Os computadores quânticos estão emergindo da fase de pesquisa pura e se tornando ferramentas úteis. Eles são usados em todos os setores e organizações para explorar as fronteiras dos desafios em saúde e ciências biológicas, física de alta energia, desenvolvimento de materiais, otimização e sustentabilidade. No entanto, à medida que os computadores quânticos escalam, eles também serão capazes de resolver certos problemas matemáticos difíceis nos quais a criptografia de chave pública de hoje depende. Um futuro computador quântico criptograficamente relevante (CRQC) pode quebrar algoritmos de criptografia assimétrica usados globalmente que atualmente ajudam a garantir a confidencialidade e integridade dos dados e a autenticidade do acesso aos sistemas.
Os riscos impostos por um CRQC são de longo alcance: possíveis violações de dados, interrupções de infraestrutura digital e até mesmo manipulação global em larga escala. Esses futuros computadores quânticos estarão entre os maiores riscos para a economia digital e representam um risco cibernético significativo para as empresas.
Já existe um risco ativo hoje. Os cibercriminosos estão coletando dados criptografados hoje com o objetivo de descriptografar esses dados mais tarde, quando um CRQC estiver à disposição deles, uma ameaça conhecida como “colher agora, descriptografar depois”. Se eles tiverem acesso a um CRQC, eles podem descriptografar os dados retroativamente, obtendo acesso não autorizado a informações altamente confidenciais.
Criptografia pós-quântica para o resgate
Felizmente, algoritmos de criptografia pós-quântica (PQC) , capazes de proteger os sistemas e dados atuais, foram padronizados. O National Institute of Standards and Technology (NIST) lançou recentemente o primeiro conjunto de três padrões:
• ML-KEM: um mecanismo de encapsulamento de chaves selecionado para criptografia geral, como para acessar sites seguros
• ML-DSA: um algoritmo baseado em rede escolhido para protocolos de assinatura digital de uso geral
• SLH-DSA: um esquema de assinatura digital baseado em hash sem estado
Dois dos padrões (ML-KEM e ML-DSA) foram desenvolvidos pela IBM com colaboradores externos, e o terceiro (SLH-DSA) foi desenvolvido em conjunto por um cientista que se juntou à IBM.
Esses algoritmos serão adotados por governos e indústrias ao redor do mundo como parte de protocolos de segurança como “Transport Layer Security” (TLS) e muitos outros.
A boa notícia é que esses algoritmos estão à nossa disposição para proteger contra o risco quântico. A má notícia é que as empresas devem migrar seus patrimônios para adotar esses novos padrões PQC.
Programas anteriores de migração de algoritmos de criptografia levaram anos para serem concluídos. Pergunte a si mesmo como uma organização: quanto tempo durou seu programa de migração de SHA1 para SHA2? E quanto ao seu programa de atualização de infraestrutura de chave pública (PKI) onde você aumentou o tamanho da chave da cadeia de confiança PKI de chaves de 1024 bits para chaves de 2048 bits ou chaves de 3072 bits ou chaves de 4096 bits? Quanto tempo levou tudo isso para ser implementado em seu ambiente empresarial complexo? Vários anos?
O impacto da computação quântica e da implementação dos padrões PQC é vasto, cobrindo um patrimônio abrangente da sua organização. O risco da computação quântica afeta muito mais sistemas, ferramentas e serviços de segurança, aplicativos e infraestrutura de rede. Sua organização precisa fazer a transição imediata para os padrões PQC para proteger seus ativos e dados.
Comece a adotar criptografia quântica segura hoje mesmo:
Para proteger sua organização contra riscos de “colheita agora, descriptografia depois”, aconselhamos que você execute um programa de transformação quantum-safe. Comece a adotar ferramentas e use serviços que permitam que você implemente os padrões de criptografia PQC recentemente anunciados.
A IBM desenvolveu uma metodologia abrangente de programa de segurança quântica , que atualmente está sendo executada por dezenas de clientes, espalhados por setores importantes e dezenas de países, incluindo governos nacionais.
Aconselhamos os clientes a adotar um programa com as seguintes fases principais:
• Fase 1: Prepare suas equipes cibernéticas fornecendo conscientização sobre riscos quânticos e identificando suas prioridades em toda a organização.
• Fase 2: Prepare e transforme sua organização para a migração para o PQC.
• Fase 3: execute a migração da sua organização para o PQC.
Fase 1: Prepare suas equipes:
Na fase 1 da jornada do programa, concentre-se em áreas-chave, como criar uma campanha de conscientização em toda a organização para educar as partes interessadas e especialistas em segurança (SMEs) sobre o risco quântico. Estabeleça “embaixadores” ou “campeões” de segurança quântica que fiquem no topo do risco quântico e da evolução da segurança quântica e atuem como contato central para o programa e ajudem a moldar a estratégia empresarial.
Em seguida, conduza avaliações de risco em relação ao risco quântico contra os ativos comerciais criptograficamente relevantes da sua organização — que é qualquer ativo que usa ou depende de criptografia em geral.* Por exemplo, sua avaliação de risco e impacto deve avaliar a relevância comercial do ativo, sua complexidade de ambiente e dificuldade de migração, entre outras áreas de avaliação. Identifique vulnerabilidades dentro dos ativos comerciais, incluindo quaisquer ações urgentes, e produza um relatório destacando as descobertas para as principais partes interessadas, ajudando-as a entender a postura de risco quântico organizacional. Isso também pode servir como uma linha de base para desenvolver o inventário de criptografia da sua empresa.
Fase 2: Prepare sua organização:
Na fase 2, oriente seus stakeholders sobre como abordar as áreas prioritárias identificadas e potenciais fraquezas criptográficas e riscos quânticos. Em seguida, detalhe as ações de remediação, como destacar sistemas que podem não ser capazes de suportar algoritmos PQC. Por fim, expresse os objetivos do programa de migração.
Nesta etapa, a IBM ajuda os clientes a delinear um roteiro de migração quântica segura que detalha as iniciativas quânticas seguras necessárias para que sua organização atinja seus objetivos.
Conforme aconselhamos nossos clientes: Considere iniciativas críticas em seus roteiros, como desenvolver uma estrutura de governança para criptografia, priorizando sistemas e dados para migração de PQC. Atualize suas práticas e diretrizes de desenvolvimento de software seguro para usar PQC por design e produzir Cryptography Bills of Material (CBOMs). Trabalhe com seus fornecedores para entender dependências de terceiros e artefatos de criptografia. Atualize seus processos de aquisição para focar em soluções e serviços que dão suporte a PQC para evitar a criação de nova dívida criptográfica ou novo legado.
Um dos principais recursos necessários é a "observabilidade criptográfica", um inventário criptográfico que permite que as partes interessadas monitorem o progresso da adoção do PQC ao longo de sua jornada de segurança quântica. Esse inventário deve ser apoiado por coleta automática de dados, análise de dados e gerenciamento de postura de risco e conformidade.
Fase 3: Execute sua migração:
Na fase 3, sua organização executa o programa de migração quantum-safe implementando iniciativas baseadas em sistemas prioritários/risco/custo, objetivos estratégicos, capacidade de entrega, etc. Desenvolva uma estratégia quantum-safe aplicada por meio de seus padrões e políticas de segurança de informações organizacionais.
Execute a migração de tecnologia usando arquiteturas de referência, padrões de migração, jornadas e projetos padronizados, testados e comprovados.
Inclua a habilitação da agilidade criptográfica nas soluções de desenvolvimento e migração e implemente o desacoplamento criptográfico abstraindo o processamento de criptografia local para serviços de plataforma centralizados, governados e facilmente adaptáveis.
Inclua em seu programa um ciclo de feedback com lições aprendidas. Permita a inovação e o teste rápido de novas abordagens e soluções para dar suporte ao programa de migração nos próximos anos.
Desafios a serem esperados durante sua transição para PQC:
Muitos elementos são desafiadores para migrar. Por exemplo, componentes fundamentais da infraestrutura de internet, como redes de longa distância (WANs), redes locais (LANs), concentradores de VPN e links Site-2-Site, serão mais complexos para migrar. Portanto, esses elementos exigem mais atenção do que aqueles que têm uso limitado dentro da organização. Serviços de criptografia essenciais, como PKI, sistemas de gerenciamento de chaves, sistemas de pagamento seguro, aplicativos de criptografia ou backends, como HSMs, criptografadores de link e mainframes, são todos complexos para migrar. Você precisa considerar as dependências de diferentes aplicativos e hardware, incluindo problemas de interoperabilidade de tecnologia.
Você também deve considerar testar o desempenho dos padrões PQC em relação aos seus sistemas internos e fluxos de trabalho de dados para ajudar a garantir a compatibilidade e a aceitabilidade do desempenho e identificar quaisquer preocupações. Por exemplo, o PQC às vezes requer tamanhos de chave, texto cifrado ou tamanhos de assinatura maiores em comparação aos algoritmos usados atualmente, o que precisará ser contabilizado em testes de integração e desempenho. Algumas tecnologias críticas da organização ainda dependem de criptografia legada e podem achar difícil ou até mesmo impossível migrar para os padrões PQC. A refatoração e o redesenho do aplicativo podem ser necessários.
Outros desafios incluem falta de habilidades ou falta de documentação, o que criou lacunas de conhecimento dentro da sua empresa. Informações codificadas em sistemas/arquivos de configuração/scripts, etc., tornarão a migração ainda mais complexa.
Certifique-se de que suas chaves de criptografia e certificados digitais sejam rastreados e gerenciados com precisão. O gerenciamento ruim complicará ainda mais a migração.
Nem todos os casos de uso serão testados por grupos de trabalho internacionais de PQC. Haverá muitas combinações ou configurações de tecnologias exclusivas para suas organizações, e você precisa testar completamente seus sistemas de uma perspectiva de fluxo de trabalho de ponta a ponta.
Não espere que as regulamentações se atualizem:
Agora que o NIST lançou um primeiro conjunto de padrões PQC, precisamos antecipar que a regulamentação fora dos EUA seguirá rapidamente. Exemplos no contexto do setor financeiro são:
• Na UE, a Lei de Resiliência de Operações Digitais (DORA) menciona explicitamente os riscos quânticos em um padrão técnico regulatório no contexto da gestão de riscos de TIC.
• A Autoridade Monetária de Cingapura (MAS) chamou a atenção para a necessidade de que “a alta gerência e os fornecedores terceirizados relevantes entendam as ameaças potenciais da tecnologia quântica”. Ela também menciona a necessidade de “identificar e manter um inventário de soluções criptográficas”.
• O Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) v4.0.1 agora contém um ponto de controle que exige “um inventário atualizado de todos os conjuntos de cifras criptográficas e protocolos em uso, incluindo finalidade e onde são usados”.
Portanto, aconselhamos que você se concentre no desenvolvimento de sua estrutura de governança de criptografia, que inclui o desenvolvimento de uma estratégia de segurança quântica para sua organização. Ela deve estar alinhada aos seus objetivos estratégicos de negócios, visão e prazos de destino. Um centro de excelência deve dar suporte e aconselhar como parte do programa de transformação. A estrutura de governança deve se concentrar em pilares essenciais, como a supervisão regulatória da sua organização, garantia criptográfica e gerenciamento de risco, construção de capacidade de entrega e educação PQC. Ela deve dar suporte à adoção de melhores práticas dentro do desenvolvimento de seu aplicativo e fornecer padrões de arquitetura de segurança e conselhos de revisão de design técnico.
O programa de transformação será longo e complexo. Ele requer um engajamento interdepartamental e uma ampla gama de habilidades. Garanta que você gerencie e observe o moral da equipe e considere a cultura de trabalho e as práticas de gerenciamento de mudanças da sua organização para ajudar a garantir a coesão do programa ao longo dos muitos anos de entrega.
Além disso, considere o desenvolvimento de parcerias, pois muitas organizações dependem de muitos fornecedores específicos para seu setor e ecossistema. Colabore com outros dentro do seu setor para aprender e compartilhar ideias para abordar o risco quântico e a migração do PQC juntos por meio de grupos de trabalho e grupos de usuários.
De uma perspectiva operacional, ajude a garantir que você tenha um catálogo de rastreabilidade dos principais serviços empresariais e comerciais mapeados para regulamentações e leis e comece a planejar um cronograma para a transição em torno de cada um.
Como a IBM ajuda as organizações em sua jornada de segurança quântica:
A IBM ajuda a implementar a migração quantum-safe para clientes em serviços financeiros, seguros, telecomunicações, varejo, energia e outros setores. Ajudamos os clientes a entender seus riscos quânticos, melhorando sua maturidade e agilidade criptográfica, definindo suas metas quantum-safe e implementando várias iniciativas de transformação, apoiadas por um amplo conjunto de ativos de tecnologia.
Ao mesmo tempo, estamos ajudando a iniciar consórcios industriais para impulsionar a adoção de criptografia quântica segura , como:
• Em 2022, junto com a GSMA e a Vodafone, a IBM iniciou a Post Quantum Telco Network Taskforce (PQTN) para ajudar o setor de telecomunicações com a adoção do PQC.
• Em 2023, a IBM, junto com parceiros da indústria, iniciou a PQC Coalition com a MITRE para acelerar a adoção da PQC em código aberto e comercial. Em 2024, a IBM ajudou a criar a Post-Quantum Cryptography Alliance para impulsionar a adoção da PQC como parte da fundação Linux.
Agora que o primeiro conjunto de padrões PQC foi lançado, espera-se que as organizações tenham um programa de migração quantum-safe adequado em vigor. Um programa sólido deve incluir avaliações completas de risco e impacto, objetivos quantum-safe e o nível certo de atenção das partes interessadas. Prepare-se agora para a adoção de padrões quantum-safe e use a tecnologia para acelerar sua jornada.
Fonte: https://www.ibm.com/blog/cios-must-prepare-their-organizations-today-for-quantum-safe-cryptography/