Uma das primeiras perguntas que surgem quando começamos a falar sobre computadores quânticos poderia ser esta: é verdade que a segurança na Internet vai acabar? Embora a resposta rápida seja: não, resulta difícil dar uma resposta simples e clara. (A esta pergunta). No entanto, é claro de onde surge esta preocupação. Em 1994, o matemático americanoPeter Shor demonstrou que seu algoritmo para computadores quânticos poderia fatorar números inteiros em tempo polinomial.
Embora os computadores clássicos tenham grande capacidade de processamento e computação, existem alguns problemas que são intransponíveis para estes, como a rápida fatoração de um número enorme qualquer. Muitos sistemas criptográficos aproveitam esta dificuldade para proteger as informações mais sensíveis da Internet, por exemplo: as nossas contas bancárias.
E mesmo que hoje os computadores quânticos sejam pouco mais que um brinquedo, é muito provável que chegue o dia em que eles serão grandes e estáveis o suficiente para conseguir isso.
Embora um computador quântico com o tamanho e estabilidade necessários esteja entre 10 e 30 anos no futuro, a verdade é que já começaram os trabalhos em alternativas aos algoritmos tradicionais, são chamados de algoritmosPós-Quânticos (PQ), de forma de estarem preparados adequadamente para este futuro. Um dos organismos que lidera a padronização desses algoritmos PQ é oNIST (National Institute of Standards and Technology), que acaba de terminar a rodada depadronização em 13 de agosto de 2024, há apenas 5 dias. Os algoritmos vencedores são os derivados de CRYSTALS-Dilithium, CRYSTALS-KYBER e SPHINCS.
Para a interpretação de universos paralelos, o algoritmo de Shor funciona porque os elementos que modelam os estados quânticos interferem entre todos os universos para calcular todas as soluções possíveis simultaneamente – DALL-E
Descrição das vulnerabilidades
O protocoloTLS (Transport Layer Security) é um dos protocolos de segurança mais usados hoje na Internet.
(Acesso livre, não requer assinatura)
É a segurança que existe por trás do bloqueio de cada página segura que se navega.
O TLS protege todas as trocas de informações entre os servidores e seus usuários. Embora muito segura no contexto atual, dominado pelos computadores clássicos, a criptografia assimétrica no TLS é vulnerável a ataques de futuros computadores quânticos.
TantoRSA, quantoECDH (Diffie-Hellman com curvas elípticas), que são alguns dos algoritmos encarregados de estabelecer a chave mestra, da qual deriva entre outras, a chave de criptografia simétrica, seriam vulneráveis ao algoritmo de Shor rodando em um computador quântico suficientemente grande e estável. O mesmo acontece na fase de autenticação, tanto no servidor quanto no cliente, quando cada um prova a sua identidade ao outro, usandoPKI (infraestrutura de chave pública), que hoje envolve algoritmos de assinatura como RSA ouECDSA.
É a segurança que existe por trás do bloqueio de cada página segura que se navega.
O TLS protege todas as trocas de informações entre os servidores e seus usuários. Embora muito segura no contexto atual, dominado pelos computadores clássicos, a criptografia assimétrica no TLS é vulnerável a ataques de futuros computadores quânticos.
TantoRSA, quantoECDH (Diffie-Hellman com curvas elípticas), que são alguns dos algoritmos encarregados de estabelecer a chave mestra, da qual deriva entre outras, a chave de criptografia simétrica, seriam vulneráveis ao algoritmo de Shor rodando em um computador quântico suficientemente grande e estável. O mesmo acontece na fase de autenticação, tanto no servidor quanto no cliente, quando cada um prova a sua identidade ao outro, usandoPKI (infraestrutura de chave pública), que hoje envolve algoritmos de assinatura como RSA ouECDSA.
A criptografia simétrica (o algoritmo usado para criptografar a comunicação em TLS, uma vez que as partes se autenticam com suas assinaturas digitais e negociam a chave de criptografia simétrica) permanece relativamente ilesa, apesar do algoritmo quântico de Lov Grover, que em 1996 mostrou que poderia encontrar uma solução de força bruta para a chave simétrica em uma ordem quadrática inferior. Ordem de raiz quadrada de N. Quer dizer, uma chave de 256 bits poderia ser comprometida em aproximadamente 2 às 128 iterações. Portanto, a solução para manter a segurança na criptografia simétrica seria simplesmente aumentar o tamanho da chave deAES ouSHA-2.
DALL-E
Primeira abordagem prática ao desafio
Indo um pouco além do puramente teórico, se for feita uma análise mais prática de quais seriam as medidas concretas e tecnológicas a serem tomadas para a transição a esta nova realidade, provavelmente se encontre o seguinte:
De alguma forma, são necessários novos algoritmos PQ de resistência quântica, principalmente para a autenticação e negociação de chaves. Os certificados em si não são vulneráveis e poderiam continuar sendo usados osX.509 e o protocolo TLS. Em princípio, apenas os algoritmos de criptografia assimétrica deveriam ser alterados.
O NIST e outros esforços comunitários estão trabalhando em padronizar estes algoritmos de resistência quântica, o que permitiria no futuro próximo ter certificados que os usem. Estes serão chamados de Certificados de Resistência Quântica.
Um conceito com o qual é cada vez mais conveniente familiarizar-se é o daagilidade criptográfica. Uma infraestrutura é considerada cripto-ágil se houver um conhecimento ou catálogo que detalhe quais componentes criptográficos são usados, se seus algoritmos de criptografia puderem ser facilmente substituídos e se esse processo de substituição for pelo menos parcialmente automatizado.
A dificuldade surge quando começamos a estimar o esforço de migração que seria necessário para mover toda a estrutura atual da Internet para este novo formato de Certificados de Resistência Quântica. Como isso seria feito? Durante uma semana toda a internet ficaria desligada, todos os certificados migrariam e depois tudo seria ligado? E o que aconteceria se a metade dos sistemas não conseguisse se conectar entre si por erros cometidos?
E se uma vez ligado tudo de novo, a metade das páginas e serviços da web não funcionarem?
À primeira vista, pareceria que este mecanismo do “Big Bang” não seria o ideal. Não parece possível mudar da noite para o dia toda a infraestrutura de segurança da Internet, que levou mais de 25 anos para ser construída. No entanto, está claro que quanto mais cripto-ágil for a infraestrutura, mais simples e confiável será essa transição.
De certa forma, é semelhante à situação que foi vivida e continua a ser vivida com o IPv4
A migração para o IPv6 não aconteceu da noite para o dia, é uma migração que ainda está sendo realizada e provavelmente continuará a ser realizada no futuro.
Tal como acontece com a migração para oIPv6, a solução parece vir do suporte a ambas as pilhas (stacks). Hoje em dia um sistema operacional é capaz de aceitar tanto uma conexãoIPv4 quanto uma conexão IPv6, portanto não importa se quem inicia a conexão suporta apenas IPv4 ou apenas IPv6. Você sempre poderá se conectar ao servidor.
Da mesma forma, seria conveniente ter um cenário de transição temporária ao nível dos certificados e da segurança na Internet; onde para se conectar a um servidor remoto, usar ou não algoritmos PQ não fosse um determinante crítico. Se esses algoritmos PQ fossem suportados no cliente, assim como no servidor, seria possível conectar-se a um serviço ou página web de forma segura e com resistência quântica. Caso contrário, a conexão também seria possível, mas usando os algoritmos tradicionais e de vulnerabilidade quântica, o que provavelmente (e convenientemente) deveria gerar um aviso.
As opiniões expressas pelos autores deste blog são próprias e não refletem necessariamente as opiniões de LACNIC.
