Computação quântica está chegando para transformar os sistemas criptográficos que protegem seus dados, comunicações e infraestrutura. Comece a se preparar agora. Nesta série de seis posts sobre criptografia pós-quântica (PQC), especialistas em criptografia da F5 explicarão o que está em risco, as oportunidades à frente e quais passos sua organização pode adotar hoje para garantir segurança em um mundo pós-quântico. O futuro está mais próximo do que você imagina. Vamos nos preparar juntos.
Em 2015, a Agência de Segurança Nacional dos EUA (NSA) atrasou a transição da indústria da criptografia Rivest–Shamir–Adleman (RSA), amplamente usada, para a Criptografia de Curva Elíptica (ECC) ao recomendar que "para parceiros e fornecedores que ainda não adotaram os algoritmos de curva elíptica da Suite B, não façam um investimento significativo agora, mas se preparem para a próxima transição para algoritmos resistentes à computação quântica."
Desde então, surgiram diversas projeções e, sinceramente, especulações sobre quando exatamente um computador quântico capaz de quebrar RSA e ECC estará disponível, incluindo a afirmação de que há uma chance em sete de que a criptografia amplamente usada será quebrada até 2026 e 50% de probabilidade de que ela se torne inútil até 2031.
Mais recentemente, Satya Nadella, CEO da Microsoft, afirmou que um processador de um milhão de qubits está ao alcance. A Microsoft, assim como hiperescaladores como IBM, Google e AWS, lideram a pesquisa quântica e disponibilizaram áreas restritas em suas respectivas plataformas de nuvem. O F5 Labs, em seu artigo Previsões de Cibersegurança para 2025, destaca que, mesmo que a computação quântica capaz de quebrar criptografia diretamente não seja iminente, em 2025 veremos a IA sendo usada para quebrar a criptografia tradicional.
A criptografia pós-quântica afetará todos os setores e localidades.
O “Dia Q” está próximo. Ainda não sabemos exatamente quando. Embora essa não seja a primeira vez que o setor de segurança faz previsões, vemos um exemplo importante de líderes e órgãos reguladores buscando se antecipar aos eventos.
Em 2000, a Salesforce lançou a primeira API disponível publicamente. Em 2019, o Open Worldwide Application Security Project (OWASP) lançou seu primeiro projeto de segurança de API. Havia várias previsões que indicavam a chegada da Inteligência Artificial Geral (IAG) entre 2040 e 2070, mas o avanço acelerado da IA generativa, junto aos progressos na computação quântica, gera dúvidas sérias sobre essa previsão — provavelmente acontecerá muito antes.
Como mencionado no blog inicial desta série, a situação de “armazenar agora, decifrar depois” é real, e os EUA Instituto Nacional de Padrões e Tecnologia (NIST) já está publicando orientações sobre algoritmos resistentes ao pós-quântico.
O Q-Day afetará todas as áreas de segurança, incluindo aplicações web, APIs e ecossistemas de IA interconectados.
A computação quântica permitirá que atacantes direcionem de forma mais eficaz redes elétricas, financeiras, governamentais e de telecomunicações. Vários setores, como saúde e comércio eletrônico, precisam seguir normas para proteger informações confidenciais de clientes, implantando criptografia robusta.
As maiores organizações desses setores possuem mais de 30 milhões de ativos que precisarão ser atualizados para suportar a criptografia pós-quântica (PQC). Você e sua empresa estarão em risco assim que um computador quântico capaz de quebrar a criptografia atual surgir — especialmente se lidam com propriedade intelectual, registros de saúde, transações financeiras ou informações relacionadas à segurança nacional.
A pesquisa do F5 Labs indica que a maioria dos 1 milhão de principais sites prefere o TLS 1.3, o que lhes dá potencial para oferecer suporte ao PQC, mas o suporte cai rapidamente para os menos populares. O Safari ainda não oferece suporte ao PQC, o que distorce significativamente a análise da prontidão do lado do cliente. Embora o impacto vá muito além do tráfego da web, este é um indicador importante da prontidão do setor.
As indústrias avançaram no PQC, mas ainda estão atrás do necessário.
A realidade é que os setores que avançam mais rápido em várias áreas mal começaram a implementar suporte a PQC, deixando todo o ambiente online extremamente vulnerável. Especialmente instituições financeiras, organizações de saúde, provedores de telecomunicações e órgãos governamentais, que abrangem grande parte da infraestrutura crítica e lidam com dados confidenciais e secretos, apresentam baixa adoção de sites habilitados para PQC.
O setor bancário demonstra uma adesão surpreendentemente baixa ao PQC, com apenas 4 dos 145 bancos identificados (2,9%) oferecendo suporte a cifras pós-quânticas. Aproximadamente 8,5% dos sites de saúde e 7,1% dos governamentais entre os 1 milhão mais acessados suportam o PQC.
O setor de tecnologia está ligeiramente melhor, com quase 12% dos sites adotando PQC. Organizações menores tendem a optar por plataformas de hospedagem web ou SaaS, que oferecem todos os controles de segurança da plataforma, incluindo suporte a PQC.
A proliferação de APIs e o avanço da IA generativa estão dominando as notícias sobre segurança, mas a preparação para PQC precisa ganhar espaço nas reuniões da diretoria. Gerenciar riscos em um cenário geopolítico em evolução de forma isolada é uma receita certa para o fracasso. A liderança deve estar alinhada, já que PQC não é uma função exclusiva da área de segurança. Você vai precisar capacitar as equipes de aplicações, infraestrutura, segurança e gestão de riscos sobre os conceitos de PQC e as estratégias de migração. Principais stakeholders e pesquisadores devem acompanhar os padrões de PQC, tipos de ataques e melhorias de desempenho, usando as melhores práticas e laboratórios de testes.
A indústria terá um papel central e deve trabalhar em conjunto com universidades e fornecedores. Por exemplo, provedores de serviço com infraestrutura centralizada, Autoridades Certificadoras internas e laços estreitos com fornecedores estão preparados para lidar com o aumento da complexidade das chaves e assinaturas PQC maiores. Essas redes conseguem adotar rapidamente os novos algoritmos PQC e funcionam como um parâmetro para os que ficam para trás.
O inventário é essencial e requer abordagens manuais e automatizadas para avaliar e priorizar riscos. Foque principalmente em elementos tecnológicos que processam dados financeiros, reputacionais e dos clientes.
Mantemos o PQC atualizado com governança adequada, avaliação constante de novos algoritmos, avaliação de fornecedores, alinhamento às normas regulatórias e preparo dos programas de segurança.
A Plataforma de Entrega e Segurança de Aplicações F5 (ADSP) está preparada para PQC.
Conjuntos de cifras híbridas que unem algoritmos clássicos e pós-quânticos garantem proteção contra adversários clássicos e quânticos. Organizações que entregam e protegem aplicações por meio de CDN, SaaS ou plataforma de controlador de entrega de aplicações (ADC) com cifras e padrões atualizados estarão preparadas para o Q-Day. Outras organizações precisam avaliar rapidamente sua exposição e definir uma estratégia eficaz de preparo.
Adotar o PQC não é uma decisão simples e direta, mas sim uma transição gradual que depende da tecnologia, desempenho, interoperabilidade e das necessidades específicas de cada setor e seus casos de uso.
Plataformas convergentes oferecem a entrega segura de aplicativos, APIs e cargas de trabalho de IA em qualquer ambiente, com suporte robusto a PQC e recursos poderosos de XOps que reduzem o esforço operacional por meio de IA, automação inteligente, análise e programabilidade.
Para saber mais, confira as soluções da F5 para prontidão em PQC.
Fique atento à próxima postagem da nossa série, onde vamos detalhar os padrões e cronogramas do PQC.