Drive Guard: Encriptação Full-Disk Pós-Quântica para Windows, macOS e Linux
O Drive Guard protege BitLocker, FileVault e LUKS com ML-KEM-768. Chaves re-wrapped em PQ, sem substituir hardware existente.
A encriptação full-disk (FDE) é uma das defesas mais fundamentais contra perda e roubo de dados. BitLocker (Windows), FileVault (macOS) e LUKS (Linux) são os standards da indústria — mas todos dependem de RSA ou curvas elípticas para proteger as master keys.
O Drive Guard da PosQuantum adiciona uma camada pós-quântica sobre estas tecnologias existentes. Não substitui o BitLocker nem o FileVault — complementa-os, encapsulando as chaves críticas em ML-KEM-768 (Kyber768+X25519).
No Windows, o Drive Guard intercepta o PIN e recovery password do BitLocker e encapsula-os em Kyber768+X25519. Requer TPM 2.0. No macOS, gera chaves personal e institutional recovery e utiliza o Secure Enclave para guardar a chave privada PQ. No Linux, utiliza LUKS2 tokens para associar key-slots PQ, com fallback para software TPM.
A arquitectura é simples: o processo de boot normal continua a funcionar, mas cada slot de chave tem agora uma cópia PQ-safe. Se amanhã um computador quântico conseguir derivar a chave RSA do TPM, a cópia PQ permanece segura.
O Drive Guard é o complemento do Firmware Shield: enquanto o Firmware Shield protege o boot, o Drive Guard protege os dados. Ambos usam a mesma biblioteca PQSL, garantindo consistência criptográfica em toda a stack.