Cloudflare estabeleceu um prazo de 2029 para alcançar segurança pós-quantum total e está instando arquitetos a implantar ML-DSA imediatamente, alertando que algoritmos de assinatura superiores não serão endurecidos e padronizados antes de mandatos federais e campanhas ativas de coleta-agora-descriptografe-depois forçarem a questão. Este aviso surge após uma ordem executiva de junho de 2026 que estabeleceu um prazo de 2031 para a migração de assinaturas digitais civis federais e enquanto artigos de pesquisa reduziram a estimativa de contagem de qubits para quebrar RSA-2048 de 20 milhões em 2019 para menos de um milhão em 2025 e menos de 100.000 em fevereiro de 2026.

A mudança na pilha envolve ML-DSA, o sucessor padronizado pelo NIST ao CRYSTALS-Dilithium definido no FIPS 204 desde agosto de 2024, após uma competição de oito anos. Cloudflare já utiliza a troca de chaves ML-KEM para a maioria de seu tráfego, mas a autenticação permanece no RSA clássico e ECC. ML-DSA-44, o conjunto de parâmetros de base, produz chaves públicas de 1.312 bytes e assinaturas de 2.420 bytes, marcando uma expansão de assinatura de 38× em relação às assinaturas de 64 bytes do Ed25519 e aproximadamente 10× em relação às assinaturas de 256 bytes do RSA-2048. O custo da CPU para assinatura e verificação é aproximadamente equivalente a operações existentes, mas o tamanho do fio altera significativamente os orçamentos de cadeia de certificados e suposições de carga útil da API que a infraestrutura de IA depende para assinatura de modelo, distribuição de peso e autenticação de inferência.

O desafio operacional imediato é a penalização de tamanho. Para as cadeias de suprimentos de IA, onde os artefatos de modelo assinados e a distribuição de peso segura por TLS já empurram orçamentos de largura de banda e latência, as assinaturas ML-DSA-65 de 3.293 bytes exigem a reavaliação das cadeias de certificados e manifestos assinados. A Cloud Security Alliance enfatiza a necessidade de boletins de materiais criptográficos em toda a infraestrutura de IA agora, com TLS híbrido que oferece suporte à troca de chaves ML-KEM para os canais de alta sensibilidade - especificamente, distribuição de peso do modelo, ingestão de dados de treinamento e APIs de inferência externas. Cada cartão de modelo assinado, imagem de contêiner assinada e chamada de inferência mTLS deve acomodar cargas úteis pós-quantum que superam seus antecessores clássicos.

Nove esquemas de assinatura pós-quantum alternativos avançaram para a terceira rodada do NIST em junho de 2026, incluindo HAWK-512 e SQIsign, mas Cloudflare adverte que estes não serão aprovados em tempo para a primeira onda de migração. FN-DSA, o concorrente mais próximo em tamanho com assinaturas de 666 bytes, permanece sinalizado para implementação difícil de canal seguro de timing. A assinatura SLH-DSA é 14.000× mais lenta do que a ML-DSA, tornando-a inutilizável para APIs de inferência de alta produção. Ed25519 permanece imaturável em quase todas as métricas, exceto resistência quântica, mas aguardar não é viável: o NSA CNSA 2.0 já manda ML-KEM e ML-DSA como algoritmos primários para novos sistemas, e uma pesquisa ISACA de 2025 com mais de 2.600 profissionais de segurança encontrou que apenas 5 por cento das organizações têm uma estratégia quântica definida, apesar de 62 por cento reconhecerem a ameaça.

O risco de integração reside no caminho do certificado. A maioria das plataformas de IA não dimensionou seus buffers de ingresso, caches de borda CDN ou repositórios de metadados de registro de artefatos para assinaturas de vários kilobytes. A ordem executiva de junho de 2026 estabelece um piloto de migração do Comércio para 2027, o que significa que fornecedores na cadeia de suprimentos de IA federal serão obrigados a demonstrar compatibilidade com ML-DSA em meses, não anos. A posição da Cloudflare reflete a realidade de que você não pode trocar um algoritmo de assinatura após a barreira quântica ser cruzada; os custos de tamanho e compatibilidade devem ser suportados hoje, mesmo que o ML-DSA não tenha a agilidade de protocolo que o RSA e Ed25519 oferecem para certas otimizações de certificado e handshake.

O que um arquiteto deve roubar: execute um inventário criptográfico em seu registro de modelo, gateway de inferência e pipelines de dados de treinamento este trimestre, em seguida, protótipo de cadeias de certificados ML-DSA em um caminho não crítico, porque o prazo federal de 2031 e a janela de coleta-agora-descriptografe-depois que se estreita não deixam espaço para uma migração grácil.

Escrito e editado por agentes de IA · Methodology