Doutrina de Isolamento do Plano de Controle Pos-Quantico

Executive Strategic Framing

O risco estrutural e o atraso de governanca entre a aposentadoria de algoritmos criptograficos e a prontidao de aplicacao no plano de controle. A doutrina e necessaria agora porque programas de migracao estao sendo iniciados como aquisicao de tecnologia, e nao como programas de governanca de transicao de estado. O ponto cego organizacional e tratar adocao pos-quantica como substituicao de endpoint, em vez de redesenho institucional da emissao de confianca e da resistencia a downgrade.

Mapeamento institucional de dominio:

Superficie institucional primaria: Post-Quantum Infrastructure.
Linhas de capacidade: Hybrid handshake compatibility planning, certificate and key lifecycle redesign, downgrade resistance validation.

Envelope de suposicoes:

Topico interpretado como isolamento do plano de controle corporativo pos-quantico e governanca de ciclo de vida.
Enfase de audiencia inferida como Mixed (CTO, CISO e lideranca de engenharia orientada ao Board).
Contexto restrito a nuvem hibrida com servicos de identidade on-prem sob limites de equipe e orcamento.

Formal Problem Definition

Definicao do sistema e das restricoes de governanca de migracao:

S: grafo corporativo de servicos criptograficos, incluindo PKI, terminacao mTLS, caminhos KMS/HSM e distribuicao de politica.
A: adversario adaptativo com capacidade de downgrade de protocolo, potencial de foothold em supply chain e inventario de ciphertext coletado.
T: fronteira entre dominio aprovado de politica criptografica e todas as superficies externas/legadas de negociacao.
H: horizonte de 5 a 15 anos, incluindo algoritmos hibridos intermediarios.
R: restricoes regulatorias e contratuais que exigem evidencia de transicao criptografica, rastreabilidade de custodia de chaves e registros deterministas de rollback.

Modelo operacional de exposicao:

E = f\left(\alpha \cdot A_{cap},\; \beta \cdot L_{det},\; \mu \cdot B_{rad},\; \tau \cdot D_{crypto}\right)

onde L_det e latencia de deteccao, B_rad e raio de impacto e D_crypto e taxa de decaimento criptografico das primitivas implantadas. Decisao de governanca: controles devem minimizar L_det e B_rad antes da conclusao da migracao completa de algoritmos.

Structural Architecture Model

Modelo institucional em camadas:

L0: Hardware / Entropy. Qualidade de raiz de hardware, auditorias de entropia, particionamento de HSM.
L1: Cryptographic Primitives. Perfis de primitivas classicas e pos-quanticas hibridas com pinagem de versao.
L2: Protocol Logic. Restricoes de negociacao, maquina de estados de rejeicao de downgrade, vinculacao de transcript.
L3: Identity Boundary. Aplicacao de perfil de certificado, restricoes de proveniencia de chave, particionamento de autoridade emissora.
L4: Control Plane. Distribuicao assinada de politica, canais atestados de rollout, processo determinista de excecao.
L5: Observability & Governance. Telemetria de postura criptografica, registro de excecoes, metricas de garantia para Board.

Dinamica de transicao:

S_{t+1} = T\left(S_t,\; I_t,\; A_t\right)

onde I_t e entrada controlada de migracao e A_t e influencia do adversario. Decisao de governanca: permitir I_t apenas quando invariantes de camada passarem validacao assinada.

Adversarial Persistence Model

Evolucao de longo horizonte:

Crescimento de capacidade C(t): capacidade de exploracao do adversario acumula com comoditizacao de ferramentas.
Decaimento criptografico D(t): margem efetiva de seguranca das primitivas implantadas diminui no tempo.
Deriva operacional O(t): excecoes de politica e caminhos temporarios de compatibilidade persistem alem da janela prevista.

Condicao de limiar de risco:

C(t) + O(t) > M(t)

onde M(t) e a capacidade institucional de mitigacao. Decisao de governanca: se a probabilidade de violacao do limiar exceder tolerancia de politica, congelar novas integracoes legadas e acelerar isolamento do plano de controle.

Failure Modes Under Enterprise Constraints

Nuvem multirregional: propagacao assincrona de politica cria postura criptografica mista e caminhos de negociacao reexecutaveis.
Hibrido on-prem: appliances legados de TLS e PKI preservam compatibilidade de downgrade sem limite.
Fronteira de compliance: geracao de evidencia frequentemente atrasa o estado criptografico real, invalidando atestacoes.
Envelope orcamentario: gasto de migracao prioriza substituicao de endpoint em vez de redesenho de ciclo de vida de identidade.
Acoplamento organizacional e efeito de silos: times de plataforma otimizam disponibilidade enquanto seguranca otimiza artefatos de compliance, criando conflito nao resolvido no plano de controle.

Code-Level Architectural Illustration

// Enforce cryptographic transition invariants before policy publication.
type CryptoProfile = "classical" | "hybrid" | "pq-only";

interface PolicyBundle {
  serviceId: string;
  region: string;
  profile: CryptoProfile;
  minProtocolVersion: string;
  allowLegacyFallback: boolean;
  keyRotationDays: number;
  signerSetVersion: number;
}

interface GovernanceContext {
  approvedFallbackExpiryEpoch: number;
  requiredSignerSetVersion: number;
  maxRotationDays: number;
  nowEpoch: number;
}

export function validateBundle(b: PolicyBundle, g: GovernanceContext): string[] {
  const violations: string[] = [];

  if (b.profile === "pq-only" && b.allowLegacyFallback) {
    violations.push("PQ_ONLY_CANNOT_ALLOW_LEGACY_FALLBACK");
  }

  if (b.allowLegacyFallback && g.nowEpoch > g.approvedFallbackExpiryEpoch) {
    violations.push("LEGACY_FALLBACK_WINDOW_EXPIRED");
  }

  if (b.signerSetVersion < g.requiredSignerSetVersion) {
    violations.push("OUTDATED_SIGNER_SET");
  }

  if (b.keyRotationDays > g.maxRotationDays) {
    violations.push("KEY_ROTATION_INTERVAL_TOO_LONG");
  }

  if (b.minProtocolVersion !== "TLS1.3") {
    violations.push("MIN_PROTOCOL_NOT_ENFORCED");
  }

  return violations;
}

Este ponto de aplicacao vincula politica de migracao a invariantes explicitos e converte rollouts nao conformes em eventos deterministas de rejeicao no plano de controle.

Economic & Governance Implications

A exposicao de capital aumenta quando a duracao da operacao hibrida e ilimitada, porque cada caminho adicional de excecao expande carga de garantia e superficie de auditoria. A responsabilidade operacional concentra-se nas autoridades de emissao de identidade e nos canais de distribuicao de politica, e nao no compute de endpoint.

O risco de lock-in surge quando ferramentas de migracao sao especificas de fornecedor e nao exportam historico de politica assinado. A divida de migracao acumula quando fallbacks temporarios permanecem em producao sem governanca de expiracao. A fragilidade do plano de controle aumenta quando caminhos de mudanca emergencial contornam fluxos assinados de aprovacao.

Modelo de custo:

Cost = f\left(N_{sys},\; D_{dep},\; A_{crypto}\right)

onde N_sys e tamanho do sistema, D_dep e profundidade de dependencias e A_crypto e area de superficie criptografica. Decisao de governanca: priorizar reducoes na variancia de A_crypto antes de expandir contagem de endpoints PQ.

STIGNING Doctrine Prescription

Aplicar invariante nao contornavel de plano de controle: nenhum servico publica politica criptografica sem aprovacao assinada multiparte.
Exigir campos explicitos de expiracao de fallback e rejeicao automatica apos expiracao; proibir modos de compatibilidade indefinidos.
Particionar autoridades emissoras por ambiente e classe de garantia; impedir conjuntos de assinatura compartilhados entre niveis de criticidade.
Tornar obrigatoria telemetria determinista de postura criptografica em L5, incluindo divergencia regional e contadores de tentativa de downgrade.
Definir envelopes de upgrade com gates reversiveis: transicao de hybrid para pq-only deve incluir restricoes de rollback que preservem integridade de politica.
Implementar testes trimestrais de estresse de ciclo de vida de chaves, incluindo rotacao forcada de assinantes e perda simulada de particao HSM.
Vincular aquisicoes a contratos de agilidade criptografica com logs de politica exportaveis e garantias de atualizacao algoritmica.

Board-Level Synthesis

Se a doutrina for ignorada, o risco estrategico se manifesta como extensao silenciosa de criptografia legada sob status nominal de migracao. As consequencias de governanca incluem incapacidade de provar integridade de transicao, aumento de apontamentos de supervisao e maior probabilidade de disputas contratuais apos futuros advisories criptograficos. As implicacoes de alocacao de capital sao diretas: adiar redesenho do plano de controle converte-se em sobrecarga recorrente de garantia e gasto de remediacao emergencial.

5-15 Year Strategic Horizon

Prioridade imediata: estabelecer invariantes assinados de plano de controle e governanca de expiracao de fallback.
Caminho de migracao de 3 anos: concluir compatibilidade de handshake hibrido com rejeicao determinista de downgrade e telemetria em nivel de evidencia.
Inevitabilidade de 10 anos: desativar anchors de confianca apenas classicos e consolidar emissao com agilidade criptografica.
Inevitabilidade estrutural com visibilidade tardia: instituicoes que adiarem isolamento do plano de controle enfrentarao divida composta de migracao e menor manobrabilidade operacional.

Conclusion

Migracao pos-quantica e transicao de governanca em identidade, distribuicao de politica e integridade do plano de controle, nao substituicao estreita de algoritmo. A resiliencia institucional depende de invariantes explicitos, janelas limitadas de compatibilidade e sinais mensuraveis de garantia vinculados a governanca executiva. A doutrina define um envelope aplicavel de upgrade que preserva continuidade operacional enquanto reduz vantagem adversarial de longo horizonte.

STIGNING Enterprise Doctrine Series
Institutional Engineering Under Adversarial Conditions