Criptografia Pós‑Quântica: como preparar sua estratégia de Identidade e Acesso para 2030 — antes que o tempo acabe
- Atualizado em
- Por Diandra Mansano
- Malwares, PAM - Gerenciamento de Acesso Privilegiado
Depois de quase dez anos de pesquisas, em agosto de 2024 o NIST publicou os três primeiros padrões de criptografia resistentes a computadores quânticos (ML‑KEM para troca de chaves e ML‑DSA / SLH‑DSA para assinaturas digitais). Esses algoritmos substituem RSA e ECC nos cenários em que hoje protegemos senhas, tokens FIDO, certificados TLS e chaves de acesso a cofres PAM.
Em março de 2025, o NIST acrescentou o HQC como quinto algoritmo, criando uma reserva de segurança caso se descubra uma falha no ML‑KEM.
A ameaça “Harvest‑Now, Decrypt‑Later”
Agências de inteligência já admitem que atacantes interceptam dados criptografados hoje para quebrá‑los quando um computador quântico estiver disponível. Isso atinge diretamente credenciais privilegiadas guardadas em cofres PAM, segredos de API, certificados de serviço e qualquer token usado no fluxo de identidade.
O cronograma oficial
O documento NIST IR 8547 recomenda iniciar a transição em 2025 e ter um plano completo até 2030. Ele também orienta:
Eliminar algoritmos legados, como RSA‑2048 para TLS
Usar versões híbridas (tradicional + pós‑quântica) durante a transição
| Marco | O que acontece | Impacto em IAM/PAM |
|---|---|---|
| 2024 | Publicação dos 3 primeiros padrões PQC | Início das PoCs em TLS interno |
| 2025‑2026 | Algoritmos híbridos viram padrão em navegadores/apps | Suporte dual (X25519 + ML‑KEM) em gateways Zero Trust |
| 2027 | Padrão final para HQC + 6ª conferência PQC | Auditorias exigem inventário de criptografia |
| 2030 | Proibição de RSA/ECC nos EUA para novos sistemas | Multicloud e IoT devem estar migrados |
O que você vai ver neste post
Por que IDaaS é vantajoso para PMEs?
Tendências de adoção no mercado
Cloudflare: cifra ~2% das conexões TLS 1.3 com Kyber híbrido, com previsão de dois dígitos até o fim de 2024.
Google: habilitou PQC com NTRU‑HRSS em comunicações internas.
Relatórios de tendências destacam a criptografia resistente a quânticos como prioridade de 2025, junto de Zero Trust e IA.
Impacto direto no stack de Identidade
TLS em portais e APIs: ML‑KEM aumenta o handshake em ~1,5 KB — verifique suporte nos balanceadores de carga
Assinaturas de tokens (OIDC/JWT): SLH‑DSA gera assinaturas de ~17 KB — pode exigir tunagem
Credenciais privilegiadas (PAM): backups com AES‑GCM estão seguros, mas transporte da chave precisa mudar
Dispositivos FIDO2: FIDO Alliance já estuda suporte a algoritmos PQC
HSMs/TPMs: exija roadmap com suporte a ML‑KEM até 2026
Metodologia de migração em 5 etapas
| Etapa | Ação | Ferramentas Sugeridas |
|---|---|---|
| 1. Inventariar | Mapear onde RSA/ECC são usados (TLS, S/MIME, SSH, etc.) | OpenSSL, relatórios VaultOne |
| 2. Classificar | Priorizar dados com vida útil > 5 anos | Matriz LGPD + NIST |
| 3. Provar conceito | Habilitar modo híbrido em ambientes de staging | OpenSSL 3.3, BoringSSL experimental |
| 4. Implantar | Atualizar infra, ativar monitoramento de performance | VaultOne Connector com módulo PQC |
| 5. Revisar | Acompanhar novos standards e aplicar patches | RSS do NIST, blog da VaultOne |
Desafios técnicos que ninguém conta
Performance: SLH‑DSA pode triplicar o tempo de verificação em IoT
Tamanho de pacotes: handshakes maiores afetam redes 4G/LTE e satélite
Compatibilidade: middleboxes TLS podem bloquear conexões com extensões novas
Gestão de chaves: rotação passa a exigir logs de algoritmo — é item de auditoria
Compliance e regulações globais
EUA: Memorando NSM‑10 exige plano de migração federal até 2035
Brasil: Bacen sinaliza alinhamento com NIST — Open Finance deve seguir PQC a partir de 2026
UE: Regulamento NIS2 exige “crypto‑agility” — empresas devem demonstrar troca rápida de algoritmos
Como a VaultOne está se preparando
TLS híbrido (X25519 + ML‑KEM) já disponível em beta para o cofre PAM e APIs
SDK com ML‑DSA previsto para Q4‑2025
Roadmap público:
Q3‑2025 — auditoria de agentes SSH/RDP com chaves Kyber
Q1‑2026 — backup criptografado com encapsulamento PQC
Q3‑2026 — suporte a FIDO2 com firmware PMS‑PQ
Próximos passos para seu time
Agende um workshop de descoberta de criptografia com a VaultOne
Inicie um piloto com TLS híbrido em dev‑sec‑ops
Inclua PQC no budget 2026: HSMs, certificados, licenças
Monitore o ecossistema: participe da PQC Standardization Conference (set/2025)
Conclusão
A criptografia pós‑quântica não é opcional. A ameaça já está em andamento — esperar é abrir espaço para violações futuras.
Começar em 2025 garante tempo para testes, ajustes e conformidade regulatória. E posiciona sua empresa como referência em confiança digital.
A VaultOne está pronta para te apoiar. Fale com nosso time e antecipe o futuro da segurança.
Lembre-se: a segurança da informação é um investimento vital para a sobrevivência e reputação de qualquer negócio, e o IDaaS representa uma maneira prática, escalável e acessível para fortalecer esse pilar nas PMEs.
