Desafios da criptografia pós-quântica para as organizações

No campo da tecnologia, a interação entre inovação e vulnerabilidades é constante e vertiginosa. O advento da computação quântica é mais uma prova disso, pois promete um poder de computação sem precedentes e uma nova ameaça à criptografia clássica. Com base nas recomendações iniciais feitas recentemente pelos principais órgãos de segurança e padronização dos EUA, esta postagem se aprofunda no campo da preparação quântica, examinando a necessidade de as organizações planejarem proativamente a migração para os padrões criptográficos pós-quânticos (PQC).

A questão quântica e a criptografia

No atual cenário tecnológico em rápida evolução, o campo da segurança cibernética enfrenta um desafio sem precedentes: o surgimento de recursos de computação quântica. No centro da revolução está o enigma dos "bits quânticos" ou cúbitos, que possuem a capacidade de existir em vários estados simultaneamente. Ao aproveitar essa superposição e o entrelaçamento quântico, os computadores quânticos têm o potencial de resolver problemas complexos em velocidades que podem revolucionar setores que vão desde a descoberta de medicamentos até a modelagem de sistemas complexos. Esses feitos representam um sério desafio para a criptografia clássica.

Os algoritmos e sistemas de chave pública atualmente empregados, como RSA, Elliptic Curve Diffie-Hellman (ECDH) e Elliptic Curve Digital Signature Algorithm (ECDSA), têm a peculiaridade de que sua força depende da "intratabilidade" dos problemas matemáticos. Por outro lado, os algoritmos quânticos, como o algoritmo de Shor,poderiam desarmar esses problemas com uma simplicidade desconcertante, deixando os dados criptografados com esses algoritmos vulneráveis. Essa ameaça força os paradigmas criptográficos a evoluírem para evitar uma possível crise digital.

Nos Estados Unidos, a Agência de Segurança Cibernética e de Infraestrutura (CISA), em colaboração com a Agência de Segurança Nacional (NSA) e o Instituto Nacional de Padrões e Tecnologia (NIST), reconhece a necessidade de as organizações, especialmente as que dão suporte à infraestrutura crítica, se prepararem para os possíveis impactos da computação quântica na segurança criptográfica.

Acionável para empresas

Em resposta à ameaça iminente, a comunidade criptográfica global embarcou em uma busca por soluções resistentes ao quantum, dando origem à criptografia pós-quântica. Para isso, os pesquisadores estão desenvolvendo algoritmos de criptografia que permanecem seguros mesmo na presença de adversários com enormes recursos computacionais. Esses algoritmos criptográficos pós-quânticos geram problemas matemáticos de maior complexidade para serem resolvidos, oferecendo garantias de segurança que transcendem o domínio quântico.

Embora a estrutura concreta para os padrões de PQC deva surgir por volta de 2024, as organizações são convidadas a iniciar as etapas preparatórias, com um plano proposto pelos órgãos mencionados acima, que inclui cinco áreas de trabalho, explicadas a seguir.

A preparação quântica não é um esforço solitário; ela exige uma abordagem multidisciplinar. As organizações devem montar equipes multifuncionais compostas por especialistas em criptografia, arquitetos de sistemas e especialistas em gerenciamento de riscos. Essas equipes podem criar um roteiro de prontidão que descreva o caminho para migrar para os padrões PQC. Esse roteiro geral servirá como um guia, orientando a organização durante a transição.

O núcleo desse roteiro está em uma compreensão completa dos sistemas criptográficos que atualmente sustentam a infraestrutura da organização, o que envolve uma avaliação dos algoritmos, protocolos e sistemas que são vulneráveis a ataques quânticos. Os especialistas em criptografia desempenham um papel fundamental na identificação dos pontos fracos e na proposta de alternativas resistentes a esses ataques. Depois que as áreas vulneráveis forem identificadas, a colaboração entre eles e os engenheiros de software será a etapa natural. A equipe deve trabalhar para pesquisar, desenvolver e testar algoritmos criptográficos pós-quânticos que possam substituir os métodos atuais. Uma análise e uma validação rigorosas garantirão a eficácia e a segurança desses novos algoritmos contra adversários clássicos e quânticos.

Paralelamente, arquitetos de sistemas e especialistas em gerenciamento de riscos trabalharão para integrar esses novos métodos criptográficos à infraestrutura, o que exige uma avaliação das implicações da implementação, garantindo que esses novos algoritmos se integrem aos sistemas existentes sem comprometer o desempenho. O plano também deve incluir marcos para a seleção, o projeto, a implementação, os testes e a implantação do algoritmo. Ele também deve abranger uma fase de monitoramento e atualização contínuos, reconhecendo que o cenário é dinâmico e em evolução, e deve ser flexível o suficiente para acomodar desafios e avanços imprevistos. Essa primeira etapa importante representa o esforço coletivo de diversas equipes em direção à meta de resiliência criptográfica, para um futuro não muito distante em que os ativos digitais permaneçam seguros, mesmo diante de ataques impulsionados por tecnologias quânticas.

A criação de um inventário de tecnologias quânticas vulneráveis está longe de ser um item de lista de verificação; é mais um movimento estratégico. Esse repositório criptográfico capacita a preparação em várias frentes. Primeiro, ele identifica as vulnerabilidades, permitindo que as organizações ganhem visibilidade e concentrem seus esforços no fortalecimento dos pontos fracos. Em segundo lugar, ele orienta a transição para uma arquitetura "Zero Trust", garantindo que os possíveis pontos de acesso sejam protegidos contra adversários. Em terceiro lugar, melhora a compreensão do acesso a dados externos, permitindo a adoção de medidas proativas para proteger esses pontos de entrada. Por fim, o inventário ajuda a prever possíveis alvos de dados, facilitando a adoção de medidas proativas.

As ferramentas de descoberta criptográfica são necessárias para identificar vulnerabilidades nas diferentes camadas da pilha de tecnologia, desde protocolos de rede até sistemas de usuários finais, e dependências no código-fonte. Vale a pena mencionar que as ferramentas de descoberta podem não ser capazes de identificar os elementos incorporados internamente nos produtos, o que dificulta o processo. Esse inventário criptográfico permite a avaliação estratégica de riscos e a alocação de recursos, e deve ser correlacionado com os inventários disponíveis de software e tecnologias existentes, como o inventário de ativos de informação, sistemas IAM (Identity, Credential, and Access Management), sistemas EDR (Endpoint Detection and Response) e assim por diante, para fornecer uma visão geral do estado da organização, reforçando a avaliação de riscos. A identificação das áreas em que os dados confidenciais correm maior risco informa as estratégias, enquanto a abordagem das vulnerabilidades em processos críticos melhora a resiliência. Por fim, a função do inventário se estende a informar diretamente as avaliações de risco, garantindo a adoção oportuna de padrões de criptografia pós-quântica (PQC).

Com base no exposto, fica claro que um plano e um roteiro bem desenvolvidos devem descrever como os fornecedores atuais da organização planejam migrar para as soluções de PQC, com tempo suficiente para testes dos algoritmos e sua integração aos produtos. Isso se aplica a produtos comerciais padrão, também chamados de COTS (commercial-off-the-shelf) para ambientes locais e baseados em nuvem. O ideal é que os fornecedores publiquem seu próprio roteiro de PQC, definindo seu compromisso com a implementação da criptografia pós-quântica. Por sua vez, os órgãos de padronização, os órgãos reguladores e as agências devem estimular as organizações a planejar proativamente as mudanças necessárias nos contratos atuais e futuros. As considerações devem ser levadas em conta para garantir que os novos produtos sejam entregues com a PQC incorporada e que os produtos mais antigos sejam atualizados com a PQC para cumprir os prazos de transição.

A resiliência quântica é um esforço coletivo que vai além das fronteiras organizacionais. O diálogo com os fornecedores de tecnologia promove um entendimento compartilhado das estratégias de preparação. As organizações devem se informar não apenas sobre os cronogramas, mas também sobre os mecanismos de integração dos fornecedores, e essa exploração é especialmente relevante para sistemas críticos e aplicativos legados.

A complicada rede de cadeias de suprimentos modernas amplia a ameaça. As organizações devem ser capazes de navegar nesse labirinto mapeando as dependências de criptomoedas quânticas vulneráveis em seus sistemas e entre seus parceiros e partes interessadas em toda a cadeia. A formação de parcerias colaborativas com fornecedores, especialmente para serviços baseados em nuvem, garante o alinhamento com os princípios de preparação. Isso requer a priorização de sistemas de alto impacto, sistemas de controle industrial (ICS) e sistemas com maior nível de necessidade de confidencialidade no longo prazo. Uma vez identificados os riscos dos elementos e componentes criptográficos, pode-se passar à identificação do risco para os dados ou funções que dependem dessas tecnologias.

Tudo isso pode gerar custos adicionais, que não foram levados em conta até o momento, mas que devem ser incluídos no gerenciamento de riscos, tanto técnicos quanto operacionais, e de todos os aspectos do negócio.

Conforme mencionado, a odisseia da preparação quântica se estende aos fornecedores de tecnologia, que desempenham um papel fundamental na proteção do cenário digital. Com o conhecimento adquirido com os padrões preliminares do PQC, os fornecedores podem recalibrar seus produtos para se adaptarem à realidade iminente. Essa abordagem proativa, aliada aos princípios de segurança por design, fortalece a esfera digital contra vulnerabilidades baseadas em quantum.

De fato, é um momento da história em que os fabricantes e fornecedores de tecnologia e serviços têm a oportunidade de se estabelecer como inovadores e impulsionadores de mudanças. Esse processo não é apenas um esforço técnico, mas incorpora um compromisso de fortalecer as defesas digitais contra novas ameaças. Embora o horizonte quântico seja caracterizado pela incerteza, o cronograma de ação é cada vez mais perceptível, e é melhor embarcar cedo do que tarde, pois o custo pode ser muito alto.

Conclusões

Na narrativa em evolução da era quântica, as organizações precisam estar à altura da ocasião e fortalecer sua proteção digital contra os desafios futuros. A criptografia resiliente da computação quântica surge como uma resposta em meio a um cenário de ameaças em rápida evolução. Ao seguir as etapas descritas, as empresas podem começar a criar defesas contra os adversários do futuro. Com a contagem regressiva para a apresentação dos padrões NIST PQC em andamento, as organizações são naturalmente convidadas a embarcar na jornada preparatória. Em uma era em que os limites entre os mundos clássico e quântico estão começando a se confundir, as empresas têm a oportunidade de fazer a diferença desde o início. O futuro está batendo à porta, e a necessidade de uma segurança cibernética preparada para enfrentar esses desafios está se tornando cada vez mais necessária a cada dia.