A computação quântica, tecnologia que explora fenômenos da mecânica quântica, é promissora e há grande expectativa a respeito do seu impacto em diversos segmentos da atividade humana, entre elas, a segurança de dados.
Leia também: O impacto da computação quântica na ciência e segurança de dados
Apesar de inúmeras iniciativas de pesquisa por meio de instituições acadêmicas e de corporações privadas, é importante esclarecer que ainda há grandes desafios para a construção de computadores quânticos comercialmente viáveis, que possuam um número de qubits (a unidade básica da computação quântica) grande o suficiente para executar algoritmos com aplicação prática. Estes desafios estão ligados principalmente à engenharia de materiais, desenvolvimento de algoritmos de correção de erro mais eficientes e escalabilidade, entre outros. Por outro lado, as instituições envolvidas na pesquisa e desenvolvimento de novas plataformas de computação quântica afirmam com convicção que a transposição dessas barreiras é apenas uma questão de tempo.
Um dos inúmeros potenciais de aplicação da computação quântica, uma vez disponível e acessível, é a possibilidade de acessar dados criptografados, anulando totalmente as camadas de segurança aplicadas aos dados, através da quebra dos atuais algoritmos de criptografia. Isto acontece porque algoritmos convencionais de criptografia utilizam a seu favor a incapacidade que os computadores comuns têm em fatorar grandes números, ou seja, decompor um número em números primos. Neste caso, plataformas de computação quântica devidamente dimensionadas (e utilizando algoritmos especializados como o algoritmo de Shor) poderiam fatorar grandes números em um tempo exponencialmente mais rápido, o que permitiria a quebra da criptografia e o acesso ao dado original.
Como evitar que a computação quântica comprometa a segurança de dados?
Com esta questão em pauta, algumas instituições trabalham já há algum tempo para selecionar e padronizar algoritmos de criptografia que sejam resistentes à computação quântica, ou seja, que utilizem no seu processo de criptografia problemas matemáticos mais complexos do que a fatoração em números primos. Esta classe de algoritmos, denominada PQC (Post-Quantum Cryptography), ou Criptografia Pós-Quântica, seria capaz de proporcionar uma camada de segurança de dados com tal eficiência que resistiria até mesmo à tentativas de quebra de criptografia provenientes de plataformas de computação quântica. Por esta razão, os algoritmos PQC são também referenciados como algoritmos quantum-proof, quantum-safe ou quantum-resistant. Entre as instituições que investem recursos na seleção e padronização de algoritmos de PQC podemos citar o NIST.
O que é o NIST?
O NIST, sigla para National Institute of Standards and Technology (Instituto Nacional de Padrões e Tecnologia), é uma agência norte-americana ligada ao Departamento de Comércio dos Estados Unidos da América. Sua missão é promover a inovação e a competitividade dos EUA. Suas atividades envolvem áreas relacionadas à ciência e tecnologia, como engenharia, tecnologia da informação e metrologia, entre outras.
Em Abril de 2016, o NIST publicou o documento IR 8105, com o título Report on Post-Quantum Cryptography (Relatório sobre criptografia pós-quântica), descrevendo o problema da falta de segurança de dados diante da computação quântica, assim como possíveis soluções. Este documento ressalta a necessidade da padronização urgente de algoritmos PQC diante da evolução das plataformas de computação quânticas, e do crescente investimento de instituições públicas e privadas neste tipo de tecnologia. Este documento é resultado da criação do grupo de trabalho do NIST que se envolveria diretamente no processo de seleção e padronização dos algoritmos de PQC.
Como funciona o processo de seleção dos algoritmos de PQC?
O processo de seleção dos algoritmos de PQC realizado pelo NIST iniciou em Janeiro de 2017, através de uma chamada de propostas a serem analisadas, da mesma maneira que ocorreu com alguns algoritmos convencionais de criptografia, como o AES (padronizado em 2001) e o SHA-3 (padronizado em 2015). Esse processo, que deve ser finalizado em 2026, envolve a avaliação teórica dos fundamentos matemáticos dos algoritmos propostos e sua resistência à criptoanálise.
Além disso, outras características importantes são avaliadas durante o processo de seleção, como velocidade, robustez, tamanho da implementação do algoritmo, uso eficiente da memória e escalabilidade. O NIST encoraja qualquer um a realizar também suas próprias análises e publicar seus resultados, de maneira que a seleção dos algoritmos PQC seja totalmente aberta e transparente.
Qual é o estado da arte dos algoritmos de PQC?
Foram realizadas, até o momento, 4 rodadas de avaliação, analisando um total de 69 algoritmos propostos por diferentes entidades, incluindo corporações e instituições de ensino. Em Julho de 2022, o NIST apresentou os 4 primeiros algoritmos PQC, finalistas das rodadas de avaliação, a serem publicados e padronizados:
- CRYSTALS-Kyber, projetado para encriptação de maneira geral, descrito no documento FIPS 203.
- CRYSTALS-Dilithium, projetado para proteção de assinaturas digitais utilizadas em documentos, descrito no documento FIPS 204.
- SPHINCS+, também projetado para assinaturas digitais, descrito no documento FIPS 205.
- FALCON, também projetado para assinaturas digitais, cuja padronização deve ocorrer em breve.
Outros 4 algoritmos, focados na encriptação de dados de maneira geral, continuam no momento sob análise e podem vir a completar o conjunto de algoritmos PQC planejado pelo NIST.
Conclusão – PQC: Criptografia Pós-Quântica e a Importância na Segurança de Dados
Apesar dos computadores quânticos ainda não possuírem poder computacional suficiente para quebrar a criptografia de algoritmos convencionais, é necessário que já surjam iniciativas para aumentar o nível de segurança de dados, principalmente de dados sensíveis. Isto se justifica devido ao tempo necessário para planejamento e implementação destes novos mecanismos.
Além disso, uma abordagem de “harvest now, decrypt later” (ou “colete dados agora, desencripte depois”) colocaria em risco os dados atuais. Isto significa que dados atuais, armazenados ou em trânsito, poderiam já estar sendo coletados para que sejam desencriptados por plataformas de computação quântica no futuro. Este tipo de abordagem gera uma ameaça que precisa ser tratada com prioridade, no caso de dados sensíveis.
Referências
NIST – https://www.nist.gov/
PQC – https://csrc.nist.gov/projects/post-quantum-cryptography
Report on Post-Quantum Cryptography – https://csrc.nist.gov/pubs/ir/8105/final
How to factor 2048 bit RSA integers in 8 hours using 20 million noisy qubits – https://arxiv.org/abs/1905.09749
Quem é a Aquarela Analytics?
A Aquarela Analytics é vencedora do Prêmio CNI de Inovação e referência nacional na aplicação de Inteligência Artificial Corporativa na indústria e em grandes empresas. Por meio da plataforma Vorteris, da metodologia DCM e o Canvas Analítico (Download e-book gratuito), atende clientes importantes, como: Embraer (aeroespacial), Scania, Mercedes-Benz, Grupo Randon (automotivo), SolarBR Coca-Cola (varejo alimentício), Hospital das Clínicas (saúde), NTS-Brasil (óleo e gás), Auren, SPIC Brasil (energia), Telefônica Vivo (telecomunicações), dentre outros.
Acompanhe os novos conteúdos da Aquarela Analytics no Linkedin e assinando a nossa Newsletter mensal!
Atua como desenvolvedor de software na Aquarela Advanced Analytics. É mestre em Ciência da Computação com foco em computação de alto desempenho (UFSC), especialista em Gerência de Projetos de TI (UNISUL) e tecnólogo em Gestão de TI (UNISUL).