O Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) anunciou hoje a seleção do Hamming Quasi-Cyclic (HQC) como um novo candidato à criptografia pós-quântica em sua Rodada 4 do programa de padronização de Criptografia Pós-Quântica (PQC). O avanço do HQC é especialmente interessante porque é o único algoritmo da 4ª rodada de avaliações do NIST a ser escolhido para padronização. Este movimento adicionará um 5º algoritmo à lista de ferramentas resistentes a quantum do NIST, servindo como um método de criptografia de backup junto com os quatro algoritmos já selecionados em rodadas anteriores. Para uma análise mais técnica dos 4 algoritmos selecionados anteriormente, consulte: Inside NIST’s First Post-Quantum Standards: A Technical Exploration of Kyber, Dilithium, and SPHINCS+ .
Os funcionários do NIST destacaram que o HQC está sendo designado como um padrão de criptografia de “backup” em vez de um substituto para os algoritmos primários finalizados no ano passado . Dustin Moody, um matemático do NIST que lidera o projeto PQC, explicou que, à medida que as organizações migram para a criptografia pós-quântica, é prudente ter uma alternativa baseada em matemática diferente, caso o algoritmo principal seja ameaçado. “Estamos anunciando a seleção do HQC porque queremos ter um padrão de backup baseado em uma abordagem matemática diferente do [nosso algoritmo primário]”, disse Moody. Na prática, isso significa que o HQC coexistirá com o padrão de criptografia primário do NIST (conhecido como ML-KEM, derivado do algoritmo CRYSTALS-Kyber baseado em rede) em vez de substituí-lo. A intenção é reforçar a confiança de que, mesmo com o avanço da tecnologia quântica, haverá mais de uma linha de defesa protegendo dados confidenciais.
A seleção do HQC é o resultado da Rodada 4 do NIST , uma fase extra na competição PQC dedicada a avaliar algoritmos de criptografia adicionais para padronização. Na conclusão da terceira rodada em 2022, o NIST já havia escolhido quatro algoritmos PQC primários (um método de criptografia e três esquemas de assinatura digital) para padronizar, e moveu quatro outros candidatos promissores para uma quarta rodada para estudo posterior. Esses candidatos da Rodada 4 incluíam dois esquemas de criptografia baseados em código (HQC e um método semelhante chamado BIKE), o clássico sistema baseado em código McEliece e um esquema baseado em isogenia chamado SIKE. O NIST indicou naquela época que esperava escolher no máximo um dos dois concorrentes baseados em código intimamente relacionados (HQC ou BIKE) para padronização, visando diversificar além da abordagem baseada em rede de suas primeiras seleções. Nos últimos dois anos, o campo estreitou: o SIKE foi prejudicado por um ataque criptoanalítico surpresa em 2022 , e o Classic McEliece, embora ainda considerado muito seguro, era menos prático devido às suas enormes chaves públicas. Isso deixou o HQC e o BIKE competindo como alternativas de uso geral. O último relatório do NIST detalha como o HQC finalmente ganhou o aceno sobre os outros, graças às suas fortes avaliações de segurança e compensações de desempenho aceitáveis.
De acordo com o anúncio do NIST, um rascunho do padrão especificando o HQC será publicado para comentários públicos em cerca de um ano, com o padrão final esperado para 2027 após o feedback ser incorporado. Este cronograma dá tempo para as partes interessadas da indústria e do governo revisarem as especificações do HQC e planejarem sua adoção.
O que é HQC?
HQC, abreviação de Hamming Quasi-Cyclic , é um algoritmo criptográfico baseado em código projetado para proteger dados contra ataques habilitados para quantum. Em termos mais técnicos, HQC é um tipo de Key-Encapsulation Mechanism (KEM) – um método para trocar chaves de criptografia com segurança – cuja segurança depende de problemas da teoria do código de correção de erros.
Esquemas de criptografia tradicionais como RSA ou criptografia de curva elíptica dependem de problemas de teoria dos números (fatoração, log discreto) que os computadores quânticos poderiam eventualmente resolver. Em contraste, a dureza do HQC vem da dificuldade de decodificar uma mensagem embaralhada que foi misturada com erros aleatórios, um problema que se acredita ser resistente a ataques quânticos. Essa abordagem se baseia em décadas de pesquisa em teoria de codificação: códigos de correção de erros (como códigos de Hamming, Reed-Solomon ou Reed-Muller) são normalmente usados para detectar e corrigir erros em transmissões de dados, mas também podem ser reaproveitados para ocultar dados dentro do ruído de uma forma que somente alguém com a chave secreta possa decodificar com eficiência.
Essencialmente, o HQC gera uma chave pública que qualquer um pode usar para codificar (criptografar) uma mensagem com ruído aleatório extra; somente o detentor da chave privada sabe como remover apenas o suficiente desse ruído para recuperar a mensagem original. Esse design inteligente significa que um invasor enfrenta uma tarefa semelhante à resolução de um quebra-cabeça complexo de decodificação de síndromes — algo que se acredita ser matematicamente intratável até mesmo para computadores quânticos. A estrutura é descrita como “quase cíclica” porque o HQC usa códigos estruturados que se repetem em um padrão cíclico, o que permite tamanhos de chave muito menores do que os sistemas anteriores baseados em código sem enfraquecer a segurança. (Para contextualizar, as chaves públicas do HQC são da ordem de alguns quilobytes, contra centenas de quilobytes para o esquema clássico de McEliece, tornando o HQC consideravelmente mais prático para uso no mundo real.)
Por que o NIST selecionou o HQC?
O motivo principal é a diversidade criptográfica. Todos os finalistas primários de criptografia que o NIST padronizou em 2022 contam com matemática de rede — uma família de problemas que é muito robusta, mas não imune a avanços futuros. O HQC oferece uma base matemática diferente (baseada em código em vez de baseada em rede) para proteger contra a possibilidade de que uma única técnica possa ser derrotada. Ao padronizar o HQC como um fallback, o NIST está se protegendo contra o desconhecido: se, anos depois, um novo algoritmo ou um computador quântico mais poderoso conseguir enfraquecer a criptografia baseada em rede, as organizações podem migrar para o algoritmo HQC baseado em código, que não seria afetado por ataques específicos de rede.
Os criptógrafos do NIST ficaram satisfeitos que o HQC atingiu seu alto padrão de segurança (sobrevivendo a uma criptoanálise extensiva durante as rodadas do PQC) e ficaram tranquilos com sua “operação limpa e segura”, que “convenceu os revisores de que seria uma escolha de backup válida”, de acordo com Moody. O HQC veio com algumas compensações de desempenho – por exemplo, ele exige mais recursos computacionais e produz textos cifrados maiores do que o Kyber baseado em lattice – mas isso era esperado para um esquema baseado em código e considerado um preço aceitável para seus benefícios de segurança. Na verdade, o NIST pesou o HQC contra seu rival mais próximo, o BIKE, que também é baseado em código; ambos os esquemas são construídos em princípios semelhantes, mas, no final das contas, apenas um era necessário. O design e a análise do HQC evidentemente lhe deram a vantagem, levando o NIST a escolhê-lo como o único KEM adicional a ser padronizado entre os candidatos da Rodada 4. (Os outros concorrentes da Rodada 4 foram efetivamente deixados de lado: BIKE não será padronizado, e Classic McEliece continua improvável, a menos que um caso de uso convincente para sua abordagem de chave ultragrande surja.) Notavelmente, o quarto candidato SIKE — antes valorizado por suas chaves minúsculas — foi eliminado logo depois que pesquisadores quebraram seu problema subjacente em um surpreendente ataque de criptoanálise clássica, ressaltando por que o NIST insiste em uma verificação completa e uma estratégia diversificada. No final, o HQC se destacou como a escolha resiliente para fortalecer o conjunto de criptografia pós-quântica com um mecanismo de defesa completamente diferente.
Implicações para a segurança cibernética e a indústria
A inclusão do HQC na linha de padrões tem implicações importantes para profissionais de segurança e para a indústria de tecnologia em geral. Primeiro, ele reforça a confiança de que nossos dados criptografados permanecerão seguros na era pós-quântica, mesmo no pior cenário. Com o HQC no kit de ferramentas, as organizações logo terão dois algoritmos de criptografia independentes (um baseado em rede e um baseado em código) para escolher — ou até mesmo implantar em conjunto para segurança extra. Essa abordagem multialgoritmo é a base da agilidade criptográfica , a capacidade de alternar ou sobrepor mecanismos criptográficos sem revisar os sistemas. As empresas que trabalham para “à prova quântica” de seus produtos têm se concentrado principalmente nos primeiros padrões NIST PQC (como o Kyber para criptografia), que foram finalizados no ano passado. Esses padrões PQC primários já estão sendo integrados em software, hardware e redes. O NIST deixou claro que as organizações devem continuar adotando os algoritmos da Rodada 3 como padrão — por exemplo, usando o ML-KEM baseado em rede (Kyber) para proteger o tráfego da web e VPNs — já que o HQC é concebido como um backup. Na prática, isso significa que os planos de aquisição e migração de curto prazo não mudarão da noite para o dia com este anúncio. No entanto, organizações com visão de futuro receberão bem a adição do HQC como uma apólice de seguro. Os arquitetos de segurança podem começar a planejar como podem implementar o HQC no futuro, se necessário, e os fornecedores podem começar a oferecer suporte para o HQC junto com os algoritmos principais assim que o padrão for finalizado.
Em uma escala mais ampla, a seleção do HQC é um sinal para o mercado de que o NIST está confiante na criptografia baseada em código como um componente viável do nosso futuro de segurança. Isso pode estimular mais investimentos na otimização de esquemas baseados em código — por exemplo, melhorando seu desempenho ou aceleração de hardware — já que agora eles têm um caminho claro para o uso padrão. Também envia uma mensagem aos órgãos de padrões globais e governos que estavam esperando as decisões do NIST: eles podem seguir em frente sabendo que um segundo algoritmo de criptografia pós-quântica estará disponível. Nos próximos anos, podemos ver diretrizes recomendando uma abordagem híbrida (usando criptografia baseada em rede e código em diferentes camadas ou aplicativos) para maximizar a segurança. Para infraestrutura crítica e dados de longa duração (pense em registros de saúde, segredos de estado ou sistemas de comando de infraestrutura que devem permanecer confidenciais por décadas), a disponibilidade de dois padrões distintos de criptografia quântica segura fornece uma garantia muito necessária contra a incerteza. Mesmo que uma abordagem fosse comprometida, a outra poderia proteger os dados, evitando um único ponto de falha em nossas defesas criptográficas.
O que significa a rodada 4 e o que vem a seguir
No processo de seleção do PQC do NIST, a “Rodada 4” foi um inning extra incomum. O programa PQC começou em 2016 e era esperado originalmente para ser concluído após três rodadas de avaliação, que produziram os padrões iniciais em 2022. No entanto, dados os altos riscos e o desejo de incluir mais variedade, o NIST estendeu o processo com uma quarta rodada para examinar alguns candidatos restantes (como o HQC) que se mostraram promissores, mas não estavam prontos para padronizar no momento da decisão da terceira rodada. O fato de o HQC ter emergido dessa revisão estendida e ter sido aprovado para padronização indica que o NIST está encerrando a fase de competição do PQC. Com algoritmos de criptografia agora estabelecidos (um primário e um de backup) e vários algoritmos de assinatura digital já padronizados (CRYSTALS-Dilithium e Falcon baseados em rede, além de SPHINCS+ baseados em hash), o foco mudará para implementação e adoção. O NIST planeja publicar um rascunho de padrão para HQC em 2026 e finalizá-lo após comentários públicos até 2027. Paralelamente, o NIST também está trabalhando na expansão da lista de assinaturas digitais seguras para quantum por meio de uma chamada separada para novos algoritmos de assinatura (às vezes informalmente chamada de “Round 5”), buscando opções não reticuladas para complementar o Dilithium e o Falcon. Todos esses esforços são parte de um esforço abrangente para garantir que, quando os computadores quânticos finalmente chegarem, a criptografia do mundo estará pronta.
Para profissionais de tecnologia e segurança, a conclusão é que a criptografia pós-quântica está entrando em uma fase de implantação. Os padrões estão amadurecendo, e a introdução do HQC enriquece as opções para a construção de sistemas seguros. As empresas devem ficar de olho no progresso da padronização do HQC; mesmo que seja um backup, pode se tornar crítico para a missão caso novas ameaças surjam. Enquanto isso, os especialistas aconselham continuar a implementar os algoritmos PQC já padronizados — muitas organizações começaram a fazer isso para “preparar seus sistemas para o futuro” — e projetar sistemas com flexibilidade em mente. O cenário criptográfico está evoluindo, mas com escolhas como o HQC agora em mãos, a indústria pode abordar a era quântica com maior confiança. Como mostra a seleção mais recente do NIST, a preparação para as ameaças de amanhã inclui não apenas uma bala de prata, mas uma aljava de flechas resistentes ao quantum para manter nossos dados seguros a longo prazo.
Tradução do texto : https://postquantum.com/industry-news/nist-hqc-pqc/
No responses yet