Criptografia Pós‑Quântica: como preparar sua estratégia de Identidade e Acesso para 2030 — antes que o tempo acabe

Depois de quase dez anos de pesquisas, em agosto de 2024 o NIST publicou os três primeiros padrões de criptografia resistentes a computadores quânticos (ML‑KEM para troca de chaves e ML‑DSA / SLH‑DSA para assinaturas digitais). Esses algoritmos substituem RSA e ECC nos cenários em que hoje protegemos senhas, tokens FIDO, certificados TLS e chaves de acesso a cofres PAM.

 

Em março de 2025, o NIST acrescentou o HQC como quinto algoritmo, criando uma reserva de segurança caso se descubra uma falha no ML‑KEM.

A ameaça “Harvest‑Now, Decrypt‑Later”

Agências de inteligência já admitem que atacantes interceptam dados criptografados hoje para quebrá‑los quando um computador quântico estiver disponível. Isso atinge diretamente credenciais privilegiadas guardadas em cofres PAM, segredos de API, certificados de serviço e qualquer token usado no fluxo de identidade.

O cronograma oficial

O documento NIST IR 8547 recomenda iniciar a transição em 2025 e ter um plano completo até 2030. Ele também orienta:

  • Eliminar algoritmos legados, como RSA‑2048 para TLS

  • Usar versões híbridas (tradicional + pós‑quântica) durante a transição

 

MarcoO que aconteceImpacto em IAM/PAM
2024Publicação dos 3 primeiros padrões PQCInício das PoCs em TLS interno
2025‑2026Algoritmos híbridos viram padrão em navegadores/appsSuporte dual (X25519 + ML‑KEM) em gateways Zero Trust
2027Padrão final para HQC + 6ª conferência PQCAuditorias exigem inventário de criptografia
2030Proibição de RSA/ECC nos EUA para novos sistemasMulticloud e IoT devem estar migrados

O que você vai ver neste post

Por que IDaaS é vantajoso para PMEs?

Tendências de adoção no mercado

  • Cloudflare: cifra ~2% das conexões TLS 1.3 com Kyber híbrido, com previsão de dois dígitos até o fim de 2024.

  • Google: habilitou PQC com NTRU‑HRSS em comunicações internas.

  • Relatórios de tendências destacam a criptografia resistente a quânticos como prioridade de 2025, junto de Zero Trust e IA.

Impacto direto no stack de Identidade

  • TLS em portais e APIs: ML‑KEM aumenta o handshake em ~1,5 KB — verifique suporte nos balanceadores de carga

  • Assinaturas de tokens (OIDC/JWT): SLH‑DSA gera assinaturas de ~17 KB — pode exigir tunagem

  • Credenciais privilegiadas (PAM): backups com AES‑GCM estão seguros, mas transporte da chave precisa mudar

  • Dispositivos FIDO2: FIDO Alliance já estuda suporte a algoritmos PQC

  • HSMs/TPMs: exija roadmap com suporte a ML‑KEM até 2026

Metodologia de migração em 5 etapas

EtapaAçãoFerramentas Sugeridas
1. InventariarMapear onde RSA/ECC são usados (TLS, S/MIME, SSH, etc.)OpenSSL, relatórios VaultOne
2. ClassificarPriorizar dados com vida útil > 5 anosMatriz LGPD + NIST
3. Provar conceitoHabilitar modo híbrido em ambientes de stagingOpenSSL 3.3, BoringSSL experimental
4. ImplantarAtualizar infra, ativar monitoramento de performanceVaultOne Connector com módulo PQC
5. RevisarAcompanhar novos standards e aplicar patchesRSS do NIST, blog da VaultOne

Desafios técnicos que ninguém conta

  • Performance: SLH‑DSA pode triplicar o tempo de verificação em IoT

  • Tamanho de pacotes: handshakes maiores afetam redes 4G/LTE e satélite

  • Compatibilidade: middleboxes TLS podem bloquear conexões com extensões novas

  • Gestão de chaves: rotação passa a exigir logs de algoritmo — é item de auditoria

Compliance e regulações globais

  • EUA: Memorando NSM‑10 exige plano de migração federal até 2035

  • Brasil: Bacen sinaliza alinhamento com NIST — Open Finance deve seguir PQC a partir de 2026

  • UE: Regulamento NIS2 exige “crypto‑agility” — empresas devem demonstrar troca rápida de algoritmos

Como a VaultOne está se preparando

  • TLS híbrido (X25519 + ML‑KEM) já disponível em beta para o cofre PAM e APIs

  • SDK com ML‑DSA previsto para Q4‑2025

  • Roadmap público:

    • Q3‑2025 — auditoria de agentes SSH/RDP com chaves Kyber

    • Q1‑2026 — backup criptografado com encapsulamento PQC

    • Q3‑2026 — suporte a FIDO2 com firmware PMS‑PQ

Próximos passos para seu time

  • Agende um workshop de descoberta de criptografia com a VaultOne

  • Inicie um piloto com TLS híbrido em dev‑sec‑ops

  • Inclua PQC no budget 2026: HSMs, certificados, licenças

  • Monitore o ecossistema: participe da PQC Standardization Conference (set/2025)

Conclusão

A criptografia pós‑quântica não é opcional. A ameaça já está em andamento — esperar é abrir espaço para violações futuras.

Começar em 2025 garante tempo para testes, ajustes e conformidade regulatória. E posiciona sua empresa como referência em confiança digital.

A VaultOne está pronta para te apoiar. Fale com nosso time e antecipe o futuro da segurança.

Lembre-se: a segurança da informação é um investimento vital para a sobrevivência e reputação de qualquer negócio, e o IDaaS representa uma maneira prática, escalável e acessível para fortalecer esse pilar nas PMEs.