Especial Crypto ID
A publicação da Instrução Normativa ITI nº 35, de 30 de janeiro de 2026, representa um dos movimentos recentes mais relevantes da história da Infraestrutura de Chaves Públicas Brasileira. Não se trata de uma simples atualização técnica ou de uma revisão pontual de algoritmos. A norma consolida uma mudança estrutural no modelo criptográfico que sustenta a confiança digital no país, com impactos diretos sobre governo, empresas, infraestrutura crítica e todo o ecossistema de identidade digital.
Ao atualizar o documento Padrões e Algoritmos Criptográficos da ICP-Brasil para a versão 6.0 e alinhar integralmente os volumes I e II do Manual de Condutas Técnicas nº 7, o Instituto Nacional de Tecnologia da Informação sinaliza uma transição clara de postura regulatória. A ICP-Brasil deixa de operar sob uma lógica predominantemente reativa e passa a adotar uma estratégia de antecipação tecnológica alinhada às principais referências internacionais.
O elemento mais simbólico da Instrução Normativa ITI nº 35/2026 é a incorporação explícita de algoritmos criptográficos pós-quânticos, como ML-DSA e ML-KEM, conforme os padrões definidos no contexto do NIST.
Algoritmos criptográficos pós-quânticos
Algoritmos criptográficos pós-quânticos são métodos de criptografia desenvolvidos para resistir a ataques realizados por computadores quânticos, que no futuro poderão quebrar com eficiência muitos dos algoritmos criptográficos clássicos atualmente utilizados, como RSA e ECC.
Diferentemente da criptografia tradicional, esses algoritmos são baseados em problemas matemáticos considerados difíceis tanto para computadores clássicos quanto para computadores quânticos. No contexto da Instrução Normativa ITI nº 35/2026, destacam-se o ML-DSA, um esquema de assinatura digital pós-quântico padronizado no âmbito do NIST e baseado em criptografia de reticulados, e o ML-KEM, um mecanismo de encapsulamento de chaves também baseado em reticulados, utilizado para estabelecer chaves criptográficas de forma segura em ambientes suscetíveis a ataques quânticos. Esses algoritmos foram projetados para garantir a confidencialidade, a integridade e a autenticidade das informações no longo prazo, mesmo diante da evolução da computação quântica
A IN ITI nº 35/2026, posiciona o Brasil entre as poucas jurisdições que já converteram discussões teóricas sobre computação quântica em diretrizes normativas concretas. A norma reconhece que a ameaça quântica não é apenas futura, mas presente, na medida em que dados criptografados hoje podem ser coletados, armazenados e quebrados posteriormente.
Ao permitir algoritmos resistentes a esse cenário, a ICP-Brasil passa a proteger não apenas transações atuais, mas a confidencialidade de longo prazo das informações.
A atualização normativa também consolida o uso de curvas elípticas modernas, como Ed25519, Ed448 e Curve25519, que passam a coexistir de forma madura com RSA e Brainpool. Essa escolha vai além da criptografia em sentido estrito e reflete uma preocupação operacional. Curvas modernas oferecem melhor desempenho, menor custo computacional e maior aderência a ambientes baseados em automação, APIs, aplicações distribuídas e serviços digitais em larga escala, que hoje definem o padrão de funcionamento da economia digital.
Formalização dos certificados digitais do tipo Selo Eletrônico e Aplicações Específicas.
Outro avanço estrutural trazido pela norma é a formalização dos certificados digitais do tipo Selo Eletrônico e Aplicações Específicas. Esse movimento reconhece, no plano regulatório, que a confiança digital não pode mais estar restrita à identidade da pessoa física.
Sistemas, aplicações e processos automatizados também precisam de identidade criptográfica própria para assinar, autenticar e garantir integridade de forma contínua. Trata-se de um passo essencial em um contexto marcado por governo digital, plataformas transacionais, integração entre sistemas e uso crescente de agentes automatizados.
Manual de Condutas Técnicas nº 7
A atualização do Manual de Condutas Técnicas nº 7 reforça esse novo paradigma ao tornar obrigatório que os algoritmos suportados por qualquer objeto em avaliação estejam alinhados à versão vigente do DOC-ICP-01.01. Isso impacta diretamente fornecedores de HSMs, desenvolvedores de software de assinatura, plataformas de carimbo do tempo, soluções de validação e sistemas de identidade digital. A mensagem regulatória é clara: a manutenção de arquiteturas legadas sem planejamento de evolução deixa de ser aceitável.
A revogação expressa da Instrução Normativa ITI nº 04, de 2011, encerra simbolicamente uma era. Aquela norma foi concebida em um contexto tecnológico anterior à consolidação da computação em nuvem, da automação em larga escala, das APIs e da inteligência artificial. Ao revogá-la, o ITI sinaliza que a ICP-Brasil reconhece a confiança digital como infraestrutura estratégica de Estado, sujeita a evolução contínua e alinhamento com o cenário global.
Planejamento tecnológico
Para executivos e tomadores de decisão, a Instrução Normativa ITI nº 35/2026 deve ser interpretada como um marco estratégico e não apenas como uma exigência de conformidade. Ela impacta diretamente o planejamento tecnológico, a gestão de riscos, os ciclos de investimento e as relações com fornecedores. Organizações que operam com dados sensíveis, transações críticas ou prazos longos de guarda da informação precisam considerar desde já estratégias de convivência entre algoritmos clássicos e pós-quânticos, preparando-se para uma transição gradual e controlada.
Há também um componente competitivo relevante. Empresas que se anteciparem à curva regulatória tendem a ganhar vantagem em mercados regulados, licitações públicas e parcerias internacionais, onde maturidade criptográfica e aderência a padrões globais são critérios cada vez mais valorizados. A questão central para o nível executivo deixa de ser se a norma já é obrigatória em todos os casos e passa a ser qual é o risco estratégico de não estar preparado para esse novo cenário.
Do ponto de vista internacional, a Instrução Normativa ITI nº 35/2026 aproxima o Brasil das principais referências globais em confiança digital. O alinhamento técnico com o NIST é evidente na adoção dos algoritmos pós-quânticos, facilitando interoperabilidade futura e reduzindo o risco de isolamento tecnológico. Já a convergência com o modelo europeu, representado pelo eIDAS, ocorre no plano conceitual, ao reforçar o papel do Selo Eletrônico, das identidades de sistemas e da longevidade criptográfica como elementos centrais da infraestrutura de confiança.
Embora os modelos institucionais sejam distintos, a direção estratégica é convergente. O Brasil mantém sua arquitetura própria, baseada na ICP-Brasil como infraestrutura centralizada de confiança, mas demonstra capacidade de evoluir tecnicamente sem perder coerência regulatória. Com a IN ITI nº 35/2026, o país deixa de ser mero consumidor de padrões internacionais e passa a se posicionar como participante ativo na transição global para a criptografia pós-quântica.
A norma não encerra um debate, mas inaugura um novo ciclo.
Um ciclo em que confiança digital deixa de ser tratada como detalhe técnico e passa a ocupar o lugar de infraestrutura crítica para o funcionamento do Estado, do mercado e da sociedade digital.
Segue a norma na íntegra
Diário Oficial da União
Publicado em: 03/02/2026 | Edição: 23 | Seção: 1 | Página: 1
Órgão: Presidência da República/Casa Civil/Comitê Gestor da Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil
INSTRUÇÃO NORMATIVA ITI Nº 35, DE 30 DE JANEIRO DE 2026
Acrescenta novos algoritmos criptográficos e os certificados digitais dos tipos Selo Eletrônico e Aplicações Específicas ao documento Padrões e Algoritmos Criptográfico da ICP-Brasil – DOC-ICP-01.01. e atualiza o Manual de Condutas Técnicas nº 7.
O DIRETOR-PRESIDENTE DO INSTITUTO NACIONAL DE TECNOLOGIA DA INFORMAÇÃO, no uso das atribuições que lhe foram conferidas pelo inciso VI do art. 13 do anexo I do Decreto n° 12.103, de 8 de julho de 2024, pelo art. 1º da Resolução n° 33 do Comitê Gestor da ICP-Brasil, de 21 de outubro de 2004, e pelo art. 2° da Resolução n° 163 do Comitê Gestor da ICP-Brasil, de 17 de abril de 2020, resolve:
Art. 1º Esta Instrução Normativa altera o documento Padrões e Algoritmos Criptográficos da ICP-Brasil (DOC-ICP-01.01), consolidado pela Instrução Normativa ITI nº 22, de 23 de março de 2022, para acrescentar novos algoritmos criptográficos e os certificados digitais dos tipos Selo Eletrônico e Aplicações Específicas e atualiza a menção aos algoritmos criptográficos nos volumes I e II do Manual de Condutas Técnicas nº 7.
Art. 2ºO Anexo da Instrução Normativa ITI nº 22, de 23 de março de 2022, (DOC-ICP 01.01) passa a vigorar com as seguintes alterações:
“2.1 ………………………………………………………………………………………………………………..
| Geração de Chaves Assimétricas de AC | |
| …………………….. | ……………………………… |
| Algoritmo | RSA ou ECC-Brainpool (conforme RFC 5639) ou Ed448-Goldilocks (PureEdDSA e HashEdDSA, conforme RFC 8032) ou E-521 (Conforme parâmetros da curva estabelecidos neste DOC-ICP-01.01, PureEdDSA e HashEdDSA, conforme RFC 8032), ou ML-DSA (conforme FIPS 204). |
| Tamanho de chave | RSA 4096 ou brainpoolP512r1 ou Ed448 (448 bits) ou E-521 (521 bits) ou ML-DSA-(65 ou 87) |
| Geração de Chaves Assimétricas de Usuário Final | |
| …………………….. | ……………………………… |
| Algoritmo | RSA ou ECC-Brainpool (conforme RFC 5639) ou Curve25519 (Conforme RFC 7748) ou Ed25519 (PureEdDSA e HashEdDSA, conforme RFC 8032) ou Ed448-Goldilocks (PureEdDSA e HashEdDSA, conforme RFC 8032) ou E-521 (Conforme parâmetros da curva estabelecidos neste DOC-ICP-01.01, PureEdDSA e HashEdDSA, conforme RFC 8032) ou ML-DSA |
| Tamanho de chave A1, A2, A3, A CF-e-SAT, S1, S2, S3, T3, OM-BR, SE-S, SE-H, AE-S, AE-H | RSA 2048 ou brainpoolP256r1 ou Curve25519 (256 bits) ou Ed25519 (256 bits) ou Ed448 (448 bits) ou E-521 (521 bits) ou ML-DSA-44 |
| Tamanho da chave A4, S4, T4, SE-H (para curvas elípticas) | RSA 2048 ou RSA 4096 ou brainpoolP512r1 ou Curve25519 (256 bits) ou Ed25519 (256 bits) ou Ed448 (448 bits) ou E-521 (521 bits) ou ML-DSA-44 |
| Assinatura de Certificados de AC | |
| …………………….. | ……………………………… |
| Suíte de Assinatura | sha512WithRSAEncryptionsha512WithECDSAEncryptionid-Ed448, id-Ed521id-Ed448ph, id-Ed521phid-ml-dsa-65, id-ml-dsa-87 |
| Assinatura de Certificados de Usuário Final | |
| …………………….. | ……………………………… |
| Suíte de Assinatura | sha256WithRSAEncryptionsha256WithECDSAEncryptin |
| sha512WithRSAEncryptionsha512WithECDSAEncryption | |
| id-Ed25519, id-Ed448, id-Ed521id-Ed25519ph, id-Ed448ph, id-Ed521phid-ml-dsa-44 | |
| Assinatura de Listas de Certificados Revogados e Respostas OCSP | |
| …………………….. | ……………………………… |
| Algoritmo de Assinatura | sha256WithRSAEncryptionsha256WithECDSAEncryption |
| sha512WithRSAEncryptionsha512WithECDSAEncryption | |
| id-Ed448, id-Ed521id-Ed448ph, id-Ed521phid-ml-dsa-65, id-ml-dsa-87 | |
| Guarda da Chave Privada da Entidade Titular e de seu Backup | |
| …………………….. | ……………………………… |
| Algoritmo e Tamanho de chave | 3DES – 112 bitsAES – 128 ou 256 bitsML-KEM-768 ou 1024 |
| …………………….. | ……………………………… |
| Assinaturas Digitais ICP-Brasil | |
| ……………………………………………. | ……………………………………………………………… |
| Suíte de Assinatura | sha256WithRSAEncryptionsha256WithECDSAEncryption |
| sha512WithRSAEncryptionsha512WithECDSAEncryption | |
| id-Ed25519, id-Ed448, id-Ed521id-Ed25519ph, id-Ed448ph, id-Ed521phid-ml-dsa-44 | |
| Assinatura de Pedidos e Respostas de Carimbos do Tempo | |
| ……………………………………………. | ……………………………………………………………… |
| Suíte de Assinatura | sha256WithRSAEncryptionsha256WithECDSAEncryption |
| sha512WithRSAEncryptionsha512WithECDSAEncryption | |
| id-Ed25519, id-Ed448, id-Ed521id-Ed25519ph, id-Ed448ph, id-Ed521phid-ml-dsa-44 | |
| Esquemas de Acordos de Chaves |
| ……………………………………………….. |
| ML-KEM-512 |
| ML-KEM-768 |
| ML-KEM-1024 |
| Esquema de Envelopes Criptográficos |
| …………………………………………………………………….. |
| aes128WithMLKEM512Encryption |
| aes256WithMLKEM768Encryption |
| aes256WithMLKEM1024Encryption |
Art. 3ºO volume I do Manual de Condutas Técnicas nº 7 – MCT 7 passa a vigorar com as seguintes alterações:
“REQUISITO III.1.13: Com relação aos algoritmos criptográficos obrigatórios suportados no objeto em avaliação, devem ser considerados aqueles aplicáveis definidos na versão corrente do documento denominado “PADRÕES E ALGORITMOS CRIPTOGRÁFICOS DA ICP-BRASIL – DOC ICP-01.01”.
Art. 4º O volume II do Manual de Condutas Técnicas nº 7 – MCT 7 passa a vigorar com as seguintes alterações:
“REQUISITO III.1.13: Com relação aos algoritmos criptográficos obrigatórios suportados no objeto em avaliação, devem ser considerados aqueles aplicáveis definidos na versão corrente do documento denominado “PADRÕES E ALGORITMOS CRIPTOGRÁFICOS DA ICP-BRASIL – DOC ICP-01.01”.
Art. 5ºFicam aprovadas:
I – a versão 6.0 do Documento Padrões e Algoritmos Criptográficos da ICP-Brasil (DOC-ICP-01.01); e
II – a versão 2.3 dos volumes I e II do Manual de Condutas Técnicas nº 7 – MCT 7.
Parágrafo único. A identificação da versão do DOC-ICP-01.01 deverá ser atualizada no preâmbulo e incluída no controle de versões do anexo da Instrução Normativa ITI nº 22, de 23 de março de 2022.
Art. 6º Fica revogada a Instrução Normativa ITI n° 04, de 09 de novembro de 2011.
Art. 7º Esta Instrução Normativa entra em vigor na data de sua publicação.
ENYLSON FLAVIO MARTINEZ CAMOLESI
Este conteúdo não substitui o publicado na versão certificada.
Fonte: Instrução Normativa ITI nº 35, de 30 de janeiro de 2026
Criptografia: o código invisível que protege o futuro digital do Brasil
Criptografia como infraestrutura crítica: o novo centro da cibersegurança em 2026
Privacidade de Dados: O que sustenta a confiança na economia digital
Sobre o ITI
O Instituto Nacional de Tecnologia da Informação ITI, é dirigido por Enylson Camolesi, Diretor Presidente desde 12 de dezembro de 2023. O ITI foi criado a partir do Art. 12 da Medida Provisória n° 2.200-2, de 24 de agosto de 2001. Atualmente o ITI é vinculado ao Ministério da Gestão e da Inovação em Serviços Públicos, com a finalidade de ser a Autoridade Certificadora Raiz (AC Raiz) da Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil).
Conheça algumas das principais empresas do ecossistema da ICP-Brasil. AET EUROPE | ASSINATURA CERTA | BRY TECNOLOGIA | CERTIFICA | DINAMO Networks | DOC9 | QUALITYCERT | SAFEWEB | SOLUTI | SYNGULAR ID | V/CERT | ZAPSIGN |
Leia a coluna exclusiva sobre a ICP-Brasil!
Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil
O modelo adotado pelo Brasil foi o de certificação com raiz única, sendo que o ITI, além de desempenhar o papel de Autoridade Certificadora Raiz – AC-Raiz, também tem o papel de credenciar e descredenciar os demais participantes da cadeia, supervisionar e fazer auditoria dos processos.
Uma Infraestrutura de Chaves Públicas estabelece padrões técnicos e regulatórios que permitem a interoperabilidade dos certificados digitais para autenticação, assinatura e criptografia. Seguem padrões regulatórios e técnicos universais que compõem essa cadeia de confiança que pela solidez e rigoroso controle gera na utilização dos Certificados Digitais evidências matemáticas que garantem autoria, integridade, autenticidade, qualificação, confidencialidade e temporalidade para o não repúdio dos atos praticados no meio eletrônico e os ativos eletrônicos a eles relacionados.
O certificado digital é conjunto de dados, gerados por uma Autoridade Certificadora – AC após a validação das credenciais do titular que é realizada por uma Autoridade de Registro – AR o que garante ao certificado o caráter personalíssimo. O titular do certificado digital pode ser pessoa física, pessoa jurídica e também pode ser emitido para equipamentos e para aplicações.
A Infraestrutura de Chaves Públicas – ICP, é o conjunto de normas e requesitos técnicos. Os requisitos englobam a homologação de hardwares e softwares e envolvem, da mesma forma, o complexo conjunto de procedimentos relacionados ao ciclo de vida dos certificados digitais. No Brasil é denominada Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil.
Qual é a estrutura da ICP-Brasil?
A ICP-Brasil é composta por uma cadeia de autoridades certificadoras, formada por uma Autoridade Certificadora Raiz (AC-Raiz), Autoridades Certificadoras (AC) e Autoridades de Registro (AR) e, ainda, por uma autoridade gestora de políticas, ou seja, o Comitê Gestor da ICP-Brasil. Existem ainda outros tipos de entidades como a Autoridade de Carimbo do Tempo, Entidade Emissora de Atributo, Prestador de Serviço de Suporte e Prestador de Serviços de Confiança.
Criptografia Forte é o Padrão que Mantém Bilhões de Pessoas Seguras Todos os Dias
O Crypto ID defende a criptografia forte como padrão para proteger a segurança de pessoas, empresas e nações. Leia mais sobre Criptografia e mantenha-se atualizado.
Acesse e Compartilhe o Ebook AES, O Guardião dos Segredos Digitais
