CEVIU Logo
Voltar
🔐CEVIU Segurança da Informação

Empresas e protocolos avançam rumo à segurança pós-quântica com adoção real de criptografia híbrida

Aprofundamento CEVIU

Aprofundamento

O '768' em mlkem768x25519-sha256 não é um número arbitrário: é o parâmetro de segurança do ML-KEM que corresponde ao Nível 3 do NIST, ou seja, 128 bits de proteção contra ataques quânticos e clássicos, equivalente à segurança do AES-128. Isso significa que, mesmo se um atacante capturar hoje o tráfego SSH, ele precisaria de um computador quântico com milhares de qubits lógicos (não físicos) e correção de erros robusta para quebrar a chave, algo ainda inalcançável em 2026, mas já passível de planejamento estratégico por agências de inteligência.

A adoção real não é teórica: o OpenSSH já emite alertas concretos desde outubro de 2025 para servidores que não suportam o esquema híbrido. Isso transforma a migração em uma questão operacional de infraestrutura, não de pesquisa. E o TLS não está atrás: o X25519MLKEM768 está ativo por padrão no Chrome 131 e Firefox 132, mas o dado crítico é que, desde fevereiro de 2024, as versões 121 e 122 desses navegadores já tinham o suporte ativado, ou seja, a base técnica existe há mais de dois anos; o que mudou agora é a cobertura efetiva de 70,1% do tráfego global, sinalizando que provedores de conteúdo, CDNs e grandes plataformas já migraram em escala.

O que mudou

Em abril de 2022, o OpenSSH introduziu o mlkem768x25519-sha256 como opção experimental. Em outubro de 2025, passou a emitir alertas explícitos para conexões com servidores desatualizados, uma mudança de postura técnica para operacional. No TLS, o X25519MLKEM768 saiu do estágio de 'suporte experimental' (desde 2024) para 'habilitado por padrão em 70,1% do tráfego', conforme dados da Cloudflare em junho de 2026. Isso confirma que a migração deixou o laboratório e entrou na produção em larga escala, algo que não havia sido reportado nas coberturas anteriores da CEVIU sobre o tema, todas focadas em metas futuras (2029/2035) ou testes pontuais (IPsec, Meta).

Por que isso importa

Ataques 'harvest-now-decrypt-later' já são realidade operacional: agências governamentais e atores avançados têm coletado tráfego TLS e SSH há anos. O que muda agora é que, pela primeira vez, há uma camada de defesa prática disponível e implantada, não apenas anunciada. Se sua organização ainda usa WireGuard sem Rosenpass ou PresharedKey rotacionado, seu tráfego VPN está exposto a decifração futura com chaves arquivadas hoje. E se seu servidor SSH não aceita mlkem768x25519-sha256, você já está recebendo avisos de clientes modernos, sinal de que a obsolescência criptográfica virou um problema de compatibilidade imediata, não de futuro distante.

Linha do tempo

  1. Google Quantum AI publica estimativas que mostram quebra viável do ECDLP-256 com menos recursos quânticos do que o previsto, acelerando urgência da migração

  2. Cloudflare anuncia aceleração de seu roteiro para segurança pós-quântica completa até 2029

  3. CEVIU analisa framework de migração pós-quântica da Meta, destacando lições operacionais

  4. Cloudflare lança disponibilidade geral da criptografia pós-quântica para IPsec

  5. Adoção real de criptografia híbrida atinge 70,1% do tráfego global em TLS e gera alertas operacionais no OpenSSH

Perguntas frequentes

O que significa exatamente 'Nível 3 do NIST' no ML-KEM?

É um parâmetro de segurança que garante resistência equivalente a 128 bits contra ataques quânticos e clássicos. O '768' refere-se ao tamanho do módulo usado no algoritmo de lattice, validado pelo NIST como suficiente para proteger dados sensíveis até 2030 e além, mesmo com avanços previsíveis em hardware quântico.

Por que o WireGuard precisa de Rosenpass ou PresharedKey se já é considerado seguro?

WireGuard usa ECDH com curvas elípticas (X25519), que são quebráveis por algoritmos quânticos como o de Shor. Ele não tem troca de chaves pós-quântica nativa. Rosenpass resolve isso com rotação automática de chaves simétricas via canal híbrido, enquanto uma PresharedKey estática só protege contra quebra direta, não contra comprometimento futuro da chave.

Se 70,1% do tráfego já é pós-quântico, por que ainda preciso agir?

Esse percentual representa tráfego entre grandes provedores (Cloudflare, Google, etc.) e navegadores atualizados. Se sua aplicação, API ou servidor interno não suporta X25519MLKEM768, ele fica fora dessa proteção, e pode ser alvo de coleta silenciosa hoje para decifração amanhã. A cobertura não é uniforme.

Qual é a diferença prática entre mlkem768x25519-sha256 (SSH) e X25519MLKEM768 (TLS)?

Ambos são híbridos com o mesmo ML-KEM768 e X25519, mas o SSH combina as chaves com SHA-256, enquanto o TLS não aplica hash, usa diretamente a saída concatenada. Isso afeta a interoperabilidade e os vetores de ataque, mas não a segurança fundamental: ambos exigem a quebra simultânea dos dois algoritmos para falhar.

Links relacionados

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU Segurança da Informação
Publicado
18 de junho de 2026
Editoria
CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?

Conteúdo curado diariamente, direto no seu e-mail.

Assinar newsletterVer mais de CEVIU Segurança da Informação
Conteúdo curado diariamenteDiversas categoriasCancele quando quiser