RFC 9958: criptografia pós-quântica para engenheiros

23 de junho de 2026

Resumo

Este RFC informativo da IETF orienta engenheiros na transição pós-quântica e explica que o algoritmo de Shor exige a substituição completa de RSA, DH e ECC, enquanto o algoritmo de Grover deixa AES-128 e SHA-256, na prática, intactos. O texto detalha os padrões do NIST ML-KEM (FIPS 203), ML-DSA (FIPS 204), SLH-DSA (FIPS 205) e o futuro FN-DSA (FIPS 206), e destaca que KEMs não podem ser ao mesmo tempo AKE e NIKE, que chaves e assinaturas de PQC ficam cerca de 6 a 100 vezes maiores, que esquemas HBS com estado, como XMSS e LMS, correm risco de forja por reutilização do estado da chave e que o cenário de "harvest now, decrypt later" e o modelo x+y+z de Mosca justificam implantações híbridas PQ/T, com atenção a ataques de stripping por reutilização de chaves e à exposição a side-channel em lattice.

Aprofundamento CEVIU

Aprofundamento

O RFC 9958 não é um padrão obrigatório, mas um guia técnico para engenheiros que precisam lidar com a transição real para criptografia pós-quântica. Ele esclarece que o algoritmo de Shor não apenas enfraquece RSA e ECC, ele os torna inviáveis. Não há meio-termo: sistemas que dependem desses algoritmos precisam ser substituídos por completo. O documento destaca que ML-KEM, ML-DSA e SLH-DSA, já padronizados pelo NIST, são os únicos candidatos maduros para adoção imediata, e que FN-DSA ainda está em desenvolvimento. Aumento de tamanho de chaves e assinaturas é uma realidade: 6 a 100 vezes mais pesadas. Isso afeta protocolos como TLS, SSH e VPNs, onde o overhead de rede pode impactar latência e consumo de banda. Engenheiros também devem evitar a reutilização de estados em esquemas como XMSS e LMS, pois isso abre brecha para forja de assinaturas. O modelo x+y+z de Mosca, que calcula o risco de armazenamento de dados criptografados hoje para decifrá-los depois, justifica a adoção de soluções híbridas agora, mesmo sem CRQCs operacionais.

Outro ponto crítico é a confusão entre KEMs e AKE. Um KEM como ML-KEM não pode ser usado como um protocolo de troca de chave (AKE) sem adaptação. Muitos sistemas ainda tentam encaixar PQC como se fosse RSA tradicional, o que gera falhas de implementação. Além disso, o RFC alerta que algoritmos baseados em reticulados, como os escolhidos pelo NIST, são suscetíveis a ataques de canal lateral se não forem implementados com constancy time e proteção contra timing leaks. O cenário não é de futuro distante, é de planejamento urgente para infraestruturas de longa vida útil, como sistemas de identidade digital, certificados de servidor e redes críticas.

Por que isso importa

A transição para criptografia pós-quântica não é um upgrade de versão, é uma reformulação da base da segurança digital. Empresas que adiam essa mudança correm o risco de ter dados sensíveis armazenados hoje decifrados no futuro, mesmo que os sistemas atuais pareçam seguros. Governos e setores regulados, como saúde, finanças e energia, já têm prazos implícitos para migração. O RFC 9958 é o primeiro documento da IETF que traduz a teoria do NIST em orientações práticas para quem escreve código, configura servidores e projeta protocolos. Ignorar isso é como continuar usando MD5 porque 'ainda funciona'. A diferença é que aqui, o custo de atraso não é apenas técnico, é legal, financeiro e de reputação. A adoção híbrida PQ/T não é opcional: é a única forma de garantir segurança durante a transição, especialmente em ambientes com dispositivos legados que não podem ser atualizados.

Linha do tempo

2026-06-23
IETF publica RFC 9958, orientando engenheiros sobre a transição para criptografia pós-quântica

Perguntas frequentes

Por que o RSA e o ECC precisam ser substituídos, mas o AES-128 não?

O algoritmo de Shor quebra RSA e ECC porque eles se baseiam em fatoração e logaritmos discretos, problemas que a computação quântica resolve exponencialmente mais rápido. O AES-128, por outro lado, usa chaves simétricas, e o algoritmo de Grover só oferece uma aceleração quadrática, o que significa que dobrar o tamanho da chave (para AES-256) restaura o nível de segurança. Não é preciso trocar o AES, apenas ajustar o tamanho da chave.

O que é uma implementação híbrida PQ/T e por que ela é recomendada?

Uma implementação híbrida combina um algoritmo clássico (como ECDH) com um algoritmo pós-quântico (como ML-KEM). A segurança do sistema depende de ambos serem quebrados, o que é muito mais difícil. Isso protege contra ataques de 'harvest now, decrypt later' enquanto a infraestrutura evolui. Se um dos algoritmos for comprometido no futuro, o outro ainda mantém a confidencialidade. É o plano B que você implementa agora, não depois.

Por que chaves e assinaturas pós-quânticas são tão maiores?

Algoritmos como ML-DSA e SLH-DSA usam reticulados ou hash-based signatures, que precisam de mais dados para garantir resistência contra ataques quânticos. Enquanto uma assinatura ECDSA tem cerca de 70 bytes, uma ML-DSA pode chegar a 2.5 KB. Isso impacta protocolos que enviam muitas assinaturas por segundo, como TLS 1.3 ou blockchain. Engenheiros precisam otimizar o uso de compressão e cache para mitigar o overhead.

Quais sistemas brasileiros já estão se preparando para essa transição?

O Governo Federal, por meio da SGDP e do CGD, já iniciou estudos de impacto para certificados digitais e sistemas de identidade. Bancos e provedores de nuvem com certificação ISO 27001 estão mapeando dependências criptográficas em seus produtos. Nenhuma empresa pública ou financeira pode mais alegar desconhecimento, o RFC 9958 é a referência técnica que orienta essas avaliações.

Fontes

datatracker.ietf.orgfonte original

Avalie este artigo:

Categoria: CEVIU Segurança da Informação
Publicado: 23 de junho de 2026
Editoria: CEVIU Segurança da Informação