Quando a equipe entende que o risco quântico é real, o pêndulo costuma ir do "não é problema meu" direto para "vamos trocar tudo agora". Os dois extremos atrapalham. Migrar para criptografia pós-quântica é um projeto de engenharia com sequência, prioridade e cuidado, não um botão.
Com os padrões do NIST finalizados, há para onde migrar. ML-KEM cuida do estabelecimento de chave, ML-DSA cuida de assinatura digital, e SLH-DSA serve como assinatura de reserva com fundamento matemático diferente. Saber para onde ir é metade do caminho. A outra metade é fazê-lo sem quebrar o que funciona.
Este texto é o roteiro pragmático: por onde começar, como ordenar, o que cuidar na implementação e por que a transição passa por uma fase híbrida.
Comece pelo inventário, não pelo algoritmo
A pergunta "qual algoritmo eu adoto" é tentadora e prematura. Antes dela vem outra: "onde eu uso criptografia hoje". A maioria das organizações responde com silêncio, e esse silêncio é o maior risco do projeto.
Não dá para migrar o que você não enxerga. Antes de tocar em qualquer biblioteca, você precisa de um inventário criptográfico: onde estão chaves e certificados, quais bibliotecas e versões as aplicações usam, quais protocolos sustentam suas conexões, e quais fornecedores e integrações entram nessa cadeia.
Esse levantamento define o tamanho real do problema e revela as dependências escondidas, aquelas que ninguém documentou mas que param a produção se forem mexidas sem cuidado. Trato o inventário em profundidade em artigo específico da série, porque ele é o alicerce de tudo o que vem depois.
Sem inventário, qualquer plano de migração é chute. Com inventário, você sabe o que tem, o que é crítico e o que pode esperar.
Priorize por validade do dado e por exposição
Migrar tudo de uma vez é caro, arriscado e desnecessário. A sequência inteligente segue o risco, e o risco se concentra em dois eixos.
O primeiro eixo é a validade da confidencialidade. Dados que precisam permanecer secretos por muitos anos são os mais ameaçados pelo "harvest now, decrypt later", a captura de dados cifrados hoje para decifrar com computação quântica no futuro. Quanto mais longa a validade do segredo, mais cedo ele precisa de proteção pós-quântica.
O segundo eixo é a exposição. Fluxos que cruzam redes passíveis de captura, integrações externas e tudo que negocia chave pela internet sobem na fila, porque é ali que a colheita acontece. Sistemas internos, isolados e de baixo valor podem esperar.
Há também uma diferença de urgência entre os dois usos da criptografia. O estabelecimento de chave, território do ML-KEM, é prioridade máxima por causa do harvest now: o dado capturado hoje pode ser lido depois. Assinatura digital, território do ML-DSA, tem urgência diferente, porque uma assinatura forjada exige a máquina quântica existindo no momento da fraude, não antes. Isso não a torna ignorável, sobretudo para coisas com vida longa como certificados raiz e assinatura de firmware, mas ajuda a ordenar o esforço.
ML-KEM e ML-DSA: para que serve cada um
Vale fixar os papéis para não confundir na hora de planejar.
ML-KEM, o FIPS 203, é um mecanismo de encapsulamento de chave. Na prática, é o que estabelece a chave secreta compartilhada que protege uma conexão. É o substituto direto da troca de chaves que hoje depende de RSA e ECC, e por isso é o primeiro alvo da migração nos fluxos sensíveis.
ML-DSA, o FIPS 204, é assinatura digital. Garante autenticidade e integridade: que uma atualização de software veio de quem diz, que um certificado é legítimo, que um documento não foi alterado. Entra na migração de PKI, assinatura de código e processos de verificação.
SLH-DSA, o FIPS 205, também assina, mas se apoia em hash, com premissas distintas. É mais conservador e tende a gerar assinaturas maiores. Vale como reserva estratégica onde a longevidade extrema e a diversidade de fundamentos compensam o custo.
Note que esses algoritmos não vivem soltos. Eles chegam à sua operação por bibliotecas, bibliotecas de protocolo, provedores de nuvem e sistemas operacionais. Boa parte da sua migração será atualizar e configurar essas dependências à medida que elas incorporam os padrões, mais do que implementar criptografia na mão.
A abordagem híbrida durante a transição
Trocar abruptamente o algoritmo clássico pelo pós-quântico é arriscado, e a indústria convergiu para uma resposta mais sóbria: o modo híbrido.
Em uma troca de chave híbrida, você combina o algoritmo clássico, como ECC, com o pós-quântico, como ML-KEM, derivando a chave de sessão a partir dos dois. A conexão só é segura se ambos forem. Isso dá uma garantia importante durante a transição: você ganha proteção contra a ameaça quântica sem abrir mão da maturidade do algoritmo clássico.
A lógica é de prudência. Os algoritmos pós-quânticos são robustos no papel, mas têm muito menos quilometragem operacional que RSA e ECC. Se uma fragilidade de implementação ou um problema inesperado aparecer no componente pós-quântico, o componente clássico ainda segura a barra. E se a ameaça quântica se concretizar, o componente clássico cai, mas o pós-quântico mantém a proteção.
O custo do híbrido é real: chaves e handshakes maiores, mais processamento, ajuste de protocolos. Mas é o caminho que a maioria dos provedores sérios está trilhando, e adotá-lo coloca você em sintonia com o ecossistema em vez de na contramão dele.
Cuidados de implementação que separam o sério do apressado
Algoritmo aprovado não é sinônimo de implementação segura. É aqui que projetos bem-intencionados se machucam.
Não implemente criptografia pós-quântica por conta própria. Use bibliotecas maduras, auditadas e em manutenção ativa. Os parâmetros desses algoritmos são sensíveis, e detalhes de implementação, como vazamento por canais laterais, transformam um algoritmo forte em proteção furada. Isso é trabalho de especialista e de código revisado, não de improviso.
Planeje para os novos tamanhos. Chaves, assinaturas e mensagens de handshake pós-quânticos são maiores que os clássicos. Isso impacta tamanho de pacote, limites de protocolo, certificados, armazenamento e desempenho. Sistemas que assumiram tamanhos pequenos no design podem quebrar de formas sutis. Teste sob carga e em condições reais de rede.
Cuide do desempenho e da compatibilidade. Negociação de algoritmo entre clientes e servidores em estágios diferentes da migração precisa de planejamento, senão você derruba conexões legítimas. E garanta capacidade de reverter: se uma atualização pós-quântica causar problema em produção, você precisa de um caminho de volta seguro, o que nos leva ao tema da crypto-agility.
Acima de tudo, projete para trocar de novo. A criptografia pós-quântica vai evoluir, parâmetros serão ajustados, e você não quer repetir um projeto de anos a cada mudança. Quem isola a criptografia atrás de camadas bem definidas troca algoritmo com poucas alterações. Quem espalhou cifras pelo código vai sofrer.
Escolha um fluxo de alta sensibilidade e validade longa e faça dele seu piloto de migração híbrida com ML-KEM ainda neste semestre. Um piloto pequeno ensina mais sobre tamanhos, desempenho e compatibilidade do que qualquer planilha, e prepara o terreno para escalar com segurança.
Leia também
- Segurança Quantum-Safe: Por Que Vai Virar Obrigação, Não Hype
- Harvest Now, Decrypt Later: Seus Dados de Longa Validade Já Estão em Risco
- Inventário Criptográfico e Crypto-Agility: Você Não Migra o Que Não Sabe Que Tem
- Criptografia de dados para escalar: governança de chaves e operação
- Certificados e PKI Pós-Quânticos: O Que Gestores Públicos Devem Planejar Agora
- Criptografia Pós-Quântica: Preparando-se para Novas Ameaças