgem novas ameaças quânticas. E vamos repetir. E repetir novamente.

Uma mudança arquitetônica fundamental, e não deixe o GRC de lado

Essa primeira implementação dos padrões PQC será, em grande parte, uma atualização de software. Porém, conquistar a criptoagilidade — a capacidade de atualizar rapidamente a criptografia conforme os padrões evoluem — demanda mudanças profundas no gerenciamento de ativos, governança e nas operações de TI. As equipes de GRC precisam se preparar para um escopo amplo que envolve inventário, controle de versões, testes de compatibilidade e registros de riscos.

Transições mal conduzidas elevam o risco de quedas, interrupções operacionais e falhas de conformidade, especialmente em ambientes híbridos, multinuvem e legados. 

Porém, a mudança quântica pode ser o catalisador que impulsiona uma transformação digital muito esperada e a aposentadoria do mainframe — desde que você encontre o talento adequado e a documentação legada.

Empresas que terceirizam funções críticas de TI, especialmente em sistemas legados, precisam começar a documentar e entender profundamente o funcionamento desses sistemas antigos. Muitos projetos enfrentam grandes estouros de custo e prazo por subestimar o esforço necessário.

O triângulo de ferro do gerenciamento de projetos será importante aqui, pois você pode enfrentar vários casos de negócio e formas de remediação, especialmente em empresas complexas que cresceram por meio de aquisições. 

Aplicações sob a lente quântica

PQC afeta diretamente as aplicações, e não apenas a infraestrutura. Adotar criptografia à prova de ataques quânticos vai além de trocar uma biblioteca — pode exigir revisões significativas no código em componentes criptográficos profundamente integrados. Considerando o esforço de vários anos, CISOs e líderes de GRC devem se preparar para resistências, queixas por recursos escassos, custos altos com consultorias que demandam habilidades especializadas, resistência interna e mudanças nos casos de negócio, frequentemente agravadas pela documentação limitada em sistemas legados. 

Agir cedo evita crises futuras e permite mudanças planejadas, menos disruptivas. A maioria das empresas ainda desconhece informações essenciais, e o gerenciamento dos stakeholders sobre esse tema será vital para o sucesso e a execução. 

Impactos reais da aplicação

Algoritmos PQC costumam exigir chaves maiores e mais processamento, o que pode afetar a latência e o desempenho do aplicativo, especialmente em tarefas sensíveis ao tempo.

Ao modernizar para suportar o PQC, você frequentemente descobre dívidas técnicas ocultas, o que pode gerar estouros no orçamento — mas isso garante resiliência e desempenho para o futuro.

Você deve saber que nem todos os sistemas podem ser atualizados e que essa não é uma tarefa única de "configurar e esquecer". Reforçamos para os envolvidos que a descoberta e adaptação constantes são o novo padrão, e essa transição trará desafios que surgirão com o tempo.

Transformação da infraestrutura: Redes, nuvem e computação de borda

O PQC transformará dispositivos de rede, servidores e serviços de nuvem—especialmente aqueles que gerenciam terminação e criptografia TLS. Embora muitos navegadores e servidores se adaptem, diversos sistemas legados precisarão ser atualizados ou substituídos devido ao aumento da demanda por largura de banda e capacidade de processamento.

Um insight estratégico para o planejamento de segurança é distinguir o impacto do PQC nos mecanismos de troca de chaves (KEMs) em comparação às assinaturas digitais em protocolos como o TLS. Sua prioridade mais urgente é implantar KEMs PQC (como ML-KEM) para enfrentar ameaças do tipo "capturar agora, descriptografar depois", protegendo dados de longa vida que os adversários já coletam.

Você pode implementar assinaturas digitais com um cronograma mais controlado e baseado em riscos, pois a falsificação só ocorre durante sessões ativas.

Módulos de segurança de hardware (HSMs)

Os HSMs são essenciais para gerenciar chaves criptográficas, mas enfrentam desafios no contexto da criptografia pós-quântica. As chaves maiores e as demandas de processamento mais intensas dos algoritmos seguros contra ataques quânticos podem superar a capacidade do hardware atual, que tem recursos limitados. Técnicas como a geração de chaves baseada em sementes aliviam o armazenamento, mas causam um aumento no processamento computacional. Atualizar para HSMs compatíveis com criptografia pós-quântica traz custo, complexidade e demora, mas é essencial para manter a integridade criptográfica.

A maior dificuldade: Dispositivos legados e com recursos limitados

O maior desafio do PQC está em sua aplicação na tecnologia operacional (OT), IoT e outros sistemas embarcados que não foram projetados para agilidade criptográfica. Esses dispositivos geralmente não possuem a memória, o armazenamento ou o poder computacional necessários para lidar com as chaves PQC maiores e o aumento nos requisitos de processamento. Vamos promover uma colaboração multifuncional entre segurança cibernética, infraestrutura e gerenciamento de dados, mesmo diante de prazos cada vez mais apertados. Você pode precisar implementar segmentação de rede nesses equipamentos para ganhar tempo até que a substituição ou atualização seja possível.

F5: Seu parceiro estratégico

A F5, com sua vasta experiência em entrega e segurança de aplicações, está numa posição única para apoiar organizações nessa transição. A Plataforma de Entrega e Segurança de Aplicações da F5 (ADSP) já oferece integração perfeita das soluções de prontidão para PQC, facilitando tanto a entrega quanto a segurança das aplicações em ambientes híbridos, multinuvem e legados.

Como a principal empresa de análise do setor EMA destacou recentemente em seu Vendor Vision 2025: Edição Black Hat: “A Plataforma de Entrega e Segurança de Aplicações (ADSP) da F5 vai além de uma ferramenta para proteger aplicações; oferece uma solução inovadora para proteger ativos essenciais contra ameaças emergentes, incluindo o desafio iminente da computação quântica... A integração antecipada e decisiva da F5 para a prontidão em criptografia pós-quântica (PQC) a destaca perante concorrentes ainda na fase experimental.”

As ferramentas unificadas da F5 para visibilidade, gerenciamento e avaliação de ameaças facilitam a coordenação de uma transição segura em termos quânticos, sem prejudicar a agilidade dos seus negócios. Como empresa proxy, atuamos como “seu intermediário” para ajudar sua organização a centralizar e automatizar as transições criptográficas na borda da rede e na porta de entrada da aplicação, enquanto fornecemos telemetria e insights alimentados por IA para gerenciar ameaças continuamente. Essa estratégia resolve o desafio de "trocar o motor de um avião durante o voo" ao separar a migração para criptografia pós-quântica dos ciclos principais do desenvolvimento das aplicações, reduzindo significativamente o esforço operacional imediato e o risco de falhas.

Aja agora: Guia de resiliência quântica para CISOs

A jornada do PQC é uma transformação que levará vários anos. Você, líder de segurança, deve esclarecer o desafio, ajustar expectativas e planejar prazos flexíveis diante de novas ameaças ou complicações legadas. Preparar-se proativamente transforma o mandato do PQC em uma oportunidade estratégica para finalmente enfrentar a dívida técnica acumulada, porque teremos que passar por isso novamente. Aproveite para conquistar visibilidade completa, modernizar operações e mostrar liderança clara em resiliência digital.

As organizações que vencem são as que tratam e comunicam o PQC como uma evolução contínua em toda a empresa, não como uma atualização isolada. Adote uma visão holística, espalhe a mensagem pela organização e cadeia de suprimentos, e invista na base desde já. Aproveite essa oportunidade para tornar sua organização mais segura, ágil e resiliente no futuro. Sua liderança nesta fase será determinante para a continuidade, conformidade e reputação da sua organização nos anos vindouros, e a F5 apoiará você em cada passo. 

Para aprofundar o tema, inscreva-se no nosso próximo webinar, “Garantindo o futuro da segurança cibernética: Dominando o PQC.” 

Confira também as publicações anteriores desta série em nosso blog:

Analisando o Exagero em Torno da Criptografia Pós-Quântica

Contextualizando: Por que o PQC faz diferença?

Entendendo os padrões e prazos do PQC

* Gartner, “Inicie a transição para a criptografia pós-quântica agora,” por Mark Horvath, 30 de setembro de 2024