Cloudflare mira segurança pós-quântica completa até 2029

 (blog.cloudflare.com)
5 pontos por GN⁺ 22 일 전 | 1 comentários | Compartilhar no WhatsApp
  • A Cloudflare estabeleceu a meta de migrar toda a autenticação e criptografia de seus produtos para segurança pós-quântica até 2029 e está acelerando seu cronograma de preparação para o Q-Day (o momento em que computadores quânticos conseguirem quebrar a criptografia atual)
  • Atualmente, mais de 65% do tráfego já usa criptografia pós-quântica, mas a empresa afirma que a proteção completa é impossível se os sistemas de autenticação não forem seguros contra ataques quânticos
  • Pesquisas do Google e da Oratomic indicam que o avanço da capacidade de quebra criptográfica por computadores quânticos está mais rápido do que o esperado, levantando a possibilidade de o Q-Day chegar antes de 2030
  • A Cloudflare definiu como prioridade máxima garantir a segurança quântica de seus sistemas de autenticação e está promovendo a transição de segurança em toda a sua linha de produtos com marcos graduais
  • Todos os upgrades pós-quânticos serão oferecidos gratuitamente independentemente do plano, reforçando a missão da Cloudflare de “ajudar a construir uma Internet melhor

Meta da Cloudflare de alcançar segurança pós-quântica completa até 2029

  • A Cloudflare definiu a meta de migrar toda a sua linha de produtos para segurança pós-quântica (PQ) até 2029, incluindo a área de autenticação (Authentication)
  • Após começar a oferecer certificados SSL gratuitos em 2014, a empresa iniciou os preparativos para a transição pós-quântica em 2019 e, em 2022, aplicou criptografia pós-quântica a todos os sites e APIs
  • Hoje, mais de 65% do tráfego da Cloudflare usa criptografia pós-quântica, mas a empresa destaca que a proteção completa é impossível se os sistemas de autenticação não forem seguros contra ataques quânticos
  • Pesquisas recentes do Google e da Oratomic mostraram que o ritmo de avanço da capacidade de quebra criptográfica por computadores quânticos está mais rápido do que o esperado, levantando a possibilidade de o Q-Day (o dia em que computadores quânticos quebrarem a criptografia atual) chegar antes de 2030
  • Diante disso, a Cloudflare está acelerando seu cronograma interno de preparação para o Q-Day e promovendo uma transição de segurança centrada nos sistemas de autenticação

Avanços em computação quântica e aceleração do Q-Day

  • O Google anunciou que melhorou significativamente o desempenho de algoritmos quânticos capazes de quebrar criptografia de curva elíptica (ECC) e, sem divulgar o algoritmo em si, provou sua existência com Zero-Knowledge Proof
  • No mesmo dia, a Oratomic publicou estimativas de recursos necessários para quebrar RSA-2048 e P-256 em computadores quânticos baseados em átomos neutros (Neutral Atom), afirmando que, no caso do P-256, isso seria possível com apenas 10 mil qubits
  • Ficou mais claro por que o Google também desenvolve em paralelo a abordagem de átomos neutros, e a Oratomic manteve deliberadamente alguns detalhes em sigilo
  • Com isso, o Google antecipou sua própria meta de transição pós-quântica para 2029, e o CTO do IBM Quantum Safe comentou que não é possível descartar a possibilidade de um “moonshot attack” contra alvos de alto valor por volta de 2029
  • Scott Aaronson alertou no fim de 2025 que estava chegando o momento em que estimativas de recursos para quebra criptográfica quântica deixariam de ser divulgadas publicamente, e a Cloudflare avalia que “esse momento já passou”

Os três eixos do avanço dos computadores quânticos

  • Hardware: várias abordagens vêm sendo desenvolvidas em paralelo, como átomos neutros, supercondutores, armadilhas de íons, fótons e qubits topológicos
    • No passado havia dúvidas sobre a escalabilidade, mas recentemente a abordagem com átomos neutros avançou mais rapidamente
    • A expansão em larga escala ainda não foi comprovada, mas várias abordagens estão se aproximando de um ponto crítico
  • Correção de erros (Error Correction): todos os computadores quânticos têm muito ruído, então códigos de correção de erros são essenciais
    • Na abordagem supercondutora, são necessários cerca de 1.000 qubits físicos para 1 qubit lógico, mas a Oratomic afirma que na abordagem com átomos neutros isso pode ser feito com apenas 3 a 4
  • Software: o Google aumentou significativamente a velocidade do algoritmo de quebra do P-256, e a Oratomic apresentou melhorias adicionais otimizadas para qubits reconfiguráveis
  • Com o avanço simultâneo nesses três eixos, a previsão do Q-Day foi encurtada de depois de 2035 para antes de 2030

Necessidade de uma transição de segurança centrada em autenticação

  • A resposta da indústria ao pós-quântico até agora esteve focada principalmente em criptografia (Encryption) e na defesa contra ataques Harvest-Now/Decrypt-Later (HNDL)
  • Em um ataque HNDL, os dados são coletados agora para serem descriptografados no futuro por um computador quântico, sendo essa a principal ameaça quando o Q-Day ainda parece distante
  • Porém, quando o Q-Day se aproxima, os sistemas de autenticação passam a representar um risco maior, pois invasores podem falsificar servidores ou credenciais de acesso
  • A exposição de uma única chave de autenticação vulnerável ao quântico pode comprometer todo o sistema, e sistemas de atualização automática podem se tornar um caminho para execução remota de código (RCE)
  • Portanto, a pergunta mais importante deixa de ser “quando os dados criptografados estarão em risco?” e passa a ser “quando invasores entrarão com chaves quânticas falsificadas?

  • Prioridade para os sistemas mais vulneráveis

    • Como os primeiros computadores quânticos serão caros e escassos, os invasores devem mirar primeiro certificados raiz, chaves de API e certificados de assinatura de código, que têm alto valor
    • Quanto maior o custo de ataque, maior a prioridade das chaves de longa duração, mas, quando surgirem CRQCs rápidos (computadores quânticos criptograficamente relevantes), os ataques HNDL voltarão a ser mais vantajosos
    • Sophie Schmieg, do Google, comparou isso à mudança estratégica na quebra da Enigma durante a Segunda Guerra Mundial

  • Prevenção de ataques de downgrade

    • Não basta oferecer suporte a criptografia PQ; é preciso desativar completamente os algoritmos vulneráveis ao quântico
    • Em ambientes como a web, com grande diversidade de clientes, é difícil desativá-los por completo
    • No HTTPS, há proteção parcial possível com PQ HSTS ou Certificate Transparency
    • Depois de remover toda a criptografia vulnerável ao quântico, é preciso trocar segredos já expostos, como senhas e tokens
    • A transição da autenticação é muito mais complexa do que a da criptografia e exige um período de migração de vários anos

  • Consideração sobre dependências de terceiros

    • O Q-Day afeta todos os sistemas, então é necessário avaliar não só parceiros com comunicação direta, mas também dependências indiretas, como finanças e infraestrutura
    • É necessário priorizar a substituição de chaves de longa duração, cooperar com terceiros e promover uma transição simultânea de todo o ecossistema

Roteiro pós-quântico da Cloudflare

  • Hoje, a Cloudflare já aplica criptografia pós-quântica por padrão na maioria dos produtos, mitigando ataques HNDL
  • A empresa tem como meta alcançar segurança pós-quântica completa em toda a linha de produtos, incluindo autenticação, até 2029
  • Foram definidos marcos intermediários por etapa com base na percepção de risco e na dificuldade de implantação, que poderão ser ajustados conforme a situação

Recomendações por tipo de organização

  • Empresas

    • É recomendável incluir suporte pós-quântico como requisito de aquisição
    • Boas práticas básicas de segurança, como manter software atualizado e automatizar a emissão de certificados, continuam sendo importantes
    • É preciso avaliar cedo o impacto para o negócio caso fornecedores críticos não estejam preparados

  • Governo e reguladores

    • Apresentar um cronograma claro e designar um órgão líder acelera a transição em toda a indústria
    • Como a fragmentação de padrões entre países é um fator de risco, é necessário seguir de forma consistente padrões internacionais
    • Mais do que gerar medo, o importante é exercer liderança proativa de transição baseada em confiança

  • Clientes da Cloudflare

    • Como a Cloudflare aplica segurança pós-quântica automaticamente por padrão, não é necessária nenhuma ação separada
    • Ainda assim, pode haver necessidade de atualizar componentes externos como navegadores, aplicações e servidores de origem
    • O Cloudflare One oferece proteção de criptografia pós-quântica de ponta a ponta por meio de tunelamento

Filosofia da Cloudflare e política de oferta gratuita

  • Privacidade e segurança são elementos fundamentais da Internet, e todos os upgrades pós-quânticos serão oferecidos gratuitamente a clientes de todos os planos
  • Assim como o TLS gratuito ajudou a disseminar a criptografia na web, a criptografia pós-quântica gratuita deverá impulsionar a segurança da próxima geração da Internet
  • A Connectivity Cloud da Cloudflare oferece suporte para proteger redes corporativas, criar aplicações em grande escala, acelerar o desempenho web, defender contra DDoS e implementar zero trust
  • Usuários podem acessar uma Internet mais rápida e segura com o app 1.1.1.1
  • Com base em sua missão de “ajudar a construir uma Internet melhor”, a Cloudflare lidera a segurança na era pós-quântica

Leituras relacionadas

1 comentários

 
GN⁺ 22 일 전
Comentários do Hacker News

  • Seria interessante comparar o processo de adoção da criptografia PQ (resistente a quântica) com a antiga disseminação do HTTPS
    A Cloudflare está em uma posição que facilita essa transição, porque consegue separar o ciclo de atualização do navegador ou do dispositivo do usuário das atualizações de backend
    Imagino que o processo aconteça com alguns sites adotando PQ de forma opcional e, à medida que isso se torne obrigatório, os navegadores conduzam os usuários à mudança por meio de avisos ou indução baseada em UX
    Antes eu achava que “o risco de uma atualização apressada era maior do que o risco de um ataque quântico”, mas com as informações recentes o peso passou para o lado de que uma transição rápida é melhor
    Acho que atualizar websites será muito mais fácil do que outros sistemas, especialmente Bitcoin, dados armazenados, hardware etc.

    • Se surgir uma prova real da existência de um computador quântico, os navegadores poderiam marcar criptografia não-PQ como “não segura” e forçar a migração dos sites
      Talvez isso pudesse acontecer em 2 ou 3 anos, trocando apenas a especificação criptográfica em novas versões como TLS 1.4 ou QUIC 2
      O problema é que muitos dispositivos antigos, sem atualizações de firmware há anos, podem não suportar os novos protocolos e acabar perdendo conectividade em massa
    • Se esperar agora, depois vai ter que correr mais
      O Cloudflare Radar adicionou estatísticas de suporte a PQ nos servidores de origem; o nível ainda é menor do que no navegador, mas está melhor do que eu esperava
      Ainda há um longo caminho pela frente, inclusive em questões de autenticação
    • Entre os sistemas mais difíceis de atualizar do que websites, não dá para deixar de citar a transição para IPv6

  • Dá para fazer consultas PQ diretamente no nosso serviço qi.rt.ht
    É possível verificar quais domínios já têm segurança PQ aplicada

    • Acho que é uma API realmente linda

  • No teste de TLS pós-quântico da Cloudflare, news.ycombinator.com:443 aparece usando X25519, então não tem segurança PQ
    Espero que já exista um plano de migração
    Com as ferramentas mais recentes, a transição não deve ser difícil. Alguém sabe qual stack o HN usa?

    • O que mais surpreende é que a taxa de suporte nos navegadores está muito melhor do que eu imaginava

  • A Mozilla atualizou recentemente o guia de configuração de TLS no lado do servidor e agora recomenda a troca de chaves PQ X25519MLKEM768
    Segundo a documentação oficial, o perfil de compatibilidade com clientes antigos foi removido, e o fallback para IE11/Win7 também desapareceu, então o requisito mínimo agora é Win10 ou superior

  • Fico me perguntando se já houve algum caso real de um sistema quântico quebrando criptografia

    • Nos últimos 2 meses, o clima entre os criptógrafos mudou drasticamente
      Com vários artigos e rumores se combinando, formou-se um consenso de que o surgimento de um CRQC (computador quântico capaz de quebrar criptografia) pode estar muito mais próximo do que se pensava
      Alguns especialistas já tratam isso como algo “iminente”
    • Ainda está no campo teórico
      Mesmo assim, pesquisadores estão emitindo alertas antecipados por receio de que órgãos como a NSA possam obter secretamente um computador quântico
      Se esperarmos por evidência clara, talvez já seja tarde demais
    • Ainda é teórico, mas está surgindo um consenso de que um sistema quântico realmente capaz de atacar criptografia pode chegar bem antes do esperado
      Filippo Valsorda, mantenedor do pacote de criptografia do Golang, publicou um resumo cuja conclusão é: “precisamos estar prontos até 2029”
    • Ainda nada foi quebrado, mas se os dados forem coletados agora, eles poderão ser descriptografados depois com computadores quânticos, então é preciso se preparar desde já
    • A verificação da segurança dos próprios algoritmos PQ também ainda não está totalmente concluída

  • Fico curioso para saber se há planos de suportar aceleração de hardware para PQC em CPUs futuras
    Se PQC virar padrão, me preocupo com a possibilidade de dispositivos antigos ficarem lentos

    • PQC só é necessário para criptografia assimétrica, ou seja, na fase de handshake
      Depois disso, a criptografia simétrica (AES, ChaCha20 etc.) sofre pouco impacto da computação quântica e não deve ser trocada tão cedo
      CPUs comuns já não têm aceleração específica para criptografia assimétrica, então a diferença não deve ser tão grande
    • Na prática, mesmo sem aceleração de hardware, dá para processar rápido o suficiente com operações vetoriais
      A maioria dos novos algoritmos se baseia em álgebra linear modular, então há bastante espaço para otimização

  • Estou me perguntando se devo trocar minhas chaves SSH por criptografia PQ agora

    • O OpenSSH já suporta troca de chaves PQ desde 2022
      A partir da versão 10.1 (outubro de 2025), será exibido um aviso se PQ não estiver sendo usado
      Não é preciso gerar novas chaves; basta atualizar o software dos dois lados
      Porém, quando chegar a hora de migrar para assinaturas PQ, aí sim será necessário trocar as chaves, embora isso não seja urgente

  • Quais seriam as desvantagens de migrar para algoritmos PQ?
    Mesmo que computadores quânticos acabem não dando em nada, haveria algum motivo para simplesmente não usar PQ?

    • Na verdade, os algoritmos PQ foram ainda mais rigorosamente validados do que os métodos atuais
      Ainda assim, a criptografia de curva elíptica (ECC) tem chaves e assinaturas pequenas, o que é bom para eficiência de banda, e há bastante confiança na dificuldade matemática do problema
      Já os algoritmos PQ têm implementações mais simples, o que reduz a chance de implementações inseguras, e também é mais difícil escolher instâncias fracas
      ML-DSA e ML-KEM são estáveis e rápidos
    • Os certificados PQ são muito mais longos do que os atuais
      Não sei os números exatos, mas isso aumenta o espaço de armazenamento e o volume de dados transmitidos
    • Os algoritmos PQ são mais lentos e trocam mais dados do que ECC, embora ofereçam o mesmo nível de segurança

  • A Mullvad já oferece suporte a criptografia PQ
    Pessoalmente, eu a recomendo como uma empresa nota 10 de 10

  • Outra pergunta diferente
    Depois que todo mundo migrar para criptografia resistente a quântica, qual será o significado dos computadores quânticos?
    Hoje o assunto gira em torno de quebrar criptografia, mas fora isso o uso seria mais em pesquisa, como dobramento de proteínas e otimização logística?
    Mesmo que surja um computador quântico de 10 milhões de dólares capaz de quebrar uma chave de 256 bits por hora, se todos os sistemas já tiverem migrado para PQ isso seria apenas uma ferramenta destrutiva
    Quebrar ECC não ajuda a humanidade
    Então fica a dúvida: para que os computadores quânticos poderão ser usados depois disso?