O Ano de 2030 Não é a Data de Chegada dos Computadores Quânticos
Por anos, a criptografia operou silenciosamente sob a maioria das conversas de segurança corporativa. RSA e ECDSA viviam em páginas que a maioria dos gestores nunca leria; o handshake TLS era um detalhe técnico esquecido assim que a conexão era estabelecida. Em 2024, isso mudou. O NIST finalizou os primeiros padrões de criptografia pós-quântica (PQC) e o contador da infraestrutura corporativa começou a correr para concluir a transição até 2030.
A Commercial National Security Algorithm Suite 2.0 (CNSA 2.0) da NSA define 2030 como o ano-alvo para a transição dos sistemas de segurança nacional dos EUA à criptografia pós-quântica. Esse cronograma é tratado como um prazo prático do setor. Os fabricantes que fornecem a clientes de segurança nacional precisam cumpri-lo. Os clientes corporativos seguem os mesmos padrões; porque seus auditores, reguladores e grandes contrapartes os seguem.
Mas existe aqui um equívoco comum: o prazo de 2030 não significa "o ano em que os computadores quânticos chegam".
As estimativas de especialistas sobre quando existirá um computador quântico criptograficamente relevante variam do fim da década de 2030 até "nunca"; depende do analista. O prazo de 2030 diz respeito ao tempo de preparação. Migrar a PKI global, cada endpoint TLS, cada autoridade de certificação, cada dispositivo embarcado que traz o RSA hard-coded leva mais de uma década. É preciso começar o trabalho muito antes de a ameaça se tornar operacional; caso contrário, no momento da necessidade a transição não estará concluída.
Some a isso a ameaça "colher agora, decifrar depois" (harvest now, decrypt later — HNDL). Um adversário que grave o seu tráfego cifrado em 2026 pode decifrar a gravação anos depois, quando dispuser de capacidade quântica. Se os dados precisam permanecer secretos depois de 2030 — segredos comerciais, comunicações de M&A, documentos jurídicos selados, PII de clientes com longas janelas de retenção —, a proteção pós-quântica é necessária agora. O prazo se aplica à vida útil de confidencialidade dos dados; não à data de chegada do computador quântico.
A Transição PQC em Números
ML-KEM, ML-DSA e ML-SLH; publicados como FIPS 203, 204, 205
NIST CSRCO ano-alvo da NSA para os sistemas de segurança nacional dos EUA
NSA CNSA 2.0Em comparação com o X25519 do TLS clássico (~100 bytes)
FIPS 203O Que o NIST Finalizou em 2024
Após um processo de seleção de vários anos iniciado em 2016, o NIST finalizou os primeiros padrões de criptografia pós-quântica em agosto de 2024. Surgiram três algoritmos; cada um corresponde a um primitivo criptográfico diferente fornecido pelos algoritmos clássicos de chave pública. Os três são baseados em lattice ou baseados em hash — as famílias que o NIST escolheu após eliminar os demais candidatos.
ML-KEM (FIPS 203)
Module-Lattice-Based Key Encapsulation Mechanism, antigo Kyber. O padrão para a troca de chaves — a etapa em que o TLS estabelece um segredo compartilhado em um canal público. Substitui a troca de chaves baseada em RSA e o ECDH, em uso desde a década de 1990. O ML-KEM-768 acrescenta cerca de 1,1 KB ao handshake; o X25519 tinha cerca de 100 bytes. O custo de CPU pode competir com o RSA-2048.
ML-DSA (FIPS 204)
Module-Lattice-Based Digital Signature Algorithm, antigo Dilithium. O padrão para assinaturas digitais; usado em certificados, assinatura de código, autenticação e em todo contexto em que o receptor precisa verificar a identidade do remetente. Substitui RSA e ECDSA. As assinaturas ML-DSA-65 têm cerca de 3,3 KB; o ECDSA tem cerca de 70 bytes. O desempenho de assinatura é comparável ao do ECDSA.
ML-SLH (FIPS 205)
Stateless Hash-Based Signature Algorithm, antigo SPHINCS+. Um esquema de assinatura alternativo com diferentes compromissos. Produz assinaturas mais lentas e maiores do que o ML-DSA; mas é baseado em hash — sua segurança apoia-se em suposições mais fáceis de defender do que os problemas de lattice subjacentes ao ML-DSA. A maioria das implantações usará ML-DSA pelo desempenho; o ML-SLH ficará reservado para a assinatura de arquivamento de longa duração, em que suposições conservadoras são mais críticas.
Os Recursos que os ADCs Corporativos Precisam Atender
Os controladores corporativos de entrega de aplicações — balanceadores de carga, WAFs, terminadores SSL, sistemas GTM — ficam na fronteira de terminação TLS. Essa posição faz com que o suporte a PQC seja a porta para uma transição mais ampla: se o ADC não fala PQC, nada atrás dele também fala.
ML-KEM na Troca de Chaves do TLS 1.3
O ADC deve aceitar e negociar o ML-KEM como algoritmo de troca de chaves no handshake do TLS 1.3. A maioria das implantações escolherá o modo híbrido — ML-KEM combinado com X25519 ou P-256 — portanto o suporte a grupos híbridos também é necessário.
ML-DSA para Assinaturas de Certificados
Os certificados que o ADC apresenta aos clientes e os que valida a partir dos serviços upstream — ambos exigem suporte a ML-DSA. Validação da cadeia de certificados, OCSP stapling e verificação de SCT precisam todos estar cientes do ML-DSA.
Maior Capacidade de Payload do Handshake
O ML-KEM-768 acrescenta cerca de 1,1 KB ao handshake; as assinaturas ML-DSA-65 têm cerca de 3,3 KB. O ADC deve lidar com pacotes de handshake maiores; isso é diretamente relevante para a configuração de MTU, o orçamento de taxa de conexão e o ajuste fino da mitigação de DDoS.
Ferramentas de Ciclo de Vida de Certificados
As ferramentas atuais de gestão de certificados pressupõem tamanhos clássicos de chave e assinatura. Os certificados PQC são maiores; fluxos de trabalho ACME, repositórios de certificados e integrações com HSM exigem atualizações para lidar com o novo perfil de tamanho.
Modo Híbrido por Padrão
Implantações de PQC pura ainda são prematuras; os algoritmos são mais recentes e o histórico de criptanálise é limitado. O modo híbrido (clássico e PQC no mesmo handshake) é o caminho conservador: se um dos dois componentes for seguro, a conexão é segura. O híbrido deve ser planejado como padrão pelo menos até 2028.
Margem de Desempenho
O custo de CPU do ML-KEM pode competir com o RSA-2048; a assinatura ML-DSA é comparável ao ECDSA. O impacto prático no desempenho é pequeno, mas não nulo. O planejamento de capacidade deve contemplar um custo de CPU de handshake TLS ligeiramente mais alto durante a transição híbrida.
Implantações de PQC pura dependem de uma única nova família de algoritmos para a confidencialidade. Se um resultado futuro de criptanálise enfraquecer o ML-KEM, toda conexão que use apenas ML-KEM se torna retroativamente vulnerável. O modo híbrido — a combinação de ML-KEM com X25519 ou P-256 — deriva o segredo de sessão de ambos; se um dos algoritmos resistir, a conexão é segura. O custo é o tamanho do handshake híbrido (o maior das duas contribuições). O benefício é a defesa em profundidade contra fraquezas futuras desconhecidas em ambas as famílias. Os principais navegadores (Chrome, Firefox) e bibliotecas TLS implantaram o modo híbrido ao longo de 2024-2026; o IETF padronizou os identificadores de grupos híbridos. Para implantações corporativas, o híbrido deve ser o padrão pelo menos até 2028.
Cronograma Operacional para a Transição Corporativa
Agora (2026): Inventarie as Superfícies Criptográficas
Liste cada endpoint TLS, cada relação com autoridade de certificação, cada fluxo de trabalho de assinatura de código e cada fluxo de dados com confidencialidade de longa duração. Sem inventário, não se pode planejar o escopo da transição. A maioria das organizações descobre superfícies esquecidas — serviços internos, clientes legados, dispositivos embarcados, integrações B2B.
Agora (2026): Ative a PQC no TLS Voltado ao Público
Para os ADCs que oferecem suporte, ative o modo híbrido ML-KEM nos endpoints TLS voltados ao público. A mudança é conservadora: o modo híbrido recai para a segurança clássica caso a PQC venha a ser enfraquecida mais tarde. O tráfego real de produção colhe o benefício imediatamente.
2026-2027: Pilote Certificados ML-DSA
Comece a emitir certificados assinados com ML-DSA para cargas de trabalho não críticas, a fim de validar as ferramentas de gestão de certificados, o monitoramento e os procedimentos operacionais. Os caminhos de código de validação da cadeia de certificados são exercitados antes de assumirem a carga de serviços críticos.
2027-2028: Expanda para os Serviços Internos
Estenda o TLS híbrido e os certificados ML-DSA ao tráfego interno leste-oeste. Os serviços internos têm maior tolerância a problemas de compatibilidade durante o piloto; os problemas de compatibilidade da cauda longa surgem antes de chegarem ao público.
2028-2029: Limpeza da Cauda Longa
Trate os dispositivos embarcados sem suporte a PQC, as integrações legadas e as APIs voltadas a parceiros. Alguns fabricantes exigem pressão; alguns sistemas legados exigem substituição. A cauda longa é onde o orçamento de tempo da transição é realmente consumido.
2030: PQC Operacional
Todas as novas conexões TLS usam híbrido ou PQC puro. Apenas as conexões clássicas exigem exceção explícita e cronograma documentado de fim de vida. A transição deixa de ser um projeto e passa a ser uma operação — a agilidade criptográfica contínua é a nova normalidade.
O Que Isso Significa para as Escolhas de Produtos ADC em 2026?
As decisões de infraestrutura corporativa tomadas em 2026 sobreviverão ao longo de toda a janela de transição PQC. Um ADC escolhido hoje e sem suporte a PQC é uma substituição obrigatória antes de 2030 — um custo que o comprador não planejou. Para a avaliação de fabricantes, as consequências práticas se reúnem em três tópicos.
Primeiro, o suporte a PQC deve ser verificado como recurso fundamental; não como item de roteiro. "Vamos suportar ML-KEM na nossa versão de 2027" não é a mesma coisa que "o ML-KEM está na nossa versão atual". A transição híbrida exige validação real em produção; e isso requer que o recurso esteja disponível agora.
Segundo, o estado de validação FIPS 140-3 das implementações PQC importa para setores regulados — governo, defesa, banca. A validação fica atrás da adoção; por isso, deve ser incluída nos cronogramas de aquisição.
Terceiro, a história operacional pode importar mais do que a criptográfica: como o ADC lida com os fluxos de trabalho de gestão de certificados sob os tamanhos PQC, como faz o ajuste fino para o maior orçamento de handshake, como reporta a distribuição de sessões PQC vs clássicas. A matemática está estabelecida; as operações ainda estão sendo resolvidas em todo o setor.
O posicionamento de tecnologia moderna da TR7 inclui suporte a ML-KEM e ML-DSA nas versões atuais; não como um portão de recurso futuro. A escolha arquitetural que torna isso possível é a mesma que viabiliza o HTTP/3 e as atualizações sem downtime: a TR7 foi construída a partir de um ponto de partida limpo; não foi remendada de volta a uma arquitetura anterior a esses requisitos. Para as organizações que medem a prontidão PQC como parte das avaliações de fabricantes de 2026, essa postura de raiz é uma entrada que facilita a decisão.
Referências e Fontes
Agosto de 2024 — publicação de FIPS 203 (ML-KEM), FIPS 204 (ML-DSA) e FIPS 205 (ML-SLH) após um processo de seleção de vários anos. https://csrc.nist.gov/projects/post-quantum-cryptography
A Commercial National Security Algorithm Suite 2.0 define 2030 como ano-alvo para a transição dos sistemas de segurança nacional dos EUA à criptografia pós-quântica. https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/3148990/
Especificação completa do ML-KEM (Kyber), incluindo conjuntos de parâmetros, tamanhos de texto cifrado e propriedades de segurança. https://csrc.nist.gov/pubs/fips/203/final
Especificação completa do ML-DSA (Dilithium), incluindo tamanhos de assinatura, verificação e análise de segurança. https://csrc.nist.gov/pubs/fips/204/final
Rascunho de internet que define os identificadores de grupos de troca de chaves híbrida pós-quântica para o TLS 1.3. https://datatracker.ietf.org/doc/draft-ietf-tls-hybrid-design/
Construído para o Próximo, 2030 Incluído
O ADC corporativo da TR7 suporta ML-KEM e ML-DSA nas versões atuais — incluindo modos TLS híbridos que combinam algoritmos clássicos e pós-quânticos. HTTP/3, QUIC, atualizações sem downtime e criptografia pós-quântica fazem parte do mesmo compromisso arquitetural: construir para o próximo em vez de remendar o antigo.
Conheça a Tecnologia Moderna da TR7