A proposta de segurança quântica pós-Aptos introduz assinaturas para combater ameaças futuras

À medida que a computação quântica avança em direção ao impacto no mundo real, a estratégia pós-quântica da Aptos está emergindo como um caso de teste fundamental para o design conservador de segurança de blockchain.

AIP-137 traz SLH-DSA-SHA2-128s para a blockchain Aptos

Aptos revelou a AIP-137, uma proposta que introduz o SLH-DSA-SHA2-128s como seu primeiro esquema de assinatura pós-quântica para defender a rede contra futuros ataques de computação quântica. A iniciativa visa fortalecer a blockchain antes que as máquinas quânticas se tornem uma ameaça criptográfica direta.

Além disso, a proposta surge num momento em que a computação quântica passa da teoria à implementação. A IBM discute caminhos de escalabilidade para sistemas quânticos de grande porte, enquanto o NIST publicou padrões finais pós-quânticos. Especialistas ainda discordam sobre o timing, debatendo se as ameaças sérias aparecerão em cinco ou cinquenta anos, mas a Aptos opta por uma preparação precoce e conservadora.

Por que a Aptos escolheu um esquema conservador baseado em hash

AIP-137 prioriza suposições de segurança em detrimento do desempenho bruto ao selecionar o SLH-DSA-SHA2-128s, um esquema de assinatura baseado em hash sem estado, padronizado pelo NIST como FIPS 205. Ele depende exclusivamente do SHA-256, uma função hash já integrada na infraestrutura da Aptos, o que evita a introdução de novas suposições criptográficas.

No entanto, essa postura conservadora é informada por falhas passadas na criptografia pós-quântica. O esquema Rainbow, que foi finalista do NIST e baseado em criptografia multivariada, foi completamente quebrado em laptops comuns em 2022. Ao basear a segurança em funções hash bem compreendidas, em vez de matemáticas mais exóticas, a Aptos busca reduzir o risco de ataques clássicos derrotarem designs supostamente seguros contra quânticos.

Neste contexto, a abordagem pós-quântica da aptos é vista como uma linha de base que favorece a robustez em detrimento da velocidade, criando espaço para otimizações mais agressivas somente após a camada conservadora se provar em produção.

Compromissos de desempenho: tamanho e velocidade versus segurança

O principal compromisso do SLH-DSA-SHA2-128s refere-se ao tamanho da assinatura e à velocidade de verificação. As assinaturas terão 7.856 bytes, o que é 82 vezes maior que o Ed25519, enquanto a verificação leva aproximadamente 294 microssegundos, cerca de 4,8 vezes mais lenta. Esses custos adicionais são intencionais, aceitando custos de eficiência em troca de garantias de segurança que evitam suposições não testadas.

Além disso, a Aptos contrasta explicitamente esse design com esquemas alternativos. Opções como ML-DSA oferecem assinaturas menores e verificação mais rápida, mas dependem da dificuldade de problemas de reticulados estruturados, o que introduz novos riscos matemáticos. Falcon oferece desempenho ainda melhor com assinaturas comprimidas em torno de 1,5 KB, mas depende de aritmética de ponto flutuante, tornando as implementações mais propensas a erros e mais difíceis de auditar.

Ativação opcional e estratégia de implantação faseada

A proposta evita cuidadosamente qualquer migração forçada. O Ed25519 permanece como esquema padrão de assinatura, enquanto o SLH-DSA-SHA2-128s é introduzido como uma camada opcional que a governança na cadeia pode ativar assim que as ameaças quânticas justificarem a implantação. Ou seja, usuários que necessitam de garantias pós-quânticas podem adotar seletivamente o novo esquema sem perturbar a rede mais ampla.

Para a Aptos, a implementação depende de flags de recursos para coordenar uma implantação controlada entre validadores, indexadores, carteiras e ferramentas de desenvolvedor. Essa estratégia faseada dá aos participantes do ecossistema tempo para ajustar a infraestrutura bem antes de os computadores quânticos conseguirem quebrar a criptografia de chave pública existente de forma realista.

Risco quântico no setor de criptomoedas e prazos para disrupção

A iniciativa reflete uma ansiedade mais ampla no setor de ativos digitais sobre os prazos quânticos. Pesquisadores da indústria estimam que cerca de 30% do fornecimento de Bitcoin, aproximadamente 6–7 milhões de BTC, permanece exposto em formatos de endereço legados que revelam diretamente as chaves públicas. Esse grupo é considerado vulnerável assim que computadores quânticos escaláveis surgirem.

Enquanto isso, grandes players de tecnologia estão correndo em direção a marcos quânticos. A IBM planeja construir chipsets de 100.000 qubits até o final da década, enquanto a PsiQuantum mira um milhão de qubits fotônicos no mesmo período. A Microsoft argumenta que o progresso quântico passou de “décadas” de distância para “anos” de distância, e o Google já relatou chips quânticos resolvendo problemas que são inviáveis para sistemas clássicos.

As estimativas para quebrar assinaturas de curvas elípticas de 256 bits continuam a se estreitar. Alguns pesquisadores sugerem que cerca de um milhão de qubits podem ser suficientes, e veem uma janela plausível para quebrar assinaturas digitais de 256 bits até meados da década de 2030. Assim, gestores de ativos cada vez mais tratam a computação quântica como um risco criptográfico de longo prazo, esperando que a maioria das principais blockchains eventualmente exija atualizações pós-quânticas à medida que a tecnologia amadurece.

Resumindo, a AIP-137 posiciona a Aptos numa postura defensiva contra ataques na era quântica, adotando um esquema baseado em hash padronizado pelo NIST e uma implantação opcional e faseada, trocando eficiência por durabilidade enquanto o ecossistema cripto mais amplo corre para se preparar para o horizonte de ameaça até meados da década de 2030.