Parte IV · 3 — A migração

draft

Ter os padrões não basta — é preciso trocar a criptografia de sistemas inteiros sem quebrá-los, e numa ordem que ataque primeiro o que está mais em risco. A palavra-chave é híbrido, e a disciplina que ela exige é a agilidade criptográfica.


3.1 Híbrido: cinto e suspensório

A recomendação dominante para a transição não é trocar o clássico pelo PQC — é combinar os dois. Um KEM híbrido executa ECDH (X25519) e ML-KEM juntos e mistura os dois segredos por uma KDF; a chave de sessão só é segura se ambos forem.

Modo híbrido: X25519 e ML-KEM combinados por uma KDF

A lógica é o gerenciamento de risco da lição do SIKE:

  • Se o PQC tiver uma falha não descoberta (são esquemas novos), o clássico

    ainda protege contra adversários de hoje.

  • Se/quando o quântico chegar e quebrar o clássico, o PQC já protege.

Você só perde se os dois falharem ao mesmo tempo. É o que o TLS 1.3 híbrido (X25519MLKEM768) já faz em navegadores e servidores desde 2024.


3.2 A ordem de migração

Nem tudo corre o mesmo risco. A prioridade segue do HNDL:

  1. Troca de chaves / KEM primeiro. É o que o HNDL ameaça: tráfego cifrado

    hoje pode ser arquivado e aberto depois. Migrar para KEM híbrido corta o risco de gravação imediatamente. Prioridade máxima.

  2. Assinaturas depois. Uma assinatura só precisa resistir *té o momento da

    verificação*— não há "assinar agora, forjar depois" análogo ao HNDL (a menos que sejam raízes de confiança de vida longa, como CAs e firmware, que sobem na fila).

  3. Simétrica: já resolvida com AES-256 / SHA-384+ (Parte 1).

3.3 Agilidade criptográfica

A lição estrutural mais importante: nunca mais chumbar um algoritmo no código. Crypto-agility é projetar sistemas onde o algoritmo é um parâmetro negociável e substituível — para que a próxima troca (haverá outras) seja configuração, não reescrita.

Na prática: nomear suites, versionar formatos, abstrair a primitiva atrás de uma interface, e ter um caminho de downgrade/upgrade seguro. Quem fez isso para a transição PQC colhe o benefício em toda transição futura.


3.4 Prazos e postura

Governos já fixaram marcos. A CNSA 2.0 (NSA, 2022) exige PQC em sistemas de segurança nacional dos EUA ao longo desta década; a UE e outros seguem linha parecida. A mensagem comum: comece o inventário e o piloto agora.

Postura Koder: a Stack trata PQC como um caso da agilidade criptográfica (seção 3.3) — primitivas abstraídas, KEM híbrido como alvo para qualquer canal de longa duração, e a simétrica já em 256 bits. O inventário do que usa assimetria (Koder ID, Vault, assinatura ICP-Brasil, TLS dos serviços) é o ponto de partida da Parte V — Cripto aplicada na Koder.


Referência densa: CNSA 2.0, abordagem genérica de migração e o estado de adoção em 08-pos-quantica. Fim da Parte IV — a base assimétrica tem um sucessor e um caminho. A Parte V — Cripto aplicada na Koder (em construção) aterrissa tudo isto nos componentes reais da Stack.