A criptografia pós-quântica deixou de ser um tema acadêmico e se tornou uma prioridade: com a chegada dos computadores quânticos, os métodos que protegem hoje as transações bancárias, comunicações corporativas e infraestruturas críticas estão com os dias contados. Neste artigo, você entende os fundamentos clássicos da criptografia, por que eles se tornarão vulneráveis e quais são os 3 novos pilares da segurança digital definidos pelo NIST.

O pilar da criptografia clássica: RSA, DH e ECC

A criptografia clássica, que domina a segurança digital desde os anos 1970, baseia-se em algoritmos de chave pública e privada sustentados por problemas matemáticos considerados difíceis de resolver para os computadores de hoje.

Os pilares matemáticos dessa era são a Teoria dos Números e a Álgebra Abstrata, especialmente o conceito de Corpos Finitos. Um corpo finito é um conjunto onde as operações aritméticas são bem definidas e limitadas. As operações dentro da Aritmética Modular são um bom exemplo disso.

No entanto, a vulnerabilidade não é de implementação, mas sim de fundamento.

Os principais algoritmos são:

RSA (Rivest-Shamir-Adleman)
Baseia-se na dificuldade da fatoração de grandes números inteiros. A segurança reside em descobrir os dois números primos (gigantes, por sinal) usados para gerar as chaves a partir do seu produto. É usado em assinaturas digitais e certificados.

Diffie-Hellman (DH)
Permite a troca segura de chaves. Baseia sua segurança no problema do logaritmo discreto em um corpo finito.

ECC (Criptografia de Curvas Elípticas)
Oferece a mesma segurança que RSA e DH, mas com tamanhos de chave muito menores (por exemplo, 256 bits para a mesma segurança que 2048 bits do RSA), tornando-a mais eficiente para dispositivos limitados. A segurança do ECC depende do problema do logaritmo discreto em curvas elípticas (ECDLP).

Abaixo, apresentamos uma tabela que diferencia os conceitos técnicos para facilitar a análise de risco e transição.

TABELA 1: Comparativo: criptografia clássica vs. pós-quântica

Característica	Criptografia clássica (Atual)	Criptografia pós-quântica (PQC)
Base matemática	Corpos Finitos / Aritmética Modular	Reticulados, Códigos de Correção de Erros, Hashes
Principais algoritmos	RSA, DH, ECC	ML-KEM (baseado em Kyber), ML-DSA (baseado em Dilithium), SLH-DSA (baseado em SPHINCS+), FN-DSA (baseado em Falcon)
Ameaça principal	Algoritmo de Shor (Computação Quântica)	Até agora, desconhecida
Estado de segurança	Vulnerável a curto prazo	Resistente a ataques quânticos

A segurança desses algoritmos (RSA, DH, ECC) depende da dificuldade de resolver esses problemas. A computação quântica, contudo, é capaz de derrubar essa dificuldade, exigindo uma transição urgente para soluções de segurança quântica que sejam resistentes à nova tecnologia.

A ameaça quântica e a busca por uma alternativa

Embora a criptografia clássica seja muito segura no contexto dos computadores convencionais, ela se torna vulnerável com a chegada dos computadores quânticos. O algoritmo de Shor, por exemplo, é capaz de resolver os problemas de fatoração de inteiros (que sustentam o RSA) e de logaritmo discreto (que sustentam o DH e o ECC)^[1] de forma extremamente rápida, quebrando a segurança desses sistemas.

Para entender a escala desse risco, vale consultar o programa oficial de criptografia pós-quântica do NIST, que coordena a padronização global dos novos algoritmos resistentes a ataques quânticos.

É aqui que entra a Criptografia Pós-Quântica (PQC).

O que é criptografia pós-quântica?

A criptografia pós-quântica é um conjunto de abordagens matemáticas que buscam garantir a segurança digital mesmo diante de ataques de computadores quânticos. O objetivo é encontrar novos problemas matemáticos que permaneçam difíceis de resolver, tanto para computadores clássicos quanto para os quânticos.

Como a PQC funciona: os 3 novos pilares

Enquanto a criptografia clássica usa problemas baseados em corpos finitos, a criptografia pós-quântica se baseia em três grandes categorias matemáticas que o NIST (National Institute of Standards and Technology) está selecionando e padronizando como algoritmos pós-quânticos NIST:

Reticulados (Lattices)

Esta é a abordagem mais promissora dos algoritmos pós-quânticos NIST, utilizando estruturas geométricas multidimensionais para construir problemas que são difíceis de resolver. Os algoritmos de destaque são:

ML-KEM
Originalmente chamado de Kyber, é um algoritmo de Encapsulamento de Chave (KEM), ideal para uso em criptografia de dados, VPNs e IoT. É amplamente adotado, e pode ser utilizado em cenários em que o algoritmo Diffie-Hellman e sua variante elíptica são usadas.

ML-DSA
Originalmente batizado como Dilithium, é um algoritmo de assinatura digital que oferece alta segurança e velocidade razoável em boas implementações.

FN-DSA
Concebido como Falcon, é outro algoritmo de assinatura digital baseado em reticulados, notável por gerar assinaturas compactas. No entanto, a execução desse algoritmo depende de números em ponto flutuante, o que pode limitar sua aplicação em ambientes mais restritos computacionalmente.

Códigos de correção de erros

Algoritmos como o HQC (Hamming Quasi-Cyclic) usam problemas de difícil decodificação em códigos lineares. Sua base matemática é distinta dos reticulados, garantindo diversidade algorítmica para maior resiliência no futuro. A desvantagem principal é o tamanho de chave significativamente maior que o Kyber.

Funções hash

Algoritmos como o SPHINCS+ são de assinatura digital e baseiam sua segurança puramente em funções hash robustas (como SHA-256). Embora gere assinaturas grandes e seja mais lento na verificação, ele é considerado um “plano B confiável” devido à sua segurança conservadora e auditável, baseada em suposições simples.

O caminho a seguir

A era da segurança quântica está chegando. Enquanto a dupla Kyber + Dilithium é a combinação recomendada para a maioria dos casos por oferecerem o melhor equilíbrio entre segurança, desempenho e viabilidade prática, a diversidade de abordagens (reticulados, códigos e hashes) garante que a segurança digital permaneça robusta, independentemente dos avanços futuros.

Contagem regressiva: seus sistemas estão prontos para Kyber e Dilithium?

A segurança digital que conhecemos foi construída sobre fundações sólidas, mas a tecnologia quântica está começando a abalar esses pilares. O debate sobre o futuro da segurança quântica está centrado na criptografia pós-quântica, a resposta global à ameaça iminente dos computadores quânticos.

É hora de avaliar: a base matemática dos seus sistemas atuais pode desmoronar? E como migrar para a nova era com os líderes do PQC, ML-KEM e ML-DSA?

O guia de migração: Kyber + Dilithium na prática

O par ML-KEM e ML-DSA oferece o melhor equilíbrio entre segurança, desempenho e viabilidade prática para a maioria dos casos de uso. Enquanto ML-KEM garante a Confidencialidade num esquema de acordo de chaves, Dilithium assegura a Autenticidade e a Integridade através de assinaturas digitais.

Etapas práticas para a transição segura

A migração para criptografia pós-quântica é um processo que deve começar imediatamente. O caminho mais seguro é o da Hibridização ou “Pilha Dupla”: usar um algoritmo PQC junto com o seu algoritmo clássico atual.

Inventário de ativos criptográficos

O primeiro passo é mapear onde RSA, DH ou ECC estão sendo usados. Identifique os pontos críticos que exigirão o Kyber e o Dilithium:

→Certificados Digitais (TLS/SSL).

→VPNs e Negociação de Chaves.

→Assinaturas de Código e Firmware.

→Infraestrutura de Chave Pública (PKI).

Hibridização (fase de curto prazo)

Implemente os protocolos de forma híbrida para mitigar riscos:

→Negociação de chaves híbrida: Durante a fase de negociação de chaves (ex: handshake TLS), o sistema utiliza tanto o algoritmo clássico (ECC DH, por exemplo) quanto ML-KEM.

→Chave combinada: A chave acordada final é uma combinação das chaves geradas pelos dois algoritmos. Isso significa que, se o algoritmo clássico se tornar vulnerável ao ataque quântico, a chave acordada ainda estará protegida pelo ML-KEM, e vice-versa.

Transição pura (fase de longo prazo)

Após testes rigorosos e a consolidação dos padrões, os sistemas devem desativar os algoritmos clássicos. Nessa fase de maturidade, transicione do modo híbrido para o uso puro: use ML-KEM somente para acordo de chaves e ML-DSA para casos onde assinaturas digitais são empregadas. Para um guia completo de implementação técnica, consulte também a página de recursos quânticos da CISA, agência americana de cibersegurança.

Perguntas frequentes sobre Criptografia Pós-Quântica (PQC)

1. Por que os sistemas atuais (RSA, ECC) deixarão de ser seguros? +

Os sistemas atuais baseiam sua segurança em problemas matemáticos, como a fatoração de números inteiros e o logaritmo discreto. O advento da computação quântica permite a execução do Algoritmo de Shor, que consegue resolver esses problemas de forma extremamente rápida, quebrando a proteção que hoje levaria milhares de anos para ser resolvida por computadores comuns.

2. O que diferencia a PQC da criptografia que usamos hoje? +

Enquanto a criptografia clássica utiliza aritmética modular em corpos finitos, a criptografia pós-quântica utiliza novas bases matemáticas, como estruturas geométricas multidimensionais chamadas Reticulados (Lattices), códigos de correção de erros e funções hash. O objetivo é garantir que o problema matemático seja difícil de resolver tanto para computadores clássicos quanto para os quânticos.

3. O que são ML-KEM e ML-DSA? +

Eles são os principais algoritmos pós-quânticos NIST recomendados para a transição:

→ML-KEM: Um algoritmo de Encapsulamento de Chave (KEM) focado em garantir um segredo compartilhado para garantir confidencialidade na troca de dados.

→ML-DSA: Um algoritmo de assinatura digital que garante a autenticidade e a integridade das informações.

4. Preciso trocar meus sistemas imediatamente? +

A migração é um processo complexo e deve começar pelo mapeamento de ativos criptográficos (inventário de onde RSA, DH e ECC são usados). A recomendação atual é a Hibridização, ou “Modo Duplo”, onde se utiliza um algoritmo clássico junto com um algoritmo de criptografia pós-quântica (como o Kyber) simultaneamente para mitigar riscos durante a fase de transição.

5. Quais as desvantagens dos novos algoritmos PQC? +

Embora ofereçam segurança quântica contra ataques, alguns algoritmos apresentam desafios práticos:

→Códigos de Correção de Erros (HQC): Possuem tamanhos de chave significativamente maiores que o ML-KEM.

→Funções Hash (SPHINCS+): Geram assinaturas grandes e possuem uma verificação mais lenta.

É hora de agir

Entender a vulnerabilidade dos sistemas atuais e planejar a migração é uma decisão estratégica. Os reticulados estão liderando a padronização dos algoritmos pós-quânticos NIST, e o par ML-KEM + ML-DSA é a dupla que garantirá a Confidencialidade, Integridade e Autenticidade da sua informação na era da segurança quântica.

^[1] Vale mencionar que, embora o ECC use chaves menores e seja mais eficiente hoje, ele é ironicamente mais fácil de quebrar por um computador quântico do que o RSA de chaves longas, devido à estrutura de grupo de pontos numa curva elíptica.

Criptografia Pós-Quântica: 3 algoritmos NIST que protegem sua empresa