O que mudou no NIST FIPS 203 (ML-KEM) e por que vai afetar você antes do que pensa

Em 13 de agosto de 2024, o National Institute of Standards and Technology (NIST) dos Estados Unidos publicou três documentos finais: FIPS 203, 204 e 205. São os primeiros padrões oficiais de criptografia pós-quântica do mundo. O FIPS 203, em particular, define o ML-KEM (Module-Lattice-Based Key Encapsulation Mechanism), conhecido por seu nome de competição CRYSTALS-Kyber.

Para quem não acompanha o assunto, a notícia passou. Para quem acompanha, foi o marco mais importante em criptografia aplicada desde a publicação do AES em 2001.

Esse texto explica o que mudou no FIPS 203, o que continua igual, e por que essa decisão de uma agência federal americana vai afetar o que você usa todo dia bem antes do que parece.

Por que precisamos disso

O cadeado verde no canto do navegador (o "S" do HTTPS) sustenta a vida digital moderna. Funciona porque dois problemas matemáticos são absurdamente difíceis em computadores normais: fatorar números grandes (a base do RSA) e calcular logaritmos discretos sobre curvas elípticas (a base do ECDH).

Computadores normais demoram bilhões de anos para atacar esses problemas em parâmetros realistas. Em 2026, isso continua verdade.

Mas computadores quânticos resolvem ambos em horas, se forem grandes o suficiente. O algoritmo de Shor, publicado em 1994, descreve como. A pesquisa em hardware quântico progride desde então. Em 2026, os maiores computadores quânticos do mundo têm cerca de 1.000 qubits estáveis. Para atacar RSA-2048 com sucesso, precisaria de algo entre 4.000 e 20 milhões de qubits (dependendo de quantos erros tolera). Não é amanhã. Mas também não é "nunca".

O detalhe que muda tudo: a estratégia chamada harvest now, decrypt later. Atacante guarda hoje o tráfego cifrado que você gera, salva em disco, espera 15 ou 20 anos. Quando o computador quântico chegar ao tamanho crítico, ele decifra retroativamente. Tudo que você cifrou em 2026 com RSA estará legível em 2040.

Para dados que precisam ficar secretos por décadas (segredo industrial, prontuário médico, declaração fiscal, identidade pessoal), o cadeado de hoje pode não cobrir até quando importa.

O que o NIST escolheu

O NIST abriu em 2017 uma competição internacional para escolher algoritmos pós-quânticos. Cinco anos de submissões públicas, criptanálise aberta, eliminação de propostas frágeis. Em julho de 2022, anunciou quatro finalistas. Em agosto de 2024, padronizou três deles em FIPS 203, 204 e 205.

FIPS 203 (ML-KEM) é o substituto de RSA e ECDH para estabelecer chaves. Quando seu navegador inicia HTTPS com um site, ele precisa concordar com o servidor numa chave compartilhada sem ninguém escutando descobrir. ML-KEM faz isso resistindo a computadores quânticos.

FIPS 204 (ML-DSA) é o substituto para assinaturas digitais. Quando você instala um software e o sistema valida que veio do fabricante, é assinatura digital. Quando o blockchain Bitcoin valida que aquela transação foi feita por quem tem a chave, é assinatura digital.

FIPS 205 (SLH-DSA) é assinatura digital alternativa, baseada em hash. Mais lenta, mais simples, com história mais longa de análise. Reserva técnica caso ML-DSA tenha problema descoberto depois.

O foco desse texto é o FIPS 203, porque é o que afeta navegação web, mensageiros, cofres de senha e tudo que envolve "estabelecer uma chave secreta entre duas partes".

O que ML-KEM faz diferente

ML-KEM se baseia em module learning with errors over lattices. Tradução para português aproximada: "aprender o padrão sob ruído em estruturas matemáticas chamadas reticulados".

A intuição (simplificada além da matemática real):

• Imagine que você tem um conjunto enorme de números que parecem aleatórios.
• Existem na verdade dentro de uma estrutura matemática (um reticulado).
• Distinguir "ruído aleatório" de "ruído com estrutura escondida" é fácil se você sabe a estrutura.
• É muito difícil descobrir a estrutura a partir dos números, mesmo com computador quântico.

Diferente de RSA (baseado em fatoração) e ECDH (baseado em logaritmo discreto), ML-KEM não tem nenhum algoritmo quântico conhecido que quebre em tempo razoável. O algoritmo de Shor não se aplica. Outros algoritmos quânticos teóricos (Grover) reduzem ataque por força bruta, mas não exponencialmente. Para mitigar Grover, ML-KEM usa parâmetros maiores, e foi por isso que a versão "ML-KEM-1024" tem chaves muito maiores que RSA-2048.

Tamanhos práticos:

| Algoritmo | Pubkey | Privkey | Ciphertext | |---|---|---|---| | RSA-2048 | 256 B | 256 B | 256 B | | ECDH P-256 | 32 B | 32 B | 64 B (com share) | | ML-KEM-512 | 800 B | 1.632 B | 768 B | | ML-KEM-768 | 1.184 B | 2.400 B | 1.088 B | | ML-KEM-1024 | 1.568 B | 3.168 B | 1.568 B |

ML-KEM é mais "gordo" em bytes. Mas é mais rápido em CPU que RSA (encapsular dura microssegundos, RSA-2048 dura milissegundos). Para navegação web, o aumento de tamanho de chave é absorvido pela banda de hoje sem custo perceptível.

As três variantes (512, 768, 1024) correspondem a categorias de segurança NIST 1, 3 e 5. Categoria 1 equivale aproximadamente a AES-128. Categoria 5 equivale a AES-256. Para dados que devem durar décadas, recomenda-se 1024.

O que segue igual

Confusão comum: "se ML-KEM substitui RSA, isso quer dizer que AES, hashes e tudo mais também caem com computador quântico?". Não.

AES-256 está bem. Computador quântico reduz força efetiva pela metade via Grover, então AES-128 vira "AES-64 equivalente" (frágil), mas AES-256 vira "AES-128 equivalente" (ainda forte). A indústria está migrando de 128 para 256 onde ainda não estava. Recomendação atual: usar AES-256 por default.

SHA-256 e SHA-3 estão bem. Mesmo argumento: Grover reduz pela metade. SHA-256 vira "SHA-128 equivalente", que é mais fraco mas ainda longe de quebrável. Para durabilidade longa, SHA-3 ou BLAKE3 são mais conservadores.

HMAC, KDF baseadas em hash, derivação de chave (HKDF, Argon2, scrypt): estão bem. Quântico não muda muito.

Assinaturas baseadas em hash (SLH-DSA, antigos hash-based signatures): estavam pós-quânticas desde sempre. Só não eram padronizadas oficialmente. Agora estão.

O que cai com quântico é exatamente a família de operações que dependem de fatoração ou logaritmo discreto. Para simplificar: o "estabelecer chave" e o "assinar com chave assimétrica clássica" precisam migrar. O resto, principalmente o "cifrar com chave simétrica" e "fazer hash", continua firme.

A estratégia híbrida que está sendo adotada agora

Apesar do FIPS 203 ser o padrão final, ninguém em 2026 está usando ML-KEM sozinho em produção. A indústria adotou estratégia híbrida: combina ML-KEM com algo clássico, e a segurança do conjunto depende de ambos caírem.

Por quê? Porque ML-KEM é novo. Tem 6 anos de análise pública (foi publicado em 2017, padronizado em 2024). Algoritmos clássicos (RSA, ECDH) têm 40+ anos. Não dá para ter certeza absoluta que ML-KEM não tem fraqueza ainda não descoberta.

A estratégia híbrida é cautela razoável durante a transição:

• Se ML-KEM cair (criptanálise nova), o componente clássico ainda segura.
• Se o clássico cair (computador quântico chega), o ML-KEM segura.
• Para cair de verdade, ambos precisam ser quebrados.

O padrão concreto adotado por Chrome, Cloudflare, Signal, e outros em 2024-2025 é X25519MLKEM768. Combina a curva elíptica clássica X25519 com ML-KEM-768. O cliente faz handshake clássico e pós-quântico em paralelo, deriva uma chave combinada via HKDF, e isso vira a chave de sessão TLS.

Em 2025-2026, Chrome ativou X25519MLKEM768 por default em conexões para sites que suportam. Cloudflare ativou no edge para todos os sites hospedados. Apple sinalizou intenção de adotar em iMessage e iCloud.

Sua navegação HTTPS de hoje pode já estar pós-quântica sem você ter feito nada. Para verificar, abra DevTools no Chrome → Security tab → Connection. Aparece o nome do key exchange usado. Se diz X25519MLKEM768, parabéns, você está usando.

O que muda pro usuário comum

Honestamente, quase nada visível.

O cadeado verde continua igual. A interface não mostra "este site usa pós-quântica". A conexão fica um pouquinho mais lenta no primeiro acesso (alguns milissegundos), imperceptível depois.

Os efeitos práticos chegam na forma de maturação do mercado:

Próximos 6-12 meses:

• Mais sites adotando híbrido. Provedores cloud aceitando como default.
• Apps mobile começam a sinalizar ("conexão pós-quântica" em apps de banco mais avançados).
• Browsers fazem fallback automático para híbrido, sem você precisar mexer em nada.

Próximos 1-3 anos:

• Empresas de software empresarial cobram "compliance com FIPS 203" em compras governamentais americanas (já obrigatório em alguns contextos).
• Cofres digitais, mensageiros e backups adotam ML-KEM nas próprias arquiteturas internas (não só no transporte). É aqui que entra o TAIVA Vault.
• Bibliotecas e linguagens trazem ML-KEM embutido. Você nem decide, vem por baixo do npm install ou pip install.

Próximos 5-10 anos:

• ML-KEM vira default invisível. RSA e ECDH classicos viram legado, depreciados em padrões novos.
• Aquele tráfego que estava sendo gravado por atacantes começou a ser inútil para eles. O ataque "harvest now" parou de funcionar na fronteira do que estava criptografado em 2026-2030.

O que cobrar de serviços que você usa

Concretamente. Como saber se um serviço se prepara para esse futuro?

1. Procure menção a "criptografia pós-quântica" ou "ML-KEM" ou "FIPS 203" na documentação técnica. Não no marketing. Procure no whitepaper, política de segurança, blog técnico. Se não menciona, ou eles ainda não consideraram, ou consideraram e não querem se comprometer.

2. Em apps de banco ou financeiros: pergunte ao suporte se eles têm roadmap para adotar TLS híbrido X25519MLKEM768. Resposta vazia de termo técnico é resposta negativa.

3. Em cofres de senha, gerenciadores de criptomoeda, backups cifrados: cobre ML-KEM no wrap de chave, não só no TLS. TLS pós-quântico protege contra interceptação ao vivo. Wrap pós-quântico protege contra vazamento de banco de dados retroativo. As duas defesas são complementares, não substitutas.

4. Em mensageiros: Signal anunciou em 2023 que está integrando pós-quântico no protocolo (não só TLS). iMessage anunciou PQ3 em 2024. WhatsApp ainda silente sobre roadmap.

5. Em browsers e sistemas operacionais: você já tem ou está chegando, sem você precisar fazer nada. Chrome, Edge, Firefox e Safari estão todos no caminho.

A passagem para pós-quântica não é evento único. É processo de migração de 5-15 anos. FIPS 203 marca o início oficial. Quem começou antes (provedores que adotaram híbrido em 2024-2025) chega mais limpo no destino.

Por que isso importa para você hoje

Voltando ao começo. Harvest now, decrypt later é o argumento crítico. Não é importante por causa de ameaças hipotéticas em 2040. É importante porque o que você cifra HOJE pode ser lido NO FUTURO, retroativamente.

Se você é jornalista com fontes confidenciais, cifre com híbrido agora. A fonte que confia em você hoje pode ser exposta em 15 anos.

Se você é médico com prontuário de paciente, cifre com híbrido agora. O paciente que tem dados em 2026 pode ter aquela informação vinculada à sua identidade em 2040.

Se você é empresa com segredo industrial, cifre com híbrido agora. Aquela patente de 2026 que ainda renderia em 2045 pode estar nas mãos de competidor antes.

Se você é qualquer pessoa com vida digital extensa (senha de banco, foto íntima, conversa pessoal, declaração fiscal, dado de saúde), use serviços que assumiram compromisso com pós-quântica. Não custa mais, não te limita. Só evita um problema que vai bater na porta antes do que parece.

Leia também:

• Como o cofre que nunca sabe sua senha funciona: onde ML-KEM-1024 entra em prática no TAIVA Vault.
• Existe um computador sendo construído que vai quebrar todo seu banco digital. Quando ele chega?: o panorama da ameaça quântica em linguagem direta.
• Recovery sem perder soberania: 3 envelopes independentes: mais um exemplo prático de uso de criptografia avançada com usabilidade.

TAIVA Vault: cofre digital pessoal com ML-KEM-1024 híbrido (FIPS 203) no wrap de chave. Pós-quântico hoje, não daqui a uma década. Começar trial grátis (14 dias) →