A nova ordem executiva pós-quântica da Casa Branca é um marco importante, e agora é hora de trabalhar

A nova Ordem Executiva 14412 da Casa Branca, assinada em 22 de junho de 2026, não é apenas uma atualização burocrática: é uma resposta concreta à aceleração real do risco quântico. Diferente das diretrizes anteriores, como o National Security Memorandum 10 de 2022, que previa migração ampla até 2035, a EO 14412 antecipa os prazos para 2030 (criptografia) e 2031 (autenticação), alinhando-se aos padrões NIST finalizados em agosto de 2024: ML-KEM para troca de chaves, ML-DSA e SLH-DSA para assinaturas digitais. A medida também obriga contratados federais ('covered contractors') a adotar esses algoritmos até o fim de 2030, com regras regulatórias em elaboração pelo Federal Acquisition Regulatory Council em até 180 dias.

O Brasil já respondeu: o ITI publicou em 26 de junho de 2026 a Portaria nº 38/2026, criando um grupo de trabalho para avaliar riscos quânticos na ICP-Brasil e propor um plano de migração com cronograma, priorização e atualização normativa, tudo em até 90 dias. Isso mostra que a pressão regulatória pós-quântica já saiu dos EUA e está chegando ao ecossistema brasileiro de identidade digital e assinatura eletrônica.

Essa ordem executiva importa porque transforma a ameaça teórica de 'harvest now, decrypt later' em uma prioridade operacional imediata. Atacantes já estão coletando tráfego TLS, dados de saúde, registros governamentais e transações financeiras hoje, sabendo que poderão descriptografá-los assim que computadores quânticos atingirem capacidade criptográfica relevante. A EO 14412 reconhece que esperar até 2035 é arriscado demais. Ao exigir inventário criptográfico em até 30 dias e planos de migração em até 90 dias, ela força agências e fornecedores a mapear onde RSA e ECC ainda estão em uso, especialmente em sistemas legados, APIs internas e certificados de máquina para máquina.

Não é só sobre segurança nacional: é sobre confiança em infraestrutura crítica. Bancos, operadoras e provedores de nuvem que atendem o governo federal nos EUA terão de demonstrar conformidade com FIPS 203 (ML-KEM) e FIPS 204/205 (ML-DSA e SLH-DSA) antes de 2030, ou perderão contratos. O mesmo movimento já começa no Brasil com a portaria do ITI, indicando que a ICP-Brasil pode exigir PQC em novos certificados digitais já na próxima atualização normativa.

Para desenvolvedores, isso significa que bibliotecas criptográficas devem ser auditadas agora. OpenSSL 3.2+ já suporta ML-KEM experimentalmente; BoringSSL e libsodium têm extensões em desenvolvimento; mas muitos frameworks ainda não oferecem fallback seguro entre algoritmos clássicos e pós-quânticos. A migração não é 'trocar um algoritmo por outro': exige testes de interoperabilidade, aumento de tamanho de chaves (ex.: Kyber768 gera chaves maiores que ECC secp256r1), ajuste de MTU em redes, e revisão de políticas de certificação em PKI privadas.

Equipes de DevSecOps precisam incluir 'análise de dependência criptográfica' em pipelines CI/CD, detectando uso de Bouncy Castle < 1.78, Java 8 sem atualizações, ou .NET Framework 4.7.2 sem suporte nativo a PQC. A CISA e o NIST vão publicar, em até 270 dias, requisitos mínimos para SBOMs criptográficos: isso vai forçar fornecedores a declarar explicitamente quais algoritmos usam, e em quais versões de bibliotecas. Quem ainda depende de RSA-2048 em APIs públicas terá de planejar rotação de chaves com dupla assinatura (híbrida) ainda este ano.