Protegendo a Internet na Era Quântica: Parte 1

19/09/2024

Por Pablo Casal – Cofundador e CEO na Netlabs

Introdução

Uma das primeiras perguntas que surgem quando começamos a falar sobre computadores quânticos poderia ser esta: é verdade que a segurança na Internet vai acabar? Embora a resposta rápida seja: não, resulta difícil dar uma resposta simples e clara. (A esta pergunta). No entanto, é claro de onde surge esta preocupação. Em 1994, o matemático americano Peter Shor demonstrou que seu algoritmo para computadores quânticos poderia fatorar números inteiros em tempo polinomial.

Embora os computadores clássicos tenham grande capacidade de processamento e computação, existem alguns problemas que são intransponíveis para estes, como a rápida fatoração de um número enorme qualquer. Muitos sistemas criptográficos aproveitam esta dificuldade para proteger as informações mais sensíveis da Internet, por exemplo: as nossas contas bancárias.

E mesmo que hoje os computadores quânticos sejam pouco mais que um brinquedo, é muito provável que chegue o dia em que eles serão grandes e estáveis ​​o suficiente para
conseguir isso.

Embora um computador quântico com o tamanho e estabilidade necessários esteja entre 10 e 30 anos no futuro, a verdade é que já começaram os trabalhos em alternativas aos algoritmos tradicionais, são chamados de algoritmos Pós-Quânticos (PQ), de forma de estarem preparados adequadamente para este futuro. Um dos organismos que lidera a padronização desses algoritmos PQ é o NIST (National Institute of Standards and Technology), que acaba de terminar a rodada de padronização em 13 de agosto de 2024, há apenas 5 dias. Os algoritmos vencedores são os derivados de CRYSTALS-Dilithium, CRYSTALS-KYBER e SPHINCS.

Para a interpretação de universos paralelos, o algoritmo de Shor funciona porque os elementos que modelam os estados quânticos interferem entre todos os universos para calcular todas as soluções possíveis simultaneamente – DALL-E

Descrição das vulnerabilidades

O protocolo TLS (Transport Layer Security) é um dos protocolos de segurança mais usados hoje na Internet.

É a segurança que existe por trás do bloqueio de cada página segura que se navega.

O TLS protege todas as trocas de informações entre os servidores e seus usuários. Embora muito segura no contexto atual, dominado pelos computadores clássicos, a criptografia assimétrica no TLS é vulnerável a ataques de futuros computadores quânticos.

Tanto RSA, quanto ECDH (Diffie-Hellman com curvas elípticas), que são alguns dos algoritmos encarregados de estabelecer a chave mestra, da qual deriva entre outras, a chave de criptografia simétrica, seriam vulneráveis ​​ao algoritmo de Shor rodando em um computador quântico suficientemente grande e estável. O mesmo acontece na fase de autenticação, tanto no servidor quanto no cliente, quando cada um prova a sua identidade ao outro, usando PKI (infraestrutura de chave pública), que hoje envolve algoritmos de assinatura como RSA ou ECDSA.

A criptografia simétrica (o algoritmo usado para criptografar a comunicação em TLS, uma vez que as partes se autenticam com suas assinaturas digitais e negociam a chave de criptografia simétrica) permanece relativamente ilesa, apesar do  algoritmo quântico de Lov Grover, que em 1996 mostrou que poderia encontrar uma solução de força bruta para a chave simétrica em uma ordem quadrática inferior. Ordem de raiz quadrada de N. Quer dizer, uma chave de 256 bits poderia ser comprometida em aproximadamente 2 às 128 iterações. Portanto, a solução para manter a segurança na criptografia simétrica seria simplesmente aumentar o tamanho da chave de AES ou SHA-2.

DALL-E

Primeira abordagem prática ao desafio

Indo um pouco além do puramente teórico, se for feita uma análise mais prática de quais seriam as medidas concretas e tecnológicas a serem tomadas para a transição a esta nova realidade, provavelmente se encontre o seguinte:

De alguma forma, são necessários novos algoritmos PQ de resistência quântica, principalmente para a autenticação e negociação de chaves. Os certificados em si não são vulneráveis e poderiam continuar sendo usados os X.509 e o protocolo TLS. Em princípio, apenas os algoritmos de criptografia assimétrica deveriam ser alterados.

O NIST e outros esforços comunitários estão trabalhando em padronizar estes algoritmos de resistência quântica, o que permitiria no futuro próximo ter certificados que os usem. Estes serão chamados de Certificados de Resistência Quântica.

Um conceito com o qual é cada vez mais conveniente familiarizar-se é o da agilidade criptográfica. Uma infraestrutura é considerada cripto-ágil se houver um conhecimento ou catálogo que detalhe quais componentes criptográficos são usados, se seus algoritmos de criptografia puderem ser facilmente substituídos e se esse processo de substituição for pelo menos parcialmente automatizado.

A dificuldade surge quando começamos a estimar o esforço de migração que seria necessário para mover toda a estrutura atual da Internet para este novo formato de Certificados de Resistência Quântica. Como isso seria feito? Durante uma semana toda a internet ficaria desligada, todos os certificados migrariam e depois tudo seria ligado? E o que aconteceria se a metade dos sistemas não conseguisse se conectar entre si por erros cometidos?

E se uma vez ligado tudo de novo, a metade das páginas e serviços da web não funcionarem?

À primeira vista, pareceria que este mecanismo do “Big Bang” não seria o ideal. Não parece possível mudar da noite para o dia toda a infraestrutura de segurança da Internet, que levou mais de 25 anos para ser construída. No entanto, está claro que quanto mais cripto-ágil for a infraestrutura, mais simples e confiável será essa transição.

De certa forma, é semelhante à situação que foi vivida e continua a ser vivida com o IPv4

A migração para o IPv6 não aconteceu da noite para o dia, é uma migração que ainda está sendo realizada e provavelmente continuará a ser realizada no futuro.

Tal como acontece com a migração para o IPv6, a solução parece vir do suporte a ambas as pilhas (stacks). Hoje em dia um sistema operacional é capaz de aceitar tanto uma conexão IPv4 quanto uma conexão IPv6, portanto não importa se quem inicia a conexão suporta apenas IPv4 ou apenas IPv6. Você sempre poderá se conectar ao servidor.

Da mesma forma, seria conveniente ter um cenário de transição temporária ao nível dos certificados e da segurança na Internet; onde para se conectar a um servidor remoto, usar ou não algoritmos PQ não fosse um determinante crítico. Se esses algoritmos PQ fossem suportados no cliente, assim como no servidor, seria possível conectar-se a um serviço ou página web de forma segura e com resistência quântica. Caso contrário, a conexão também seria possível, mas usando os algoritmos tradicionais e de vulnerabilidade quântica, o que provavelmente (e convenientemente) deveria gerar um aviso.