Roadmap de Remediação
Plano sequenciado por ondas para erradicar criptografia frágil e habilitar prontidão pós-quântica.
Ondas de execução
Onda 1 · Erradicação Crítica
Remoção imediata de RSA-1024, 3DES e RC4 em superfícies expostas. Bloqueio de TLS 1.0/1.1 nos balanceadores.
Onda 2 · Hibridização TLS
Habilitar X25519+ML-KEM-768 em todas as entradas públicas. Atualizar bibliotecas e pinning mobile.
Onda 3 · Assinaturas PQC
Migração de assinaturas de código e documentos para ML-DSA-65 e SLH-DSA. Reemissão de certificados raiz.
Onda 4 · Long-term Secrets
Reencriptação de arquivos de longo prazo e revisão de dados sujeitos a Harvest Now, Decrypt Later.
Burndown de remediação
Marcos
2025-06-30
Em riscoRSA-1024 erradicado em produção
2025-08-15
No prazoTLS 1.0/1.1 desligado em edge
2025-10-01
No prazoHibridização ML-KEM em APIs públicas
2025-12-20
PlanejadoPipeline de code signing PQC piloto
2026-03-31
PlanejadoAssinatura ML-DSA em produção
2026-09-30
Em estudoReencriptação de arquivos de 10+ anos
Backlog de iniciativas
| ID | Iniciativa | Onda | Responsável | Esforço | Status |
|---|---|---|---|---|---|
| INI-118 | Substituir RSA-1024 no balanceador edge-eu | W1 | Edge Networking | M | Concluído |
| INI-121 | Desligar TLS 1.0 no parceiro FTP | W1 | Integrações | S | Em execução |
| INI-126 | Decomissionar gateway 3DES de pagamento | W1 | Payments | L | Em execução |
| INI-204 | Habilitar X25519+ML-KEM-768 nas APIs públicas | W2 | Plataforma | L | A fazer |
| INI-207 | Atualizar pinning mobile para PQC híbrido | W2 | Mobile | M | A fazer |
| INI-311 | Piloto de ML-DSA-65 em code signing | W3 | AppSec | L | A fazer |
| INI-318 | Reemitir certificados raiz com chave PQC | W3 | PKI | XL | A fazer |
| INI-402 | Reencriptar arquivos legais > 10 anos | W4 | Records | XL | A fazer |