A criptografia pós-quântica está chegando. Aqui está o que sua organização precisa fazer antes de 2030
Em agosto de 2024, o NIST publicou seus primeiros padrões criptográficos pós-quânticos finalizados: ML-KEM (FIPS 203), ML-DSA (FIPS 204), SLH-DSA (FIPS 205) e FN-DSA (FIPS 206). O anúncio foi amplamente coberto. A resposta da maioria das organizações foi adicioná-lo a um roadmap de segurança futuro e seguir para prioridades mais imediatas.
Essa é a decisão errada, e a razão se resume a uma ameaça que não espera a migração ser concluída. Entender o risco real — e as etapas específicas necessárias para enfrentá-lo — é o que separa as organizações que gerenciarão bem essa transição daquelas que estarão desesperadas em 2029.
O modelo de ameaça: colher agora, descriptografar depois
O argumento padrão para urgência em torno da criptografia resistente a quânticos é: computadores quânticos criptograficamente relevantes ainda não existem, então por que se apressar? A resposta é o ataque "colher agora, descriptografar depois" (HNDL), e ele torna a linha do tempo do desenvolvimento de computadores quânticos amplamente irrelevante para as decisões de migração atuais.
Adversários estatais e organizações criminosas sofisticadas estão gravando tráfego criptografado hoje — sessões TLS, túneis VPN, transferências de arquivos criptografados — e armazenando para descriptografia assim que um computador quântico capaz de executar o algoritmo de Shor em escala existir. Os dados sendo criptografados hoje com RSA-2048 ou ECDSA P-256 incluem informações confidenciais de longa duração: registros médicos, transações financeiras, propriedade intelectual, comunicações classificadas. Se esses dados precisarem permanecer confidenciais por 10 a 20 anos, a pergunta relevante não é "quando os computadores quânticos quebrarão o RSA?" mas sim "é possível um computador quântico capaz dentro da janela de confidencialidade dos dados que estou criptografando hoje?"
A maioria das estimativas confiáveis coloca a computação quântica criptograficamente relevante (CRQC) a 8 a 15 anos de distância. As estimativas confiáveis mais pessimistas colocam em 5 a 7 anos. A colheita está ocorrendo agora. O relógio corre a partir do momento em que os dados são capturados, não a partir do momento em que um computador quântico é ligado.
Os quatro padrões NIST e para que servem
ML-KEM (FIPS 203) — baseado no algoritmo CRYSTALS-Kyber — é um Mecanismo de Encapsulamento de Chaves projetado para substituir RSA e ECDH na troca de chaves. Este é o padrão mais importante imediatamente para a maioria das organizações: a troca de chaves TLS 1.3, configuração de sessão VPN e protocolos de mensagens seguras dependem de mecanismos de troca de chaves que o ML-KEM substitui.
ML-DSA (FIPS 204) — baseado no CRYSTALS-Dilithium — é um algoritmo de assinatura digital substituindo RSA e ECDSA para assinatura. É relevante onde quer que a autenticação dependa de assinaturas: assinatura de código, emissão de certificados, assinatura de documentos, autenticação SSH.
SLH-DSA (FIPS 205) — baseado no SPHINCS+ — é um esquema de assinatura baseado em hash sem estado. É mais lento e produz assinaturas maiores que o ML-DSA, mas tem uma prova de segurança baseada unicamente na segurança da função hash, tornando-o um valioso algoritmo de backup se uma vulnerabilidade for encontrada em esquemas baseados em lattice. Recomendado para casos que exigem verificação de assinatura de longo prazo (anos a décadas).
FN-DSA (FIPS 206) — baseado no FALCON — é um esquema de assinatura com tamanhos de assinatura menores que o ML-DSA, útil em ambientes com largura de banda limitada. Requer implementação cuidadosa para evitar ataques de canal lateral, tornando-o uma prioridade menor para a maioria das organizações em comparação com ML-DSA.
A ordem de prioridade de migração para a maioria das organizações: ML-KEM primeiro (proteger troca de chaves em trânsito), depois ML-DSA (proteger autenticação), depois considerar SLH-DSA para assinaturas de longa duração. FN-DSA é para ambientes especializados.
O que CISA e NIST realmente exigiram
A Publicação Especial NIST 1800-38C (dezembro de 2024) fornece orientação de migração para TLS 1.3 e recomenda configurações híbridas específicas de troca de chaves: X25519MLKEM768 (ML-KEM-768 combinado com X25519) para implantação imediata. Modos híbridos executam troca de chaves clássica e pós-quântica simultaneamente — se um for seguro, a sessão é segura — permitindo que as organizações implantem PQC sem apostar tudo nos novos algoritmos antes que tenham mais tempo de campo.
A orientação da CISA de 2025 para agências civis federais estabeleceu dois marcos: concluir o inventário criptográfico até o final de 2026 e concluir a migração de sistemas prioritários até o final de 2030. "Sistemas prioritários" significa sistemas que lidam com informações classificadas, controle de infraestrutura crítica e sistemas que processam informações de identificação pessoal em escala.
Para o setor privado, essas não são exigências legais. Mas indústrias regulamentadas já veem os requisitos migrarem: reguladores de serviços financeiros da UE incorporaram a prontidão para PQC em seus padrões técnicos DORA 2026. A orientação HIPAA atualizada em 2025 faz referência aos padrões PQC do NIST para sistemas de saúde que lidam com registros de retenção prolongada. Os requisitos de aquisição estão à sua frente: se você fornece para agências federais, sistemas capazes de PQC serão um requisito contratual antes de 2028.
Por onde começar: o inventário criptográfico
O primeiro passo, e o mais subestimado, é saber qual criptografia você está executando atualmente. A maioria das organizações não tem uma imagem completa de onde RSA e ECDSA estão em uso em seus sistemas. O inventário é mais difícil do que parece porque primitivas criptográficas estão embutidas em bibliotecas de aplicativos, infraestrutura de rede, sistemas PKI, módulos de segurança de hardware e software de terceiros.
O processo de inventário deve produzir uma lista de: todos os certificados e seus algoritmos, todos os mecanismos de troca de chaves em uso (por protocolo e sistema), toda a infraestrutura de assinatura de código e documentos, todos os HSMs e seu suporte a algoritmos, e todos os fornecedores terceiros cujas capacidades criptográficas afetam sua postura de segurança.
Ferramentas que ajudam: o Centro Nacional de Cibersegurança do NIST publicou um projeto de migração PQC com ferramentas de código aberto. Fornecedores como Keyfactor, AppViewX e Venafi lançaram ferramentas de inventário de certificados com mapeamento de migração PQC. Ferramentas de varredura de rede como Qualys e Tenable adicionaram capacidades de detecção PQC. O ponto não é ter um inventário perfeito imediatamente — é ter um ponto de partida defensável.
O que é implantável hoje
Vários sistemas importantes já suportam troca de chaves pós-quântica em modo híbrido:
OpenSSH 9.0 (lançado em abril de 2022) usa sntrup761x25519 para troca de chaves por padrão. Embora isso seja anterior aos padrões finais do NIST e use um algoritmo diferente, demonstra o padrão: troca de chaves híbrida funciona em produção e já funciona há anos.
TLS 1.3 com X25519MLKEM768 é suportado no Chrome 131 (lançado em novembro de 2024), Firefox 132 e OpenSSL 3.5. Cloudflare habilitou troca de chaves híbrida PQC para todo o tráfego em setembro de 2024. Apple habilitou troca de chaves híbrida ML-KEM no iMessage em fevereiro de 2025 como parte do Protocolo PQ3, substituindo o esquema PQXDH lançado em 2024.
O ponto de partida prático para a maioria das organizações em 2026: habilitar X25519MLKEM768 em sua camada de terminação TLS (balanceadores de carga, gateways de API, configurações de CDN) e atualizar seu roadmap PKI interno para incluir capacidade de emissão de certificados ML-DSA até 2028. Nenhum desses requer heroísmos organizacionais — são mudanças de configuração e trabalho de planejamento PKI que podem começar imediatamente.
As organizações que terão dificuldades em 2029 são aquelas que tratam isso como um problema futuro. As que lidam bem estão fazendo inventário agora, implantando troca de chaves híbrida na borda e construindo requisitos de fornecedores que incluem PQC nos ciclos de aquisição a partir de hoje.