PRONTIDÃO PQC // CHIMERASCOPE
Avaliação quantificada da sua infraestrutura criptográfica contra ameaças de computação quântica — mapeada para as obrigações de conformidade do CRA, NIS2 e BSI TR-02102-1.
Os avanços recentes na pesquisa de computação quântica reduziram significativamente os recursos estimados necessários para quebrar a criptografia de chave pública amplamente utilizada. Organizações que lidam com dados sensíveis — registros financeiros, informações médicas, propriedade intelectual, segredos comerciais — enfrentam uma pressão de prazo concreta, que os reguladores já estão abordando.
A ameaça central é simples: o tráfego de rede criptografado interceptado hoje pode ser armazenado e decifrado quando os computadores quânticos atingirem capacidade suficiente. Essa estratégia de “colher agora, decifrar depois” torna a migração pós-quântica uma prioridade de gerenciamento de risco presente, e não apenas uma consideração futura. Estimativas atuais colocam a janela entre a interceptação e a capacidade de decifração entre três e dez anos.
O NIST finalizou três padrões criptográficos pós-quânticos em agosto de 2024: ML-KEM (FIPS 203) para encapsulamento de chaves, ML-DSA (FIPS 204) para assinaturas digitais e SLH-DSA (FIPS 205) para assinaturas baseadas em hash. Grandes provedores de infraestrutura já iniciaram a implantação — mas a grande maioria das organizações ainda não avaliou sua própria prontidão.
Nossa avaliação analisa a prontidão criptográfica quântica em todos os pontos finais externamente observáveis da sua infraestrutura. Não é necessário acesso a sistemas internos.
Avaliação das configurações de troca de chaves TLS em algoritmos híbridos e puros pós-quânticos padronizados. Determina se seus pontos finais negociam troca de chaves resistente a quantum ou permanecem vulneráveis à interceptação. Abrange domínios principais, subdomínios e portas de serviço adicionais.
Análise de algoritmos de certificado, incluindo avaliação de esquema de assinatura e pontuação de prontidão para migração. Avalia se sua infraestrutura de certificados pode transitar para algoritmos seguros contra quantum sem interrupção operacional — uma função da autoridade emissora, nível de automação e restrições de pinning.
Verificação de capacidade pós-quântica do STARTTLS em sua infraestrutura MX. O transporte de email é um dos canais vulneráveis a quantum mais negligenciados — dados atuais indicam que menos de um por cento dos servidores de email globais suportam criptografia de transporte segura contra quantum.
Detecção de vulnerabilidades de downgrade de protocolo que permitem que atacantes forcem conexões para versões mais antigas e vulneráveis a quantum, mesmo quando proteções mais recentes estão disponíveis. Inclui avaliação da modernização da troca de chaves SSH em todas as interfaces de gerenciamento expostas.
Análise consciente de CDN que diferencia a proteção quântica fornecida na borda da rede da proteção nativa da sua infraestrutura de origem — uma distinção crítica que nenhuma ferramenta pública de pontuação atualmente faz. Organizações que dependem de redes de entrega de conteúdo frequentemente assumem proteção total quando apenas a camada de borda está pronta para quantum.
Nossas avaliações em organizações industriais, financeiras e de tecnologia europeias revelam um padrão consistente:
A prontidão criptográfica pós-quântica não é uma preocupação teórica — trata‑se de um requisito de conformidade emergente em diversos marcos regulatórios aplicáveis às organizações europeias.
A CRA exige que produtos com elementos digitais implementem proteções criptográficas que reflitam o estado da arte. O Artigo 10 determina que os fabricantes garantam a confidencialidade por meio de “mecanismos e protocolos apropriados” — linguagem que cada vez mais abrange a prontidão pós‑quântica à medida que os padrões NIST amadurecem. O reporte de vulnerabilidades torna‑se obrigatório a partir de setembro de 2026, com conformidade total até dezembro de 2027.
O Artigo 21 exige que entidades essenciais e importantes implementem medidas de segurança “de última geração” proporcionais ao risco. À medida que os padrões criptográficos pós‑quânticos atingem a maturidade, a falta de avaliação e planejamento da migração cria uma lacuna demonstrável nas medidas de gestão de risco exigidas pela NIS2. Espera‑se que orientações setoriais façam referência explícita aos cronogramas de migração para PQC.
O Escritório Federal Alemão de Segurança da Informação (BSI) mantém diretrizes técnicas sobre algoritmos criptográficos recomendados. O TR-02102-1 classifica ML‑KEM e ML‑DSA como algoritmos recomendados, oferecendo orientações concretas para organizações que operam ou atendem ao mercado alemão. As diretrizes do BSI têm peso especial para fornecedores do setor público e indústrias reguladas na região DACH.
O Commercial National Security Algorithm Suite 2.0 estabelece um cronograma para a descontinuação de algoritmos vulneráveis à computação quântica em sistemas de segurança nacional. Embora centrado nos EUA, os prazos do CNSA 2.0 influenciam requisitos de cadeias de suprimentos globais — organizações que atendem aos setores de defesa, aeroespacial ou tecnologia de uso dual enfrentam obrigações de conformidade em cascata, independentemente da jurisdição.
Cada avaliação produz uma pontuação de prontidão quantificada que reflete o status real de implantação em todos os pontos finais criptográficos observáveis externamente. A pontuação considera a configuração da camada de transporte, a postura de certificados, a segurança de e‑mail, a resiliência de protocolos e a arquitetura da infraestrutura.
Troca de chaves pós-quântica implantada em todos os pontos finais principais. A infraestrutura de certificados suporta a migração de algoritmos. O transporte de e‑mail inclui proteções resistentes a quantum. Nenhum caminho significativo de downgrade de protocolo foi detectado.
Implantação parcial pós-quântica — tipicamente por meio da proteção de borda do CDN sem implementação no nível de origem, ou com lacunas no transporte de e‑mail ou SSH. Existe um caminho de migração, mas requer ação direcionada em camadas específicas da infraestrutura.
Proteções pós-quânticas limitadas ou inexistentes. A infraestrutura de certificados pode suportar a migração, mas nenhuma transição ativa foi iniciada. Caminhos de downgrade de protocolo provavelmente estão presentes. Recomenda‑se: iniciar o planejamento da migração dentro do ciclo orçamentário atual.
Nenhuma proteção resistente a quantum foi detectada. Versões legadas de protocolos são aceitas. A gestão de certificados pode impedir uma migração rápida. Recomenda‑se: priorizar o inventário criptográfico e o roteiro de migração como prioridade operacional imediata.
Exposição criptográfica significativa, incluindo algoritmos obsoletos, ausência de confidencialidade perfeita (forward secrecy) e barreiras estruturais à migração. Avaliação imediata e planejamento de remediação são necessários.
Agora. Os padrões NIST estão finalizados, os principais provedores de infraestrutura estão implantando, e os marcos regulatórios estão incorporando requisitos pós-quânticos. As organizações que iniciarem a avaliação hoje terão roteiros de migração prontos antes que os prazos de conformidade cheguem.
Parcialmente. Os principais provedores de CDN implantam troca de chaves pós-quântica na borda, mas seu servidor de origem processa os dados reais. Se sua origem não possuir proteções resistentes à computação quântica, o tráfego entre o CDN e a origem permanece vulnerável. Nossa avaliação identifica exatamente essa lacuna.
Não. A avaliação analisa a configuração criptográfica por meio de observação passiva e análise padrão da negociação TLS. Sem exploração, sem tentativas de autenticação, sem interrupção de serviço. Nenhuma autorização é necessária para o escopo padrão da avaliação.
O transporte de e‑mail é avaliado separadamente da infraestrutura web. Nossa avaliação verifica se seus servidores MX suportam STARTTLS resistente à computação quântica — uma capacidade que menos de um por cento dos servidores de e‑mail globais atualmente oferecem.
A avaliação de prontidão PQC está disponível como um engajamento independente ou como uma camada integrada dentro de uma avaliação abrangente da superfície de ataque externa. Quando combinados, os resultados PQC são incorporados ao mapeamento geral de conformidade e à pontuação de ameaças.
NIST FIPS 203 (ML-KEM), FIPS 204 (ML-DSA), FIPS 205 (SLH-DSA) para avaliação de algoritmos. CRA Art. 10, NIS2 Art. 21, BSI TR-02102-1 e CNSA 2.0 para mapeamento de conformidade. Todas as referências são citadas no relatório entregue.
Envie o domínio principal da sua organização para uma avaliação de prontidão em criptografia pós‑quântica. Avaliação entregue em até 48 horas como PDF criptografado.
Forneça o domínio principal da sua organização. A avaliação cobre todos os pontos finais criptográficos observáveis externamente.