Novidades na criptografia pós-quântica no RHEL 10.1

Em maio de 2025, o Red Hat Enterprise Linux 10 (RHEL) foi lançado com os primeiros passos em direção à criptografia pós-quântica (PQC) para proteger contra ataques de computadores quânticos, que tornarão viáveis os ataques a algoritmos criptográficos clássicos existentes, como RSA e curvas elípticas. Ainda não se sabe da existência de computadores quânticos criptograficamente relevantes (CRQC), mas isso não significa que o risco seja zero. Por exemplo, ataques do tipo "harvest now, decrypt later" não precisam de um computador quântico agora; basta que um se torne disponível antes que os dados criptografados armazenados percam seu valor e, dependendo dos dados transferidos, pode levar décadas até que isso aconteça.

Para se preparar para um futuro quântico, o RHEL 10.1 aprimora as defesas contra ataques do tipo "harvest now, decrypt later" e introduz assinaturas pós-quânticas para seus pacotes.

A próxima seção aborda as alterações na PQC no Transport Layer Security (TLS), seguidas por uma seção que explica uma alteração nas políticas de criptografia padrão do RHEL. Você sabia que o RHEL é a primeira grande distribuição Linux a assinar seus pacotes com chaves pós-quânticas híbridas?

A terceira seção aborda os detalhes dessas alterações antes de terminar com as próximas etapas recomendadas para usuários e fornecedores de software de terceiros.

Criptografia pós-quântica em TLS

O TLS pode usar criptografia pós-quântica em dois locais: Troca de chaves, protegendo contra ataques do tipo "harvest now, decrypt later", e assinaturas, impedindo ataques machine-in-the-middle que usam computadores quânticos. Com o lançamento do RHEL 10.1, as aplicações que usam OpenSSL, GnuTLS, NSS ou a linguagem de programação Go têm suporte para troca de chaves pós-quântica habilitada por padrão.

Além disso, as bibliotecas de criptografia OpenSSL, GnuTLS e NSS suportam assinaturas e certificados TLS com o Algoritmo de Assinatura Digital Baseado em Estrutura de Módulos (ML-DSA), um algoritmo PQC padronizado pelo NIST. No momento, nenhuma autoridade de certificação (CAs) pública oferece criptografia pós-quântica, mas CAs privadas ou certificados autoassinados podem ser criados com ML-DSA hoje.

No RHEL 10.0, essa funcionalidade foi lançada como prévia de tecnologia devido à natureza evolutiva rápida dos padrões e implementações. Isso está mudando: a criptografia pós-quântica com mecanismo de encapsulamento de chave baseado em reticulado modular (ML-KEM) e ML-DSA em TLS está disponível e tem suporte total em Go, OpenSSL, GnuTLS e NSS.

Antes do RHEL 10.1, os desenvolvedores da Red Hat realizaram um esforço de testes em todo o produto de troca de chaves PQC e certificados PQC. Isso ajudou a identificar vários problemas, que os mantenedores de pacotes corrigiram em projetos open source upstream e downstream no RHEL. Incentivamos você a começar a testar a troca de chaves PQC híbrida nas suas implantações de TLS hoje mesmo e planejar a adoção de servidores de certificado TLS PQC/clássico duplos (consulte “Crie um certificado TLS pós-quântico”).

PQC por política DEFAULT

As configurações de criptografia no RHEL são gerenciadas usando políticas criptográficas de todo o sistema, sendo DEFAULT a política padrão. No RHEL 10.1, essa política foi alterada para permitir e preferir a criptografia pós-quântica por padrão. Isso significa que as conexões TLS e SSH de e para o RHEL 10.1 ou posterior usarão automaticamente a troca de chaves pós-quântica quando disponível. Esses dois protocolos são amplamente usados e representam provavelmente a maioria das transferências de dados criptografados, representando um aumento significativo na postura de segurança.

As aplicações no RHEL 9.7 baseadas em OpenSSL ou NSS também podem usar PQC em TLS se o módulo de política criptográfica “PQ” do sistema estiver habilitado usando sudo update-crypto-policies --set DEFAULT:PQ.

Para verificar a política que seu sistema usa, execute update-crypto-policies --show.

Atualizações de pacotes com assinaturas pós-quânticas

Por fim, os desenvolvedores da Red Hat têm trabalhado para introduzir proteções contra ataques quânticos baseados em computador para nossos caminhos de distribuição de software. Isso é importante porque as atualizações de pacote por esses caminhos serão a forma como a Red Hat oferecerá melhorias futuras na transição pós-quântica.

O Red Hat Enterprise Linux 10 usa a implementação Sequoia-PGP do OpenPGP para verificar as assinaturas dos pacotes. Uma especificação para usar a PQC no OpenPGP está em estágio final, e a Red Hat contribuiu com fundos para sua implementação no Sequoia-PGP, que agora está disponível como pré-lançamento. Alguns ambientes operacionais enfrentam requisitos regulatórios para assinatura de software de PQC em prazos curtos. Portanto, após testes minuciosos, o RHEL 10.1 agora inclui essa implementação.

No mesmo projeto, as ferramentas sq-cryptoki e sq ganharam suporte para acessar chaves pós-quânticas por meio da PKCS#11. Isso permite a integração com módulos de segurança de hardware. A Red Hat modernizou sua infraestrutura de assinatura, criou uma chave de assinatura pós-quântica que usa um híbrido de ML-DSA-87 e Ed448 e começou a assinar seus pacotes RPM com essa chave. O RHEL é a primeira e atualmente única distribuição Linux a atingir esse marco.

O primeiro pacote assinado pós-quântico foi ipmitool-1.8.19-10.el10_1 em RHBA-2025:23156:

# dnf download ipmitool
ipmitool-1.8.19-10.el10_1.aarch64.rpm                                                                                                                                                                            
# rpm -Kv ipmitool-1.8.19-10.el10_1.aarch64.rpm | head -3 
ipmitool-1.8.19-10.el10_1.aarch64.rpm:     
	Header V6 ML-DSA-87+Ed448/SHA512 Signature, key ID 05707a62: OK     
	Header V4 RSA/SHA256 Signature, key ID fd431d51: OK

Observe que esse pacote também ainda é assinado por nossa chave RSA. Os sistemas que entendem o formato de cabeçalho RPM 6 e as assinaturas OpenPGP v6 verificarão as assinaturas RSA e PQC. Sistemas mais antigos só validam a assinatura RSA clássica.

Conclusão

A Red Hat deu passos importantes em sua transição pós-quântica para preparar nossos clientes para riscos futuros e novos requisitos regulatórios. O TLS com troca de chaves híbrida de ML-KEM não está mais na versão prévia de tecnologia e pode mitigar ataques do tipo "harvest now, decrypt later" hoje. O suporte para certificados e assinaturas de ML-DSA nas principais bibliotecas de criptografia do RHEL, OpenSSL, GnuTLS e NSS, também já está disponível.

Alinhando-se aos esforços recentes do setor (por exemplo, o European Cyber Resilience Act) para a segurança por padrão, a configuração padrão foi alterada para habilitar e preferir algoritmos pós-quânticos em TLS e SSH. Mais protocolos seguirão no futuro. Incentivamos todos os usuários a implementar a troca de chaves PQC e testar configurações duplas de certificados TLS clássicos/PQC com seus servidores TLS. Confira também como preparar sua organização para o futuro quântico.

Por fim, o RHEL é a primeira distribuição principal a adicionar assinaturas pós-quânticas híbridas aos seus pacotes. Para nossos parceiros, meu colega Jakub Jelen documentou como assinar pacotes RPM com chaves pós-quânticas. A integração com módulos de segurança de hardware por meio do PKCS#11 3.2 é possível hoje com a assinatura RPM. Nossas equipes de suporte e engenharia podem ajudar você a começar.

No momento, o Go é compatível apenas com ML-KEM a partir da versão 1.24. O suporte a ML-DSA está previsto para uma versão futura.