STIGNING

Artigo Técnico

PQXDH como fronteira de migracao de handshake hibrido

Desconstrucao em doutrina de seguranca para transicao pos-quantica sob comprometimento de exposicao maxima

08 de abr. de 2026 · PQC · 6 min

Publicação

Artigo

Voltar para o arquivo do blog

Briefing do artigo

Contexto

Programas de PQC exigem fronteiras explicitas de controle em research, adversarial-systems, cryptography sob operacao adversarial e degradada.

Pré-requisitos

  • Baseline de arquitetura e mapa de fronteiras para PQC.
  • Premissas de falha definidas e ownership de resposta a incidentes.
  • Pontos de controle observaveis para verificacao em deploy e runtime.

Quando aplicar

  • Quando pqc afeta diretamente autorizacao ou continuidade de servico.
  • Quando comprometimento de componente unico nao e um modo de falha aceitavel.
  • Quando decisoes de arquitetura precisam de evidencia para auditoria e assurance operacional.

Registro de Evidência

Linha base de reivindicações da fonte: afirmações limitadas ao paper.

Interpretação STIGNING: seções 2-8 modelam implicações empresariais.

Paper
Security Analysis of Signal's PQXDH Handshake
Autores
Rune Fiedler; Felix Gunther
Fonte
IACR Cryptology ePrint 2024/702 (major revision aligned with PKC 2025)

1. Institutional Framing

Migracao pos-quantica em producao nao e troca simples de algoritmo. E redesenho de fronteira de confianca onde componentes legados e pos-quanticos coexistem sob pressao adversarial ativa. O artigo escolhido e relevante porque analisa um handshake hibrido implantado (PQXDH) em modelo de comprometimento fino e explicita quais propriedades dependem de hipoteses adicionais.

Para sistemas institucionais, isso se conecta diretamente a programas de identidade de servico e migracao de transporte seguro. Transicoes hibridas costumam ser aprovadas por linguagem de conformidade, mas fracassam em limites concretos de downgrade, binding e ciclo de vida de chaves.

Traceability Note

Artigo: Security Analysis of Signal's PQXDH Handshake. Autores: Rune Fiedler, Felix Gunther. Fonte: IACR Cryptology ePrint 2024/702 (v2.1, maio de 2025; revisao correspondente ao PKC 2025). Link: https://eprint.iacr.org/2024/702.

Source Claim Baseline

Afirmacoes limitadas a fonte: o trabalho apresenta analise reducionista em jogo para PQXDH sob modelo de exposicao maxima para adversarios classicos e quanticos; amplia a modelagem para incluir chaves publicas assinadas; deriva limites concretos de seguranca; identifica propriedade de KEM binding como necessaria; indica que ausencia de separacao de dominio reduz seguranca alcancavel; e afirma que Kyber e ML-KEM satisfazem a nocao de binding usada na prova.

2. Technical Deconstruction

Matriz de aderencia institucional:

  • selected_domain: PQC
  • selected_capability_lines: hybrid handshake compatibility planning; downgrade resistance validation; certificate and key lifecycle redesign
  • why this paper supports enterprise engineering decisions: transforma promessas de migracao hibrida em suposicoes verificaveis de seguranca e limites operacionais de comprometimento.

O ponto central e composicional: PQXDH nao e apenas X3DH com uma chamada de KEM. E um agendamento hibrido de chaves cuja seguranca depende de binding entre componentes e de suposicoes por modo.

Secsess(m,C)KEM_Bind=1DomainSep=1ModeAssump(m)(1)\mathsf{Sec}_{\mathrm{sess}}(m,\mathcal{C}) \Rightarrow \mathsf{KEM\_Bind}=1 \land \mathsf{DomainSep}=1 \land \mathsf{ModeAssump}(m) \tag{1}

A Equacao (1) define o criterio de decisao de migracao: adocao de handshake hibrido so e segura quando todos os predicados sao atendidos em implementacao e configuracao.

3. Hidden Assumptions

A primeira suposicao oculta e o acoplamento semantico entre saida do KEM e contexto correto de chave publica. Sem binding, ambiguidades de re-encapsulamento podem invalidar garantias.

A segunda suposicao e separacao de dominio consistente em todos os contextos de derivacao de chave. Sem labels fortes, aumentam riscos de confusao entre modos e reutilizacao indevida de material.

A terceira suposicao e disciplina de ciclo de vida entre chaves de longo prazo, semi-estaticas e efemeras. O modelo cobre combinacoes de comprometimento; operacoes reais frequentemente nao.

Ω(t)=k{LT,SS,EPH}wk1[k compromised at t](2)\Omega(t)=\sum_{k \in \{LT,SS,EPH\}} w_k \cdot \mathbf{1}[k\ \text{compromised at}\ t] \tag{2}

A Equacao (2) viabiliza limiar operacional: se Ω(t)>θ\Omega(t)>\theta, devem ser acionadas restricoes de modo e rekey forcado.

4. Adversarial Stress Test

Handshakes hibridos devem ser avaliados por classes explicitas de adversario.

Classe A: manipulacao de transcript com injecao e replay visando confusao de modo.

Classe B: adversario com comprometimento seletivo de chaves de longo prazo, semi-estaticas ou efemeras.

Classe C: exploracao de fallback entre pilha legada e pilha hibrida.

Classe D: exploracao de inconsistencias de labels de dominio, parse e maquina de estados.

Rhybrid(t)=Pr[¬Bind]+Pr[¬DomainSep]+Pr[Fallback_Downgrade]+Pr[Ω(t)>θ](3)R_{\mathrm{hybrid}}(t)=\Pr[\neg\mathsf{Bind}] + \Pr[\neg\mathsf{DomainSep}] + \Pr[\mathsf{Fallback\_Downgrade}] + \Pr[\Omega(t) > \theta] \tag{3}

A Equacao (3) deve atuar como gate de release. Se RhybridR_{\mathrm{hybrid}} ultrapassa o orcamento de risco, rollout precisa parar.

5. Operationalization

Migracao segura requer controles deterministicos para compatibilidade, ciclo de vida e resistencia a downgrade.

Compatibilidade:

  • definir matriz de modos (legacy, hybrid, pqc-preferred) com combinacoes permitidas;
  • fixar formato canonico de transcript;
  • exigir verificacao de binding como precondicao dura para aceitar chave de sessao.

Ciclo de vida:

  • separar cadencia de rotacao para identidade de longo prazo e prekeys semi-estaticas;
  • impor limite de reutilizacao em material semi-estatico;
  • acionar aposentadoria de chave por telemetria de comprometimento, nao apenas calendario.

Resistencia a downgrade:

  • proibir fallback silencioso;
  • exigir token autenticado de downgrade com trilha de auditoria;
  • negar sessao quando capacidades anunciadas e modo negociado divergem.
funcao estabelecer_sessao_hibrida(msg, estado, politica):
    exigir verificar_cadeia_assinaturas(msg.bundle_identidade)
    exigir verificar_matriz_modo(msg.modo, estado.modo_local)

    se !verificar_kem_binding(msg.kem_ct, msg.kem_pk, msg.hash_transcript):
        retornar NEGAR_BINDING

    se !verificar_separacao_dominio(msg.labels_kdf, politica.labels_permitidos):
        retornar NEGAR_DOMAIN_SEP

    se eh_fallback(msg.modo) e !verificar_downgrade_autenticado(msg.token_downgrade):
        retornar NEGAR_DOWNGRADE

    se superficie_comprometimento(estado) > politica.max_superficie_comprometimento:
        retornar NEGAR_REKEY_OBRIGATORIO

    retornar PERMITIR
TmigTinventory+Tcompat_tests+Trekey+Tcutover(4)T_{\mathrm{mig}} \le T_{\mathrm{inventory}} + T_{\mathrm{compat\_tests}} + T_{\mathrm{rekey}} + T_{\mathrm{cutover}} \tag{4}

A Equacao (4) torna o plano de migracao mensuravel e auditavel.

6. Enterprise Impact

O impacto empresarial principal e aumentar precisao de governanca. Aprovacao por lista de algoritmos nao basta; criterios relevantes sao binding, separacao de dominio e contencao mensuravel de comprometimento.

Primeiro, ownership de seguranca de transporte passa a ser compartilhado entre criptografia, engenharia de protocolo e SRE.

Segundo, qualidade de inventario de chaves vira dependencia critica de seguranca.

Terceiro, controles de conformidade precisam ser sensiveis a modo para detectar downgrade continuamente.

WexposureTdetect+Trevoke+Treissue+Tsession_drain(5)W_{\mathrm{exposure}} \approx T_{\mathrm{detect}} + T_{\mathrm{revoke}} + T_{\mathrm{reissue}} + T_{\mathrm{session\_drain}} \tag{5}

A Equacao (5) define SLO de resposta a incidente em programas de migracao PQC.

7. What STIGNING Would Do Differently

Para deploy institucional sob ambiente adversarial, seriam adicionados os seguintes controles.

  1. Labels de dominio obrigatorios em todas as fases de KDF, com testes negativos de colisao entre modos.

  2. KEM binding tratado como artefato de conformidade executavel, nao apenas premissa de prova.

  3. Fallback apenas com downgrade autenticado e auditavel.

  4. Segregacao de papeis de chave em namespaces HSM distintos para reduzir comprometimento correlacionado.

  5. Telemetria de superficie de comprometimento integrada a decisao de admissao em runtime.

  6. Chaos testing de dual-stack com upgrades parciais, skew de relogio e desordem de retransmissao.

  7. Runbooks de rekey forcado e rollback de cutover com limite explicito de blast radius.

Admit(s)=1[Bind=1DomainSep=1DowngradeAuth=1Ωθ](6)\mathsf{Admit}(s)=\mathbf{1}[\mathsf{Bind}=1 \land \mathsf{DomainSep}=1 \land \mathsf{DowngradeAuth}=1 \land \Omega \le \theta] \tag{6}

A Equacao (6) pode ser codificada diretamente como policy-as-code em gateways de transporte.

8. Strategic Outlook

Programas de transicao PQC falham quando tratam migracao como substituicao de primitiva e ignoram semantica de confianca em modo misto. O valor estrategico deste artigo e ancorar corretude de migracao em modelos explicitos de adversario e comprometimento.

No horizonte de longo prazo, tres trilhas sao obrigatorias: agilidade criptografica com data de retirada de modos legados; automacao de ciclo de vida com proveniencia verificavel de chaves; e garantia continua via verificacao formal, testes adversariais e telemetria de admissao.

Pr[Admit=1Secsess=1]1η under declared compromise model(7)\Pr\left[\mathsf{Admit}=1 \Rightarrow \mathsf{Sec}_{\mathrm{sess}}=1\right] \ge 1-\eta\ \text{under declared compromise model} \tag{7}

A Equacao (7) formaliza o objetivo institucional: sessoes admitidas devem permanecer seguras sob as hipoteses declaradas de ameaca.

References

  • Rune Fiedler, Felix Gunther. Security Analysis of Signal's PQXDH Handshake. IACR Cryptology ePrint 2024/702. https://eprint.iacr.org/2024/702
  • Karthikeyan Bhargavan, Charlie Jacomme, Franziskus Kiefer, Rolfe Schmidt. Formal verification of the PQXDH Post-Quantum key agreement protocol for end-to-end secure messaging. USENIX Security 2024. https://www.usenix.org/conference/usenixsecurity24/presentation/bhargavan
  • Signal. The PQXDH Key Agreement Protocol. https://signal.org/docs/specifications/pqxdh/

Conclusion

A conclusao operacional e que seguranca de handshake hibrido pos-quantico e condicional. Binding de KEM, separacao de dominio e controles de modo sensiveis a comprometimento sao requisitos estruturais, nao opcao de melhoria incremental. Programas institucionais devem adotar predicados de admissao, controles de downgrade autenticado e enforcement de ciclo de vida com limites de risco mensuraveis.

  • STIGNING Academic Deconstruction Series Engineering Under Adversarial Conditions

Referências

Compartilhar artigo

LinkedInXEmail

Navegação do artigo

Post anterior

ChainFuzz e Governança DevSecOps Orientada à Explorabilidade

Próximo post

Doutrina de Governança de Identidade de Máquina Pós-Quântica

Artigos relacionados

PQC

Hibridizacao do WireGuard para Migracao Pos-Quantica sob Restricoes Operacionais

Doutrina de infraestrutura para preservar simplicidade de handshake com resistencia a downgrade e falhas de ciclo de chaves

Ler artigo relacionado

PQC

Peneiramento Quântico 3-Tuplas sob Limites de Memória

Doutrina de engenharia para segurança de reticulados sob aceleração adversária

Ler artigo relacionado

DevSecOps

ChainFuzz e Governança DevSecOps Orientada à Explorabilidade

Doutrina de infraestrutura para provar impacto de vulnerabilidades upstream antes da ação no pipeline

Ler artigo relacionado

IIoT

Revogação como Plano de Controle de Primeira Classe na Identidade IIoT Segura

Uma desconstrução do EVOKE para confiança em frotas restritas, resistência a rollback e convergência operacional de revogação

Ler artigo relacionado

Feedback

Este artigo foi útil?

Enviar sugestão de tema

Intake Técnico

Aplique este padrão no seu ambiente com revisão de arquitetura, restrições de implementação e critérios de assurance alinhados à sua classe de sistema.

Aplicar este padrão -> Intake Técnico
Voltar ao topoVoltar ao blog