Mastercard prepara-se para a ameaça de cibersegurança pós-quântica

Um computador quântico criptograficamente relevante (CRQC) colocará em risco as transações diárias online. A Mastercard está a preparar-se para essa eventualidade… hoje.

Os milhares de milhões de transações que efetuamos atualmente online estão protegidos pelas chamadas tecnologias de encriptação de chave pública. Mas à medida que os computadores quânticos se tornam mais potentes, poderão quebrar estes algoritmos criptográficos. Um computador quântico criptograficamente relevante (CRQC) poderia ter um impacto devastador nos protocolos globais de cibersegurança.

Para se preparar para este cenário pessimista, a Mastercard lançou o seu projeto de Segurança e Comunicações Quânticas, que valeu à empresa o prémio US CIO 100 2023 pela inovação e liderança em TI.

“Estamos a trabalhar proativamente para mitigar os riscos futuros relacionados com a computação quântica que podem afetar a segurança dos milhares de milhões de transações digitais que processamos globalmente”, afirma George Maddaloni, diretor de tecnologia de operações da Mastercard, explicando o ímpeto por detrás do projeto.

O panorama da cibersegurança pós-quântica

Atualmente, as transações online que efetuamos são realizadas através de criptografia de chave pública. Nesta técnica, a pessoa (ou entidade) que envia a mensagem protege-a (bloqueia-a) com uma “chave” publicamente disponível e a entidade que a recebe desencripta-a com uma chave privada. A premissa é que, uma vez que apenas o recetor possui a chave privada, a transação é segura.

As chaves privadas seguras são derivadas de algoritmos matemáticos (o algoritmo Rivest-Shamir-Adleman (RSA) é um algoritmo comum) que são impossíveis de inverter e piratear. Pelo menos até aparecer um CQRC que o faça através da força bruta da computação quântica.

As entidades dos setores público e privado estão a preparar-se segundo uma de duas vias: trabalhar num conjunto completamente novo de algoritmos resistentes à quântica nos quais basear as chaves privadas (criptografia pós-quântica, PQC) ou utilizar a física quântica para fazer o mesmo (distribuição de chaves quânticas, QKD). O projeto da Mastercard centra-se neste último método. Outras empresas do setor financeiro estão também a explorar a QKD.

Paralelamente, instituições públicas como o National Institute of Standards and Trade (NIST) estão a seguir a abordagem PQC de “endurecimento de algoritmos”. O NIST selecionou quatro algoritmos resistentes ao quantum e está a proceder à sua normalização. Prevê-se que os algoritmos finais estejam disponíveis no primeiro semestre de 2024 e o NIST estabeleceu um roteiro de preparação quântica para as empresas seguirem.

O projeto Mastercard

Uma vez que a Mastercard adotou o método de distribuição de chaves quânticas, o seu projeto-piloto determinou os requisitos e limitações arquitetónicos do QKD e a prontidão operacional dos sistemas QKD.

Maddaloni, da Mastercard, afirma que a equipa testou a solução de distribuição de chaves quânticas através de uma rede de fibra escura. A Toshiba e a ID Quantique foram utilizadas para produzir as chaves. Dois fornecedores de rede com os quais a Mastercard já trabalhou no passado também foram incluídos na equipa. A sua contribuição do ponto de vista da rede IP Ethernet foi útil, diz Maddaloni. O objetivo era inventariar os tipos de capacidades de rede dentro da rede da Mastercard, que tem milhares de pontos terminais ligados com algumas capacidades de telecomunicações diferentes. “Queríamos ver se as capacidades de distribuição de chaves quânticas funcionavam nesse ambiente”, diz Maddaloni.

“A disponibilidade de serviços e equipamentos habilitados para QKD é muito especializada e atualmente bastante limitada”, diz Maddaloni. “Poucos fornecedores de hardware têm funcionalidades disponíveis que possam ser integradas em sistemas QKD.” A conceção do teste também foi um desafio. O QKD requer que os fotões individuais cheguem em momentos precisos e os estados quânticos utilizados para a encriptação podem ser facilmente alterados por fatores externos como o ruído, as alterações de temperatura e a vibração, entre outros fatores.

“O projeto foi concebido para enfrentar estes desafios e fornecer resultados demonstráveis e validar o potencial da tecnologia”, acrescenta Maddaloni. E foi um sucesso.

A grande migração

As questões de cibersegurança, como as abordadas pela Mastercard, são fundamentais, porque afetam as próprias bases do sistema que as instituições financeiras construíram.

“A segurança das transações e a confiança dos nossos clientes são a espinha dorsal do nosso negócio”, afirma Maddaloni. “O impacto do comprometimento dos atuais métodos de encriptação PKI poderia literalmente ameaçar a nossa capacidade de operar em segurança”, acrescenta. “Acreditamos que estar preparado para um cenário pós-quântico faz parte do nosso trabalho e envia a mensagem certa aos nossos parceiros, clientes e reguladores.”

Jeff Miller, CIO e vice-presidente de TI e segurança da Quantinuum, uma empresa de serviços quânticos de serviço completo, concorda que proteger os dados é vital porque “é uma conversa de confiança com o consumidor”. O processo de ser cripto ágil é perceber que os maus atores estão a tornar-se mais criativos na forma como invadem os ambientes. Como resultado, as empresas devem continuar a construir um processo iterativo e desenvolver protocolos para lidar com essas vulnerabilidades.

Enquanto empresas financeiras como a Mastercard se preparam para utilizar os seus próprios projetos-piloto, o comité de normas da indústria X9 está também a trabalhar em orientações para as empresas do setor financeiro, afirma Dustin Moody, um matemático que lidera o projeto de criptografia pós-quântica no Instituto Nacional de Normas e Tecnologia (NIST).

O caminho a percorrer não é fácil, reconhecem os especialistas. “A disponibilidade de serviços e equipamento de distribuição de chaves quânticas é ainda muito limitada. Alguns dos fornecedores de hardware com que trabalhamos acabaram de anunciar funcionalidades que são muito recentes no mercado, e algumas nem sequer estão amplamente disponíveis”, afirma Maddaloni. “Penso que o setor compreende que os serviços financeiros irão necessitar desta capacidade no futuro.”

Moody aconselha as empresas a aperfeiçoarem a sua preparação pós-quântica, apesar do que pode parecer uma perspetiva assustadora. A primeira ordem de trabalhos? “É necessário encontrar todas as instâncias de criptografia de chave pública, o que é complicado e levará tempo a fazer esse inventário”, diz Moody. “Será uma migração complexa que levará tempo”, diz, “por isso incentivamos as organizações a se anteciparem o mais rápido possível”.

Miller compara o processo à preparação para o Y2K, quando as empresas estavam preocupadas com a formatação e o armazenamento de informações para além do ano 2000. A migração para a preparação pós-quântica tem até um acrónimo semelhante: Y2Q. Uma diferença fundamental diz Miller, é que havia uma contagem decrescente fixa para o ano 2000. O computador quântico criptograficamente relevante não está cá hoje, mas poderá estar cá dentro de cinco anos. Ou dez.

“Saber que não temos uma data certa para quando as nossas atuais metodologias de encriptação deixarão de ser úteis”, diz Miller, “tira-me noites de sono.”

Autores
O seu comentário...

*

Top