A espera de anos acabou: os Padrões Federais de Processamento de Informações (FIPS) finais para os três primeiros algoritmos criptográficos seguros em termos quânticos estão aqui.
Por Tomas Gustavsson, diretor de PKI da Keyfactor
Com o lançamento dos padrões finais, é importante abandonar os algoritmos de rascunho, já que seus identificadores associados (OIDS) estão obsoletos.
Qualquer trabalho feito com os rascunhos ainda será útil, já que as características são semelhantes nos algoritmos finais, mas toda a interoperabilidade futura fica com os padrões finais.
Além de abandonar os algoritmos de rascunho, o que mais podemos esperar agora que os padrões finais estão disponíveis?
Aqui está o que você precisa saber.
- O FIPS 203 é o principal método de encapsulamento ML-KEM, baseado no algoritmo Kyber, submetido à competição de algoritmos do PQC.
- O FIPS 204 é o algoritmo de assinatura digital mais genérico ML-DSA, baseado no algoritmo Dilithium.
- FIPS 205 é o algoritmo de assinatura digital baseado em hash, baseado no algoritmo SPHINCS+.
Atualizações em todos os lugares: o que esperar dos fornecedores de tecnologia
O lançamento desses algoritmos de segurança quântica inaugurou um período de alta atividade, enquanto os fornecedores de tecnologia trabalham para fazer as atualizações necessárias. Algumas dessas atualizações podem acontecer simultaneamente, enquanto outras devem acontecer sequencialmente, o que significa que levará alguns meses até que tudo esteja pronto e totalmente atualizado.
As principais atividades para fornecedores de software incluem:
- Atualizações estruturais: as organizações de padronização finalizarão e lançarão atualizações para estruturas como certificados e mensagens CMS.
- Atualizações de bibliotecas criptográficas: Os fornecedores atualizarão as bibliotecas criptográficas para corresponder aos novos algoritmos. Para a Keyfactor, isso significa atualizar as APIs criptográficas do Bouncy Castle, o que é uma prioridade máxima para nossa equipe.
- Testes de interoperabilidade: as equipes precisarão liderar novos testes de interoperabilidade entre diferentes bibliotecas, tanto em relação aos servidores de teste do NIST para os algoritmos em si quanto em relação a estruturas como certificados e mensagens CMS sob o guarda-chuva do IETF.
- Atualizações de aplicativos: assim que forem lançados, os fornecedores atualizarão os aplicativos com novas versões de bibliotecas criptográficas e outros detalhes de gerenciamento, como nomes em UIs e OIDs.
- Garantia de qualidade: os fornecedores também precisarão liderar os esforços de controle de qualidade para garantir que tudo funcione de forma segura e adequada quando as novas atualizações estiverem em vigor.
E o trabalho não termina aí. Também precisamos considerar atualizações de hardware, pois os módulos de segurança de hardware (HSMs) são obrigatórios para a maioria dos ambientes de produção. Como resultado, os fornecedores de HSM já estão trabalhando em firmware para dar suporte aos novos algoritmos. Essas atualizações também envolvem padrões, como PKCS#11, que precisam ser atualizados pela organização de padronização.
Assim que o novo firmware HSM estiver disponível, as equipes podem liderar testes de integração para entregar um sistema PKI totalmente testado. A boa notícia é que, como a maioria das equipes testou com os algoritmos de rascunho, tudo já está configurado para testar os padrões finais o mais rápido possível.
O jogo da espera: quanto tempo as atualizações podem levar
Com quase tudo exigindo uma atualização, o que podemos esperar em relação ao cronograma de tudo isso? Entre o número de etapas envolvidas e o fato de que estamos lidando com segurança cibernética, é provável que haja surpresas, então é difícil definir um cronograma exato.
Dito isso, se tudo correr como planejado, podemos esperar ver bibliotecas criptográficas atualizadas primeiro, seguidas por aplicativos atualizados e, finalmente, uma nova integração HSM. Se tivermos sorte, seremos capazes de demonstrar um sistema totalmente integrado que estará pronto para produção a tempo para a temporada de férias. Claro, o momento exato também dependerá dos recursos específicos que cada organização precisa no produto final.
Por exemplo, a certificação FIPS é um grande negócio para algumas organizações, mas ainda está em andamento no NIST. Isso significa que a certificação FIPS provavelmente não estará completa quando os novos módulos criptográficos e HSMs estiverem prontos. O momento exato para a certificação é difícil de prever; historicamente, variou de dois a 18 meses, dependendo da fila no NIST e de outros fatores. Com base nesse histórico, podemos esperar razoavelmente que ela seja finalizada em algum momento de 2025.
Mesmo que a certificação FIPS seja importante para seu projeto, não deixe que a falta de certificação atrase seu projeto – a certificação virá , e soluções não certificadas podem ser implantadas em testes para facilitar a mudança para a produção quando chegar a hora.
Planeje, planeje, planeje: o que fazer agora para se antecipar à mudança
O jogo da computação pós-quântica está esquentando. Estamos chegando ao sprint final, à medida que passamos da fase de planejamento para a fase de implementação da transição.
Então o que você deve fazer agora?
- Comece a planejar uma atualização dos seus sistemas de teste para os algoritmos finais, com o objetivo de que isso seja o que você levará para a produção.
- Certifique-se de que seus fornecedores tenham um roteiro para dar suporte às versões finais dos algoritmos.
- Continue trabalhando na descoberta, na criptoagilidade e no planejamento de suas migrações criptográficas.
Criticamente, não há tempo a perder enquanto a transição avança. Em breve veremos o quão importante é todo o planejamento que as equipes fizeram até agora.
Precisa de ajuda na sua transição para o PQC?
A Keyfactor está aqui para ajudar a tornar a transição da sua equipe para a criptografia pós-quântica o mais suave possível. Com vários produtos prontos para quantum e um PQC Lab dedicado, a Keyfactor tem todos os recursos de que você precisa para proteger seus sistemas e dados e testar certificados prontos para quantum.
Clique aqui para saber mais e começar a usar o PQC Lab da Keyfactor
*O diretor de PKI da Keyfactor, Tomas Gustavsson, tem um resumo dos meandros dos algoritmos FIPS e quais atualizações esperar dos fornecedores de tecnologia. Atualizar bibliotecas criptográficas, atualizar aplicativos e forjar novas integrações de HSM parece um simples 1-2-3, mas é provável que haja algumas surpresas ao longo do caminho.
Artigo Original em Inglês: keyfactor
Dia Mundial da Preparação para a Era Quântica
Como a computação quântica transformará a segurança de TI
Computação Quântica: a próxima revolução tecnológica já é realidade
“O Problema dos Três Corpos”: explorando computação quântica e IA na série da Netflix
O QUE É CRIPTOGRAFIA?
A criptografia protege a segurança pessoal de bilhões de pessoas e a segurança nacional de países ao redor do mundo.
Criptografia de ponta-a-ponta (end-to-end encryption ou E2EE) é um recurso de segurança que protege os dados durante a troca de mensagens, de forma que o conteúdo só possa ser acessado pelos dois extremos da comunicação: o remetente e o destinatário.
Criptografia Simétrica utiliza uma chave única para cifrar e decifrar a mensagem. Nesse caso o segredo é compartilhado.
Criptografia Assimétrica utiliza um par de chaves: uma chave pública e outra privada que se relacionam por meio de um algoritmo. O que for criptografado pelo conjunto dessas duas chaves só é decriptografado quando ocorre novamente o match.
Criptografia Quântica utiliza algumas características fundamentais da física quântica as quais asseguram o sigilo das informações e soluciona a questão da Distribuição de Chaves Quânticas – Quantum Key Distribution.
Criptografia Homomórfica refere-se a uma classe de métodos de criptografia imaginados por Rivest, Adleman e Dertouzos já em 1978 e construída pela primeira vez por Craig Gentry em 2009. A criptografia homomórfica difere dos métodos de criptografia típicos porque permite a computação para ser executado diretamente em dados criptografados sem exigir acesso a uma chave secreta. O resultado de tal cálculo permanece na forma criptografada e pode, posteriormente, ser revelado pelo proprietário da chave secreta.
Crypto ID é o melhor canal brasileiro sobre Criptografia. Acesse agora a Coluna Criptografia. Se gostar. Compartilhe!
Por que os hackers adoram PKIs mal gerenciadas
Redtrust completa um ano no Brasil e participa da Mind The Sec com um estande e palestra
Criptografia forte é o padrão que mantém bilhões de pessoas seguras todos os dias
O Dia Mundial da Criptografia ocorre anualmente em 21 de outubro e nessa data a Global Encryption Coalition – Coalizão Global de Criptografia e seus associados promovem artigos para proteger e defender o uso da criptografia forte. A campanha é direcionada a organizações da sociedade civil, governos, empresas, tecnólogos e bilhões de usuários da Internet em todo o mundo. Este ano, o Crypto ID, representante do Brasil na coalizão, inicia sua campanha em setembro uma vez que criptografia é um dos principais temas com os quais trabalhamos. Quer participar dessa campanha com a gente? Escreva um artigo sobre criptografia e envie para nossa redação até dia 18 de outubro, mas quanto antes melhor! – redacao@cryptoid.com.br
#DiaGlobaldaCriptografia #Criptografia #SegurancaDigital #Privacidade #GlobalEncryptionCoalition #CryptoID #GlobalCryptoDay
Encryption safeguards the personal security of billions of people and the national security of countries around the world.
However, some governments and organization’s are pushing to weaken encryption, which would create a dangerous precedent that compromises the security of billions of people around the world. Actions in one country that undermine encryption threaten all of us.
With over 400 members distributed across every region of the world, the Global Encryption Coalition promotes and defends encryption in key countries and multilateral fora where it is under threat. It also supports efforts by companies to offer encrypted services to their users.
Crypto ID is a member of the Global Encryption Coalition and keep a column with their key articles. Please access here!
A criptografia protege a segurança pessoal de bilhões de pessoas e a segurança nacional de países ao redor do mundo.
No entanto, alguns governos e organizações estão pressionando para enfraquecer a criptografia, o que criaria um precedente perigoso que comprometeria a segurança de bilhões de pessoas em todo o mundo. Ações em um país que minam a criptografia ameaçam a todos nós.
Com mais de 400 membros distribuídos em todas as regiões do mundo, a Global Encryption Coalition promove e defende a criptografia em países-chaves e fóruns multilaterais onde ela está ameaçada. Ele também apoia os esforços das empresas que ofertam serviços criptografados a seus usuários.
Crypto ID é um dos membros do Global Encryption Coalition e mantém uma coluna com os principais artigos. Acesse aqui!