A Criptografia Pós-Quântica (PQC) no Network Connector protege o canal de comunicação entre a Plataforma Segura® e ambientes isolados contra futuros ataques de computação quântica. Este documento explica o que é PQC, por que ela é importante e como funciona no contexto do Network Connector.
Como funciona
O Network Connector atua como um canal de transporte seguro entre a Plataforma Segura® e ambientes que não são diretamente acessíveis, como redes locais (on-premises), infraestruturas privadas ou ambientes regulados.
A PQC resolve esse problema utilizando algoritmos cuja complexidade matemática não é comprometida por algoritmos quânticos. A partir da versão v4.2.2, o Network Connector oferece suporte à PQC por meio de um modelo híbrido: o canal utiliza simultaneamente algoritmos clássicos e pós-quânticos para o intercâmbio de chaves e o estabelecimento do canal seguro.
Modelo híbrido
No modelo híbrido, um canal seguro só é estabelecido se ambos os intercâmbios de chaves — clássico e pós-quântico — forem bem-sucedidos. Isso significa que:
- Se um atacante conseguir quebrar a criptografia clássica (ameaça quântica futura), a camada pós-quântica ainda protege o canal.
- Se uma falha inesperada for encontrada em um algoritmo pós-quântico, a camada clássica ainda protege o canal.
- Os conectores e ambientes existentes continuam operando durante o período de transição.
O conjunto de algoritmos híbridos utilizado nesta implementação é o MLKEM768x25519-SHA256, que combina:
- ML-KEM-768 - Mecanismo de encapsulamento de chaves pós-quântico padronizado pelo NIST.
- X25519 - Intercâmbio de chaves clássico baseado em curva elíptica Diffie-Hellman.
- SHA-256 - Utilizado para derivação de chaves e integridade.
Alterações na camada de rede
A PQC utiliza uma porta TCP dedicada (51446) para a comunicação entre o agente e os cofres. Essa porta é separada da porta padrão (51445) utilizada para criptografia clássica. Ambas as portas podem coexistir:
| Modo | Porta TCP |
|---|---|
| Clássico (padrão) | 51445 |
| Pós-Quântico (PQC) | 51446 |
A nova porta (51446) é liberada automaticamente no firewall da VM durante o processo de atualização. No entanto, ela também deve ser aberta manualmente nos dispositivos de rede do cliente (firewalls, listas de controle de acesso) para que o tráfego PQC flua corretamente.
Monitoramento
Os logs do Network Connector incluem um relatório de status de conexão exibido a cada 5 segundos. Esse relatório mostra o modo de conexão atual (clássico ou PQC) e pode ser utilizado por equipes de suporte e administradores para confirmar qual modo criptográfico está ativo. Todos os eventos criptográficos e metadados são registrados para fins de auditoria.
Mais informações em Log de status do Network Connector.
Principais recursos
- Modelo híbrido clássico/pós-quântico: Os dois tipos de algoritmos protegem o canal simultaneamente, proporcionando defesa em profundidade durante o período de transição criptográfica.
- Sem alterações operacionais para os usuários: A PQC opera inteiramente na camada de infraestrutura, sem nenhuma mudança visível nos fluxos de trabalho dos usuários.
- Compatibilidade retroativa: Conectores que ainda não foram atualizados continuam operando com criptografia clássica, sem nenhuma migração forçada.
- Registro de auditoria: O modo criptográfico utilizado em cada conexão é registrado nos logs.
- Configurável por agente: A PQC é habilitada por meio de uma variável de ambiente na configuração do agente, dando aos administradores controle sobre quais agentes a utilizam.
Aplicabilidade
A PQC no Network Connector é relevante nos seguintes cenários:
- Ambientes regulados e governamentais: Organizações sujeitas a frameworks de conformidade que já exigem ou estão começando a exigir prontidão para criptografia pós-quântica (por exemplo, NIST SP 800-208, requisitos do CNSA 2.0).
- Comunicações sensíveis de longa duração: Ambientes onde a confidencialidade dos dados deve ser garantida por muitos anos — tornando-os alvos de ataques do tipo "harvest now, decrypt later" (coleta agora, descriptografa depois).
- Roadmaps de segurança corporativa: Organizações que precisam demonstrar um plano claro de adoção de PQC para auditores, parceiros ou clientes.
- Infraestrutura crítica: Implantações em ambientes onde qualquer comprometimento futuro do canal de comunicação teria consequências graves.
Limitações
- O escopo é restrito ao canal do Network Connector. A PQC se aplica exclusivamente à comunicação entre o agente do Network Connector e os cofres da Plataforma Segura®. Ela não afeta outros canais de comunicação da plataforma.
- Etapas de CLI são necessárias após a atualização. A PQC não é ativada automaticamente após uma atualização da plataforma. Os administradores devem executar comandos específicos de CLI nas instâncias primária e secundária antes que a PQC esteja disponível. Mais informações em Como habilitar a Criptografia Pós-Quântica no Network Connector.
- Configuração de firewall é obrigatória. A porta TCP
51446deve ser aberta manualmente nos dispositivos de rede do cliente. Ambientes que não abrirem essa porta não poderão utilizar a PQC. - A PQC deve ser habilitada explicitamente por agente. Por padrão, os agentes utilizam criptografia clássica (
SENHASEGURA_QUANTUM_ENABLED: "false"). Os administradores devem atualizar a configuração de cada agente para habilitar a PQC. - Não há fallback automático para criptografia clássica. Se um agente estiver configurado com
SENHASEGURA_QUANTUM_ENABLED: "true", mas o servidor não estiver pronto (por exemplo, o comandoorbit network-connector setupnão tiver sido executado), o agente não voltará a usar criptografia clássica. Ele ficará em loop tentando estabelecer um canal PQC e registrará erros de conexão até que o problema seja resolvido. Esse comportamento é intencional: se um administrador optou pela PQC, o sistema trata essa escolha como uma decisão explícita de segurança.
Tópicos relacionados
- Para habilitar a PQC no seu ambiente: Como habilitar a Criptografia Pós-Quântica no Network Connector.
- Para consultar o log de status de conexão: Log de status do Network Connector.
- Para conhecer a arquitetura do Network Connector: Sobre o Network Connector