PosQuantum
TTL-PQC · CNSA 2.0

Chaves pós-quânticas com tempo-de-vida mínimo

Rotação automática de Kyber768 + X25519 em endpoints críticos. Cada chave existe apenas durante 30 segundos até 24 horas. Elimina na raiz o risco “harvest-now, decrypt-later”.

Disponível Gate α (1 Jul 2026) · Mesmo formato comercial do PQSL Cloud · Compatível com 11 bindings pqsl-core.

Pedir proposta Ver planos
HARVEST NOW · DECRYPT LATER

Porque é que o TTL é decisivo

Atacantes já estão a capturar tráfego hoje para descriptar com um futuro computador quântico. Se a sua chave de sessão vive meses, todo esse tráfego cai numa única chave. Com TTL-PQC, um ataque só compromete os dados dos últimos 30 segundos.

Janela de exposição mínima

Em ETAPA 30 s, um ataque “harvest” capta apenas os últimos 30 segundos antes da rotação. Blast-radius reduzido em 99,99%.

Resistência CNSA 2.0

Kyber768 + X25519 híbrido — protegido contra Shor (PQ) e contra classical ECDLP. Aprovado pela diretriz CNSA 2.0 até 2030.

Zero downtime operacional

Rotação atómica: 1 RTT extra por ciclo, sem reinicializar a sessão TCP. Overhead medido <0.3 ms em ambientes produtivos.

Como funciona por dentro

5 passos críticos executados em cada ciclo de rotação, sem intervenção manual.

01

Sessão inicial

Cliente + servidor derivam uma chave de sessão via handshake híbrido Kyber768 + X25519 (CNSA 2.0).

02

Timer TTL

Um timer monotónico dispara a rotação ao fim do TTL configurado (30 s–24 h). Não depende de relógio de parede.

03

Re-encapsulação atómica

Nova encapsulação Kyber + X25519 é inserida numa transacção atómica: sem downtime, sem packet-loss, sem retransmissões.

04

Audit trail Ed25519

Cada rotação produz 1 evento JSON { epoch, sha3(key), ts } assinado em Ed25519 — exportado em tempo real para o SIEM.

05

Zeroize da chave antiga

Depois dos 30 s de grace, a chave anterior é sobrescrita em memória (zeroize) e não é persistida em nenhum ponto.

TTL configurável por caso de uso

Quatro valores padrão — ou escolha qualquer valor intermediário via SDK / API.

30 sTTL
Ultra-curto

Pagamentos de alto valor, SWIFT, trading HFT

SLA99.95 %
5 minTTL
Padrão

APIs corporativas, webhooks, microservices

SLA99.9 %
1 hTTL
Sessão longa

Portais de cliente, dashboards, BI

SLA99.9 %
24 hTTL
Máximo

Fleet IoT batch, backups, ETL diurno

SLA99.9 %

Enterprise on-demand — preço calibrado por volume (endpoints / EPS) + regiões + SLA.

Onde TTL-PQC é a escolha óbvia

Três verticais onde o regulador já exige rotação frequente de chaves.

Banca & Pagamentos

SWIFT CSP e PCI-DSS exigem rotação de chaves frequente. TTL-PQC roda Kyber768+X25519 a cada 30 s nos sockets críticos, deixando zero janela para o atacante acumular ciphertexts aproveitáveis em 2030.

TTL sugerido30 s

Telecom & 5G Core

O GSMA FS.31 já antecipa que N2/N3 e roaming interconnect serão alvo número-1 de “harvest-now”. TTL-PQC corre próximo da UPF, com rotas cryptograficamente inválidas a cada 5 min.

TTL sugerido5 min

Governo & Defesa

ANSSI, BSI e NATO C-M(2002)49 exigem provas de rotação periódica de chave em comunicações classificadas. Audit trail Ed25519-selado do TTL-PQC imprime cada ciclo com o timestamp + SHA3 da própria chave.

TTL sugerido1 h

Integração em 5 linhas

SDKs prontos a ligar em Node.js, Python e Go. Mais bindings disponíveis via pqsl-core (11 linguagens).

Node.js
import { TtlPqcClient } from '@posquantum/ttl-pqc'

const client = new TtlPqcClient({
  endpoint: 'ttl.posquantum.com',
  apiKey: process.env.POSQUANTUM_API_KEY!,
  ttlSeconds: 300,        // rotación cada 5 min
  algorithm: 'kyber768+x25519',
  signature: 'ed25519',    // audit trail
})

await client.start()            // handshake híbrido inicial
const ct = await client.encrypt(Buffer.from('payload'))
const pt = await client.decrypt(ct)
// Interno: keys são rodadas atomicamente aos 300 s.
// Chave antiga sobrevive 30 s (grace) e depois zeroize.
Python
from posquantum.ttl_pqc import TtlPqcClient
import os

client = TtlPqcClient(
    endpoint="ttl.posquantum.com",
    api_key=os.environ["POSQUANTUM_API_KEY"],
    ttl_seconds=60,                # rotação 60 s
    algorithm="kyber768+x25519",
    signature="ed25519",
)

client.start()                    # handshake inicial
cipher = client.encrypt(b"sensitive")
plain = client.decrypt(cipher)

# Cada rotação emite evento no audit log assinado.
for event in client.audit_tail():
    print(event["epoch"], event["sha3"], event["sig"])
Go
import (
  "os"
  ttlpqc "github.com/posquantum/ttl-pqc-go"
)

client, _ := ttlpqc.New(ttlpqc.Options{
    Endpoint:   "ttl.posquantum.com",
    APIKey:     os.Getenv("POSQUANTUM_API_KEY"),
    TTL:        30 * time.Second,   // HFT/SWIFT
    Algorithm:  "kyber768+x25519",
    Signature:  "ed25519",
})

_ = client.Start(ctx)
ct, _  := client.Encrypt(ctx, payload)
pt, _  := client.Decrypt(ctx, ct)
// audit_log escreve 1 linha Ed25519-sealed por rotação

TTL-PQC vs chaves estáticas

Seis diferenças críticas que o auditor vai verificar em 2026.

CaracterísticaTTL-PQCChaves estáticas PQ
Janela de “harvest-now”
30 s – 24 h (configurável)
Meses / anos (chave estática)
Algoritmos NIST PQC
Kyber768 + X25519 + ML-DSA
Só X25519 / RSA / ECC
Rotação sem downtime
Sim (atómica)
Não (reinicia handshake)
Audit trail crypto-selado
Ed25519 por rotação
Depende do TLS log
Compliance SWIFT CSP / DORA
Prova-de-rotação nativa
Requer processo externo
Complexidade operacional
SDK drop-in (5 linhas)
Key rotation scripts custom

Pronto para anular o harvest-now?

Partilhe o seu cenário — endpoints, volume, SLA, jurisdição — e preparamos uma proposta TTL-PQC em 48h. Propostas complexas com HSM / multi-região até 5 dias úteis.

Pedir proposta Ver catálogo completoAuditoria & SBOM