Um guia completo para criptografia e codificação resistente a quântica

Os computadores quânticos aplicam as propriedades da mecânica quântica ao poder de processamento. Isso permite que eles realizem cálculos altamente complexos de forma significativamente mais rápida do que os computadores clássicos.

Antes de entender a computação quântica, é preciso primeiro entender o "qubit". Na computação tradicional, a unidade básica de memória é um "bit", que representa um ou zero. Por outro lado, um qubit pode representar um, zero ou até mesmo uma combinação de ambos ao mesmo tempo – um fenômeno conhecido como "superposição".

Quando os computadores clássicos tentam resolver um problema com múltiplas variáveis, eles precisam realizar um novo cálculo sempre que uma variável muda. Como uma solução determinística, cada cálculo é um único caminho para um único resultado. Os computadores quânticos não estão limitados a um algoritmo e podem explorar vários caminhos simultaneamente.

Em resumo, essa capacidade significa que a computação quântica é exponencialmente mais rápida do que os recursos que temos atualmente.

A computação quântica trouxe uma grande mudança para a sociedade, impactando tudo, desde o setor automotivo até a química, a biologia e a física. Com um poder de processamento sem precedentes, os computadores da próxima geração terão um impacto tangível em vários setores importantes:

• Automotivo: Os computadores quânticos poderiam ser aplicados ao processo de fabricação, diminuindo os custos e reduzindo os tempos de ciclo por meio da otimização da produtividade.
• Finanças: No futuro, as instituições financeiras poderão aproveitar a tecnologia quântica para o gerenciamento avançado de portfólios e riscos.
• Inteligência Artificial: A combinação da computação quântica com um algoritmo de IA e aprendizagem profunda pode agilizar muito a análise de dados, reduzir os tempos de treinamento e otimizar as operações da cadeia de suprimentos.
• Produtos farmacêuticos: Os computadores quânticos têm o potencial de acelerar rapidamente a pesquisa e o desenvolvimento. Além disso, eles podem reduzir a dependência de tentativa e erro para melhorar consideravelmente a eficiência de P&D.

Os sistemas criptográficos atuais oferecem proteção mais do que suficiente até mesmo contra as ameaças mais persistentes à segurança cibernética. No entanto, nenhum deles está a salvo de ataques quânticos.

Felizmente, ainda não existe um computador quântico criptograficamente relevante porque não há nenhum sofisticado o suficiente para quebrar a criptografia de chave pública. No entanto, os criminosos cibernéticos já estão colhendo informações antecipadamente para quando esse dia chegar – uma estratégia conhecida como “Colher agora, descriptografar depois”.

As organizações com uma abundância de dados com valor de longa data (normalmente 25 anos) são particularmente suscetíveis à ameaça quântica. Por exemplo, infraestruturas essenciais, como finanças, saúde e governo, já começaram a fazer a transição para uma postura de segurança quântica segura.

Muitos esquemas criptográficos padrão são vulneráveis a ataques quânticos. Isso inclui:

• Advanced Encryption Standard (AES) 256: Necessária maior saída
• Secure Hash Algorithm (SHA) 256 e SHA-3: Necessária maior saída
• Rivest-Shamir-Adleman (criptografia RSA): Não é mais seguro
• Criptografia de curva elíptica (ECDSA e ECDH): Não é mais seguro
• Algoritmo de assinatura digital (DSA): Não é mais seguro

Tome medidas para proteger os dados da sua organização — hoje e no futuro — migrando para a criptografia pós-quântica. O processo pode levar anos, mas tem havido muita orientação ultimamente, inclusive do National Institute of Standards and Technology (NIST), que lançou o primeiro conjunto de padrões de criptografia pós-quântica.

A Entrust é membro participante da Internet Engineering Task Force (IETF) e participa do NIST NCCoE em seu Projeto de Migração PQC. Todas essas iniciativas aproveitarão os padrões PQ do NIST para criar recomendações de acompanhamento e padrões de criptografia resistentes à quântica para o mundo pós-quântico. É fundamental começar a planejar a substituição de hardware, software e serviços que usam algoritmos de chave pública agora, para que as informações estejam protegidas contra a futura ameaça quântica.

Os computadores quânticos foram amplamente relegados a laboratórios e universidades nacionais, mas várias marcas estão entrando na disputa e criando computadores quânticos comercialmente disponíveis, como a IBM, Microsoft, Google, AWS e Honeywell. Embora a tecnologia esteja em desenvolvimento, ela está pronta para avançar rapidamente. E a disponibilidade generalizada de computadores quânticos poderia aumentar o risco potencial da criptografia de chave pública.

De acordo com McKinsey, os principais participantes da produção de computadores quânticos, bem como um pequeno grupo de start-ups, em breve aumentarão o número de qubits que suas inovações podem suportar. Conforme demonstrado pela pesquisa no Relatório de Cronograma de Ameaças Quânticas de 2023 do Global Risk Institute, há cerca de 11% de chance de um computador quântico criptograficamente relevante ser desenvolvido nos próximos quatro anos e 31% de chance de ser desenvolvido em uma década.

A boa notícia é que os avanços na criptografia quântica segura têm o potencial de atenuar a ameaça iminente à criptografia de chave pública.

Conforme definido pela Caltech, a criptografia pós-quântica (PQC) tem como objetivo criar métodos de criptografia que não possam ser quebrados por um algoritmo quântico. Ele usa as leis da física quântica para transmitir dados privados de maneira indetectável. Esse processo é conhecido como distribuição de chaves quânticas.

Um algoritmo de PQC compara as medições feitas em ambas as extremidades de uma transmissão, permitindo que você saiba se a chave foi comprometida.

A agilidade da criptografia, ou agilidade criptográfica, é a capacidade de alterar, aprovar e revogar ativos criptográficos conforme necessário para responder às ameaças em desenvolvimento.

A agilidade criptográfica permite alterar os algoritmos criptográficos, combinar métodos de criptografia, aumentar o tamanho das chaves de criptografia e revogar certificados digitais, tudo isso sem um aumento significativo na segurança e na TI. Isso a torna um importante ponto de partida para qualquer organização em seu caminho para a segurança pós-quântica.

Existem algumas etapas simples que as empresas podem seguir para avaliar a maturidade de sua agilidade em criptografia.

1. Primeiro, identifique o algoritmo, os riscos de proteção de dados e os desafios pós-quânticos em suas operações comerciais. Sua organização usa alguma chave de criptografia atualmente considerada em risco?
2. Em seguida, mapeie seu plano de migração e estabeleça cronogramas para atingir determinados marcos. Uma migração bem-sucedida pode levar anos, portanto, certifique-se de adotar uma abordagem em fases, em vez de lidar com mais do que é capaz.
3. Por fim, analise sua governança em relação às práticas recomendadas de controle, conformidade e habilidades de preparação para testes e implementação de migração pós-quântica.

Depois de saber quais dados estão em risco, você pode desenvolver um plano detalhado para atenuar as possíveis ameaças. Ou usar o Entrust's Cryptographic Center of Excellence para obter recomendações práticas para remediar os riscos identificados nos sistemas de criptografia.

Alcançar a prontidão quântica não é uma tarefa fácil. Felizmente, há quatro medidas que você pode tomar hoje para garantir que sua jornada comece no caminho certo:

1. Faça um inventário de seus ativos e dados criptográficos e onde eles residem.
2. Priorize seus ativos mais valiosos e aqueles com maior prazo de validade. Primeiro, migre esses dados para a criptografia pós-quântica.
3. Teste algoritmos resistentes ao quantum em um conjunto de dados de protótipo antes do negócio real.
4. Planeje um roteiro para migrar para algoritmos de PQC com seus fornecedores.

Sua organização não precisa planejar a criptografia pós-quântica por conta própria. O Entrust's Cryptographic Center of Excellence (CryptoCoE) fornece as ferramentas e a orientação necessárias para inventariar e priorizar seus dados e ativos criptográficos e, ao mesmo tempo, colocar em ação um plano pós-quântico.