A França vai deixar de certificar produtos não “quantum-safe” a partir de 2027, recomendando às empresas a transição até 2030

A agência francesa de cibersegurança (ANSSI) anunciou a 17 de junho que vai deixar de certificar, a partir de 2027, produtos de segurança que não disponham de tecnologias de criptografia pós-quântica, recomendando às empresas que, até 2030, adquiram apenas produtos que sejam seguros do ponto de vista quântico. Dado que a certificação da ANSSI é um requisito obrigatório para agências governamentais francesas e operadores de infraestruturas críticas, esta medida define, na prática, um prazo de eliminação para sistemas criptográficos legados.

Declaração do diretor da ANSSI, Souissi, na conferência de França sobre o tema quântico: governação, planeamento industrial e questões de soberania

O diretor da ANSSI, Samih Souissi, afirmou na conferência de França sobre o tema quântico que esta alteração de política não se limita ao plano técnico: «Isto não é apenas uma questão técnica. É uma questão de governação, planeamento industrial, regulação e soberania.»

Souissi referiu que o prazo de 2027 para a cessação da certificação e a recomendação de compras até 2030 visam dar à indústria tempo suficiente para se adaptar, ao mesmo tempo que protegem contra a ameaça sistémica que a computação quântica representa para os sistemas de proteção criptográfica atuais.

Avaliação das ameaças da IBM Jerry Chow e da Qperfect

O executivo da IBM Jerry Chow, na conferência de França sobre o tema quântico, disse que a ameaça da computação quântica às tecnologias de criptografia existentes poderá surgir em meados da década de 2030, em linha com o calendário 2027-2030 definido pela política da ANSSI.

A Qperfect alertou que o algoritmo de assinatura digital de curvas elípticas (ECDSA) — uma tecnologia criptográfica padrão amplamente usada na blockchain — pode ser um dos primeiros sistemas a serem quebrados por computadores quânticos.

Respostas da indústria da OVHcloud e da Capgemini

O diretor de Inovação da Capgemini, Pascal Brill, disse à Reuters que, à medida que bancos e o setor dos serviços públicos avaliam o que precisa de mudar, a procura está a aumentar: «Este mercado está a tornar-se muito grande e a escala vai ser extremamente vasta.»

O responsável pelo negócio quântico da OVHcloud, Fanny Bouton, indicou por sua vez que as empresas enfrentam um duplo encargo de conformidade — ter de cumprir os requisitos de certificação da ANSSI e, em simultâneo, satisfazer as normas correspondentes da Comissão Europeia e do NIST (National Institute of Standards and Technology, instituto nacional de investigação de normas e tecnologia) dos EUA: «Como empresa francesa e europeia, enfrentamos restrições maiores.»

Perguntas frequentes

Qual é o carácter obrigatório da certificação ANSSI para as entidades francesas?

De acordo com o que foi reportado pela Reuters, o uso de tecnologias de criptografia por agências governamentais francesas e em infraestruturas críticas exige a obtenção de certificação da ANSSI. Assim, a decisão da ANSSI de encerrar a certificação até 2027 define, de forma efetiva, um prazo vinculativo para que o governo francês e os operadores de infraestruturas críticas transitem para produtos seguros contra ameaças quânticas, e não apenas uma orientação recomendatória.

Que ameaça representa um ataque “recolher primeiro, decifrar depois”?

De acordo com a notícia, «recolher primeiro, decifrar depois» (Harvest Now, Decrypt Later) significa que um atacante recolhe e armazena dados criptografados agora e, mais tarde, quando os computadores quânticos forem suficientemente poderosos, tenta quebrar a proteção criptográfica vigente. Jerry Chow, da IBM, disse que esta ameaça poderá tornar-se realidade em meados da década de 2030, sendo uma das principais razões que levaram a ANSSI a definir antecipadamente o prazo de cessação da certificação em 2027.

Que implicações tem o problema da ECDSA para a segurança quântica no setor das criptomoedas?

De acordo com o alerta da Qperfect na conferência de França sobre o tema quântico, a ECDSA pode ser uma das primeiras normas criptográficas a serem quebradas por computadores quânticos, e a ECDSA é um padrão de assinaturas digitais amplamente adotado em blockchains de referência como Bitcoin e Ethereum. Sistemas de IA como o Claude Mythos da Anthropic também mencionaram este tema em estudos relacionados. A alteração de política da ANSSI francesa e a tendência global de migração para a segurança quântica afetam diretamente a arquitetura de segurança a longo prazo do setor das blockchains.