Grande parte de nossa infraestrutura de TI atual depende do DNS para rotear o tráfego com segurança. Proteger essa infraestrutura, por sua vez, depende fortemente da criptografia, mas há uma ameaça surgindo no horizonte.
A computação quântica oferecerá um nível de poder de processamento que pode tornar obsoletas as técnicas criptográficas atuais, e isso é um problema para o todo o mundo da Internet e das redes. Conversamos com Peter Lowe, principal pesquisador de segurança da DNSFilter, para discutir o possível impacto da computação quântica na segurança e o que pode ser feito para enfrentar a ameaça.
BN: Por que a criptografia é tão essencial para o DNS?
PL: Criptografia é a linha de base que os servidores DNS (Domain Name Security) usam para verificação como parte das Extensões de Segurança DNS (DNSSEC). Para obter a verificação por meio do uso de assinaturas digitais ou chaves simétricas, o DNS deve confirmar que o site e os dados são quem e o que afirmam ser, e a criptografia forte é a única maneira de garantir que podemos confiar nos resultados.
BN: Como a computação quântica coloca isso em risco?
PL: Ao contrário de um computador tradicional que codifica informações em bits, um computador quântico codifica informações em bits quânticos (qubits ) que funcionam de maneira diferente. Os qubits permitem que a computação quântica não apenas codifique informações mais rapidamente, mas também armazene mais informações de uma só vez, ameaçando a segurança cibernética como a conhecemos.
A computação quântica tem a velocidade e o poder necessários para quebrar algoritmos criptográficos, permitindo que hackers acessem dados que foi previamente criptografado com segurança e armazenar e descriptografar esses dados posteriormente. É relativamente fácil acessar dados’on the wire’executando um ataque man-in-the-middle, mas inútil se os dados transmitidos forem criptografados. No momento, os dados pareceriam apenas uma sequência aleatória de bytes e, sem a ameaça da computação quântica, poderiam permanecer assim por centenas de anos no futuro. A computação quântica tem o potencial de permitir que os hackers descriptografem isso com mais facilidade, e os dados podem não permanecer seguros pelo tempo originalmente pretendido.
Além disso, a computação quântica apresenta desafios para o tamanho da chave e da assinatura, que são muito maiores do que os algoritmos atuais. A criptografia pós-quântica usa tamanhos de chave maiores do que estamos acostumados atualmente, o que por si só é bom. Mas, devido aos limites do protocolo usado pelos servidores DNS, chamado Universal Datagram Protocol ou UDP, os tamanhos dos pacotes podem se tornar maiores do que o servidor foi projetado para lidar. Sem mencionar que os tamanhos de chave maiores exigirão recursos computacionais significativamente maiores nos próprios servidores.
Para se proteger contra essas ameaças à criptografia, o setor começou a analisar a implantação de algoritmos pós-quânticos. No entanto, o DNSSEC é particularmente desafiador na transição para algoritmos pós-quânticos devido aos possíveis efeitos na infraestrutura. A atualização de cifras é um processo arriscado, especialmente para aqueles que executam servidores raiz: se as senhas usadas para gerar as chaves forem comprometidas, pode ser possível falsificar qualquer verificação de domínio que tenha ocorrido. A cada três meses, ocorre uma Cerimônia de Assinatura de Chaves cuidadosamente coreografada para gerar as chaves usadas no topo da cadeia DNSSEC. Esse processo teria que ser revisado minuciosamente se alguma mudança ocorresse, o que significa que literalmente todas as solicitações de DNS validadas na Internet–trilhões todos os dias–poderiam ser comprometidas.
BN: Como as organizações podem começar a planejar um mundo pós-quântico?
PL: Para que as organizações se preparem para um mundo pós-quântico, é essencial mudar nossas mentalidades para deixar de lado a ideia de que certas mensagens permanecer privado para sempre. Somos regularmente assegurados de que a criptografia protege nossos dados de hackers e, embora seja esse o caso, é importante ter em mente que a criptografia será quebrada em algum momento. A maior diferença com a computação quântica é que ela pode acontecer muito mais rápido do que imaginávamos.
Um exemplo são as mensagens. Existem muitos sistemas de mensagens que fornecem criptografia de ponta a ponta (E2EE), usada para trocar mensagens com segurança sem se preocupar que, se as mensagens forem interceptadas, possam ser lidas por hackers em um futuro previsível. A computação quântica acelera essa linha do tempo em uma magnitude. Portanto, armazenar os dados pode se tornar uma opção viável para determinados hackers.
Organizações de alto risco, como bancos e governos, devem começar a se preparar para usar algoritmos pós-quânticos o mais cedo possível. Embora ainda haja muito tempo para fazer isso, será um processo longo, então quanto mais cedo você começar, melhor.
A primeira etapa é se preparar: identifique onde a criptografia é usada em todo o organização, documentar os procedimentos e algoritmos atuais usados e mapear os requisitos de retenção para cada tipo de dados armazenados. Além disso, os profissionais de segurança precisam abrir mão de procedimentos rígidos: quanto mais rígido o procedimento, mais difícil será atualizá-lo posteriormente. Para evitar esses desafios no futuro, as equipes de segurança devem garantir que todas as práticas atuais sejam o mais flexíveis possível.
Para dados armazenados, a opção mais segura é sempre simplesmente excluí-los. Para dados que precisam ser mantidos para sempre, deve haver preparações para criptografá-los novamente quando os padrões atualizados estiverem prontos. Para software e hardware que usam criptografia de outra maneira, verifique se o provedor tem planos para atualizar seus algoritmos e investigue alternativas.
Manter-se informado sobre os últimos desenvolvimentos em computação quântica será outro fator importante no planejamento de um mundo pós-quântico, seja através da leitura de boletins do setor ou prestando muita atenção às atualizações padrão feitas pelo Instituto Nacional de Padrões e Tecnologia (NIST) do Departamento de Comércio dos EUA.
BN: Existem soluções pós-quânticas disponíveis ou já em andamento?
PL: Em julho de 2022, o NIST selecionou quatro algoritmos de criptografia para serem adicionados ao padrão criptográfico pós-quântico do NIST, que deve ser lançado em cerca de dois anos. Também há planos para anunciar outra rodada de algoritmos em breve.
Os desafios no mundo do DNS são mais operacionais do que algorítmicos: o hardware precisará se adaptar para dar conta do aumento dos requisitos computacionais e os protocolos precisarão ser ajustado ou introduzido sem que os limites atuais prejudiquem aqueles em uso hoje.
Uma opção na mesa é usar assinaturas baseadas em hash, que resistem muito bem à criptografia pós-quântica e têm uma sobrecarga menor quando eles precisam ser mudados. Mas mesmo uma sobrecarga menor ainda é significativa.
Atualmente, não há nenhuma solução completa disponível para resolver isso. No entanto, as discussões do setor estão ocorrendo e estou animado para ver o que está por vir.
Crédito da imagem: BeeBright/depositphotos.com