Em agosto de 2024, o NIST publicou os primeiros três padrões de criptografia pós-quântica: ML-KEM, ML-DSA e SLH-DSA. É o maior upgrade criptográfico desde o AES em 2001. Computadores quânticos capazes de quebrar RSA e curvas elípticas ainda não existem em escala — mas atacantes já estão coletando dados cifrados agora para decifrar depois. O ataque 'harvest now, decrypt later' significa que seus dados de hoje são o problema de amanhã. E pouquíssimas empresas brasileiras se mexeram.
Atores estatais e grupos avançados já estão coletando tráfego cifrado com RSA e curvas elípticas. Quando computadores quânticos escalarem, todo esse tráfego será decifrável retroativamente. O NIST não publicou padrões por precaução acadêmica — publicou porque o risco é real e o timeline está encurtando.
RSA-2048, ECDSA, ECDH — toda a criptografia assimétrica que protege TLS, certificados, assinaturas digitais e key exchange será quebrável por computadores quânticos com algoritmo de Shor. Não é questão de 'se', é questão de 'quando'. O NIST decidiu que 'quando' é agora.
Dados financeiros, contratos, propriedade intelectual, comunicações confidenciais — tudo que está cifrado com RSA hoje pode ser decifrado retroativamente. Se o dado tem valor em 10 anos, ele já está sendo coletado. Bancos, saúde e governo são alvos prioritários.
Seu código pode não usar RSA diretamente — mas suas dependências usam. OpenSSL, libraries de TLS, SDKs de cloud, frameworks de autenticação. A cadeia de dependências é onde a criptografia vulnerável se esconde. Sem scanner, você não sabe o que precisa migrar.
O governo americano já exigiu inventário de criptografia pós-quântica para agências federais. A UE está preparando requisitos similares. O setor financeiro brasileiro segue as mesmas tendências com delay de 18-24 meses. Quem se antecipa define o padrão — quem espera corre atrás.
O Post-Quantum Readiness Scan não é pesquisa acadêmica. É um serviço prático: scanner de código que identifica uso de criptografia vulnerável, análise de dependências que mapeia a cadeia completa, e relatório com roadmap de migração priorizado. O preço cobrado por auditoria de segurança no setor financeiro justifica facilmente.
Varredura automatizada do codebase e configurações de infraestrutura. Identifica uso direto e indireto de RSA, ECDSA, ECDH, DSA e outros algoritmos vulneráveis a computação quântica. Mapeia TLS versions, cipher suites, certificados e key management.
Mapeamento completo da árvore de dependências: libraries de criptografia, SDKs de cloud, frameworks de autenticação, integrações com terceiros. Para cada dependência, identificamos a versão, o algoritmo usado e se já existe versão com suporte pós-quântico.
Nem toda criptografia precisa migrar ao mesmo tempo. Classificamos por: tipo de dado protegido (financeiro > operacional > público), tempo de valor do dado (10 anos > 1 ano > efêmero), exposição a coleta (internet-facing > interna > air-gapped). O resultado é uma priorização que faz sentido de negócio.
Plano priorizado de migração para ML-KEM, ML-DSA e SLH-DSA. Para cada componente: algoritmo atual, algoritmo alvo, estimativa de esforço, dependências bloqueantes, e opção de modo híbrido (pós-quântico + clássico) para transição gradual. Relatório pronto para CISO e board.
Scanner de código + análise de dependências + relatório. Não precisa de pesquisa de 6 meses. O NIST já definiu os padrões. O serviço é execução, não exploração.
Auditoria de segurança em banco e fintech cobra R$ 50-200k por projeto. Post-quantum readiness é nicho novo com pouquíssima concorrência no Brasil. Primeiro a oferecer define o preço.
ML-KEM (encapsulamento de chave), ML-DSA (assinatura digital) e SLH-DSA (assinatura hash-based). Os padrões existem — falta implementação. O scan mostra exatamente onde e como migrar.
Não precisa migrar tudo de uma vez. Modo híbrido (pós-quântico + clássico) permite transição gradual sem quebrar compatibilidade. O roadmap inclui a estratégia de coexistência.
EUA já exigem inventário pós-quântico para agências federais. UE está preparando requisitos. Brasil segue com 18-24 meses de delay. Quem faz o scan agora está pronto quando a regulação chegar.
Documento visual com inventário de criptografia, classificação de risco, e roadmap priorizado. O CISO apresenta dados concretos em vez de 'ameaça teórica futura'.
A maioria das empresas brasileiras ainda não começou. O Post-Quantum Readiness Scan é o primeiro passo: saber exatamente o que precisa migrar, quando, e quanto custa.