A criptografia assimétrica é a base para a segurança de inúmeros dados que circulam entre dispositivos e redes a todo momento
Por AET Europe – Parte 1 de 3
Nos próximos anos, as melhores práticas de criptografia evoluirão mais rápido e radicalmente do que nos últimos 40 anos somados. A mudança está chegando, e as empresas precisam agir agora para permanecerem seguras contra ameaças atuais e se prepararem dinamicamente para as futuras.
A confiança digital é a base de todos os negócios. Se os stakeholders não acreditarem que suas informações serão mantidas privadas e seguras, eles não as compartilharão.
Caso eles não compartilhem com você, será impossível acessar as eficiências operacionais, as novas camadas de serviço e os fluxos de receita que os dados podem possibilitar. Empresas com maior experiência em construir confiança eventualmente superarão as demais.
Não existe vantagem alguma em manter uma postura fraca em relação à confiança digital. Como líder empresarial, você é o guardião dos dados dos seus stakeholders e tem o dever de protegê-los. A importância dessa responsabilidade é evidente.
O que pode não estar tão evidente é se os padrões de confiança atualmente estabelecidos são suficientemente robustos para resistir às rápidas transformações do mundo digital. As ameaças estão evoluindo.
A computação quântica está correndo do laboratório para a realidade, e os sistemas criptográficos que protegem a confidencialidade, integridade e autenticidade de informações sensíveis há anos correm o risco de se tornarem obsoletos.
Simplesmente ter um modelo de confiança em vigor não é suficiente — ele precisa ser a estrutura certa e precisa ser implementado corretamente. Isso é algo que todo líder empresarial deveria pensar.
Neste artigo, parte 1 de uma série de 3 partes, vamos nos aprofundar nos fundamentos da criptografia: o que são, por que estão mudando, por que isso é importante e o que você pode fazer para se preparar.
A próxima transformação dos padrões criptográficos
Embora a maioria das pessoas não esteja ciente, a criptografia assimétrica (também conhecida como criptografia de chave pública) é a base para a segurança de inúmeros dados que circulam entre dispositivos e redes a todo momento.
A criptografia é responsável pelos bloqueios digitais que mantêm seus dados seguros e pelas assinaturas digitais que comprovam a identidade e a legitimidade dos inúmeros humanos e máquinas que se comunicam com sua organização.
A criptografia assimétrica funciona usando um par de chaves. A chave pública pode ser compartilhada com qualquer pessoa e é usada para criptografar dados, enquanto a chave privada permanece secreta e é usada para descriptografia. A etapa de criptografia é baseada em problemas matemáticos complexos.
Algoritmos como RSA e criptografia de curva elíptica (ECC, na sigla em inglês) oferecem segurança porque são demorados para resolver, e ainda mais à medida que o tamanho da chave aumenta. Então, conforme os métodos de descriptografia se tornam mais sofisticados, o tamanho mínimo de chave recomendado está aumentando: em janeiro de 2024, o BSI (Escritório Federal Alemão para Segurança da Informação, na sigla em inglês) reforçou suas diretrizes técnicas, exigindo um mínimo de 3000 bits para RSA.
Esse número se refere ao comprimento do módulo usado para calcular o par de chaves, então, no final das contas, é um jogo de números. Quanto maior o número, mais forte a criptografia. Mais dígitos, melhor proteção.
Desbloqueando o futuro: computação quântica e os limites da criptografia
Ao longo dos anos, os criptógrafos expandiram progressivamente o comprimento dessas chaves de cifra para criar a próxima geração de criptografia. Mas sempre há a pergunta: Onde está o limite? Em algum momento, as chaves se tornarão estranhamente grandes e difíceis de manejar, consumindo recursos computacionais excessivos e deixando os sistemas lentos.
Imagine ter uma fechadura na sua porta e uma chave no seu bolso para abri-la. Agora, e se você precisasse de uma chave que fosse 8 ou 16 vezes maior para abrir a porta? Ela se tornaria impossível de carregar (ou memorizar). Até recentemente, isso não era uma grande preocupação.
Em teoria, todos os algoritmos de criptografia são quebráveis por computadores convencionais, mas levaria tanto poder de computação e tempo para quebrar nossos algoritmos mais sofisticados que ninguém se preocupou muito. Mas agora, estamos à beira de um salto quântico no poder da computação.
E esses novos computadores quânticos permitirão que atores mal-intencionados realizem ataques criptográficos mais poderosos. Isso tem a ver com o algoritmo de Shor, um algoritmo quântico inovador para fatoração de inteiros que foi desenvolvido em 1994.
Ele mostrou o potencial dos computadores quânticos para quebrar algoritmos criptográficos muito, muito mais rápido do que os computadores clássicos. Ele só precisava de computadores paralelos para rodar — mas, naquela época, não havia nenhum.
Os computadores quânticos, que estão próximos de se tornarem uma realidade, operam de forma altamente paralela. Assim, o algoritmo de Shor, combinado com os avançados computadores quânticos, sinaliza o início de uma nova era de complexidade em ameaças criptográficas.
Criptografia contra o relógio
Quando os computadores quânticos forem uma realidade, eles serão capazes de fazer em segundos o que um computador clássico levaria dezenas de milhares de anos para fazer — o que significa que todos os nossos algoritmos criptográficos podem ser quebrados em questão de minutos.
Isso desvenda os fundamentos da criptografia. Não será suficiente simplesmente adicionar mais dígitos às chaves; os próprios algoritmos devem mudar para se tornarem resistentes ao quantum. No momento, a corrida é para desenvolver novos algoritmos.
O Instituto Nacional de Padrões e Tecnologia dos Estados Unidos (NIST, na sigla em inglês) realizou uma chamada aberta para inscrições e está atualmente revisando os candidatos. Uma vez que um novo padrão seja acordado, ele será padronizado e implementado em uma ampla variedade de plataformas e aplicativos.
Mas não será como as chaves em que você confiava anteriormente. Isso significa que será necessário planejar e, potencialmente, reestruturar seus processos para estarem preparados para receber, armazenar e utilizar os novos algoritmos.
Você deve esperar até que a criptografia quântica segura esteja disponível?
Definitivamente não. Eis os motivos:
- Quando a criptografia quebra, credenciais podem ser roubadas e informações podem ser interceptadas. Na verdade, informações podem ser coletadas hoje para serem descriptografadas no futuro, o que significa que você não pode se dar ao luxo de adiar a solução.
- Pode levar anos para atualizar todos os sistemas que dependem de criptografia obsoleta. Toda vez que você muda um fundamento de criptografia, você abre uma caixa de Pandora. Você encontra sistemas legados que são codificados para funcionar apenas com esquemas obsoletos. Você descobre que alguns produtos funcionam melhor com um tipo de criptografia e outros funcionam melhor com outro. Você pode descobrir que alguns de seus aplicativos têm componentes que não podem usar o novo algoritmo, ou que você precisa substituir aplicativos ou processos de negócios completamente. Auditar suas exposições leva tempo.
- Como computadores quânticos completos, grandes o suficiente para atacar chaves atuais, ainda não existem, e é impossível realizar testes no mundo real, espera-se que hajam muitas tentativas e erros antes de sabermos se nossos novos algoritmos de segurança quântica resistirão à pressão. Por um período indefinido, existiremos em um estado de limbo, presos entre algoritmos novos e não comprovados e algoritmos comprovados, mas, em última análise, condenados.
Então o que você pode fazer diante de toda essa incerteza? Duas coisas: torne-se cripto-ágil e coloque sua casa em ordem para as mudanças radicais que virão.
Agilidade criptográfica: por que ser adaptável é importante
Ser cripto-ágil significa ser capaz de mudar para um novo algoritmo, sem a necessidade de reescrever aplicativos ou implantar novos sistemas de hardware. Então, você está sempre usando a criptografia que é melhor para uma dada circunstância.
Indo um passo além, significa que você tem controle total sobre suas operações criptográficas. Você pode escolher quais algoritmos usar para se afastar dos riscos com o mínimo de esforço manual.
A agilidade criptográfica oferece uma infinidade de benefícios, incluindo conformidade aprimorada conforme os padrões e regulamentações evoluem, proteção futura aprimorada e interrupção mínima dos negócios conforme você atualiza com segurança para criptografia pós-quântica em um período razoável. Alcançar agilidade criptográfica não é difícil, mas também não é trivial.
Pode levar anos para atualizar tudo (dependendo da sua organização, do número de aplicativos legados que você tem, de como seus algoritmos são incorporados e das limitações da sua infraestrutura). Mas isso ainda é menos disruptivo do que codificar um novo algoritmo, apenas para ser forçado a atualizá-lo novamente em alguns anos.
Preparando Seus Processos para a Cripto-Agilidade e Criptografia Pós-Quântica
A transição para sistemas cripto-ágil e, eventualmente, para a criptografia pós-quântica começa com a identificação clara dos sistemas e processos de negócios que precisam ser preparados para o futuro. Aqui está um roteiro para guiá-lo:
- Identificar Fundamentos Criptográficos: Avalie onde identidades digitais, certificados de assinatura digital e bibliotecas de criptografia estão em vigor. Faça um inventário detalhado de seus recursos criptográficos para identificar sistemas vulneráveis a ataques quânticos, priorizando-os para atualizações.
- Determinar Casos de Uso: Avalie as necessidades de proteção de dados a longo prazo, especialmente para entidades governamentais, setor de saúde e indústrias com longas durações de produtos. Organizações que necessitam manter segredos por longos períodos devem implementar a cripto-agilidade o mais rápido possível para proteger os dados atuais contra ataques quânticos futuros. Por outro lado, para informações sensíveis de curto prazo, os cronogramas de transição podem ser mais flexíveis.
- Antecipar Obstáculos Práticos: Por exemplo, se os códigos QR em telefones estão planejados para verificação de identidade, mas os telefones não são permitidos no chão da fábrica, qual é o Plano B? Isso precisa ser resolvido antes que novas plataformas e aplicativos sejam implementados.
- Aprimorar a Confiança Digital de Forma Criativa: Em situações críticas, como serviços médicos de emergência, se um paramédico leva 20 minutos para verificar sua identificação para acessar os registros médicos do paciente, isso pode ser fatal. Verificar a identidade digital no início do turno permite acesso ininterrupto aos sistemas necessários, destacando a importância de soluções tecnológicas criativas.
O Essencial
A mudança é inevitável, mas a adaptação não é uma abordagem única para todos. Adapte soluções criptográficas aos seus fluxos de trabalho únicos, potencialmente começando com um projeto piloto para avaliar a eficácia e identificar obstáculos.
Esta fase de planejamento é sua oportunidade para entender os fundamentos da criptografia e testar práticas seguras contra ataques quânticos em um ambiente seguro. Quando a ameaça se materializar – e é uma questão de “quando”, não de “se” – você estará preparado.
Especialistas da AET estão aqui para ajudá-lo a se preparar para essa transição essencial.
Entre em contato com a AET – https://aeteurope.com/contact
Fonte: AET Europe: Are You Doing Digital Trust Right?
AET Europe é líder global na área de soluções de segurança digital.
Fundada em 1998, é especializa na criação de soluções seguras em identificação, autenticação, assinatura digital, consentimento e gerenciamento de credenciais
Fornecemos soluções de segurança para identificação de usuários, autenticação e assinaturas digitais. Outras informações https://aeteurope.com
Leia outros excelentes artigos da AET Europe aqui!
O Crypto ID é a maior fonte de consulta sobre criptografia no Brasil e na América Latina
Criptografia forte é o padrão que mantém bilhões de pessoas, empresas e nações seguras todos os dias
O Crypto ID é a sua porta de entrada para o mundo fascinante da criptografia, com conteúdos que exploram desde os fundamentos da cripto-agil até as mais recentes inovações em criptografia pós-quântica a geração de chaves baseada em fenômenos quânticos com o comportamento de partículas subatômicas.
Acesse agora a Coluna Criptografia e mantenha-se atualizado sobre as últimas tendências em segurança da informação. Gostou? Compartilhe com seus amigos e colegas!
Ao anunciar no CRYPTO ID, sua organização contribui para a divulgação de inovações tecnológicas que visam agregar segurança ao relacionamento entre empresas e indivíduos no ambiente eletrônico para possibilitar transações eletrônicas seguras e confiáveis em ambientes públicos e privados.
By advertising with CRYPTO ID, your organization contributes to the dissemination of technological innovations that enable secure and reliable electronic transactions between businesses and individuals.
Fale com a gente: +55 11 3881-0053 ou contato@cryptoid.com.br