O Signal anunciou a introdução do Sparse Post-Quantum Ratchet (SPQR), um novo componente criptográfico desenvolvido para resistir às ameaças trazidas pela computação quântica.
O SPQR funcionará como um mecanismo avançado que atualiza continuamente as chaves de criptografia utilizadas nas conversas, descartando as antigas para garantir máxima segurança.
O Signal é um aplicativo multiplataforma de mensagens e chamadas com criptografia end-to-end, mantido pela organização sem fins lucrativos Signal Foundation.
Atualmente, estima-se que a plataforma tenha até 100 milhões de usuários ativos por mês.
Esse novo componente assegura tanto a forward secrecy quanto a post-compromise security, ou seja, mesmo que uma chave venha a ser comprometida ou roubada, as mensagens futuras trocadas entre os usuários continuarão protegidas.
Na parte técnica, o SPQR utiliza mecanismos pós-quânticos de Key-Encapsulation Mechanisms (ML-KEM) em substituição ao tradicional elliptic-curve Diffie-Hellman.
Além disso, incorpora técnicas eficientes de chunking e erasure coding para lidar com chaves maiores sem aumentar significativamente o consumo de banda.
Desde 2023, o Signal já utiliza o CRYSTALS-Kyber — um KEM pós-quântico — em paralelo com o Elliptic Curve Diffie-Hellman, visando proteger seus usuários contra ataques de computadores quânticos capazes de quebrar a criptografia atual.
O SPQR é um avanço sobre o sistema de double ratchet já existente, formando o que o Signal chama de Triple Ratchet, que cria uma “mixed key” com segurança reforçada.
“No momento de enviar uma mensagem, o sistema consulta tanto o Double Ratchet quanto o SPQR para saber qual chave de criptografia deve ser usada no próximo envio, e ambos fornecem uma chave”, explicou o Signal.
“Em vez de usar uma dessas chaves diretamente, elas são combinadas por meio de uma Key Derivation Function — uma função especial que recebe entradas suficientemente aleatórias e gera uma chave criptográfica segura, com o tamanho necessário.
Isso gera uma nova chave ‘mista’ com segurança híbrida.”
O desenvolvimento do SPQR contou com a colaboração da PQShield, do AIST (Japão) e da New York University.
Sua base técnica tem como referência artigos apresentados nas conferências USENIX 2025 e Eurocrypt 2025.
O design também foi formalmente verificado pela ferramenta ProVerif, enquanto a implementação em Rust passou por testes de robustez com a ferramenta hax.
Agora, a verificação contínua será aplicada a todas as versões futuras, garantindo que as provas de segurança sejam repetidas a cada alteração no código.
Segundo o Signal, o lançamento do SPQR será gradual e os usuários não precisarão realizar nenhuma ação além de manter seus aplicativos atualizados para a versão mais recente.
O sistema seguirá sendo compatível com versões anteriores, de modo que, ao se comunicar com um cliente que ainda não suporte o SPQR, o modelo de segurança será automaticamente reduzido.
Quando o SPQR estiver disponível para todos os usuários, o Signal planeja torná-lo obrigatório em todas as sessões da plataforma.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...