Press Release: A Check Point Software reforça o seu compromisso em antecipar e responder às ameaças que a computação quântica trará, integrando já hoje os novos padrões de criptografia pós-quântica (PQC) do NIST nas suas soluções.
A Check Point® Software Technologies Ltd. (NASDAQ: CHKP), pioneira e líder mundial em soluções de cibersegurança, está fortemente empenhada em preparar organizações em todo o mundo para a nova era da cibersegurança marcada pela propagação da computação quântica, que está já a passar da teoria para a realidade.
Embora os computadores quânticos em larga escala ainda não estejam disponíveis, o seu impacto futuro na cibersegurança é claro: algoritmos como RSA, Diffie–Hellman e Elliptic Curve Diffie-Hellman, que protegem VPNs, TLS e identidades digitais, serão eventualmente quebrados por algoritmos quânticos.
Isto cria um risco imediato conhecido como “harvest now, decrypt later”, no qual os adversários podem capturar tráfego encriptado hoje e decifrá-lo quando os recursos quânticos estiverem disponíveis.
Para enfrentar este desafio, o National Institute of Standards and Technology (NIST) dos EUA finalizou, em 2024, os primeiros padrões de criptografia pós-quântica (PQC):
- FIPS 203: ML-KEM para estabelecimento de chaves
- FIPS 204: ML-DSA para assinaturas digitais
- FIPS 205: SLH-DSA para assinaturas digitais
Estes padrões definem os algoritmos que substituirão RSA e ECC nos próximos anos. A estratégia da Check Point é integrar estes padrões na sua arquitetura de segurança de forma faseada e operacionalmente prática.
A necessidade de soluções compatíveis com o NIST
A Check Point está na linha da frente da implementação da criptografia pós-quântica (PQC) nas suas soluções. A sua abordagem avançada permite o suporte a múltiplas trocas de chaves PQC, acomodando tamanhos de chave maiores, essenciais para comunicações quantum-safe.
Os avanços seguintes estão disponíveis na mais recente versão do software R82, que pode ser utilizada tanto em firewalls on-premises como em cloud.
VPNs Site-to-Site no R82
A Check Point disponibiliza, na versão R82, a tecnologia Post-Quantum Hybrid Key Exchange (QSKE). O QSKE implementa uma troca de chaves híbrida IKEv2, que combina o Diffie-Hellman clássico com ML-KEM, garantindo que as sessões permanecem seguras mesmo que os algoritmos clássicos sejam futuramente comprometidos.
O design segue as recomendações do IETF:
- RFC 9370: Múltiplas trocas de chaves em IKEv2
- RFC 9242: Troca intermédia para payloads de chave de grande dimensão
O QSKE afeta apenas o estabelecimento de chaves; o plano de dados (ESP) continua a usar algoritmos padrão, como AES-GCM, que são considerados quantum-safe.
O R82 é a versão recomendada para ativar o QSKE em VPNs críticas, com configuração disponível via SmartConsole ou Management API. O registo e a integração por API fornecem visibilidade sobre a adoção e o desempenho.
TLS Quantum-Safe e inspeção HTTPS – a partir do R82.10 (atualmente em Early Availability)
À medida que cipher suites TLS quantum-safe surgem em navegadores e servidores, os gateways da Check Point tratam delas da seguinte forma:
- Com a inspeção HTTPS desativada: as sessões TLS quantum-safe passam de forma transparente de ponta a ponta.
- Com a inspeção HTTPS ativada: as sessões TLS quantum-safe são inspecionadas se utilizarem X25519MLKEM768 ou aceitarem downgrade para um algoritmo clássico; caso contrário, a ligação é bloqueada.
Esta abordagem fornece visibilidade sem interromper o tráfego, permitindo às organizações monitorizar a adoção da PQC enquanto mantêm a continuidade do negócio. Está atualmente disponível para clientes através do programa Early Availability, antes do lançamento geral do R82.10, previsto para novembro de 2025.
Roadmap: O que se segue
VPN
O risco: embora a Check Point já disponibilize proteção quantum-safe para VPNs site-to-site no R82, as VPNs de acesso remoto permanecem expostas. Estas ligações, utilizadas por colaboradores e parceiros para aceder a recursos corporativos a partir do exterior, continuam a depender de trocas de chaves clássicas que os computadores quânticos serão eventualmente capazes de quebrar.
O roadmap da Check Point para VPN inclui as seguintes melhorias:
- VPN de acesso remoto: o objetivo é estender as proteções QSKE a clientes que acedem a estas VPNs, incluindo os que utilizam Windows, macOS e Linux.
- VPN site-to-site – Chave pré-partilhada quantum-safe: embora a implementação total da VPN quantum-safe possa ser um desafio, uma abordagem ligeiramente menos robusta, mas mais simples, também oferece uma solução segura: ativar o RFC 8784, incorporando uma chave pré-partilhada pós-quântica (PPK) na sessão IKEv2.
Assinaturas digitais
O risco: as assinaturas digitais protegem PKI, certificados e atualizações de software. Ataques quânticos poderiam forjar identidades ou adulterar atualizações, minando a confiança em sistemas críticos e cadeias de fornecimento.
O roadmap da Check Point inclui as seguintes melhorias:
- Suporte para ML-DSA e SLH-DSA, à medida que o ecossistema PKI amadurece, garantindo que a autenticação e a integridade permanecem resistentes a ataques quânticos.
- Suporte para assinaturas baseadas em hash (LMS/XMSS), que serão adicionadas para a assinatura de software e firmware, reforçando a segurança do processo de atualização contra futuros ataques quânticos.
Quantum Key Distribution (QKD)
O risco: a PQC é algorítmica e a sua robustez depende da complexidade de problemas matemáticos. Embora ofereça proteção escalável, continua a basear-se em pressupostos que futuros avanços podem vir a desafiar.
Em contraste, o QKD utiliza as leis da física para gerar e trocar chaves verdadeiramente aleatórias, garantindo que qualquer tentativa de interceção é imediatamente detetável.
Para ambientes mais sensíveis, confiar apenas em algoritmos pode não ser suficiente. Embora a PQC seja a defesa primária e escalável, a Check Point planeia introduzir integração QKD para ambientes especializados e de alta segurança. Isto permitirá aos clientes combinar a segurança matemática da PQC com a entrega de chaves baseada em física quântica, para o mais elevado nível de garantia.
Um upgrade de segurança com avanços Quantum-Safe
Inicie hoje a sua jornada quantum-safe atualizando para a versão R82, que permite a Post-Quantum Hybrid Key Exchange em VPNs críticas.
Os utilizadores podem ainda aderir ao programa Early Availability do R82.10 para ativar a inspeção HTTPS em todas as sessões TLS.
Siga a Check Point Software:
- X: http://www.twitter.com/checkpointsw
- Blog: http://blog.checkpoint.com
- YouTube: http://www.youtube.com/user/CPGlobal
Sobre a Check Point Software Technologies Ltd.
A Check Point Software Technologies Ltd. (www.checkpoint.com) é um fornecedor líder de plataformas de cibersegurança alimentadas por IA e fornecidas na cloud, protegendo mais de 100.000 organizações em todo o mundo. A Check Point aproveita o poder da IA em todo o lado para melhorar a eficiência e a precisão da cibersegurança através da sua Plataforma Infinity, com taxas de captura líderes na indústria, permitindo uma antecipação proativa de ameaças e tempos de resposta mais inteligentes e rápidos. A plataforma abrangente inclui tecnologias fornecidas pela cloud que consistem em Check Point Harmony para proteger o espaço de trabalho, Check Point CloudGuard para proteger a cloud, Check Point Quantum para proteger a rede e Check Point Infinity Core Services para operações e serviços de segurança colaborativos.
Mais informações aqui.
