Por Krishna Narayanaswamy, CTO da Netskope
À medida que a computação quântica avança da teoria para a prática, uma das maiores ameaças de longo prazo à segurança corporativa se aproxima cada vez mais da nossa realidade. Até então, as técnicas de criptografia padrão protegem os usuários e empresas, mas, agora, há uma necessidade urgente de desenvolver algoritmos e implementações de criptografia capazes de resistir a um ataque quântico.
No coração dos sistemas atuais de criptografia estão problemas matemáticos que os computadores clássicos têm dificuldade para resolver em prazos curtos. Os sistemas de criptografia dividem-se em duas categorias: algoritmos de criptografia simétricos, como o Advanced Encryption Standard (AES) 256, e algoritmos assimétricos, como Rivest-Shamir-Adleman (RSA), Diffie-Hellman e criptografia de curva elíptica (ECC). Embora algoritmos simétricos possam manter sua eficácia pós-quântica, um computador quântico suficientemente poderoso poderia resolver algoritmos assimétricos em horas, ao invés de décadas, tornando obsoletos muitos esquemas atuais de criptografia.
Embora o uso generalizado de computadores quânticos ainda possa estar a vários anos de distância da nossa realidade, a ameaça aos nossos dados é muito real hoje. Toda vez que os criminosos extraem dados criptografados, você deve presumir que estão coletando seus ativos com a intenção de descriptografá-los assim que os recursos quânticos amadurecerem, uma tática conhecida como “colher agora, descriptografar depois” (HNDL, sigla da expressão original harvest now, decrypt later).
Isso significa que os líderes de segurança devem buscar hoje a substituição da criptografia tradicional vulnerável em sua infraestrutura digital e iniciar uma transição para a criptografia pós-quântica (CPQ), que possa resistir a ataques quânticos. A instrução dos reguladores e agências de segurança cibernética é clara: a mudança para a criptografia resiliente à computação quântica precisa começar agora.
Leia também: Tudo que se move será automatizado, acredita Nvidia
Identificando camadas críticas de criptografia Cada CTO, CIO e CISO precisará avaliar coletivamente a infraestrutura digital para entender os locais e processos em que a criptografia vulnerável é usada. Ao considerar a mudança para a CPQ, o foco deve ser nos dados que residem ou trafegam fora dos limites da sua empresa. Para dados que residem e se movem dentro de uma rede confiável, outras camadas de defesa mais tradicionais, como controle de acesso, serão essenciais para lidar com a ameaça HNDL.
Identifico hoje cinco camadas críticas de criptografia que requerem ação. Essas não são exclusivas da minha realidade quanto profissional, e processos como inicialização segura, handshakes de autenticação e criptografia TLS (Transport Layer Security) são comuns em uma infinidade de aplicações da web e da nuvem.
Portanto, considere os exemplos que destaco e reflita sobre onde, dentro da estrutura de tecnologia da sua empresa, há casos semelhantes que precisarão ser abordados.
1. Criptografia de dados em trânsito de serviço para serviço
Dentro da arquitetura típica de nuvem, vários microsserviços se comunicam constantemente. Essas interações são criptografadas hoje usando métodos tradicionais, mas precisarão ser atualizadas para algoritmos de CPQ para garantir que esses canais permaneçam seguros em um mundo pós-quântico.
2. Criptografia TLS para inspeção de tráfego web e de aplicações
Como função central de qualquer conjunto de segurança em nuvem, inspecionar o tráfego criptografado da web e de aplicações para aplicar políticas e prevenir ameaças é fundamental. Esse processo de descriptografia e recriptografia TLS precisará ser aprimorado com mecanismos de troca de chave pós-quântica para evitar riscos de interceptação.
3. Autenticação e troca de chaves do cliente para a nuvem
Quando um usuário se conecta a uma plataforma em nuvem, os handshakes de criptografia e autenticação protegem seus dados e identidade. Essa camada de conexão precisará ser reformulada com CPQ para garantir a integridade da geração e autenticação seguras de chaves.
4. Proteção interna de metadados
Mesmo quando os dados são criptografados, metadados como informações de roteamento ou logs de acesso podem revelar insights críticos. Precisamos aplicar proteções pós-quânticas à criptografia interna de metadados para evitar que essas informações se tornem uma responsabilidade de segurança.
5. Criptografia de dados de configuração e política do cliente
Finalmente, arquivos de configuração específicos do cliente, políticas de segurança e dados armazenados precisarão ser protegidos com criptografia quântica segura para evitar exposição de dados a longo prazo.
Conformidade com padrões e cronogramas
Um ponto central para a implementação da CPQ é a adesão aos novos padrões criptográficos do NIST, emitidos em agosto de 2024, desenvolvidos em colaboração por acadêmicos, agências governamentais e empresas de tecnologia de ponta. Dos quatro novos algoritmos, três são para assinaturas digitais e um é para encapsulamento de chaves (CRYSTALS-Kyber, renomeado ML-KEM). O ML-KEM 768, especificamente, será vital para o elemento de troca de chaves do protocolo de estabelecimento de conexão TLS, com base em seu desempenho, perfil de segurança e interoperabilidade.
Os líderes de segurança devem trabalhar para garantir que tenham um entendimento sólido dos prazos regulatórios emergentes, bem como dos detalhes de responsabilidades. Ou seja, o fornecedor de segurança em nuvem, por exemplo tem a enorme responsabilidade de garantir que seu produto mantenha uma criptografia robusta. As empresas devem confiar em seus fornecedores e garantir que eles comuniquem seus planos, com cronogramas, além de obter insights úteis sobre onde mais, dentro da estrutura mais ampla de segurança, pode haver necessidade de mudanças lideradas por outros fornecedores ou pela própria empresa.
Implementação e testes
Vale ressaltar que os novos algoritmos de CPQ não são uma troca equivalente. Eles têm requisitos de desempenho diferentes – impactando os recursos de energia e memória de forma diferente. Dessa forma, as empresas precisarão realizar testes completos em um ambiente sandbox para evitar interrupções nas operações comerciais.
Por exemplo, a incorporação de hardware habilitado para CPQ em uma pilha de data center gera novas demandas de energia e desempenho. Isso exige um ajuste nos recursos à medida que você dimensionar esse novo apetite para atender ao nível necessário para dar suporte às novas ferramentas de IA. Fornecedores de aplicações e serviços devem trabalhar da mesma forma, oferecendo uma implementação controlada que forneça funcionalidade completa usando criptografia com suporte de CPQ. Isso permite que os CISOs e as equipes de segurança validem a compatibilidade, o desempenho e a eficácia em cenários do mundo real.
Uma vantagem estratégica
Em um cenário onde as ameaças à segurança cibernética evoluem rapidamente e as disrupções tecnológicas se aproximam, a preparação quântica será uma vantagem competitiva no curto prazo e um imperativo estratégico no longo prazo.
Isso fica evidente à medida que as empresas investem pesado na construção da infraestrutura de dados para dar suporte à adoção de tecnologias de IA. Qualquer iniciativa para integrar a CPQ hoje sinaliza sofisticação técnica e profundo entendimento da mudança de paradigma de segurança e da ameaça a uma commodity global crítica: os dados.
Para empresas que buscam liderar em um mundo com foco em IA, levar o risco quântico a sério e se unir a parceiros que façam o mesmo será crucial.
Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!
