Por que o padrão dura

Uma prova que você faz hoje pode precisar se sustentar por trinta anos. Imagine uma descoberta científica cuja reivindicação de ter chegado primeiro ainda precisa se confirmar décadas depois, ou um arquivo de contratos que alguém terá de verificar muito tempo depois que as pessoas que os assinaram já seguiram outro rumo. Para uma prova assim, "funciona hoje" não basta. Ela precisa continuar funcionando por muito tempo, em um futuro que ninguém ainda consegue enxergar.

É um problema real, porque a matemática por trás dessas provas não fica parada.

Bons métodos não continuam bons para sempre

Todo método criptográfico se apoia em algum cálculo que é fácil de fazer, mas praticamente impossível de desfazer. Com o tempo, duas coisas acontecem. Os computadores ficam mais rápidos e os pesquisadores ficam mais astutos, de modo que um método que parecia sólido como uma rocha pode ir enfraquecendo aos poucos. E métodos inteiramente novos vão surgindo, mais fortes do que tudo o que tínhamos antes.

Por isso, qualquer padrão honesto encara uma verdade difícil: o melhor método disponível hoje não será o melhor método para sempre. Sempre há um novo, e melhor, a caminho.

Por que prender-se a um único método seria uma armadilha

Imagine um padrão que simplesmente dissesse: "use sempre exatamente este método". Ele funcionaria às mil maravilhas — até o momento em que esse método enfraquecesse. Aí você ficaria preso. Para migrar para algo melhor, seria preciso reescrever as regras, fazer todo mundo trocar no mesmo dia e, de algum jeito, lidar com cada prova já feita sob as regras antigas. Esse tipo de momento "todo mundo muda de uma vez" é justamente o que quebra a continuidade histórica e deixa os registros antigos órfãos. Um padrão construído assim já começa a apodrecer, em silêncio, no instante em que é lançado.

O Label 309 escapa dessa armadilha por completo: simplesmente nunca aposta, de início, em um único método fixo.

Um catálogo ao qual você nunca para de acrescentar

Em vez de embutir um único método, o Label 309 se refere a cada método por um nome tirado de uma lista aberta — um registro de identificadores. Pense nisso como um catálogo de peças. Cada prova registra, pelo nome, com quais "peças" foi montada — qual método gerou a impressão digital, qual fez o selamento, qual a assinou.

Há um catálogo separado para cada tipo de peça (um para os hashes, um para o selamento, um para as assinaturas, e assim por diante), e mexer em qualquer um deles é, a rigor, apenas uma questão de acrescentar:

• o novo método precisa ser um padrão de verdade, publicado, com uma referência pública (um RFC, uma publicação do NIST, e afins) — nada de criptografia caseira;
• ele ganha um novo nome no catálogo, junto com um teste que fixa exatamente como ele se comporta.

Quando surge um método mais forte, você não rasga o catálogo nem reimprime as páginas antigas. Você acrescenta uma página nova. As páginas antigas continuam exatamente onde estavam, para sempre. E aqui está a parte discretamente engenhosa: toda prova já feita mantém, na sua própria página, as peças originais com que foi montada. Consulte uma prova antiga e o catálogo ainda lhe diz exatamente como verificá-la — porque as peças dela nunca foram removidas, apenas acompanhadas de outras mais novas.

Assim, duas coisas são verdadeiras ao mesmo tempo:

• As provas antigas continuam sendo verificáveis. Uma prova feita anos atrás ainda cita métodos que continuam no catálogo, então ela se confirma hoje do mesmo jeito que no dia em que foi feita.
• As novas provas podem escolher o método mais recente. Quem faz uma prova nova simplesmente escolhe um nome mais recente da lista.

Não existe um dia de virada. Nenhum momento em que todos precisem trocar de uma vez. Nenhuma continuidade histórica quebrada, nenhuma correria para converter uma montanha de registros antigos. A mudança é pura adição — uma nova entrada na lista — nunca uma substituição. Acrescentar uma sequer muda a versão do formato: um verificador que nunca ouviu falar de um nome novo apenas responde, com clareza, "ainda não dou suporte a esse", em vez de travar ou sair adivinhando.

Como o salto quântico também acontece

Você talvez já tenha ouvido dizer que computadores novos e poderosos poderiam, um dia, quebrar parte da criptografia de hoje. (Há um artigo complementar justamente sobre isso.) A parte tranquilizadora é que se defender disso não exige nenhum plano de resgate especial no Label 309 — é a mesma jogada de qualquer outra melhoria: dar nome, no catálogo, ao novo método resistente a computadores quânticos. Na verdade, isso já aconteceu uma vez: o método de selamento pós-quântico foi acrescentado bem ao lado do clássico, de modo que os registros novos já recorrem a ele hoje, enquanto os antigos seguem intocados. Uma ameaça que parece exigir uma reconstrução do zero acaba sendo só mais uma página no catálogo.