Cronologia das ameaças quânticas: como se preparar realmente para a criptografia pós-quântica

Quando os computadores quânticos poderão decifrar os nossos dados? Esta questão tem sido debatida há anos, mas muitas previsões apocalípticas carecem de fundamentos técnicos claros. A verdade exige uma compreensão mais diferenciada: a ameaça existe, mas o seu horizonte e gravidade dependem do tipo de criptografia que estamos a discutir. O artigo original de um investigador da a16z aborda este tema através das realidades técnicas atuais, e não de promessas de marketing.

Prazos reais: o quão próximo estamos de uma quebra quântica da criptografia?

Primeiro, é importante entender: afirmações de que computadores quânticos irão quebrar a criptografia até 2030 não se baseiam em progressos concretos na área. Os investigadores apontam para uma discrepância fundamental entre o que as empresas anunciam e o que realmente acontece nos laboratórios.

Para decifrar a criptografia moderna (como RSA-2048 ou secp256k1), um computador quântico precisa de capacidade de correção de erros, um número suficiente de qubits lógicos e uma fidelidade adequada dos portões. Atualmente, ninguém chegou sequer perto disso. Sistemas com 1000 qubits físicos parecem impressionantes no papel, mas sem a fidelidade e conectividade necessárias, permanecem principalmente como projeções.

Principais fontes de equívocos:

«Vantagem quântica» não é o mesmo que utilidade. Quando empresas anunciam conquistas de “vantagem quântica”, muitas vezes demonstram tarefas específicas, otimizadas para seus dispositivos, que funcionam mais rápido do que em computadores clássicos. Mas essas tarefas não têm aplicação prática.

Milhares de qubits — longe de serem suficientes. A maioria das afirmações sobre “milhares de qubits” refere-se a resiliência quântica, não ao modelo de porta universal necessário para atacar a criptografia.

Qubits lógicos versus físicos — uma grande diferença. A afirmação de 48 “qubits lógicos” usando apenas dois qubits físicos por qubit lógico parece improvável devido à insuficiência de correção de erros nesta configuração.

Mapas de circuito muitas vezes enganam. Muitas previsões indicam milhares de qubits lógicos até certa data, mas esses qubits podem suportar apenas operações de Clifford, que computadores clássicos simulam eficientemente. Para quebrar a criptografia, é necessário o implementação de operações não-Clifford (portas T), que esses dispositivos ainda não suportam.

Conclusão simples: esperar que um computador quântico capaz de quebrar RSA-2048 apareça nos próximos 5 anos não é suportado por conquistas públicas. Mesmo 10 anos é uma previsão ambiciosa. Contudo, isso não significa que devamos relaxar, especialmente no que diz respeito a certos tipos de dados.

Ataque “roube agora, decifra depois”: quem realmente está em risco?

Esta é a distinção mais crítica para entender por que a criptografia pós-quântica exige ações imediatas, enquanto os assinaturas pós-quânticas não.

Para criptografia: Um atacante pode interceptar e armazenar hoje dados cifrados, e só decifrá-los quando os computadores quânticos estiverem disponíveis. Isso significa que informações que precisam permanecer confidenciais por mais de 10-50 anos já requerem proteção pós-quântica. Agentes estatais já podem estar a acumular gigabytes de comunicações interceptadas para decifrar no futuro. Assim, a criptografia híbrida (clássica + pós-quântica) já é implementada em browsers (Chrome com Cloudflare), mensageiros (Signal, iMessage).

Para assinaturas digitais: A situação é fundamentalmente diferente. Se puder provar que uma assinatura foi criada antes do advento dos computadores quânticos, ela não pode ser retroativamente falsificada. Computadores quânticos só poderão forjar novas assinaturas a partir do momento em que surgirem. Portanto, assinaturas pós-quânticas não têm a mesma urgência que a criptografia pós-quântica.

Para provas de conhecimento zero (zkSNARK): Também não são vulneráveis a ataques de “roube e decifra”, pois sua propriedade de conhecimento zero garante que nenhuma informação secreta seja revelada — nem mesmo a um computador quântico. Assim, um zkSNARK criado hoje permanecerá criptograficamente seguro amanhã, independentemente do algoritmo de curvas elípticas utilizado.

Assinaturas pós-quânticas: por que não há necessidade de pressa

Aqui entra a questão prática da transição. Os esquemas de assinatura pós-quântica apresentam compromissos importantes:

Tamanho e desempenho: Assinaturas hash (mais conservadoras em segurança) têm tamanho de 7-8 KB — 100 vezes maiores que assinaturas atuais de curvas elípticas (64 bytes). ML-DSA ocupa entre 2,4 e 4,6 KB (40-70 vezes maior). Falcon, uma alternativa mais compacta (0,7-1,3 KB), apresenta dificuldades de implementação.

Complexidade de implementação: Falcon envolve operações de ponto flutuante em tempo constante e já foi alvo de ataques por canais laterais. Um dos seus desenvolvedores chamou-o de “o algoritmo criptográfico mais difícil que já implementei”.

Maturidade insuficiente: Rainbow e SIKE/SIDH, candidatos a padrões do NIST, foram quebrados por computadores clássicos. Isso demonstra o risco de padronizar e implementar esquemas demasiado cedo.

A infraestrutura da internet já está a fazer a transição: migrar para assinaturas pós-quânticas pode acontecer a qualquer momento, sem prazos definidos. A cautela é justificada, pois um erro nesta fase pode ser caro. Blockchains também devem seguir uma estratégia semelhante.

Blockchain sob ameaça: quem é vulnerável a ataques quânticos

Blockchains públicas (Bitcoin, Ethereum): Principalmente seguras contra ataques de “roube e decifra”, pois usam assinaturas não pós-quânticas para autenticação, não para cifrar. A ameaça quântica ao Bitcoin é a falsificação de assinaturas e roubo de fundos, não a decifração de dados já públicos. Mesmo o Federal Reserve errou ao afirmar que o Bitcoin seria criticamente vulnerável a ataques quânticos via HNDL.

Porém, o Bitcoin enfrenta desafios únicos: gestão lenta do protocolo, milhões de endereços “adormecidos” com chaves públicas conhecidas, com valores na casa dos dezenas de bilhões de dólares. Mesmo que computadores quânticos não surjam até 2035, a logística de transição pode levar anos. Isso obriga o Bitcoin a começar a planejar já — não por causa das ameaças quânticas atuais, mas por necessidade de coordenação.

Blockchains privados: Estão realmente em risco. Se os dados de destinatários e valores estiverem cifrados ou ocultos (como no Monero), essas informações confidenciais podem ser interceptadas hoje e desanonimizadas por ataques quânticos amanhã. Para eles, a criptografia pós-quântica ou esquemas híbridos já são necessários, ou uma reestruturação que evite armazenar segredos decifrados na cadeia.

Sete passos para a segurança com criptografia pós-quântica

Com base na análise acima, recomenda-se:

1. Implementar criptografia híbrida imediatamente onde a confidencialidade de longo prazo for necessária. Esquemas híbridos (pós-quântico + clássico) protegem contra ataques de “roube e decifra” e evitam fraquezas de esquemas puramente pós-quânticos.

2. Usar assinaturas hash em cenários de baixa frequência, onde o tamanho não seja crítico (atualizações de software, firmware). Assim, garante-se uma proteção conservadora e uma margem de segurança contra possíveis avanços quânticos.

3. Blockchain não deve apressar a adoção de assinaturas, mas deve começar a planejar. Desenvolvedores devem agir com cautela, como na comunidade de PKI.

4. Bitcoin precisa de um plano específico para migração e política de “contas inativas”. Seus desafios são mais de gestão e coordenação do que técnicos.

5. Dedicar tempo à pesquisa de SNARKs pós-quânticos e assinaturas combinadas. Isso levará anos, mas evitará bloqueios prematuros a soluções subótimas.

6. Considerar abstrações de endereços em carteiras inteligentes para maior flexibilidade na transição para primitivas pós-quânticas.

7. Blockchains privadas devem migrar o quanto antes, se a performance permitir, devido à ameaça real do HNDL à privacidade.

O maior risco: implementação, não computadores quânticos

A conclusão mais importante, muitas vezes negligenciada: nos próximos anos, vulnerabilidades de implementação, canais laterais e ataques de introdução de erros serão mais ameaçadores do que os próprios computadores quânticos. Para sistemas complexos como zkSNARKs e assinaturas pós-quânticas, erros de implementação podem ter consequências catastróficas.

Investir em auditoria, fuzzing, verificação formal e segurança em camadas múltiplas é essencial. Não deixe que a preocupação com o quântico ofusque ameaças mais urgentes e concretas.

Ouça criticamente as notícias sobre avanços quânticos. Cada marco importante na verdade mostra que ainda estamos longe do objetivo. Os comunicados de imprensa são relatórios de conquistas que requerem análise crítica, não sinais de pânico ou ações apressadas.