A "hegemonia quântica" mal interpretada Antes de 2030, não precisa ficar preocupado

Atualmente, as previsões de mercado sobre “computadores quânticos relacionados à criptografia (CRQC)” que possam surgir são frequentemente demasiado agressivas e exageradas — levando a pedidos urgentes e abrangentes de migração imediata para a criptografia pós-quântica.

Porém, esses apelos frequentemente ignoram os custos e riscos de uma migração prematura, assim como as diferenças de risco entre diversos conceitos criptográficos:

• A criptografia pós-quântica (Post-quantum encryption) realmente precisa ser implementada de imediato, apesar do alto custo: ataques de “Captura Agora, Decifra Depois” (HNDL) já estão acontecendo. Dados sensíveis criptografados hoje podem ainda ter valor mesmo após a chegada de computadores quânticos em décadas. Embora a implementação de criptografia pós-quântica envolva sobrecarga de desempenho e riscos na execução, diante de ataques HNDL, não há alternativa para dados que precisam permanecer confidenciais a longo prazo.
• As assinaturas pós-quânticas (Post-quantum signatures), por outro lado, enfrentam uma lógica computacional completamente distinta: elas não são afetadas por ataques HNDL. Além disso, o custo e o risco associados às assinaturas pós-quânticas (tamanhos maiores, desempenho inferior, tecnologia imatura e potenciais bugs) indicam que precisamos de uma estratégia de migração considerada, e não uma corrida desenfreada.

Entender essas diferenças é fundamental. Confusões podem distorcer análises de custo-benefício, levando equipes a ignorar riscos de segurança mais imediatos — como bugs no código.

No processo de migração para a criptografia pós-quântica, o verdadeiro desafio está em equilibrar a urgência com ameaças reais. A seguir, esclareceremos equívocos comuns sobre a ameaça quântica, abordando criptografia, assinaturas e provas de conhecimento zero (especialmente seu impacto em blockchain).

Quão longe estamos da ameaça quântica?

Apesar do entusiasmo externo, a possibilidade de surgimento de “computadores quânticos relacionados à criptografia (CRQC)” nos anos 2020 é extremamente baixa.

Por “CRQC”, entendo um computador quântico com tolerância a erros, que utilize correção de erros quânticos, com escala suficiente para executar o algoritmo de Shor em tempo razoável — capaz de atacar criptografia de curvas elípticas ou RSA (por exemplo, quebrando secp256k1 ou RSA-2048 em até um mês).

Com uma análise razoável de marcos públicos e recursos estimados, ainda estamos longe de construir tal máquina. Algumas empresas afirmam que o CRQC pode surgir antes de 2030 ou 2035, mas os avanços conhecidos até o momento não apoiam essas afirmações.

De forma objetiva, considerando todas as arquiteturas atuais — íons presos, qubits supercondutores, sistemas de átomos neutros — nenhuma delas atualmente alcança dezenas de milhares a milhões de qubits físicos necessários para rodar o algoritmo de Shor (dependendo de taxas de erro e esquemas de correção).

Os fatores limitantes não são apenas a quantidade de qubits, mas também a fidelidade das portas (Gate Fidelity), conectividade entre qubits e a profundidade de circuitos de correção de erros contínuos necessários para executar algoritmos quânticos profundos. Embora alguns sistemas já tenham mais de 1.000 qubits físicos, contar apenas o número é enganoso: esses sistemas ainda não possuem a conectividade nem a fidelidade necessárias para cálculos criptográficos.

Recentemente, alguns sistemas começaram a se aproximar do limite de erros físicos que permite a correção quântica, mas ninguém demonstrou ainda um número de qubits lógicos com profundidade de circuito contínua suficiente — muito menos milhares de qubits lógicos de alta fidelidade, profundos e tolerantes a erros, necessários para rodar Shor na prática. A transição de “provar que a correção quântica é teoricamente possível” para “atingir a escala necessária para análise criptográfica” ainda é um grande gap.

Resumindo: a menos que o número de qubits e sua fidelidade aumentem vários ordens de magnitude, o CRQC permanece uma meta distante.

Por outro lado, é fácil se confundir por causa de campanhas de marketing e notícias na mídia. Aqui estão algumas fontes comuns de equívocos:

• Demonstrações de “vantagem quântica”: atualmente focadas em tarefas artificialmente projetadas, escolhidas não por serem práticas, mas por poderem rodar em hardware existente e mostrarem uma aceleração quântica significativa — algo muitas vezes omitido nos anúncios.
• Empresas que alegam possuir milhares de qubits físicos: geralmente se referem a computadores de recirculação quântica (Quantum Annealers), não àqueles capazes de rodar o algoritmo de Shor para atacar criptografia de chave pública.
• Uso abusivo do termo “qubits lógicos”: algoritmos quânticos (como Shor) requerem milhares de qubits lógicos estáveis. Com correção de erros, podemos usar muitos qubits físicos para construir um qubit lógico — geralmente de centenas a milhares. Algumas empresas já abusaram desse termo de forma extrema. Por exemplo, recentemente, uma divulgação afirmou que com apenas dois qubits físicos por qubit lógico se poderiam realizar 48 qubits lógicos — isso é uma codificação de redundância mínima, apenas para detectar erros, não corrigí-los. Para uma implementação tolerante a erros, cada qubit lógico idealmente precisa de centenas a milhares de qubits físicos.
• Manipulação de definições: muitas roadmaps usam “qubits lógicos” para se referir a qubits que suportam apenas operações Clifford, que são facilmente simuláveis por computadores clássicos, e portanto não suficientes para rodar Shor.

Mesmo que um roadmap declare alcançar “milhares de qubits lógicos em X anos”, isso não significa que a empresa prevê rodar o algoritmo de Shor para quebrar criptografia clássica naquele momento.

Essas estratégias de marketing distorcem severamente a percepção pública — inclusive de especialistas experientes — sobre a proximidade real da ameaça quântica.

Apesar disso, alguns pesquisadores estão empolgados com os avanços. Scott Aaronson recentemente afirmou que, dada a velocidade dos avanços de hardware, é possível que “antes da próxima eleição presidencial dos EUA” tenhamos um computador quântico tolerante capaz de rodar Shor. Porém, ele deixou claro que isso não equivale a um CRQC capaz de ameaçar a criptografia: mesmo uma decomposição de 15 = 3 × 5 em um sistema tolerante já seria uma previsão de sucesso. Claramente, isso não é o mesmo que quebrar RSA-2048.

Na prática, todos os experimentos quânticos que decomporam o número 15 usaram circuitos simplificados, não a implementação completa do algoritmo de Shor tolerante; e decompor 21 requer ainda mais dicas e atalhos.

Resumindo: não há nenhuma evidência pública de que seja possível construir nos próximos 5 anos uma máquina quântica capaz de quebrar RSA-2048 ou secp256k1.

Mesmo em uma década, essa ainda é uma previsão bastante otimista.

O governo dos EUA propôs concluir a migração para a pós-quântica em seus sistemas até 2035, mas esse prazo é apenas o cronograma do projeto, não uma previsão de que o CRQC surgirá nesse período.

A migração HNDL é aplicável a que tipos de sistemas criptográficos?

“HNDL (Harvest Now, Decrypt Later)” refere-se a ataques em que o invasor armazena comunicações criptografadas agora, para decifrá-las futuramente, quando a computação quântica estiver disponível.

Inimigos de nível estatal provavelmente já estão arquivando de forma massiva as comunicações criptografadas do governo dos EUA, com o objetivo de decifrá-las no futuro. Assim, a migração de sistemas criptográficos deve ser feita imediatamente, especialmente em cenários onde o período de confidencialidade seja superior a 10–50 anos.

Por outro lado, as assinaturas digitais em blockchain — que sustentam a integridade e autenticidade das transações — diferem da criptografia convencional: elas não envolvem informações confidenciais que possam ser alvo de retroactive de ataques.

Em outras palavras, quando os computadores quânticos surgirem, eles poderão falsificar assinaturas a partir daquele momento, mas as assinaturas passadas não serão afetadas — porque não há segredo a ser exposto. Desde que se possa comprovar que a assinatura foi gerada antes do surgimento do CRQC, ela não poderá ser falsificada.

Por isso, a urgência de migrar para assinaturas pós-quânticas é bem menor do que a de migrar a criptografia.

As plataformas principais também já adotaram estratégias correspondentes:

• Chrome e Cloudflare já implementaram modos híbridos de X25519 + ML-KEM para TLS.
• Apple iMessage (PQ3) e Signal (PQXDH, SPQR) também implementaram criptografia híbrida pós-quântica.

Porém, a implementação de assinaturas pós-quânticas na infraestrutura web crítica foi deliberadamente adiada — só será feita quando o CRQC estiver realmente próximo, pois o desempenho das assinaturas pós-quânticas ainda apresenta queda significativa atualmente.

A situação de zkSNARKs (uma técnica de provas de conhecimento zero compactas e não interativas) é semelhante às assinaturas: mesmo usando curvas elípticas (não PQ-seguras), sua propriedade de zero conhecimento permanece válida em ambientes quânticos.

Provas de conhecimento zero garantem que nenhuma informação secreta seja revelada, impossibilitando que um atacante “colecione provas agora e decifre no futuro”. Assim, zkSNARKs são menos vulneráveis a ataques HNDL. Assim como assinaturas seguras hoje, qualquer prova zkSNARK gerada antes do surgimento do CRQC é confiável — mesmo usando curvas elípticas. Somente após o surgimento do CRQC um atacante poderá falsificar provas falsas. O valor das trocas continuará sendo transferido ininterruptamente, construindo um novo mundo digital que ultrapassa a escala da economia humana.