Ver insights de criptografia pós-quântica (PQC) assimétrica

Esta página descreve como usar o gráfico Insights de criptografia pós-quântica (PQC, na sigla em inglês) na Visão geral do gerenciamento de chaves do Cloud KMS no Cloud de Confiance console para ajudar a avaliar seu inventário de chaves assimétricas e se preparar para a modernização criptográfica futura.

O surgimento da computação quântica representa uma ameaça potencial aos algoritmos criptográficos de chave pública amplamente usados. O gráfico Insights de PQC ajuda a identificar e inventariar chaves assimétricas clássicas, fornecendo a visibilidade necessária para planejar a modernização futura e garantir a resiliência a longo prazo.

As chaves simétricas (como as usadas para ENCRYPT_DECRYPT) geralmente são consideradas resistentes a ataques de computadores quânticos e não estão incluídas neste painel. Para mais informações sobre os algoritmos compatíveis com o Cloud KMS, consulte Finalidades de chaves e algoritmos.

Antes de começar

Para receber as permissões necessárias para visualizar insights de PQC, peça ao administrador para conceder a você o papel do IAM de Leitor do Cloud KMS (roles/cloudkms.viewer) no projeto.

Visualizar insights de PQC

O gráfico Insights de PQC assimétrica oferece uma análise visual de alto nível das chaves assimétricas com base na categorização dos algoritmos usados.

  1. No Cloud de Confiance console do, acesse a a página Gerenciamento de chaves.

    Vá para Gerenciamento de chaves

  2. Clique na guia Visão geral e acesse o gráfico Insights de PQC assimétrica.

  3. Opcional: clique em um segmento do gráfico para visualizar o número de chaves que ele representa. Também é possível clicar em Visualizar em um segmento para conferir uma tabela de Detalhes de insights de PQC assimétrica.

Esse gráfico categoriza as chaves em dois grupos principais:

  • Pós-quânticas:chaves que usam algoritmos criptográficos projetados especificamente para resistir a ataques de futuros computadores quânticos.
  • Clássicas:chaves que usam algoritmos assimétricos clássicos (como RSA ou ECC) que permanecem seguras contra ataques clássicos hoje, mas são suscetíveis a ataques de futuros computadores quânticos.

O gráfico segmenta ainda mais essas chaves por finalidade criptográfica e tipo de criptografia.

Entender a tabela de detalhes

A tabela nesta página lista as chaves assimétricas no projeto atual e fornece as seguintes informações:

  • Nome da chave:o nome da chave. Clique no nome para acessar a página Detalhes da chave.
  • Local:o local em que a chave reside.
  • Nível de proteção:o nível de proteção da chave.
  • Finalidade:a finalidade criptográfica da chave, por exemplo, ASYMMETRIC_SIGN.
  • Tipo de criptografia:indica se a chave usa um algoritmo de PQC ou clássico.

É possível usar a barra de filtros acima da tabela para refinar a lista de chaves com base em qualquer um desses atributos.

Avaliar chaves clássicas para modernização futura

Revise as chaves assimétricas atuais para algoritmos assimétricos clássicos que podem ser transferidos para alternativas pós-quânticas. Essas chaves ainda oferecem forte proteção contra ataques clássicos. No entanto, a adoção de algoritmos pós-quânticos ajuda a garantir a resiliência a longo prazo contra possíveis ameaças quânticas futuras. A tabela a seguir lista as finalidades e algoritmos de chave e se cada um deles é considerado seguro pós-quântico.

Finalidade Algoritmos Tipo de criptografia Alternativa pós-quântica
ASYMMETRIC_SIGN EC_SIGN_* Clássica ASYMMETRIC_SIGN com algoritmos PQ_SIGN_*
ASYMMETRIC_SIGN RSA_SIGN_* Clássica ASYMMETRIC_SIGN com algoritmos PQ_SIGN_*
ASYMMETRIC_SIGN PQ_SIGN_* PQC Segura pós-quântica
ASYMMETRIC_DECRYPT RSA_DECRYPT_* Clássica Algoritmos KEY_ENCAPSULATION
KEY_ENCAPSULATION Todos PQC Segura pós-quântica

A adoção de padrões de PQC mais cedo do que tarde oferece estes benefícios:

  • A substituição de chaves ASYMMETRIC_DECRYPT por chaves KEY_ENCAPSULATION ajuda a proteger os dados criptografados contra ataques de "coleta agora, descriptografia depois" (HNDL, na sigla em inglês), em que um invasor intercepta o texto cifrado sem como descriptografá-lo, mas armazena o texto cifrado na esperança de um dia quebrar a criptografia.
  • A substituição de chaves ASYMMETRIC_SIGN que usam algoritmos EC_SIGN_* ou RSA_SIGN_* por um algoritmo PQ_SIGN_* oferece não repúdio a longo prazo para suas assinaturas.

Identificar chaves com o Inventário de recursos do Cloud

É possível usar o Inventário de recursos do Cloud para listar e filtrar programaticamente os recursos do Cloud KMS por tipo de algoritmo.

Pesquisar em uma organização

  1. Para listar chaves que usam algoritmos pós-quânticos, como PQ_SIGN_*, ML_KEM_* ou KEM_XWING, execute o seguinte comando:

    gcloud asset list \
      --organization=ORGANIZATION_ID \
      --asset-types="cloudkms.googleapis.com/CryptoKey" \
      --content-type=resource \
      --filter='(resource.data.purpose = "ASYMMETRIC_SIGN" OR resource.data.purpose = "ASYMMETRIC_DECRYPT" OR resource.data.purpose = "KEY_ENCAPSULATION") AND (resource.data.versionTemplate.algorithm:PQ_SIGN* OR resource.data.versionTemplate.algorithm:ML_KEM* OR resource.data.versionTemplate.algorithm = "KEM_XWING")' \
      --format='table(name.segment(1):label=PROJECT, name.segment(-3):label=KEY_RING, name.segment(-1):label=CRYPTO_KEY, resource.data.purpose:label=PURPOSE, resource.data.versionTemplate.algorithm:label=ALGORITHM)'
    
  2. Para listar chaves assimétricas que não usam algoritmos pós-quânticos, ou seja, chaves assimétricas que usam algoritmos clássicos, execute o seguinte comando:

    gcloud asset list \
      --organization=ORGANIZATION_ID \
      --asset-types="cloudkms.googleapis.com/CryptoKey" \
      --content-type=resource \
      --filter='(resource.data.purpose = "ASYMMETRIC_SIGN" OR resource.data.purpose = "ASYMMETRIC_DECRYPT" OR resource.data.purpose = "KEY_ENCAPSULATION") AND NOT (resource.data.versionTemplate.algorithm:PQ_SIGN* OR resource.data.versionTemplate.algorithm:ML_KEM* OR resource.data.versionTemplate.algorithm = "KEM_XWING")' \
      --format='table(name.segment(1):label=PROJECT, name.segment(-3):label=KEY_RING, name.segment(-1):label=CRYPTO_KEY, resource.data.purpose:label=PURPOSE, resource.data.versionTemplate.algorithm:label=ALGORITHM)'
    

Pesquisar em um projeto

  1. Verifique se a Google Cloud CLI está direcionada ao projeto correto:

    gcloud config set project PROJECT_ID
    
  2. Para listar chaves que usam algoritmos pós-quânticos, como PQ_SIGN_*, ML_KEM_* ou KEM_XWING, execute o seguinte comando:

    gcloud asset list \
      --project="$(gcloud config get-value project)" \
      --asset-types="cloudkms.googleapis.com/CryptoKey" \
      --content-type=resource \
      --filter='(resource.data.purpose = "ASYMMETRIC_SIGN" OR resource.data.purpose = "ASYMMETRIC_DECRYPT" OR resource.data.purpose = "KEY_ENCAPSULATION") AND (resource.data.versionTemplate.algorithm:PQ_SIGN* OR resource.data.versionTemplate.algorithm:ML_KEM* OR resource.data.versionTemplate.algorithm = "KEM_XWING")' \
      --format='table(name.segment(-3):label=KEY_RING, name.segment(-1):label=CRYPTO_KEY, resource.data.purpose:label=PURPOSE, resource.data.versionTemplate.algorithm:label=ALGORITHM)'
    
  3. Para listar chaves assimétricas que não usam algoritmos pós-quânticos, ou seja, chaves assimétricas que usam algoritmos clássicos, execute o seguinte comando:

    gcloud asset list \
      --project="$(gcloud config get-value project)" \
      --asset-types="cloudkms.googleapis.com/CryptoKey" \
      --content-type=resource \
      --filter='(resource.data.purpose = "ASYMMETRIC_SIGN" OR resource.data.purpose = "ASYMMETRIC_DECRYPT" OR resource.data.purpose = "KEY_ENCAPSULATION") AND NOT (resource.data.versionTemplate.algorithm:PQ_SIGN* OR resource.data.versionTemplate.algorithm:ML_KEM* OR resource.data.versionTemplate.algorithm = "KEM_XWING")' \
      --format='table(name.segment(-3):label=KEY_RING, name.segment(-1):label=CRYPTO_KEY, resource.data.purpose:label=PURPOSE, resource.data.versionTemplate.algorithm:label=ALGORITHM)'
    

Para mitigar os riscos de ataques quânticos, faça a transição de chaves assimétricas que usam algoritmos clássicos.

  • Para chaves de descriptografia assimétricas:para chaves usadas para descriptografia assimétrica, é possível modernizar seu inventário substituindo a criptografia assimétrica pela criptografia de chave pública híbrida (HPKE, na sigla em inglês). Na HPKE, você usa chaves com a finalidade KEY_ENCAPSULATION que usam um algoritmo pós-quântico, como ML_KEM_768, para compartilhar um secret. Para mais informações, consulte Mecanismos de encapsulamento de chaves.
  • Para chaves de assinatura assimétricas:para assinaturas digitais, é possível modernizar seu inventário criando novas chaves com a finalidade ASYMMETRIC_SIGN que usam um algoritmo pós-quântico, como PQ_SIGN_ML_DSA_65.

Resiliência pós-quântica de chaves simétricas

Ao contrário das chaves assimétricas que são o foco do gráfico Insights de PQC assimétrica, as chaves simétricas geralmente são consideradas resistentes a ataques de computadores quânticos. A exceção notável são as MAC chaves que usam o HMAC-SHA1 algoritmo. Para mais informações sobre diferentes algoritmos, consulte Finalidades de chaves e algoritmos.

A seguir