Toda vez que aparece um tema novo de segurança, vem junto o ruído. Computação quântica sofreu disso por anos: promessa distante, slides de fornecedor, medo vendido como serviço. Entendo a desconfiança de quem lidera tecnologia, porque já vimos esse filme com várias siglas.
A diferença agora é concreta. Em agosto de 2024, o NIST finalizou os primeiros padrões de criptografia pós-quântica. Saiu do campo da especulação e entrou no campo dos padrões publicados, com prazos de governo associados. Quando isso acontece, deixa de ser hype e passa a ser planejamento.
Este texto é o ponto de partida da série. Quero deixar claro o que significa ser quantum-safe, por que o relógio já está correndo e o que um líder técnico precisa decidir antes que a decisão seja tomada por um auditor ou por um cliente.
O que significa "quantum-safe"
Quantum-safe (ou pós-quântico) descreve sistemas cuja criptografia resiste a ataques de um computador quântico relevante para criptografia. Não é uma tecnologia única, é uma propriedade que você quer nos seus sistemas.
O problema é específico. Boa parte da criptografia que protege a internet hoje depende de dois algoritmos de chave pública: RSA e criptografia de curva elíptica (ECC). Eles sustentam o cadeado do navegador, a troca de chaves em conexões seguras, assinaturas de software, certificados, autenticação. A segurança deles vem de problemas matemáticos que um computador clássico leva tempo impraticável para resolver.
Um computador quântico suficientemente capaz muda essa conta. Algoritmos quânticos conhecidos resolvem exatamente os problemas que sustentam RSA e ECC. Quando essa máquina existir em escala útil, a chave pública que protege seus dados deixa de proteger.
Repare no que isso não atinge. A criptografia simétrica, como AES, e funções de hash não caem da mesma forma. Elas sofrem um enfraquecimento que se compensa aumentando o tamanho da chave. O ponto crítico é a criptografia de chave pública, e é nela que os novos padrões se concentram.
Por que o relógio já está correndo
A objeção natural é: se o computador quântico ainda não existe nessa escala, por que me preocupar hoje? Porque a ameaça não espera a máquina ficar pronta.
Existe um ataque chamado "harvest now, decrypt later", colher agora e decifrar depois. O atacante não precisa quebrar nada hoje. Ele captura e armazena tráfego e dados criptografados agora, sabendo que poderá decifrar quando tiver capacidade quântica. Tudo que você transmite com proteção vulnerável é um depósito esperando para ser sacado.
Isso inverte a lógica de risco. A pergunta deixa de ser "quando o computador quântico chega" e vira "por quanto tempo meus dados precisam permanecer secretos". Prontuários, contratos, propriedade intelectual, dados de cidadãos, segredos de Estado: se a validade da confidencialidade ultrapassa o horizonte de chegada da computação quântica, o dado já está exposto. Esse mecanismo merece um artigo próprio, e vou tratá-lo em detalhe na sequência da série.
O que o NIST entregou em 2024
A finalização dos padrões pelo NIST é o marco que transforma o assunto em projeto. Três algoritmos saíram como padrões federais.
ML-KEM, publicado como FIPS 203, cuida de encapsulamento de chave, o mecanismo que estabelece uma chave secreta compartilhada em uma conexão. Era conhecido durante a competição como CRYSTALS-Kyber. É o substituto direto para a troca de chaves que hoje depende de RSA e ECC.
ML-DSA, publicado como FIPS 204, é o padrão de assinatura digital, usado para garantir autenticidade e integridade: certificados, atualizações de software, documentos assinados. Vinha de CRYSTALS-Dilithium.
SLH-DSA, publicado como FIPS 205, é uma assinatura baseada em hash, mais conservadora, pensada como alternativa de reserva por se apoiar em premissas matemáticas diferentes. Diversidade de fundamentos é uma defesa em si.
Ter padrões publicados importa porque destrava tudo o que vem depois: bibliotecas, certificações, exigências contratuais, auditorias. Fornecedor passa a poder se comprometer com algo concreto, e cliente passa a poder cobrar.
Os prazos que tornam isso inevitável
Padrão sem prazo vira intenção. E os prazos existem.
A NSA, pela diretriz CNSA 2.0, mira 2030 para que sistemas de segurança nacional adotem os algoritmos pós-quânticos. O NIST sinaliza a depreciação dos algoritmos vulneráveis até 2035. São referências de governo americano, mas a gravidade das datas conduz o mercado: fornecedores, certificações e órgãos reguladores tendem a se alinhar a elas.
Para quem lidera tecnologia no Brasil, essas datas não são folclore estrangeiro. Bibliotecas, sistemas operacionais, provedores de nuvem e fabricantes de hardware vão se mover por esse calendário. Quando um navegador passa a exigir algoritmos pós-quânticos, ou um provedor deprecia um conjunto de cifras, o efeito chega à sua infraestrutura sem pedir licença.
Some a isso a LGPD. A obrigação de proteger dados pessoais por medidas técnicas adequadas não congela no tempo. Se existe método conhecido para comprometer a proteção de dados de longa validade, manter algoritmos vulneráveis sem plano vira uma fragilidade difícil de justificar diante de um incidente.
O que muda na prática para quem lidera
A migração para criptografia pós-quântica não é trocar uma biblioteca numa sexta à noite. É um exercício de inventário e de arquitetura.
Primeiro, você precisa saber onde usa criptografia. A maioria das organizações não sabe. Chaves, certificados, bibliotecas, protocolos e dependências estão espalhados por aplicações, integrações e fornecedores, muitas vezes sem registro central. Não se migra o que não se enxerga, e esse inventário criptográfico é o pré-requisito de tudo.
Segundo, você quer crypto-agility: a capacidade de trocar o algoritmo criptográfico sem reescrever o sistema inteiro. Quem amarrou cifras no código vai sofrer. Quem isolou a criptografia atrás de camadas bem definidas troca com muito menos dor. Isso se projeta, não se improvisa.
Terceiro, há cuidado de implementação. Os algoritmos pós-quânticos são novos na prática operacional, têm tamanhos de chave e assinatura diferentes, e implementações apressadas introduzem suas próprias falhas. A abordagem sensata combina o algoritmo clássico com o pós-quântico em modo híbrido durante a transição, mantendo a proteção atual enquanto adiciona a nova.
Nada disso exige pânico. Exige começar pelo diagnóstico: descobrir quais dados têm validade longa, quais sistemas dependem de RSA e ECC, e quais fornecedores já têm um plano. O resto da série aprofunda cada uma dessas frentes.
Se você lidera tecnologia ou segurança, comece pelo inventário criptográfico antes do fim deste trimestre. Não é projeto de um sprint, e quem mapeia primeiro decide com calma em vez de reagir sob pressão de auditoria.
A referência primária para acompanhar os padrões e as orientações de transição é o projeto de criptografia pós-quântica do NIST, em https://csrc.nist.gov/projects/post-quantum-cryptography.
Leia também
- Como Migrar para Criptografia Pós-Quântica: ML-KEM, ML-DSA e Abordagem Híbrida
- Harvest Now, Decrypt Later: Seus Dados de Longa Validade Já Estão em Risco
- Inventário Criptográfico e Crypto-Agility: Você Não Migra o Que Não Sabe Que Tem
- Certificados e PKI Pós-Quânticos: O Que Gestores Públicos Devem Planejar Agora
- Criptografia de dados para escalar: governança de chaves e operação
- Criptografia de dados: como aplicar no dia a dia do desenvolvimento