Os 5 estágios da preparação para a chegada da criptografia pós-quântica
As organizações precisam se adaptar a essa transição, seguindo uma curva de adoção que passa por cinco estágios emocionais e operacionais
A computação quântica tem potencial para trazer avanços significativos para toda a sociedade, desde pesquisas médicas e descobertas de medicamentos até ciência dos materiais e modelagem climática. Assim como a IA, os avanços da tecnologia quântica representam uma mudança de patamar difícil para os humanos compreenderem.
No entanto, o risco que acompanha essa inovação é que a computação quântica pode quebrar a criptografia assimétrica que protege os sistemas digitais atuais – que incluem bancos, prontuários médicos e energia nuclear, além de dispositivos como equipamentos de saúde, veículos elétricos e satélites.
Para enfrentar esse desafio, a criptografia pós-quântica foi desenvolvida para proteger dados e infraestrutura críticos, permitindo que a confiança digital – base da tecnologia usada por consumidores e empresas diariamente – seja mantida na era quântica.
As organizações, porém, precisam fazer ajustes importantes para se adaptar a essa transição, seguindo uma curva de adoção tecnológica que passa por cinco estágios emocionais e operacionais.
1º ESTÁGIO: NEGAÇÃO
Muitas empresas não veem a computação quântica como uma ameaça concreta. Acreditam que ela ainda está distante décadas ou a consideram um assunto acadêmico irrelevante. A ideia de que a criptografia atual pode ser quebrada é frequentemente vista como alarmista.
Na nossa pesquisa, realizada com 1.042 profissionais de cibersegurança, apenas 5% afirmaram já ter alguma iniciativa de criptografia pós-quântica em prática. A maioria não avaliou os riscos relacionados ao avanço quântico ou acredita que poderá “lidar com isso depois”. Essas organizações ainda têm pouco entendimento sobre o assunto ou sobre sua relevância.
Mas desenvolvimentos recentes tornam o tema urgente. Em agosto de 2024, o Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) finalizou seus primeiros algoritmos de criptografia pós-quântica, após mais de uma década de preparação.
Logo depois, a consultoria Gartner fez um alerta direto: a criptografia clássica pode deixar de ser segura diante do avanço quântico já em 2029. Alguns governos exigem que setores regulados e fornecedores do setor público estejam preparados para a transição até 2030, devido à obsolescência iminente das tecnologias atuais de criptografia.
A percepção cresce de que a criptografia pós-quântica não é apenas desejável, é indispensável.
2º ESTÁGIO: NEGOCIAÇÃO
Muitas organizações reconhecem que a criptografia pós-quântica pode se tornar importante no futuro, mas não agora. Algumas entendem o risco, mas priorizam outras demandas, como avanços em IA, conformidade regulatória, migração para a nuvem ou melhorias em cibersegurança.
Há razões para essa procrastinação: equipes de TI costumam ter que lidar com projetos demais e recursos de menos. Além disso, muitos acabaram de atualizar seus protocolos de segurança de transporte ou renovar certificações e acreditam que podem esperar antes de agir. O problema é que o tempo é menor do que se imagina.
Também existe o risco de cronograma: uma atualização criptográfica corporativa, ampla e envolvendo múltiplos fornecedores, é longa e complexa. E o prazo de 2029 está logo ali, especialmente porque a migração não é simples e leva tempo.
As mudanças são profundas: chaves e certificados ficam maiores. Ao migrar da criptografia clássica para algoritmos pós-quânticos, chaves públicas podem ficar cinco vezes maiores, as privadas, três vezes maiores, e as assinaturas, oito vezes maiores.
Isso significa mais demanda de largura de banda, aumento no tempo de handshake TLS e mais exigências sobre a infraestrutura de rede. Dispositivos pequenos ligados à internet das coisas (IoT) podem não suportar esse aumento.
Além disso, softwares, hardwares e infraestrutura precisam ser atualizados, lidando com desafios de desempenho e interoperabilidade. Começar cedo é essencial para entender todo o impacto na infraestrutura da empresa.
3º ESTÁGIO: RAIVA
As organizações que iniciam a transição logo percebem que tudo é bem mais difícil do que esperavam.
Engenheiros de segurança, líderes de infraestrutura e equipes de desenvolvedores rapidamente ficam sobrecarregados com as complexidades da gestão de certificados, perdas de desempenho e mudanças estruturais impostas pela criptografia pós-quântica.
Não basta trocar um algoritmo pelo outro ou ajustar a tecnologia existente, é preciso repensar toda a arquitetura e fluxos criptográficos.
4º ESTÁGIO: DEPRESSÃO
Quando as realidades técnicas da migração se tornam claras, vem a frustração. Será necessário atualizar dezenas ou centenas de milhares de certificados.
Surge a dúvida interna: o tema é responsabilidade da TI, da segurança, do desenvolvimento de software ou da conformidade regulatória? Restrições de orçamento dificultam as ações necessárias. Fornecedores externos não estão preparados.
Há ainda a escolha entre migração exclusivamente para criptografia pós-quântica ou por uma abordagem híbrida. Esta última é adotada por algumas organizações, combinando algoritmos clássicos e pós-quânticos no mesmo certificado, garantindo maior compatibilidade com sistemas atuais.
Mas a abordagem híbrida exige duas migrações: do clássico para o híbrido, e do híbrido para o totalmente pós-quântico. Além disso, as chaves e certificados ficam ainda maiores, causando impactos adicionais na performance.
5º ESTÁGIO: ACEITAÇÃO
A aceitação finalmente chega quando as empresas deixam de agir reativamente e passam a enfrentar o problema de forma proativa:
- Criar um inventário de todos os ativos criptográficos, incluindo certificados, em toda a empresa
- Testar certificados pós-quânticos em ambientes não produtivos
- Fazer upgrade para TLS 1.3
- Consultar fornecedores externos
- Atualizar softwares e hardwares corporativos
Também será preciso descomissionar equipamentos e sistemas obsoletos.
As equipes devem avaliar compatibilidade e desempenho de infraestrutura, como endpoints TLS, balanceadores de carga, dispositivos IoT e capacidade de rede.
Todas as organizações passarão por desafios nessa jornada da negação até a aceitação. Mas agir agora coloca as empresas na vanguarda da segurança.
A criptografia pós-quântica é, acima de tudo, um investimento de longo prazo em resiliência, confiança e agilidade. Com a era quântica se aproximando rapidamente, o melhor momento para se preparar é agora.
