-
Proteja contra ataques quânticos com criptografia segura
Saiba como proteger os dados confidenciais dos usuários do seu app contra a crescente ameaça da computação quântica, preservando a privacidade do usuário. Vamos explorar diferentes ataques quânticos, seus impactos nos protocolos criptográficos existentes e como se defender deles usando criptografia segura contra ataques quânticos. Você aprenderá a usar o TLS resistente à computação quântica para proteger dados de rede e usar as APIs do CryptoKit, que são seguras contra ataques quânticos, para proteger dados de apps.
Capítulos
- 0:00 - Introdução
- 1:18 - Ataques quânticos
- 4:49 - Criptografia segura contra ataques quânticos
- 8:56 - Proteger os dados de rede
- 12:08 - Proteger protocolos personalizados
Recursos
-
Buscar neste vídeo...
Olá! Meu nome é Cathie. Sou da equipe Cryptography Engineering. Este vídeo vai mostrar como sair na frente com a criptografia quântica.
Seus apps ocupam um lugar privilegiado na vida das pessoas. Eles podem ter acesso a dados pessoais e confidenciais dos usuários e utilizam a criptografia para protegê-los.
Mas o crescimento da computação quântica ameaça a segurança dessa criptografia, com ataques quebrando ou enfraquecendo os algoritmos mais utilizados. Prepare-se para lidar com esse risco migrando para a criptografia quântica. Vou começar analisando ataques quânticos à criptografia, quais protocolos afetam e como se defender com a criptografia quântica. Em seguida, vou explicar como proteger os dados da rede contra ataques quânticos usando criptografia quântica em TLS. E vou explicar como proteger protocolos personalizados com as novas APIs contra ataques quânticos do CryptoKit.
Vou começar pelos ataques quânticos à criptografia.
Imagine um app que tenha acesso a dados pessoais e confidenciais, como saúde, localização e fotos. Ele usa criptografia para proteger esses dados. Por exemplo, ele faz upload desses dados em um servidor para backup e sincronização entre dispositivos. Esses dados são protegidos por TLS. Para esse e outros fluxos de operação, a criptografia é fundamental para a segurança dos dados dos usuários.
Porém, essa criptografia está sob ameaça de ataques quânticos. Isso inclui a criptografia, usada para garantir a confidencialidade, e as assinaturas, usadas para garantir a autenticidade. Especialistas afirmam que computadores quânticos poderosos o suficiente devem surgir em breve, e alguns ataques quânticos já são relevantes, mesmo antes de eles existirem.
Por exemplo, um invasor pode estar coletando dados criptografados neste momento para descriptografá-los. Vejamos como o ataque pode funcionar.
Voltando ao exemplo anterior, o app contém dados confidenciais do usuário, como saúde, localização e fotos, e deseja enviá-los ao servidor. Ele criptografa os dados com TLS e os envia. Um invasor na rede pode coletar esses dados criptografados e armazená-los. Ele ainda não consegue descriptografá-los, mas pode aguardar para ter acesso a um computador quântico poderoso o suficiente para descriptografar e acessar os dados confidenciais do usuário no futuro.
O ataque com coleta agora e descriptografia depois afeta os dados criptografados que um invasor pode acessar, principalmente os em trânsito. Ele afeta apps que enviam dados para um servidor, sincronizam entre dispositivos ou transferem pela rede com criptografia. Ele quebra a confidencialidade, pois o invasor pode ver o tráfego de rede depois de descriptografá-los. Os invasores podem já estar coletando tráfego de rede, por isso precisamos tomar medidas para mitigar esses ataques agora. Diferentemente dos atraques com coleta agora para descriptografar depois, vou dar um exemplo de ataque em que um invasor com um computador quântico precisa estar ativamente envolvido no protocolo.
Imagine um app que tem uma chave de assinatura vinculada a um usuário. O app usa essa chave para autenticar o usuário no servidor com uma assinatura.
Um invasor observando o tráfego de rede intercepta essa assinatura. Usando um computador quântico poderoso o suficiente, ele quebra a criptografia e rouba a chave de assinatura. Ele usa a chave roubada para fazer uma assinatura, que é enviada ao servidor para se passar pelo usuário. O servidor aceita a assinatura do invasor como se fosse do usuário. Em seguida, o invasor executa ações em nome do usuário.
O ataque ativo que eu mostrei afeta assinaturas. Ele quebra a autenticidade, pois o invasor pode falsificar a autenticação e realizar ações em nome da vítima. Ele afeta apps de autenticação do usuário, como o WebAuth, e autenticação de vários fatores, além de apps de autenticação de dados, como a assinatura de ativos. É uma ameaça futura, pois ainda não existem computadores quânticos capazes de realizar esse tipo de ataque. No entanto, eles devem surgir.
Os ataques quânticos são uma ameaça real à segurança da criptografia amplamente implantada. Para se proteger desses ataques, a comunidade de criptografia tem focado em criar e padronizar algoritmos imunes a ataques quânticos, a chamada criptografia quântica. Esses algoritmos já estão prontos para implantação. Eles funcionam nos computadores clássicos e não quânticos atuais, mas continuarão protegidos contra ataques de computadores clássicos e quânticos. Vou entrar em mais detalhes, mas embora a criptografia seja complexa, as correções são simples.
A criptografia pode ser de chave pública e de chave simétrica.
Essas categorias são afetadas de forma diferente por ataques quânticos e têm estratégias de mitigação diferentes. Vou começar com a de chave pública, que inclui criptografia e assinaturas de chave pública. A criptografia clássica de chave pública é baseada em problemas matemáticos, como RSA e logaritmos em curvas elípticas, que são complicados para os computadores clássicos resolverem.
No entanto, os computadores quânticos serão capazes de resolver esses problemas exponencialmente mais rápido do que os clássicos, quebrando esses algoritmos. Portanto, eles precisam ser substituídos por algoritmos quânticos, que são densos tanto para computadores clássicos quanto quânticos resolverem.
Para criptografar com segurança quântica, use a Criptografia de Chave Pública Híbrida Pós-quântica, ou HPKE Pós-quântica.
Para uma assinatura segura quântica, você deve usar Assinaturas Híbridas Pós-quânticas. Ambas são construções híbridas pós-quânticas, então combinam novos algoritmos pós-quânticos com os clássicos atuais. Quebrar uma construção híbrida exige quebrar o algoritmo pós-quântico e o clássico, por isso, as híbridas oferecem a melhor garantia de segurança e são recomendadas pela Apple para criptografia quântica. A criptografia de chave simétrica inclui também códigos de autenticação de mensagens. Esses algoritmos também são baseados em problemas matemáticos que são difíceis para computadores clássicos. Mas são afetados pelos computadores quânticos de forma bem diferente dos algoritmos clássicos de chave pública. Os computadores quânticos só conseguem reduzir uma parte pequena e constante do fator de segurança desses problemas, enfraquecendo só a criptografia de chave simétrica. Portanto, algoritmos de chave simétrica que já são seguros podem se tornar quanticamente seguros dobrando seu tamanho de chave.
Atualize suas cifras de chave de 128 bits para 256 bits. Por exemplo, mude de AES-128 para AES-256. Para resumir os ataques quânticos que apresentei, a maior prioridade na migração para criptografia quântica é se defender contra coleta agora para descriptografar depois. Isso acontece porque os protocolos que enviam dados criptografados em trânsito podem estar tendo seus dados coletados agora. Para se defender disso, você precisa migrar para a criptografia quântica para dados em trânsito. Isso é muito importante quando o protocolo lida com dados confidenciais do usuário.
A proteção contra esse tipo de ataque é tão importante que a Apple já fez isso para o iMessage.
O iMessage protege conversas confidenciais enviadas pela rede. Para se precaver contra ataques quânticos, no iOS 17.4, a Apple lançou o iMessage PQ3, que é o maior avanço em mensagens seguras quânticas em escala. Isso reconstruiu o protocolo de criptografia do iMessage para oferecer criptografia quântica híbrida para o estabelecimento de chaves e rechaveamento contínuo em conversas. Leia o Blog de Segurança da Apple para saber mais sobre os recursos e o design do iMessage PQ3. O iMessage PQ3 é um grande salto em mensagens seguras quânticas em escala, mas é apenas a ponta do iceberg da proteção dos dados na rede. A maioria dos dados na rede, incluindo todo o tráfego HTTPS, é protegida com TLS. Vou falar como proteger esses dados de ataques quânticos atualizando para TLS quântico.
O TLS 1.3 trouxe uma atualização de criptografia quântica para proteger os dados da rede contra ataques de coleta agora para descriptografar depois. Essa atualização traz uma troca de chaves quântica por meio de esforços de padronização do Instituto Nacional de Padrões e Tecnologia e da Internet Engineering Task Force. A criptografia quântica em TLS já foi adotada pelos principais provedores de serviços. Ela está pronta para o uso e é simples de ativar.
A partir do iOS 26, a criptografia quântica em TLS está ativada por padrão nos sistemas operacionais da Apple para as redes recomendadas de APIs, URLSession e Network.framework. Observe que, assim como o TLS clássico, isso protege a comunicação entre o cliente e o servidor de encerramento TLS.
É necessário migrar de APIs de rede antigas, como Secure Transport, pois elas não oferecerão suporte a TLS quântico. A atualização de pilhas de redes personalizadas pode ser mais desafiadora. Esta é uma ótima oportunidade para migrar para URLSession ou para apoiar sua pilha de redes com o Network.framework.
Para que a criptografia quântica em TLS funcione entre dispositivos e servidores, também é preciso ativá-la do lado do servidor. A maioria dos desenvolvedores usa um provedor de hospedagem de conteúdo ou de sites. A maioria deles já oferece suporte para criptografia quântica em TLS. Ela pode ser habilitada por padrão ou facilmente ativada com uma alteração de configuração. Ao implantar seus próprios servidores, há um pouco mais de trabalho, pois você precisa atualizar explicitamente suas bibliotecas TLS e configurações. Para saber mais, leia a documentação sobre como preparar sua rede para criptografia quântica em TLS.
Você pode estar usando alguns serviços do sistema que criptografam dados de dispositivos para servidores Apple. A Apple está liderando pelo exemplo, por isso, no iOS 26, esses serviços do sistema terão a criptografia quântica em TLS ativada do lado do cliente e implementada do lado do servidor. O CloudKit armazena os dados do seu app no iCloud e os sincroniza entre dispositivos e na internet.
As notificações por push da Apple permitem que seu app forneça conteúdo relevante e em tempo hábil para seus usuários.
E a Retransmissão Privada do iCloud protege o DNS e qualquer tráfego HTTP não criptografado em seu app. Todos esses serviços do sistema estão habilitando a criptografia quântica em TLS.
Apps integrados da Apple que lidam com dados confidenciais do usuário, como Safari, Tempo e Mapas, estão incluindo suporte à criptografia quântica em TLS. E agora o seu app também pode.
Para a maioria dos desenvolvedores, o uso de criptografia quântica em TLS é suficiente para proteger contra ataques de coleta agora para descriptografar depois. No entanto, TLS não é a única maneira de proteger os dados em trânsito. É possível ter protocolos de criptografia personalizados que usam APIs de criptografia diretamente para proteger os dados. Nesse caso, é preciso migrar para APIs de criptografia quântica.
Para isso, primeiro é necessário fazer um inventário do seu uso atual de criptografia. É necessário identificar onde seus protocolos usam criptografia com risco quântico, como dados criptografados em trânsito e assinaturas. Planeje como atualizar esses protocolos para usar a criptografia quântica. Use o CryptoKit para implementar essas atualizações com as novas APIs contra ataques quânticos.
O CryptoKit é um framework Swift disponível em todas as plataformas Apple com APIs para algoritmos de criptografia. No iOS 26, o CryptoKit inclui APIs contra ataques quânticos, que são eficientes, práticas e seguras. Elas dão proteção adicional contra ataques de temporização e canal lateral, impondo a execução isolada de hardware com Secure Enclave. Elas também dão garantias de correção, pois as implementações principais são formalmente verificadas, significando que elas provaram ser funcionalmente equivalentes às especificações padrão.
Para mostrar como usar as novas APIs do CryptoKit, vou dar um exemplo: um app de escalada, que usa um protocolo de criptografia personalizado para proteger dados em trânsito.
Digamos que você esteja criando um app que tenha acesso aos dados de saúde de um usuário, geolocalização e fotos tiradas em escaladas. Você pretende fornecer criptografia de ponta a ponta desses dados para os outros dispositivos do usuário. Essas informações são confidenciais e precisam ser mantidas privadas do servidor e de invasores. Para isso, é preciso criar um protocolo personalizado que criptografa os dados para outros dispositivos do usuário e retransmite-os pelo servidor.
O TLS quântico aqui não é o suficiente, pois protege a comunicação entre o cliente e o servidor terminal de TLS e, neste caso, não se deve revelar os dados do usuário ao servidor.
Qualquer app que criptografa dados em trânsito, como neste exemplo do app de escalada, precisa usar criptografia quântica para se proteger contra ataques coleta agora para descriptografar depois.
A partir do iOS 26, o CryptoKit será compatível com uma API contra ataques quânticos baseada em Chave Pública Híbrida Pós-quântica ou HPKE Pós-quântica. Isso é perfeito para o exemplo de migração do app de escalada, para proteger os dados confidenciais do usuário contra ataques quânticos. Vou analisar um exemplo de código para demonstrar como você pode usar essa nova API.
O remetente e o destinatário definem a cifra HPKE Pós-quântica do X-Wing. Vou dar mais detalhes sobre o X-Wing após a demonstração do código. No lado do destinatário, você cria um par de chaves X-Wing. Se o seu app já usa HPKE clássico com CryptoKit, migrar para HPKE Pós-quântico é apenas uma troca de cyphersuite e tipo de chave. Portanto, as únicas partes específicas para a API HPKE segura quântica são essas primeiras linhas.
O destinatário compartilha sua chave pública.
Em seguida, crie o remetente com a chave pública do destinatário
e o destinatário com a chave encapsulada do remetente.
O remetente cria um texto cifrado criptografando os dados confidenciais do usuário, como dados de saúde, faixas de geolocalização ou fotos, juntamente com metadados autenticados. Ele o envia para o destinatário.
O destinatário descriptografa o texto cifrado abrindo-o junto com os mesmos metadados autenticados.
Agora, os dados da viagem de escalada do usuário foram enviados do dispositivo remetente para o destinatário com criptografia de ponta a ponta quântica.
Como eu mostrei no código de exemplo, você deve usar a HPKE pós-quântica para criptografia quântica. Isso estabelece a chave compartilhada HPKE usando o X-Wing Key Encapsulation Mechanism ou KEM.
HPKE Pós-quântico e X-Wing são construções híbridas pós-quânticas, que combinam algoritmos pós-quânticos e clássicos para somar as garantias de segurança de ambos.
ML-KEM é o bloco de construção pós-quântico para X-Wing KEM, bem como outros KEMs pós-quânticos. O ML-KEM tem uma sobrecarga de criptografia maior do que seus concorrentes clássicos. Porém, tem desempenho comparável ou melhor do que eles. O CryptoKit usa uma implementação formalmente verificada do ML-KEM, que provou ser funcionalmente equivalente à especificação padronizada FIPS 203. Ele também oferece suporte a Secure Enclave, possibilitando a execução isolada de hardware para operações de ML-KEM.
Discutimos como você deve criptografar dados usando HPKE Pós-quântico, que é uma API de alto nível disponível no CryptoKit. Se você precisa implementar protocolos próprios de criptografia para oferecer suporte a uma especificação, o CryptoKit também oferece APIs quânticas de baixo nível.
O HPKE Pós-quântico usa X-Wing para encapsulamento de chaves, que usa ML-KEM como elemento essencial pós-quântico. Agora, o CryptoKit oferece suporte a tudo isso como APIs de criptografia. Da mesma forma, assinaturas seguras quânticas usam ML-DSA como seu bloco de construção pós-quântico. Agora, o CryptoKit também oferece suporte a ML-DSA como uma API de assinatura. Assim como o ML-KEM, a implementação ML-DSA aceita a Secure Enclave.
A API ML-DSA pode ser usada para criar assinaturas híbridas pós-quânticas a nível de código de app.
As APIs do CryptoKit são executadas no dispositivo do lado do cliente. Alguns protocolos exigem interoperabilidade criptográfica entre o cliente e o servidor. Um dos modos mais fáceis de incluir suporte a isso é usar o Swift Crypto no servidor. Swift Crypto é uma biblioteca Swift de compatibilidade com API com o CryptoKit para servidores, que garante um desenvolvimento sem emendas. Isso inclui a compatibilidade de servidor para todas as APIs contra ataques quânticos do CryptoKit no iOS 26. Observe que, como essas APIs quânticas são implementações de protocolos padronizados, você pode usar qualquer biblioteca compatível do lado do servidor. Com as APIs contra ataques quânticos no CryptoKit e no Swift Crypto, você tem as ferramentas para proteger seu app contra ataques quânticos migrando para a criptografia quântica. Confira o código de exemplo nos recursos do vídeo para ver mais exemplos de como usar essas novas APIs.
Agora você já sabe como proteger os dados do seu app contra ataques quânticos. Primeiramente, garanta que seus dados de rede estejam protegidos com criptografia quântica em TLS. Isso é fácil, principalmente se você usar as APIs de rede recomendadas, que o têm ativado por padrão.
Atualize a configuração do servidor para ativá-la.
Para protocolos de criptografia personalizados, use as APIs contra ataques quânticos do CryptoKit. Use HPKE Pós-quântico para criptografar dados, como no exemplo do app de escalada.
Ataques quânticos não são uma possibilidade distante. Eles já são preocupantes, e precisamos nos precaver deles, mudando para a criptografia quântica. Então, como dizem os alpinistas: manda ver!
-
-
15:00 - HPKE code sample
let ciphersuite = HPKE.Ciphersuite.XWingMLKEM768X25519_SHA256_AES_GCM_256 // Recipient let privateKey = try XWingMLKEM768X25519.PrivateKey.generate() let publicKey = privateKey.publicKey // Sender var sender = try HPKE.Sender(recipientKey: publicKey, ciphersuite: ciphersuite, info: info) let encapsulatedKey = sender.encapsulatedKey // Recipient var recipient = try HPKE.Recipient(privateKey: privateKey, ciphersuite: ciphersuite, info: info, encapsulatedKey: encapsulatedKey) // Sender encrypts data let ciphertext = try sender.seal(userData, authenticating: metadata) // Recipient decrypts message let decryptedData = try recipient.open(ciphertext, authenticating: metadata) #expect(userData == decryptedData)
-
-
- 0:00 - Introdução
A ascensão da computação quântica representa uma ameaça significativa aos algoritmos criptográficos atuais, que podem ser facilmente rompidos por ataques quânticos, comprometendo a segurança dos dados confidenciais do usuário armazenados em apps. Fique à frente desse risco fazendo a transição para a criptografia com segurança quântica. Saiba como proteger dados de rede usando criptografia com segurança quântica no TLS e como proteger protocolos personalizados usando as novas APIs com segurança quântica no CryptoKit.
- 1:18 - Ataques quânticos
A criptografia é fundamental para proteger os dados do usuário em vários fluxos de trabalho, utilizando TLS para proteção. No entanto, essa segurança está em risco de ataques quânticos. Os computadores quânticos têm duas ameaças principais: "colher agora, descriptografar depois" e ataques quânticos ativos. No primeiro, os invasores podem interceptar e armazenar dados criptografados agora e descriptografá-los no futuro com a computação quântica, violando a confidencialidade. Esse ataque passivo afeta dados criptografados, especialmente dados em trânsito, como dados enviados por apps a servidores ou dados sincronizados entre dispositivos. Os ataques quânticos ativos, embora ainda não sejam viáveis, envolvem invasores usando computadores quânticos para violar assinaturas criptográficas, permitindo que eles se passem por usuários, forjando a autenticação. Esses ataques afetam apps que realizam autenticação de usuário e dados. Os especialistas concordam que computadores quânticos suficientemente poderosos são iminentes, exigindo uma ação imediata para mitigar essas ameaças.
- 4:49 - Criptografia segura contra ataques quânticos
Os ataques quânticos representam um risco significativo para os sistemas criptográficos atuais e, portanto, a comunidade de criptografia desenvolveu algoritmos com segurança quântica, que já podem ser usados. A criptografia clássica de chave pública, como RSA e curvas elípticas dedicadas de logon, pode ser completamente violada por computadores quânticos. Você precisa substituir esse algoritmos por construções híbridas pós-quânticas, que combinam novos algoritmos pós-quânticos com os clássicos atuais. A criptografia de chave simétrica, que inclui criptografia de chave simétrica e códigos de autenticação de mensagem, é enfraquecida pelos computadores quânticos. Você pode tornar esses algoritmos com segurança quântica dobrando o tamanho da chave. A maior prioridade é migrar para criptografia com segurança quântica para dados em trânsito para se defender contra ataques do tipo "colher agora, descriptografar depois". A Apple já deu esse passo ao implementar o iMessage PQ3 no iOS 17.4, fornecendo criptografia híbrida com segurança quântica para conversas no iMessage.
- 8:56 - Proteger os dados de rede
O iMessage PQ3 representa um avanço significativo no gerenciamento de mensagens com segurança quântica, mas a proteção mais ampla dos dados de rede depende da atualização para TLS com segurança quântica. O TLS 1.3 usa uma troca de chaves com segurança quântica. Essa atualização já foi adotada pelos principais provedores de serviços e está habilitada por padrão do iOS 26 em diante para as APIs de rede recomendadas "URLSession" e "Network.framework". Essas APIs de rede com segurança quântica protegem contra ataques do tipo "colher agora, descriptografar depois". Você precisa migrar das APIs de rede herdadas e habilitar o TLS com segurança quântica nos lados do cliente e do servidor.
- 12:08 - Proteger protocolos personalizados
Para proteger os dados de futuros ataques quânticos, migre para a criptografia com segurança quântica. Para protocolos de criptografia personalizados, isso envolve inventariar o uso atual, planejar atualizações e implementar essas alterações usando o CryptoKit, um framework do Swift disponível em todas as plataformas Apple. No iOS 26, o CryptoKit fornece uma nova API de criptografia com segurança quântica de alto nível, com alto desempenho e fácil de usar. Essa API se baseia na criptografia de chave pública híbrida pós-quântica (HPKE) e tem garantias de correção porque é formalmente verificada. O Secure Enclave garante a execução isolada de hardware para aumentar a proteção contra ataques de canal lateral e temporização. O CryptoKit também tem APIs com segurança quântica de baixo nível disponíveis. Para o encapsulamento de chaves, o HPKE pós-quântico usa XWing, que usa ML-KEM como elemento essencial pós-quântico. Para assinaturas com segurança quântica, o ML-DSA é o bloco de construção pós-quântico. Ambas as implementações também funcionam com Secure Enclave. Apps que criptografam dados em trânsito, como aqueles que lidam com informações confidenciais do usuário, como dados de saúde ou geolocalização, precisam usar HPKE pós-quântico para estabelecer criptografia de ponta a ponta com segurança quântica. Alguns protocolos exigem interoperabilidade criptográfica entre o cliente e o servidor, para os quais o Swift Crypto fornece uma experiência de desenvolvimento perfeita. A biblioteca do Swift Crypto fornece compatibilidade de APIs com o CryptoKit para servidores e garante a compatibilidade para todas as APIs com segurança quântica compatíveis com o CryptoKit no iOS 26.