Java e TLS pós-quântico: Protegendo suas conexões com o JDK 27

Java e TLS pós-quântico: Protegendo suas conexões com o JDK 27

O artigo explora a adição de suporte a key exchange híbrido pós-quântico no Java Development Kit (JDK) 27 para TLS 1.3, abordando a ameaça 'harvest now, decrypt later' e as implicações para desenvolvedores. Ele detalha como o JEP 527 integra o ML-KEM e o X25519MLKEM768, além de discutir possíveis problemas de compatibilidade e a importância de testes.

MundiX News·25 de maio de 2026·7 min de leitura·👁 16 views

Java e TLS pós-quântico

Olá, Habr!

O JEP 527 adiciona suporte no JDK 27 para post-quantum hybrid key exchange para TLS 1.3. Se o aplicativo estiver na pilha JSSE padrão através do javax.net.ssl, após a transição para o JDK 27 com o JEP 527, ele poderá usar o novo key exchange híbrido no TLS 1.3.

O que será abordado neste artigo

  • O que é TLS
  • O problema “harvest now, decrypt later”
  • O que o JEP 527 adiciona
  • Por que o key exchange é híbrido
  • O que muda para o desenvolvedor
  • O que pode quebrar

1. O que é TLS

TLS (Transport Layer Security) é um protocolo para uma conexão de rede segura. Ele é usado em HTTPS, conexões a bancos de dados, APIs externas e mTLS interno.

  • Handshake é a fase inicial de uma conexão TLS. Nela, o cliente e o servidor negociam a versão do protocolo, parâmetros de segurança, verificam certificados e preparam as chaves.
  • TLS negotiation é a negociação de parâmetros dentro do handshake: versões do TLS, algoritmos, grupos suportados e outras configurações que ambos os lados podem usar.
  • Key exchange é a parte do handshake onde as partes obtêm um segredo compartilhado. Então, a partir desse segredo, as chaves são derivadas, com as quais o tráfego do aplicativo é criptografado.

2. O problema “harvest now, decrypt later”

O TLS 1.3 clássico geralmente usa ECDHE (Ephemeral Elliptic-Curve Diffie-Hellman), um mecanismo de key exchange familiar e amplamente utilizado. Ele oferece forward secrecy. Se, em um ano, a chave privada do certificado do servidor vazar, as antigas sessões TLS não devem ser reveladas automaticamente. Os segredos para essas sessões foram criados com chaves temporárias durante o handshake, e não diretamente com a chave privada do certificado.

Mas os algoritmos clássicos em curvas elípticas têm uma perspectiva desagradável. Um computador quântico suficientemente poderoso poderá atacar essa matemática de forma diferente de um computador comum. Isso não significa que amanhã de manhã todo o HTTPS será quebrado, mas há uma ameaça de harvest now, decrypt later. Um invasor pode gravar o tráfego criptografado agora, ele não pode descriptografá-lo agora. Mas se os dados forem valiosos em cinco ou dez anos, a questão surge: o que acontecerá quando ataques quânticos mais fortes aparecerem? Para um código único de 30 segundos, isso não importa. Para dados médicos ou pessoais, documentos financeiros e contratos comerciais - já é mais interessante. É por isso que a migração criptográfica começa com antecedência, quando ainda há tempo para atualizar plataformas, protocolos e infraestrutura com calma.

3. O que o JEP 527 adiciona

O JEP 527 adiciona suporte no JDK para três grupos nomeados híbridos TLS 1.3:

  • X25519MLKEM768
  • SecP256r1MLKEM768
  • SecP384r1MLKEM1024

A opção mais importante para um desenvolvedor de aplicativos é X25519MLKEM768. É ele que está incluído na lista padrão de grupos nomeados e é colocado em primeiro lugar. Simplificando, o cliente Java começa a dizer ao servidor:

  • Eu suporto X25519MLKEM768.
  • Eu também suporto x25519 normal.
  • Se puder, vamos escolher a opção híbrida.
  • Caso contrário, vamos concordar com a opção antiga.

Essa mudança não está no HTTP, REST ou no código HttpClient, mas dentro do handshake TLS. Se o servidor também suportar X25519MLKEM768, as partes podem escolher o hybrid key exchange. Se não suportar, um fallback para um grupo normal, como x25519, deve funcionar. Mas por causa de proxies, WAFs, terminadores TLS, bibliotecas antigas e configurações personalizadas, tudo isso ainda precisa ser verificado em sua própria infraestrutura.

4. Por que o key exchange é híbrido

Híbrido aqui significa: tanto o ECDHE clássico quanto o ML-KEM pós-quântico são usados. ML-KEM é um KEM pós-quântico padronizado. Anteriormente, esse algoritmo era conhecido como Kyber. No Java, os blocos de construção já apareceram antes:

  • JEP 452 adicionou a API KEM;
  • JEP 496 adicionou ML-KEM;
  • JEP 527 usa isso no TLS 1.3.

Por que não mudar imediatamente para um key exchange pós-quântico puro? Porque as migrações criptográficas são melhores feitas com cuidado. Os algoritmos clássicos foram estudados por muito tempo e são bem otimizados. Os algoritmos pós-quânticos são mais novos. Eles têm tamanhos diferentes de chaves e mensagens. Eles têm um perfil de desempenho diferente. Eles ainda precisam ser testados em massa na infraestrutura. A abordagem híbrida usa ambos os mecanismos de uma vez. Se o ECDHE se tornar um problema devido a ataques quânticos, o ML-KEM permanece. Se um problema desagradável for encontrado no novo algoritmo pós-quântico, a parte clássica permanece. Esta não é uma proteção absoluta contra tudo. Mas esta é uma forma de transição razoável para o enorme ecossistema TLS.

5. O que muda para o desenvolvedor

Se você estiver usando o Java TLS padrão através do javax.net.ssl, o código do aplicativo pode não mudar em tudo. Por exemplo:

java
HttpClient client = HttpClient.newBuilder()
        .version(HttpClient.Version.HTTP_2)
        .build();

Neste código, não há ML-KEM nem X25519MLKEM768. Mas o handshake TLS é feito pelo JDK. Isso significa que, após atualizar o runtime, o comportamento do handshake pode mudar. Este é o principal ponto prático.

6. O que pode quebrar

A negociação TLS deve fornecer compatibilidade com versões anteriores. O cliente oferece um grupo híbrido e grupos normais. O servidor escolhe o que suporta. Se o híbrido não for suportado, x25519 normal é escolhido. Os problemas começam onde a infraestrutura se comporta de forma estranha. Por exemplo:

  • proxy antigo não gosta do grande ClientHello;
  • WAF (Web Application Firewall) analisa incorretamente os novos grupos nomeados;
  • o terminador TLS (nginx ou balanceador de carga) não foi atualizado por vários anos;
  • uma lista de grupos é definida rigidamente no aplicativo sem fallback;
  • outro provedor TLS é usado em vez de JSSE;
  • diferentes serviços em um circuito mTLS funcionam em runtimes muito diferentes.

Um grande ponto prático: o key exchange pós-quântico aumenta o tamanho da key share. O ClientHello pode ficar maior. A infraestrutura moderna deve lidar com isso. Mas proxies, WAFs ou terminadores TLS antigos podem não conseguir lidar com tal handshake. Os sintomas são geralmente os seguintes:

  • handshake timeout;
  • SSLHandshakeException;
  • connection reset;
  • erro apenas através de um proxy específico;
  • funciona de uma rede, não funciona de outra.

Conclusão

O JEP 527 atualiza o key exchange TLS 1.3 na implementação JSSE padrão do Java. O código do aplicativo para o cliente HTTP geralmente não precisa ser alterado por causa disso. O comportamento do handshake TLS muda no nível do JDK.

Após a transição para o JDK 27, o cliente Java poderá preferir X25519MLKEM768 se o servidor o suportar. Se o servidor não suportar o grupo híbrido, um fallback para grupos clássicos, como x25519, deve ser usado.

Antes da migração, vale a pena verificar jdk.tls.namedGroups, SSLParameters personalizados, endpoints críticos, proxies e terminadores TLS. Também é importante entender onde o TLS realmente termina: no aplicativo Java, no nginx, no balanceador de carga ou em outro componente.

O JEP 527 não torna o sistema totalmente protegido contra ataques quânticos. Ele adiciona suporte no Java para um key exchange híbrido pós-quântico para TLS 1.3. Para a equipe do aplicativo, esta é uma razão para verificar o handshake TLS ao fazer a transição para o JDK 27.

Referências

Se você gostou do artigo, seja bem-vindo ao meu blog!

Releases seguros para você!

🛡️⚡

Pare de pesquisar. Comece a hackear.

O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.

Testar grátis por 7 dias →

Sem cartão para começar · Planos a partir de R$49/mês

📤 Compartilhar & Baixar

🧰 Ferramentas recomendadas

Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.

Aprendendo Kali Linux: Teste de segurança, pentest e hacking ético

Aprendendo Kali Linux: Teste de segurança, pentest e hacking ético

Com centenas de ferramentas pré-instaladas, a distribuição Kali Linux facilita o trabalho de os profissionais de segurança começarem a fazer testes de segurança rapidamente. No entanto, com mais de 600 ferramentas em seu arsenal, o Kali Linux também pode ser desafiador. A nova edição deste prático livro abrange as atualizações nas ferramentas e inclui uma melhor abordagem da análise forense e da engenharia reversa. Ric Messier, autor, não fica apenas no teste de segurança, mas também faz uma abordagem sobre a execução de análise forense, incluindo a análise em disco e na memória, assim como alguma análise básica de malware. • Explore as diversas ferramentas disponíveis no Kali Linux • Entenda o valor do teste de segurança e examine os tipos de teste disponíveis • Aprenda os aspectos básicos do pentest em todo o ciclo de vida do ataque • Instale o Kali Linux em vários sistemas, tanto físicos quanto virtuais • Descubra como usar diferentes ferramentas destinadas à segurança • Estruture um teste de segurança baseado nas ferramentas do Kali Linux • Estenda as ferramentas do Kali para criar técnicas de ataque avançadas • Use o Kali Linux para ajudar a criar relatórios quando o teste terminar “A abordagem concisa, clara e baseada na experiência adotada por Ric Messier para a introdução do Kali Linux e dos testes de cibersegurança é incomparável. Este livro é uma leitura excelente e acessível para iniciantes e um recurso valioso para qualquer pessoa.” —Alexander Arlt, Consultor sênior de segurança, Google

Ver na Amazon
Gshield 2 em 1 Hub Extensor Conector USB-C + USB-A e Adaptador de Rede Ethernet LAN RJ45 com 3 Entradas USB 3.0 até 5 Gbps em Liga de Alumínio para Computador e Notebook, Cinza

Gshield 2 em 1 Hub Extensor Conector USB-C + USB-A e Adaptador de Rede Ethernet LAN RJ45 com 3 Entradas USB 3.0 até 5 Gbps em Liga de Alumínio para Computador e Notebook, Cinza

Compatível com portas USB-C e USB-A, ideal para ampliar a conectividade de dispositivos como MacBook Pro e outros com portas USB-C. Inclui um adaptador USB-A extra, proporcionando uma conexão Ethernet estável e veloz de até 1 Gbps, perfeita para filmes, jogos online e videoconferências. Oferece três portas USB 3.0 com velocidades de transferência de até 5 Gbps, permitindo conectar mouse, teclado, discos rígidos e outros periféricos. Fabricado em alumínio durável, garantindo longa vida útil e resistência ao uso diário. Design compacto e leve, ideal para viagens de negócios e uso diário, facilitando o transporte e armazenamento. Funciona com Windows 10/8.1/8, Mac OS e Chrome OS, oferecendo versatilidade incomparável para diversas necessidades de conectividade. Assegura uma conectividade estável e rápida, perfeita para tarefas exigentes como transferência de dados, streaming e mais.

Ver na Amazon
Hacking APIs: Breaking Web Application Programming Interfaces

Hacking APIs: Breaking Web Application Programming Interfaces

Hacking APIs is a crash course on web API security testing that will prepare you to penetration-test APIs, reap high rewards on bug bounty programs, and make your own APIs more secure. You'll learn how REST and GraphQL APIs work in the wild and set up a streamlined API testing lab with Burp Suite and Postman. Then you'll master tools useful for reconnaissance, endpoint analysis, and fuzzing, such as Kiterunner and OWASP Amass. Next, you'll learn to perform common attacks, like those targeting an API's authentication mechanisms and the injection vulnerabilities commonly found in web applications. You'll also learn techniques for bypassing protections against these attacks. In the book's nine guided labs, which target intentionally vulnerable APIs, you'll practice: Enumerating APIs users and endpoints using fuzzing techniques Using Postman to discover an excessive data exposure vulnerability Performing a JSON Web Token attack against an API authentication process Combining multiple API attack techniques to perform a NoSQL injection Attacking a GraphQL API to uncover a broken object level authorization vulnerability

Ver oferta
Gray Hat Hacking: The Ethical Hacker's Handbook, Sixth Edition

Gray Hat Hacking: The Ethical Hacker's Handbook, Sixth Edition

Up-to-date strategies for thwarting the latest, most insidious network attacks This fully updated, industry-standard security resource shows, step by step, how to fortify computer networks by learning and applying effective ethical hacking techniques. Based on curricula developed by the authors at major security conferences and colleges, the book features actionable planning and analysis methods as well as practical steps for identifying and combating both targeted and opportunistic attacks. Gray Hat Hacking: The Ethical Hacker's Handbook, Sixth Edition clearly explains the enemy's devious weapons, skills, and tactics and offers field-tested remedies, case studies, and testing labs. You will get complete coverage of Internet of Things, mobile, and Cloud security along with penetration testing, malware analysis, and reverse engineering techniques. State-of-the-art malware, ransomware, and system exploits are thoroughly explained. Fully revised content includes 7 new chapters covering the latest threats Includes proof-of-concept code stored on the GitHub repository Authors train attendees at major security conferences, including RSA, Black Hat, Defcon, and B-Sides

Ver na Amazon
Bloqueador USB de privacidade de porta USB para PC, notebook, bloco de laptop,

Bloqueador USB de privacidade de porta USB para PC, notebook, bloco de laptop,

Proteção de privacidade aprimorada: protege o link de transmissão de dados para evitar roubo de informações, fornecendo proteção de segurança robusta que protege a privacidade do usuário durante transferências de arquivos e garante uma conexão segura para interações de dispositivos sem preocupações em vários ambientes Uso a longo prazo: a camada protetora resistente ao desgaste, combinada com um corpo de metal resistente, oferece gerenciamento de calor confiável e qualidade duradoura durante o uso diário Entrega eficiente de energia: a tecnologia de chip inteligente garante a identificação automática dos requisitos de energia, fornecendo carregamento eficiente alinhando-se com vários protocolos de carregamento rápido para maior conveniência Proteção contra sobrecarga: evitando riscos de sobrecarga, este bloqueador de dados USB protege a vida útil da bateria e garante um desempenho estável, mantendo um fluxo estável de energia para melhorar a longevidade do dispositivo de forma eficaz Prático de transportar: com atenção à portabilidade, este bloqueador de dados USB oferece um design compacto que é leve e fácil de transportar, melhorando a conveniência do usuário e operação eficiente

Ver na Amazon

📩 Newsletter MundiX

Receba novidades de cibersegurança + um checklist de pentest grátis. Sem spam.

Ao assinar você concorda em receber e-mails. Cancele quando quiser.