CEVIU Logo
Voltar
Microsoft acelera transição para criptografia pós-quântica e define meta para 2029

Microsoft acelera transição para criptografia pós-quântica e define meta para 2029

Aprofundamento CEVIU

Aprofundamento

O Post-Quantum não é uma ferramenta ou biblioteca, mas um esforço sistêmico para substituir algoritmos de chave pública como RSA e ECC por alternativas matemáticas resistentes a ataques quânticos, como CRYSTALS-Kyber (para troca de chaves) e CRYSTALS-Dilithium (para assinaturas), ambos já padronizados pelo NIST em 2024. Ele funciona integrando esses novos algoritmos em camadas críticas: TLS 1.3 para tráfego, formatos de cifra versionados para dados armazenados, e cadeias de confiança end-to-end em pipelines de atualização e assinatura de código. Serve principalmente a organizações com ativos sensíveis de longo prazo, governos, bancos, operadoras de saúde, que enfrentam o risco real de 'harvest now, decrypt later'.

Sua principal limitação técnica não é a matemática, mas a engenharia de implantação: sistemas legados sem crypto-agility exigem reescrita profunda; metadados criptográficos auto-descritivos ainda são raros em produção; e a migração exige testes de desempenho, interoperabilidade e retrocompatibilidade simultâneos, algo que nenhuma grande empresa conseguiu escalar até hoje. O fato de Microsoft, Google e Cloudflare terem convergido em 2029 não é coincidência: é o limite prático entre viabilidade técnica e pressão regulatória acelerada.

O que mudou

A Microsoft não só antecipou seu cronograma, ela vinculou formalmente o Post-Quantum ao Secure Future Initiative (SFI), transformando a migração de PQC de projeto técnico isolado em requisito de segurança obrigatório para todos os produtos Azure e Windows. Isso é novo: nas coberturas anteriores do CEVIU sobre Google artigo original e Cloudflare, a ênfase estava em pilotos e frameworks experimentais. Agora, a Microsoft estabelece donos claros, marcos mensuráveis e progresso transparente, o primeiro movimento concreto de operacionalização em larga escala, não só de anúncio.

Por que isso importa

Empresas brasileiras que usam Azure, Microsoft 365 ou serviços governamentais hospedados na nuvem da Microsoft terão até 2029 para adaptar seus próprios sistemas à nova realidade, senão ficarão fora de compliance com normas como a LGPD (que exige medidas técnicas adequadas ao risco) e com futuras diretrizes da ANPD sobre proteção de dados críticos. A mudança não é opcional: é uma atualização de base de confiança. Quem ignorar o Post-Quantum agora vai herdar dívidas técnicas que impedirão auditorias de segurança em 2027 e inviabilizarão contratos com órgãos públicos federais após 2028.

Linha do tempo

  1. Google antecipa meta interna de migração para PQC para 2029, citando avanços em hardware quântico e correção de erros

  2. Cloudflare acelera roteiro pós-quântico para 2029 após divulgação de algoritmo mais eficiente contra ECC

  3. CEVIU destaca redução do limiar de qubits necessários para quebrar RSA-2048 para 10.000, com máquina viável antes de 2030

  4. Microsoft vincula Post-Quantum ao Secure Future Initiative e define 2029 como prazo obrigatório para migração de produtos críticos

Perguntas frequentes

O que muda na prática para um administrador de TI que usa Azure hoje?

A partir de 2027, novos recursos de segurança no Azure exigirão suporte nativo a algoritmos PQC. Você precisará mapear onde usa certificados X.509, assinaturas de código e criptografia de dados em repouso, e validar se seus aplicativos conseguem ler formatos de cifra versionados. A Microsoft já disponibiliza ferramentas de inventário criptográfico no Azure Security Center, mas a adaptação depende de sua stack.

Por que 2029 e não antes? Os pesquisadores não previram Q-Day para 2028?

2029 é um prazo de engenharia, não de física. Mesmo com avanços na correção de erros quânticos, máquinas capazes de rodar Shor’s em escala industrial ainda exigem milhares de qubits físicos estáveis, o que não existe em produção. O prazo dá tempo para testar, auditar e migrar infraestrutura crítica sem causar ruptura operacional. É o mínimo viável, não o ideal.

Posso usar PQC hoje em produção?

Sim, mas com restrições. O NIST já liberou as primeiras implementações de referência de Kyber e Dilithium. Provedores como Cloudflare já oferecem suporte experimental em TLS. Mas o CEVIU alertou em abril que bibliotecas PQC ainda têm overhead de 3x a 5x em latência e tamanho de chave, inviável para IoT, dispositivos móveis leves ou sistemas em tempo real sem otimização específica.

O que acontece com dados criptografados hoje se eu não migrar até 2029?

Nada imediato, mas você estará exposto ao 'harvest now, decrypt later'. Adversários já estão capturando tráfego HTTPS, backups de nuvem e arquivos de email. Se sua organização lida com dados sensíveis com vida útil superior a 10 anos (como registros médicos, patentes ou segredos de Estado), esse risco é irreversível. A migração não protege só o futuro: salva o passado.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU Segurança da Informação
Publicado
03 de julho de 2026
Editoria
CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser