O governo dos Estados Unidos definiu novos prazos obrigatórios para acelerar a migração de sistemas federais sensíveis para criptografia pós-quântica, tecnologia projetada para resistir a ataques futuros realizados com computadores quânticos. A ordem executiva assinada pelo presidente Donald Trump em 22 de junho estabelece que ativos de alto valor e sistemas de alto impacto do governo federal deverão adotar algoritmos pós-quânticos para estabelecimento de chaves até 31 de dezembro de 2030.

Para assinaturas digitais, o prazo será 31 de dezembro de 2031. A medida, publicada sob o título “Securing the Nation Against Advanced Cryptographic Attacks”, deixa os sistemas de segurança nacional em uma trilha separada, mas impõe uma agenda mais rígida para agências civis federais, fornecedores e parte do ecossistema de tecnologia que atende o governo norte-americano.

A decisão antecipa em quatro a cinco anos a meta federal anterior, definida pelo National Security Memorandum 10, de 2022, que previa uma transição ampla até 2035. A mudança reflete a preocupação crescente com uma ameaça que não depende da existência imediata de um computador quântico operacional em larga escala: o risco conhecido como “harvest now, decrypt later”, ou “coletar agora, descriptografar depois”.

Nesse tipo de ameaça, governos, grupos patrocinados por Estados ou outros invasores armazenam hoje grandes volumes de dados criptografados, com o objetivo de descriptografá-los no futuro, quando computadores quânticos forem capazes de quebrar algoritmos tradicionais de criptografia assimétrica. Informações governamentais, dados estratégicos, comunicações sensíveis e registros de longo prazo são especialmente relevantes nesse cenário, porque podem manter valor mesmo anos depois de sua coleta.

A ordem executiva alinha os prazos federais aos padrões finalizados pelo NIST, o Instituto Nacional de Padrões e Tecnologia dos Estados Unidos, em agosto de 2024. Para estabelecimento de chaves, o padrão de referência é o FIPS 203, baseado no algoritmo ML-KEM, anteriormente conhecido como CRYSTALS-Kyber. Essa categoria é usada para proteger a troca de chaves criptográficas, etapa essencial para estabelecer comunicações seguras.

Já as assinaturas digitais deverão seguir os padrões FIPS 204 e FIPS 205, baseados nos algoritmos ML-DSA e SLH-DSA. Essas tecnologias são usadas para garantir autenticidade, integridade e não repúdio em documentos, softwares, certificados, transações e comunicações digitais. Na prática, a ordem transforma padrões técnicos já publicados em um cronograma formal, com impacto direto sobre planejamento, compras públicas e conformidade.

O primeiro prazo operacional começa imediatamente. Em até 30 dias, cada chefe de agência federal deverá nomear um responsável pela migração para criptografia pós-quântica. Esse líder deverá se reportar ao CIO da agência e assumir a responsabilidade pelo inventário criptográfico e pelo plano de transição.

Em até 90 dias, o Escritório de Gestão e Orçamento dos Estados Unidos, o OMB, deverá publicar orientações para que as agências revisem seus inventários de ativos de alto valor e sistemas de alto impacto, planejem a migração e submetam seus respectivos planos. Essa etapa é considerada crítica porque muitas organizações ainda não têm visibilidade completa sobre onde algoritmos criptográficos são usados em aplicações, appliances, bibliotecas, certificados, integrações, APIs, sistemas legados e cadeias de fornecedores.

O NIST também terá uma função prática no processo. A instituição deverá conduzir uma migração piloto em um subconjunto de seus próprios sistemas, com conclusão prevista até 31 de dezembro de 2027. A iniciativa deve servir como referência técnica e operacional para outras agências, especialmente em temas como compatibilidade, desempenho, interoperabilidade e substituição de componentes criptográficos em ambientes reais.

A ordem vai além das redes federais. O Federal Acquisition Regulatory Council terá 180 dias para propor uma regra que obrigue “covered contractors”, ou contratados cobertos pela medida, a cumprir os padrões FIPS do NIST, incluindo os algoritmos pós-quânticos, até 31 de dezembro de 2030. Isso significa que fornecedores que vendem hardware, software, serviços gerenciados, soluções cloud ou sistemas críticos ao governo federal devem se preparar para demonstrar aderência aos novos requisitos.

Uma segunda regra proposta, prevista em até 270 dias, deverá incorporar falhas criptográficas aos programas de divulgação de vulnerabilidades de contratados. Isso inclui testes para identificar ausência de criptografia, uso de algoritmos que não atendam aos padrões FIPS e possíveis lacunas em implementações criptográficas. A medida tende a aproximar a governança de criptografia das práticas já usadas em gestão de vulnerabilidades, segurança de aplicações e resposta a incidentes.

Agências setoriais de gestão de risco e a CISA, agência norte-americana de segurança cibernética e infraestrutura, também foram orientadas a apoiar operadores de infraestrutura crítica na construção de seus próprios planos de migração. Nesse caso, o texto aponta uma função de assistência e coordenação, não uma imposição direta. Ainda assim, o movimento deve influenciar setores como energia, telecomunicações, finanças, saúde, transporte e defesa, que dependem de criptografia para proteger comunicações, identidades, transações e sistemas industriais.

Outro ponto central da ordem é o inventário criptográfico. Em até 270 dias, CISA e NIST deverão publicar os elementos mínimos de um CBOM, sigla para Cryptographic Bill of Materials. O CBOM funciona como uma lista legível por máquina dos ativos criptográficos presentes em um software, equipamento ou sistema. A proposta segue a lógica do SBOM, usado para mapear componentes de software, mas com foco específico em algoritmos, bibliotecas, protocolos, certificados, chaves e mecanismos criptográficos.

Esse inventário é a base para a chamada criptoagilidade, capacidade de uma organização substituir algoritmos, protocolos ou implementações criptográficas de forma controlada e rápida quando eles se tornam inseguros, obsoletos ou incompatíveis com novos padrões. Sem saber onde a criptografia está aplicada, a troca de algoritmos passa a depender de levantamentos manuais, fornecedores, análise de código, revisão de configurações e testes extensos, o que aumenta custos e atrasos.

Para equipes federais e fornecedores, a leitura prática é direta: o trabalho começa pelo mapeamento. Será necessário identificar todos os pontos em que ocorrem troca de chaves, uso de certificados, assinatura de código, autenticação, assinatura de documentos, VPNs, TLS, APIs, sistemas de identidade, integrações entre aplicações e armazenamento de dados sensíveis. Em seguida, esses pontos precisarão ser classificados conforme criticidade, dependência tecnológica, exposição e complexidade de migração.

Contratados federais devem se preparar para uma cláusula FAR com exigência de conformidade até 2030, assim que a regra for formalizada. Na prática, isso pode transformar a criptografia pós-quântica em requisito de contratação pública, afetando roadmaps de produtos, processos de auditoria, documentação técnica, certificações, contratos e programas de gestão de vulnerabilidades.

A ordem executiva foi assinada no mesmo dia de uma medida complementar, “Ushering in the Next Frontier of Quantum Innovation”, voltada ao avanço da computação quântica nos Estados Unidos. Enquanto uma frente busca acelerar o desenvolvimento de computadores quânticos, sensores e redes quânticas, a outra tenta reduzir o risco de que essa evolução comprometa sistemas criptográficos usados hoje.

O ponto decisivo ainda estará nas próximas normas. As orientações do OMB, esperadas em até 90 dias, e as regras do Federal Acquisition Regulatory Council definirão se os prazos de 2030 e 2031 se tornarão pressão real de conformidade e aquisição ou se seguirão o padrão de outros grandes programas federais de modernização, sujeitos a atrasos quando a complexidade técnica se torna evidente.