Análise da viabilidade de aplicação de métodos de criptografia pós quântica aplicados ao sistema de pagamentos instantâneos brasileiro – PIX
8 de abril de 2022Toda inovação gera uma reação de mudança, seja na adoção ou na transformação de hábitos.
Por Fabio Mittelstaedt é Senior Executive Director, Industry Strategy and Digital Innovation na Microsoft
E com o PIX não foi diferente. Mesmo ainda predominando o uso de dinheiro, antes da pandemia esse número oscilava entre 74% e 78% da população brasileira.
Porém segundo o Banco Central do Brasil, a maior inclusão digital durante a pandemia com fatos como o aumento do uso de mobile banking apps, o crescimento dos Neobanks e Super Apps, o auxílio emergencial com 100 milhões de downloads do Caixa Tem e o lançamento do Pix, entre outros fatores, fez esse percentual de uso do dinheiro físico cair mais de 10%, o que daria uma média de 66%.
A conveniência do PIX fez que rapidamente todos os segmentos, de baixa renda e semi-bancarizados até o alta renda e pequenas e médias empresas, tivesse uma curva acelerada de uso.
Em 31 de Março de 2022 tínhamos mais de 423 milhões chaves do PIX, meio de pagamento instantâneo que já atingiu quase 60 milhões de transações em um dia, superando cartões de débito e crédito, tornando-se o método de pagamento mais usado no Brasil.
A questão é que a digitalização do dinheiro e dos meios de pagamento também traz junto desafios adicionais como o aumento do risco de fraude digital e lavagem de dinheiro, pois os cybers criminosos estão cada vez mais sofisticados no mundo digital.
Não só estão aprimorando e automatizando técnicas de engenharia social, como tem até desenvolvido bots e algoritmos de analítico e inteligência artificial para criar novos tipos de fraude. Não dá para tratar Cybersecurity somente com contingências de processo e rotinas manuais, é preciso usar todo o poder da tecnologia para proteger o cidadão e o correntista.
A Serasa Experian estimou que em 2021 teve uma movimentação possivelmente fraudulenta a cada 8 segundos. No mesmo período a pesquisa Device Fraud Scan da AllowMe registrou uma média de 3,7 tentativas de fraude por minuto. O PIX ainda não tem pesquisa estatísticas amplas de fraudes, apenas casos pontuais de vazamentos de dados de algumas instituições e os mais variados tipos de golpes, dos digitais ao sequestro do PIX via celular.
Uma das grandes questões de segurança sobre o uso da computação quântica é que em teoria, poderia possibilitar a quebra de criptografia de senhas e de parte dos mecanismos de segurança nos sistemas tradicionais.
Dentro desse contexto a Criptografia Pós-Quântica vem trazer camadas adicionais de segurança que criam uma blindagem de alta performance através de métodos criptográficos resistentes aos eventuais ataques de computadores quânticos.
Criar um novo modelo avançado de antifraude para o PIX utilizando Criptografia Pós-Quântica vem para atuar em uma área muito sensível e estratégica de segurança, pois o PIX ocorre em segundos, exigindo uma tecnologia antifraude que ocorra próximo a tempo real. Isso é totalmente diferente por exemplo do modelo de prevenção e análise de fraude de cartões, onde ainda existe muita atividade de análise de log de transações no BackOffice.
O estudo e experimentação em questão pelo Banco Central do Brasil, FENASBAC, Microsoft e Brazil Quantum procurou analisar a viabilidade de implementação de algoritmos pós-quânticos no Sistema de Pagamentos Instantâneos Brasileiro (Pix), partindo do estado atual da CPǪ e da criptografia vigente no Pix e fazendo testes de implementação.
Os resultados foram acima do esperado e abrem um universo de possibilidades para trazer maior confiança e segurança na adoção de novos meios de pagamentos instantâneos como o Pix e até mesmo de novos modelos de moedas digitais soberanas (CBDC) como o Real Digital, agora em fase piloto no LIFT Challenge da Fenasbac, onde a Microsoft desenvolveu um case em parceria com a Visa e a Consensys. E também para a popularização de outros tipos de Ativos Digitais, NFT, Cripto Moedas e Contratos Inteligentes baseados em Blockchain.
Você pode acessar o estudo: “Análise da viabilidade de aplicação de métodos de criptografia pós-quântica aplicados ao sistema de pagamentos instantâneos brasileiro (Pix)” em Português e Inglês publicados nesse artigo.
Fabio Mittelstaedt é Senior Executive Director, Industry Strategy and Digital Innovation na Microsoft
Computação Quântica
Neste momento, o cenário da Computação Quântica é tal que os sistemas são bastante limitados por operações ruidosas e interações com o ambiente.
Esse período é chamado de Era NISQ (Noise Intermediate-Scale Quantum), nome que faz referência às tecnologias quânticas de escala intermediária e ruidosas. Os computadores quânticos deste estágio não apresentam, ainda, qualquer aplicação no mundo real.
Esses impedimentos técnicos vêm sendo atacados tanto pela academia quanto pela indústria. Assim, em meio a tal fomento, os computadores quânticos estão evoluindo cada vez mais rápido, com algumas aplicações práticas tornando-se possíveis em um horizonte de 5 a 10 anos.
Algoritmo de Shor
Tal desenvolvimento acelerado também está associado à ameaça que os computadores quânticos poderão oferecer aos sistemas criptográficos atuais.
Alguns algoritmos quânticos são capazes de quebrar certos protocolos, como é o caso do Algoritmo de Shor para fatoração de números primos – capaz de quebrar o sistema criptográfico RSA (amplamente utilizado) para uma quantidade suficientemente grande de qubits.
Como se sabe, na atual Era NISQ, os computadores quânticos não representam, ainda, uma ameaça tangível à criptografia vigente. Entretanto, em meio à eventual adversidade (exposição repentina de décadas de backlog de criptografia RSA), estudos já têm sido conduzidos a fim de encontrar sistemas criptográficos resistentes aos algoritmos quânticos.
Criptografia Pós-Quântica (CPQ)
A chamada Criptografia Pós-Quântica (CPQ) – também conhecida como quantum safe ou quantum resistant – apresenta-se como solução para tal questão. Ela consiste em um conjunto de problemas matemáticos clássicos que são desafiadores o suficiente até mesmo para computadores quânticos.
Dessa forma, como não há ganho substancial de velocidade na resolução desses problemas via computação quântica, os sistemas tornam-se resistentes a ataques quânticos.
Alguns protocolos de criptografia já existentes, junto com novos que vem sendo desenvolvidos, compõem o grupo de algoritmos pós-quânticos. Diante desse panorama, o National Institute of Standards and Technology (NIST), dos EUA, criou um processo de padronização de criptografia pós-quântica, em parceria com empresas e universidades ao redor do mundo.
Em meio a essa iniciativa internacional e à postura de vanguarda tecnológica assumida pelo Banco Central do Brasil (BCB), foi proposto um estudo de viabilidade sobre a aplicação de alguns desses algoritmos visados pelo programa do NIST no sistema Pix (sistema de pagamento instantâneo brasileiro), desenvolvido pelo BCB.
O estudo
Esse trabalho foi desenvolvido pela equipe da Brazil Quantum, com apoio da Microsoft no Brasil e do time técnico do BCB.
O estudo desenvolvido iniciou-se com a seleção dos algoritmos quantum-safe (dentre os candidatos viáveis do NIST) adequados ao contexto do Pix, visando os critérios: segurança, performance e cripto-agilidade (facilidade de transição de um sistema criptográfico clássico para outro pós-quântico). Em seguida, foram feitas as implementações, tomando como base o tráfego padrão de mensagens pelo Pix.
Assim, foi possível realizar uma comparação 5 entre a performance atual (via métodos clássicos) e aquela que seria obtida em um cenário de sistemas criptográficos pós-quânticos.
O presente artigo consiste em uma breve introdução à CPQ, seguida de uma revisão do seu estado atual.
Posteriormente, resume-se o estado atual da criptografia utilizada no Pix, bem como a análise dos algoritmos pós-quânticos e sua implementação.
Por fim, são expostos os resultados obtidos a partir das simulações realizadas e a discussão acerca das conclusões e das próximas etapas do trabalho desenvolvido.
O estudo é assinado pela equipe da Brazilquantum e Banco Central do Brasil
Aristides Andrade Cavalcante Neto (aristides.andrade@bcb.gov.br)
Pedro Ripper (pedro.ripper@brazilquantum.com)
Rafael Veríssimo (rafael.verissimo@brazilquantum.com)
Rodrigo Ferreira (rodrigo.ferreira@brazilquantum.com)
Continue a leitura sobre o tema acessando nossa coluna especial sobre criptografia!
Cadastre-se para receber o IDNews
E acompanhe o melhor conteúdo do Brasil sobre Identificação Digital! Aqui!