Após anos de pesquisa e desenvolvimento, em agosto de 2023, o Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) apresentou os primeiros padrões oficiais de criptografia pós-quântica: FIPS 203, FIPS 204 e FIPS 205. Neste texto, exploraremos esses padrões e discutiremos a importância de sua adoção rápida.
A necessidade de criptografia pós-quântica
A computação quântica traz uma ameaça real à criptografia assimétrica, um dos pilares da segurança digital moderna. A criptografia tradicional geralmente utiliza dois tipos de algoritmos: os simétricos, como o AES, para proteger as mensagens, e os assimétricos, como RSA e ECDH, para transmitir as chaves de criptografia de maneira segura. Embora os algoritmos simétricos sejam rápidos e eficientes, o processo de troca de chaves via criptografia assimétrica é vulnerável.
Com o advento dos computadores quânticos, algoritmos como o de Shor poderiam quebrar chaves privadas com muito mais rapidez do que se pensava anteriormente — transformando processos que levariam anos em minutos ou horas. Isso coloca em risco a segurança de todas as comunicações, assim como as assinaturas digitais, que também utilizam algoritmos assimétricos.
Por outro lado, os algoritmos de criptografia simétrica, como o AES, são menos suscetíveis aos ataques quânticos imediatos. Um computador quântico pode encontrar uma chave AES de 256 bits com o esforço de encontrar uma chave de 128 bits em um sistema tradicional.
FIPS 203, FIPS 204 e FIPS 205: Os novos padrões de criptografia pós-quântica
Para mitigar os riscos trazidos pela computação quântica, os criptógrafos focaram no desenvolvimento de algoritmos assimétricos à prova de ataques quânticos. O resultado foi a criação de três novos padrões, agora oficializados pelo NIST:
- FIPS 203: Um sistema de encapsulamento de chaves baseado em redes algébricas, também chamado de ML-KEM ou CRYSTALS-Kyber, resistente a ataques quânticos. Ele vem com três níveis de segurança, que correspondem à força de AES-128, AES-192 e AES-256.
- FIPS 204: Um algoritmo de assinatura digital chamado ML-DSA (anteriormente CRYSTALS-Dilithium), também baseado em redes algébricas. Ele apresenta três variantes, oferecendo diferentes níveis de segurança, indo do equivalente a SHA3-256 até o mais alto grau de proteção.
- FIPS 205: Um método alternativo de assinatura digital, o SLH-DSA (também conhecido como SPHINCS+), que utiliza funções de hash como SHA2 e SHAKE. Este padrão oferece várias configurações otimizadas para velocidade ou tamanho de assinatura, com até 12 combinações de parâmetros.
A urgência de adotar a criptografia pós-quântica
Embora os computadores quânticos ainda não sejam capazes de quebrar a criptografia assimétrica amplamente utilizada, estudos recentes indicam que isso pode mudar em breve. Novas abordagens que combinam computação quântica com clássica podem reduzir significativamente o tempo necessário para quebrar algoritmos como o RSA-2048, o que poderá ocorrer em alguns anos.
Além disso, o conceito de “colher agora, descriptografar depois” (HNDL) é uma preocupação crescente. Atacantes podem estar armazenando grandes volumes de dados criptografados agora, à espera do momento em que a tecnologia quântica avançada esteja disponível para quebrar esses sistemas.
Para mitigar esse risco, uma solução eficaz é a criptografia híbrida, que combina algoritmos de criptografia clássicos e pós-quânticos. Isso dificulta significativamente os ataques, uma vez que os invasores precisariam quebrar dois tipos de sistemas diferentes. Empresas como Signal, Apple, Google e Zoom já estão implementando essa abordagem para aumentar a segurança de suas comunicações.
