Oito perguntas sobre: o que é a criptografia pós-quântica?

Ainda que computadores quânticos não sejam uma realidade prática no nosso dia a dia, o seu poder de processamento já traz uma preocupação no campo de segurança: segundo muitos especialistas, ele conseguiria quebrar as tecnologias de criptografias atuais.

• Oito perguntas sobre: como uma empresa quer democratizar a telemedicina no país
• Oito perguntas sobre: Sity - o app made in Brasil que quer desafiar Uber e 99
• Oito perguntas sobre: a estratégia da HMD para os celulares Nokia no Brasil
• Oito perguntas sobre: open banking!

Um bom exemplo disso está no Bitcoin: segundo Andersen Cheng, CEO da Post-Quantum, afirmou em maio último que os computadores quânticos poderiam quebrar a criptografia do Bitcoin até 2022, representando uma séria ameaça à segurança das moedas digitais.

Inclusive, especialistas mais, digamos, paranoicos, afirmam que alguns governos estão desenvolvendo computadores quânticos em segredo, capazes de corromper o Blockchain em apenas alguns anos. Ainda de acordo com Cheng, em entrevista ao site Decrypt, " nenhum governo vai deixar transparecer que tem um enorme computador quântico “do tamanho de um estádio” escondido em um bunker subterrâneo".

O poder do computador quântico é reforçado por Sundar Pichai, CEO do Google, ainda que o prazo dado por ele seja mais elástico. Durante o Fórum Econômico Mundial em janeiro deste ano, ele afirmou que "em um período de cinco a dez anos, a computação quântica quebrará a criptografia como a conhecemos hoje."

De qualquer forma, independente do prazo, já há empresas e especialistas pensando em como se proteger dos computadores quânticos. E uma das soluções para isso é desenvolver uma criptografia que consiga encarar esse tipo de equipamento de igual para igual. E uma delas atende pelo futurista nome de criptografia pós-quântica, uma tecnologia conseguiria impedir ataques de "PCs quânticos" com eficiência.

E, considerando que se trata de um tema complexo, logo, seria necessário conversar com alguém que entenda muito do assunto. Logo, o "Oito perguntas sobre" dessa semana procurou Roberto Gallo, CEO e cientista-chefe da Kryptus, multinacional brasileira que entrega soluções de criptografia e segurança cibernética altamente customizáveis para aplicações críticas de empresas mundo afora. E se tem alguém que sabe do que está falando, é ele.

Confira como foi o papo:

Canatech - O que é a criptografia pós-quântica e como ela se diferencia da criptografia atual?

Roberto Gallo: A criptografia pós-quântica (PQC) é aquela que continua segura mesmo que um computador quântico (o dia que o mesmo for uma realidade prática), seja utilizado na criptoanálise. Isso significa dizer que os problemas matemáticos que sustentam a PQC não são substancialmente mais fáceis de serem resolvidos em um computador quântico do que em um convencional.

Por outro lado, a criptográfica atual tem como elementos chaves em particular duas famílias de algoritmos muito versáteis, a RSA e a de Curvas Elípticas. Tais famílias, entretanto, se baseiam em problemas matemáticos que são, em tese, fáceis de resolver com uma máquina quântica: a fatoração de números grandes e o logaritmo discreto. Esta “facilidade” relativa foi descoberta em 1994 por Peter Shor.

CT - Em termos de segurança, a criptografia pós-quântica apresenta um nível mais elevado de proteção? Se sim, como?

R.G.: Depende. Proteção pode ser definido tanto como “nível de segurança criptográfica”, como “confiança no algoritmo”.

Nível de segurança criptográfico está relacionado com o total de recursos (processamento, espaço de memória) que um adversário precisa empregar para violar um mecanismo criptográfico e este é um assunto onde há muita confusão.

Quando dizermos que um algoritmo possui, digamos, “256 bits” de segurança, na verdade, queremos dizer que um adversário, usando as melhores técnicas de ataques conhecidas naquele momento precisa ao menos de 2256 passos ou posições de memória para violar o objetivo do algoritmo, no caso que ele está sendo utilizado.

Contra-intuitivamente, o número de bits que usualmente aparece lado a lado com os nomes dos algoritmos não representa necessariamente o nível de segurança. Por exemplo, considerando o uso para sigilo, o algoritmo AES-256 é muito mais seguro que o RSA-4096. Em um cenário onde “o melhor ataque” não inclui o algoritmo de Shor, os algoritmos PQC podem ser projetados para ser mais ou menos seguros que RSA e ECC com seus tamanhos usuais de chaves

Quanto à confiança no algoritmo, é preciso entender que ela é construída com o passar do tempo e com o esforço de criptoanálise ao longo dos anos. Neste sentido, existem alguns algoritmos propostos para serem usados como PQC, que possuem alta confiança, como o McEliece clássico (baseado em teoria dos códigos) e o SPHINCS+ (baseado em hashes) e outros menos como o SIKE (baseado em isogenias).

CT - Como a criptografia pós-quântica pode proteger ataques que partem de computadores quânticos (vetores de ataque quântico)?

R.G: Basicamente, os algoritmos PQC utilizam problemas subjacentes que não parecem ser afetados pelo algoritmo de Shor.

CT - Quais os principais algoritmos criptográficos são resistentes à criptoanálise quântica?

R.G.: Existem diversas propostas de algoritmos para PQC e que estão em processo de padronização pelo NIST. A seguir uma lista dos principais candidatos.

Para encriptação de chaves públicas e acordo de chaves:

• McEliece clássico (meu preferido pessoal, por conta da confiança);
• CRYSTALS-KYBER
• NTRU
• SABER

Para assinatura digital

• CRYSTALS-DILITHIUM
• FALCON
• Rainbow

CT - A criptografia pós-quântica já é aplicada de alguma forma na indústria ou em softwares?

R.G.: Algoritmos PQC já vêm sendo utilizados em escalas variáveis tanto em experimentos de mundo real, como em sistemas de produção, a exemplo das iniciativas da Google, da Amazon e da Intel. É um assunto quente e que precisa ser levado a sério, principalmente por quem precisa manter sigilo ou autenticidade de dados por períodos muito longos.

Implementações de referência dos principais algoritmos sendo considerados para padronização podem encontradas seguindo os links da página do NIST.

CT - Que países, empresas ou instituições, hoje, são referências no desenvolvimento da criptografia pós-quântica? O que eles vêm desenvolvendo?

R.G.: Nem todos os grupos envolvidos em PQC divulgam resultados, porém o papel de liderança dos EUA com a padronização é fundamental. Os principais países com grupos de pesquisas são: França, EUA, Bélgica, Holanda, Alemanha, Suíça, Japão, Canadá e Reino Unido.

Entre as grandes empresas se destacam: NCC Group, Intel, Google, Amazon, NXP, Orange e Microsoft. Diversas outras empresas de tamanhos menores também possuem linhas de pesquisa ou mesmo produtos.

CT - Quais os principais desafios para o desenvolvimento e a utilização criptografia da pós-quântica?

R.G.: O desenvolvimento de algoritmos PQC requer times com conhecimentos avançados e profundos nas estruturas matemáticas relacionadas com os problemas subjacentes fundamentais dos algoritmos. Problemas mais novos do ponto de vista do uso de segurança, como as isogenias supersingulares, precisam passar por extenso esforço de criptoanálise pela comunidade, para que se ganhe confiança em sua segurança e este processo leva tempo.

Além disso, algoritmos PQC no geral requerem chaves criptográficas substancialmente maiores (SIKE com 2.500 bits, McEliece com 2.500.000) que aqueles usados em ECC (256 a 512 bit), para os níveis de segurança usuais, por exemplo. Enquanto este não é um problema para aplicações em ambientes sem limitações de espectro ou largura de banda, os mesmos podem ser impeditivos para ambientes embarcados, em particular Internet das Coisas (IoT).

Finalmente, é preciso lembrar que no mundo da criptografia, interoperabilidade é fundamental e a mesma não pode ser alcançada sem padrões bem definidos. Historicamente, a indústria tem sido bastante atrapalhada quando muitas opções estão disponíveis, mas nenhuma é dominante o que faz com que os “velhos conhecidos” como o RSA persistam em uso.

CT - No futuro, soluções de segurança voltadas ao usuário final podem utilizar o recurso de criptografia pós-quântica? E em quais indústrias ou setores recomenda-se a implementação de soluções de criptografia pós-quântica?

R.G.: A APQC já está entre nós. Os experimentos do Google com o Chrome já em 2016 (CECPQ1) e da Cloudflare e Google em 2019 (CECPQ2) demonstram que criptografia pós-quântica pode ser entregue de forma transparente para os usuários na internet. O OpenSSH 8.0 já incorpora algoritmos pós-quânticos (não como opção default).

No futuro, o PQC deverá estar em toda a parte, desde blockchains, passando por conexões TLS e até certificação digital. O grande impulso virá em um par de anos, quando as iniciativas de padronização já estiverem mais avançadas.

A criptografia pós-quântica é recomendada desde já, em casos de uso onde informações precisam ser protegidas (assinatura, sigilo) por muitos anos, em particular registros médicos, defesa e blockchain. Estas informações, com relevância normalmente de décadas, em algum momento deverão ser contemporâneas de computadores quânticos e assim estão sujeitas a riscos reais desde o momento presente.