Cronograma de tempo real da ameaça da computação quântica à criptografia: avaliação racional da controvérsia "5 anos, 10 anos ou mais"

Nós ouvimos frequentemente notícias sensacionalistas sobre avanços na computação quântica. Mas a computação quântica realmente vai quebrar a criptografia moderna em cinco anos? Justin Thaler, parceiro de pesquisa da a16z, ao analisar profundamente, aponta que o cronograma de ameaças à criptografia por parte da cálculo quântico costuma ser exagerado. Sua pesquisa revela um fato central: embora a computação quântica represente um risco de longo prazo, sua chegada está muito mais atrasada do que muitos afirmam. Mais importante ainda, diferentes ferramentas criptográficas enfrentam ameaças de níveis totalmente distintos — uma distinção crucial que muitas vezes é ignorada.

A ameaça da computação quântica à criptografia não é um evento único, mas um problema complexo que requer análise detalhada de acordo com o cenário de aplicação. Este artigo irá analisar sistematicamente o cronograma real dessas ameaças, os riscos práticos e como diferentes setores devem responder.

Progresso real na computação quântica: realidade tecnológica vs. marketing

Quando falamos de “computação quântica”, geralmente imaginamos um computador capaz de quebrar sistemas criptográficos modernos como RSA-2048 ou secp256k1 (curva elíptica usada pelo Bitcoin). Tal computador precisa atender a condições rigorosas: ser tolerante a erros, possuir correção de erros, rodar o algoritmo de Shor e ter escala suficiente para quebrar em um tempo razoável (por exemplo, um mês).

De acordo com relatórios técnicos públicos e avaliações de recursos, ainda estamos longe de tal sistema. Embora algumas empresas afirmem que podem alcançar esse objetivo em 2030 ou até 2035, os avanços atuais não suportam essas estimativas otimistas. Atualmente, sistemas de armadilhas de íons, qubits supercondutores ou plataformas de átomos neutros não se aproximam da escala necessária para quebrar RSA-2048. Para isso, seriam necessários dezenas de milhares, talvez milhões de qubits físicos — dependendo da taxa de erro e do esquema de correção.

O gargalo não é apenas a quantidade de qubits, mas também a precisão das operações, a conectividade entre qubits e a profundidade dos circuitos de correção de erros necessários para executar algoritmos quânticos complexos. Sistemas atuais, embora tenham mais de 1000 qubits físicos, são enganosos: esses sistemas carecem da conectividade e precisão necessárias para realizar cálculos de análise criptográfica. Apesar de estarem próximos do limiar de correção de erros física, ninguém consegue manter de forma estável alguns qubits lógicos operando, quanto mais milhares deles com circuitos profundos e tolerância a falhas. A lacuna entre a validação de conceito e a implementação prática de análise criptográfica ainda é enorme.

Por que as notícias são tão confusas?

Comunicados comerciais e mídia frequentemente criam confusão. As principais fontes de confusão incluem:

Demonstrações de “vantagem quântica” enganosas: tarefas atualmente exibidas são cuidadosamente projetadas, não aplicações úteis reais, apenas tarefas que podem ser executadas em hardware atual e parecem rápidas. Detalhes cruciais como esse muitas vezes são ignorados na propaganda.

Uso de “milhares de qubits físicos” de forma enganosa: normalmente referem-se a computadores de adiabático (simulação de recozimento), não a computadores de porta universal capazes de rodar Shor e quebrar criptografia de chave pública.

Uso indevido do termo “qubits lógicos”: qubits físicos são suscetíveis a ruído, e na prática, é necessário usar correção de erros com múltiplos qubits físicos para formar qubits lógicos. Rodar Shor requer milhares de qubits lógicos, cada um deles formado por centenas a milhares de qubits físicos. Algumas empresas exageram ao afirmar que usam códigos de correção de erros de nível “2” (que apenas detectam erros, não os corrigem) para alcançar 48 qubits lógicos, com apenas 2 físicos por qubit lógico — o que é completamente infundado.

Falsas promessas em roteiros de desenvolvimento: muitos projetos afirmam que alcançarão milhares de qubits lógicos, mas esses números geralmente representam apenas operações de Clifford, que podem ser simuladas eficientemente em computadores clássicos, e não suportam o grande número de portas não-Clifford (como T) necessárias para Shor. Assim, uma previsão de milhares de qubits lógicos não implica que eles possam quebrar criptografia clássica na prática.

Essas práticas distorcem gravemente a compreensão pública (inclusive de observadores informados), levando a uma percepção equivocada do progresso na computação quântica.

Mesmo especialistas exageram na ameaça futura

Até mesmo pesquisadores renomados, como Scott Aaronson, ao discutir o tema, afirmaram que, considerando o “surpreendente ritmo de avanço do hardware”, há uma “possibilidade real” de que uma computação quântica tolerante a erros capaz de rodar Shor apareça antes da próxima eleição presidencial dos EUA. Mas ele esclarece imediatamente que isso não significa uma máquina capaz de quebrar criptografia — mesmo uma demonstração simples de fatoração de 15=3×5, que pode ser feita à mão mais rápido, já satisfaz sua definição. Trata-se de um experimento de pequena escala, geralmente focado no número 15, pois operações modulares simples são fáceis; números maiores, como 21, são muito mais complexos.

Conclusão central: a ideia de que nos próximos cinco anos veremos uma máquina capaz de quebrar RSA-2048 ou secp256k1 — ambas essenciais para a criptografia prática — não é suportada por resultados técnicos públicos. Mesmo ampliando o horizonte para 10 anos, esse objetivo ainda é muito ambicioso. Assim, a excitação com o progresso e a avaliação de que “precisamos de décadas” não se contradizem.

Dois tipos de ameaças criptográficas com níveis de risco totalmente diferentes

A compreensão da ameaça da computação quântica depende de reconhecer que diferentes ferramentas criptográficas enfrentam riscos radicalmente distintos. Essa distinção é extremamente importante, mas frequentemente negligenciada.

Ataques de “criptografia atual, decodificação futura” (Harvest Now, Decrypt Later)

Como funcionam: atacantes coletam comunicações criptografadas hoje, armazenam-nas e esperam que, no futuro, uma máquina quântica seja capaz de decifrá-las. Estados-nação, por exemplo, podem já estar arquivando grandes volumes de informações criptografadas do governo dos EUA, para decifrá-las assim que possível.

Esse tipo de ataque ameaça diretamente os algoritmos de criptografia. Dados confidenciais hoje podem manter seu valor por décadas, até que uma máquina quântica apareça e os quebre. Portanto, para proteger informações de longo prazo, a criptografia pós-quântica deve ser implementada imediatamente, mesmo que seja custosa e arriscada — essa é uma necessidade inevitável.

Por outro lado, esse ataque não se aplica a assinaturas digitais.

Riscos às assinaturas digitais

Assinaturas digitais (fundamentais para blockchains) não precisam proteger informações confidenciais contra decodificação futura. Mesmo que uma máquina quântica apareça, ela só poderá fazer falsificações no futuro, não decifrar assinaturas passadas. Desde que se possa provar que uma assinatura foi criada antes do advento da computação quântica, ela não poderá ser falsificada posteriormente.

Assim, a urgência de migrar para assinaturas pós-quânticas é muito menor do que a de migrar a criptografia. As soluções de assinatura pós-quântica têm custos (aumentam o tamanho das assinaturas, impactam desempenho, ainda são imaturas e podem ter vulnerabilidades), e sua adoção deve ser planejada cuidadosamente, não de forma precipitada.

Propriedade única de provas de conhecimento zero (zkSNARKs)

Para zkSNARKs, a situação é semelhante à das assinaturas: mesmo que usem curvas elípticas vulneráveis a ataques quânticos, sua propriedade de “zero conhecimento” garante que não revelam informações secretas. Essa propriedade é inerentemente resistente a ataques de computadores quânticos, pois não dependem de segredo que possa ser decifrado, mas sim de provas matemáticas que não revelam o segredo. Assim, zkSNARKs não são vulneráveis a ataques de “agora criptografar, depois decifrar”.

Avaliação da ameaça quântica na ecologia de blockchains

A maioria das blockchains públicas é praticamente imune

Bitcoin, Ethereum e similares: nesses sistemas, a maior ameaça quântica está nas assinaturas digitais, usadas para autorizar transações, não na criptografia de dados. Como as transações são públicas, a ameaça de “decodificação futura” não é relevante; o risco é de falsificação de assinaturas (roubo de fundos). Isso elimina a necessidade de uma migração imediata para criptografia pós-quântica.

Infelizmente, até mesmo órgãos como o Federal Reserve dos EUA, em análises públicas, exageraram ao afirmar que o Bitcoin seria facilmente vulnerável, o que aumenta a urgência de migração.

Porém, o risco real está na necessidade de coordenação social para atualizar protocolos, o que é um desafio de governança.

Riscos reais para moedas de privacidade

Exceções: moedas de privacidade, como Monero, que criptografam ou ocultam remetentes e valores, podem estar vulneráveis hoje. Se um atacante conseguir quebrar a criptografia de curvas elípticas, poderá desvendar transações futuras, especialmente se os dados confidenciais estiverem armazenados na cadeia. O risco depende do design: por exemplo, Monero usa assinaturas em anel e imagens-chave, que podem permitir a recuperação de toda a rede de transações. Assim, usuários preocupados com a exposição futura devem migrar rapidamente para primitivas pós-quânticas ou arquiteturas que não armazenam segredos decifráveis na cadeia.

Desafios específicos do Bitcoin: governança e “moedas zumbis”

Para o Bitcoin, há dois fatores relacionados à urgência de planos de assinatura pós-quântica, embora não relacionados à tecnologia quântica em si:

Governança lenta: mudanças no protocolo são difíceis e lentas, qualquer discordância pode levar a hard forks destrutivos.

Migração passiva não é viável: os detentores de moedas precisam migrar ativamente. Moedas abandonadas ou que não migrem permanecem vulneráveis. Estima-se que milhões de bitcoins “zumbis” e vulneráveis possam valer trilhões de dólares.

Porém, a ameaça de ataque quântico ao Bitcoin não é um apocalipse imediato, mas uma questão de planejamento incremental. Ataques quânticos iniciais seriam caros e lentos, focados em carteiras de alto valor. Usuários que evitam reutilização de endereços e não usam Taproot (que oculta a chave pública até a transação) permanecem relativamente seguros, pois suas chaves públicas permanecem escondidas até o momento da transação. Apenas carteiras com chaves públicas expostas (como P2PK ou endereços reutilizados) são vulneráveis.

O maior desafio é a baixa taxa de transações, que torna a migração de todos os fundos vulneráveis uma tarefa de meses. Portanto, o Bitcoin deve começar a planejar sua transição para o pós-quântico agora, não por medo de uma máquina em 2030, mas por questões de governança e logística que levam anos para serem resolvidas.

Nota: as vulnerabilidades relacionadas às assinaturas não comprometem a segurança econômica do Bitcoin (prova de trabalho). O PoW depende de cálculos de hash, e o algoritmo Grover oferece apenas uma aceleração quadrática, que é muito custosa na prática. Mesmo que ocorra, favorece grandes mineradores, sem destruir o modelo de segurança econômica.

Custos e riscos das assinaturas pós-quânticas

Por que não implementar assinaturas pós-quânticas precipitadamente? É preciso entender o custo de desempenho dessas novas soluções e a maturidade delas.

As criptografias pós-quânticas se baseiam em cinco grandes problemas matemáticos: hash, códigos, grades, sistemas de equações quadráticas e curvas elípticas isométricas. Essa diversidade ocorre porque soluções mais eficientes geralmente têm maior estrutura, o que pode abrir vulnerabilidades.

Soluções baseadas em hash: mais conservadoras, com maior segurança, mas desempenho pior. As assinaturas padrão do NIST variam de 7 a 8 KB, enquanto assinaturas de curvas elípticas atuais são de apenas 64 bytes — uma diferença de várias centenas de vezes.

Soluções de grades: foco atual de implementação. Os candidatos do NIST incluem o esquema ML-KEM e duas das três propostas de assinatura (ML-DSA e Falcon).

• ML-DSA gera assinaturas de 2,4 a 4,6 KB, cerca de 40-70 vezes maiores que as atuais.
• Falcon tem assinaturas menores (0,7 a 1,3 KB), mas é extremamente complexo de implementar, envolvendo operações de ponto flutuante constantes e vulnerável a ataques de canal lateral. Seus criadores descrevem como “a implementação mais complexa que já fizeram”.

A implementação segura dessas soluções é mais difícil: assinaturas de grades envolvem mais valores intermediários e lógica de rejeição de amostragem, exigindo maior proteção contra ataques de canal lateral e falhas.

Em comparação com computadores quânticos distantes, esses problemas de implementação representam uma ameaça mais imediata. Experiências históricas mostram que a padronização prematura de algoritmos como Rainbow (baseado em MQ) ou SIKE/SIDH (baseados em isometria) levou a sua quebra em computadores clássicos, demonstrando riscos de adoção precoce.

A transição na infraestrutura da internet é feita com cautela, pois ela leva anos. A migração de algoritmos antigos como MD5 ou SHA-1 ainda não foi concluída.

Desafios comuns à infraestrutura de internet e blockchains

Fatores positivos: blockchains de código aberto (Ethereum, Solana) podem atualizar-se mais rapidamente do que infraestruturas tradicionais. Fatores negativos: as chaves podem permanecer vulneráveis por longos períodos, pois a troca frequente de chaves é mais difícil em redes descentralizadas.

Recomendação geral: seguir a abordagem cautelosa do setor de PKI na internet, planejando cuidadosamente a migração de assinaturas. Ambas as áreas enfrentam ameaças de “criptografia atual, decodificação futura” com custos e riscos elevados.

Algumas características específicas de blockchains tornam a migração precoce especialmente arriscada:

Necessidade de agregação de assinaturas: blockchains frequentemente agregam assinaturas (como BLS). BLS é rápido, mas não pós-quântico. Pesquisas em assinaturas pós-quânticas baseadas em SNARKs são promissoras, mas ainda iniciais.

Futuro dos SNARKs: atualmente, há preferência por SNARKs baseados em hash, mas espera-se que, em meses ou anos, surjam SNARKs baseados em grades com melhor desempenho.

A questão mais urgente é garantir a segurança na implementação: vulnerabilidades de software, ataques de canal lateral e injeção de falhas podem ser mais perigosos do que o próprio computador quântico nos próximos anos. Investir em auditorias, testes de penetração, verificação formal e camadas de defesa é fundamental.

Recomendações estratégicas para o futuro

Com base na realidade apresentada, proponho aos stakeholders (desenvolvedores, reguladores, comunidades) as seguintes ações, com princípios orientadores: levar a sério a ameaça quântica, mas sem presumir que um computador capaz de quebrar criptografia surgirá antes de 2030 (não há evidências atuais). Ainda assim, há ações que podemos e devemos fazer agora:

1. Implementar imediatamente criptografia híbrida: pelo menos em cenários de proteção de longo prazo e custos aceitáveis. Navegadores, CDNs, aplicativos de mensagens (iMessage, Signal) já estão adotando. Combinar criptografia clássica e pós-quântica oferece proteção contra ameaças futuras e possíveis vulnerabilidades.

2. Usar assinaturas baseadas em hash em cenários tolerantes a tamanhos maiores: por exemplo, atualizações de firmware de baixa frequência. Assinaturas híbridas (hash + pós-quânticas) oferecem uma “boia de salvação” caso a ameaça se concretize cedo.

3. Blockchains não precisam urgentemente de assinaturas pós-quânticas, mas devem começar a planejar sua adoção.

4. Desenvolvedores devem seguir a abordagem cautelosa do setor de PKI, amadurecendo as soluções propostas.

5. Bitcoin e outras moedas públicas devem definir agora rotas de migração e políticas para fundos “zumbis” vulneráveis. A governança é lenta, mas o planejamento deve começar imediatamente, pois a logística leva anos.

6. Reservar tempo para pesquisa e desenvolvimento de SNARKs pós-quânticos e assinaturas agregadas (pode levar anos), para evitar soluções subótimas prematuramente adotadas.

7. Para carteiras de Ethereum e contas inteligentes: contratos inteligentes podem facilitar migrações suaves, mas o mais importante é continuar investindo em pesquisa e planos de contingência. Desacoplar identidade de contas de esquemas de assinatura (como Account Abstraction) aumenta flexibilidade na transição.

8. Moedas de privacidade devem priorizar a migração (se desempenho for aceitável): seus dados confidenciais podem ser explorados por futuros ataques quânticos. Considerar arquiteturas híbridas ou mudanças de design para evitar armazenamento de segredos decifráveis na cadeia.

9. Estratégia de curto prazo: proteger a segurança de implementação (auditorias, testes, validações formais) é mais urgente do que ações precipitadas contra ameaças quânticas. Investir na mitigação de vulnerabilidades de software e na resistência a ataques de canal lateral.

10. Continuar financiando pesquisa em computação quântica: do ponto de vista de segurança nacional, é fundamental manter investimentos e formação de talentos. Se adversários obtiverem acesso precoce a computação quântica de nível criptográfico, o risco é alto.

11. Avaliar criticamente notícias sobre avanços quânticos: marcos futuros podem acelerar o desenvolvimento, mas cada avanço também reforça que estamos longe do objetivo. Notícias devem ser interpretadas com ceticismo, e não como sinais de ação imediata. A inovação pode acelerar ou atrasar o progresso, mas a probabilidade de uma máquina capaz de quebrar RSA-2048 em cinco anos permanece muito baixa.

Seguindo essas recomendações, podemos evitar riscos mais diretos e plausíveis, como vulnerabilidades de implementação, migração apressada e adoção de soluções subótimas.