a16z Relatório de peso: vulnerabilidades de código são mais mortais do que computação quântica, não se deixe levar pelo pânico

A a16z Crypto salientou que a ameaça da computação quântica é exagerada, e que a probabilidade de CRQC (Computador Quântico Relacionado com a Criptografia) antes de 2030 é extremamente baixa. Assinaturas digitais e zkSNARKs não estão sujeitas a ataques de “recolher primeiro e quebrar depois”, e mudar demasiado cedo introduz riscos. As ameaças atuais são vulnerabilidades de código e dificuldades de governação, e recomenda-se priorizar os testes de auditoria em vez de atualizações apressadas.

a16z refuta a narrativa da CRQC antes de 2030

A a16z Crypto publicou um artigo de análise na sua conta oficial, afirmando que o julgamento temporal do mercado sobre “a computação quântica ameaça às criptomoedas” é frequentemente exagerado, e a probabilidade de computadores quânticos com poder destrutivo realista aparecerem antes de 2030 é extremamente baixa. O chamado “computador quântico criptograficamente significativo” refere-se a computadores quânticos tolerantes a falhas e corretores de erros que podem operar, e o algoritmo Shor é suficientemente grande para atacar a criptografia de curvas elípticas ou RSA num prazo razoável.

Com base numa interpretação razoável dos marcos públicos e estimativas de recursos, ainda estamos longe de construir um computador quântico deste nível. Todas as arquiteturas atuais—iões aprisionados, qubits supercondutores e sistemas atómicos neutros—não conseguem aproximar-se da escala de centenas de milhares ou mesmo milhões de qubits sólidos. Os fatores limitantes não são apenas o número de qubits, mas também a fidelidade da porta, a conectividade dos qubits e a profundidade do circuito contínuo de correção de erros necessário para executar o algoritmo quântico profundo.

Alguns sistemas têm atualmente mais de 1.000 qubits físicos, mas este número é altamente enganador. Estes sistemas não possuem a conectividade de qubits e a fidelidade de portas necessárias para cálculos relacionados com criptografia. Ainda existe uma enorme diferença entre provar que os princípios da correção quântica de erros são viáveis e a escala necessária para alcançar a criptoanálise. Resumindo: a menos que o número de qubits e a fidelidade aumentem várias ordens de grandeza, computadores quânticos criptograficamente significativos continuam fora de alcance.

Três equívocos comuns sobre o pânico quântico

A vantagem quântica é confusa: As demonstrações que alegam “vantagem quântica” destinam-se a tarefas desenhadas por humanos, não a quebrar palavras-passe propriamente dito

Os recozidores quânticos são enganadores: reivindicando milhares de qubits mas referindo-se a recozidores, não a máquinas de modelos de portas que executam o algoritmo de Shor

Abuso lógico de qubits: Algumas empresas afirmam ser “qubits lógicos” mas usam codificação de distância 2 para detetar erros e não corrigi-los

Os ataques HNDL não se aplicam a assinaturas e zkSNARKs

O artigo salientou que as soluções convencionais de assinatura digital e os sistemas de conhecimento zero, como os zkSNARKs, não são suscetíveis ao padrão de ataque quântico “recolher primeiro, decifrar depois”. Os ataques Harvest Now, Decryption Later (HNDL) referem-se a forças hostis que agora armazenam tráfego encriptado e depois o desencriptam após o surgimento de um computador quântico de importância criptográfica. Este ataque representa uma ameaça real à criptografia, razão pela qual a criptografia precisa de se transformar hoje – pelo menos para quem tem necessidades de confidencialidade há mais de 10 a 50 anos.

No entanto, a assinatura digital em que todas as blockchains dependem é diferente da encriptação: não tem o segredo de um ataque rastreável. Por outras palavras, se surgissem operações quânticas relacionadas com criptografia, então era possível falsificar assinaturas, mas as assinaturas do passado não “escondiam” segredos como mensagens encriptadas. Desde que saiba que a assinatura digital foi gerada antes do CRQC aparecer, não pode ser falsificada. Isto torna a transição para assinaturas digitais pós-quânticas menos urgente do que a transição para a criptografia pós-quântica.

Os zkSNARKs (argumentos sucintos e não interativos de conhecimento zero) são fundamentais para a escalabilidade e privacidade a longo prazo das blockchains, e encontram-se numa situação semelhante às assinaturas. Embora os zkSNARKs utilizem criptografia de curvas elípticas, as suas propriedades de conhecimento zero são seguras para o pós-quântico. O atributo de conhecimento zero garante que nenhuma informação sobre testemunhas secretas é revelada durante o processo de prova – nem mesmo a adversários quânticos – pelo que não há informação confidencial disponível para ser “recolhida agora” para posterior desencriptação.

Como resultado, os zkSNARKs não estão sujeitos a ataques de captura e desencriptação. Assim como as assinaturas não pós-quânticas geradas hoje são seguras, qualquer prova zkSNARK gerada antes do advento dos computadores quânticos criptograficamente significativos é fiável. Só após o surgimento de computadores quânticos criptograficamente significativos é que os atacantes encontram provas convincentes de afirmações falsas. Este detalhe técnico é crucial para compreender a autenticidade das ameaças quânticas.

Os três principais custos e riscos da migração prematura

Pressionar a blockchain para adotar soluções resistentes ao quântico demasiado cedo pode introduzir problemas como degradação de desempenho, imaturidade de engenharia e potenciais falhas de segurança. O custo de desempenho das assinaturas pós-quânticas é extremamente substancial. As assinaturas baseadas em hash têm 7-8 KB de tamanho, enquanto as assinaturas digitais elípticas baseadas em curvas atuais têm apenas 64 bytes, o que representa uma diferença de tamanho de cerca de 100 vezes. A solução em grelha é ligeiramente melhor, com assinaturas ML-DSA que variam entre 2,4 KB e 4,6 KB, o que ainda é 40 a 70 vezes maior do que a solução atual.

O que significa este aumento de tamanho para a blockchain? Assinaturas maiores significam taxas de transação mais elevadas, propagação de blocos mais lenta e custos de armazenamento de nós mais elevados. Para blockchains como o Bitcoin, que já enfrentam desafios de escalabilidade, mudar para assinaturas pós-quânticas pode agravar o problema dezenas de vezes. Além disso, os esquemas de assinatura pós-quântica são mais desafiantes na implementação da segurança do que as assinaturas baseadas em curvas elípticas, e o ML-DSA apresenta mais riscos de segurança e uma lógica complexa de amostragem de rejeição que requer proteção em canal lateral.

As lições da história são ainda mais avisos. Rainbow (um esquema de assinatura baseado em MQ) e SIKE/SIDH (um esquema de encriptação baseado em homologia) são candidatos principais que foram decifrados com computadores tradicionais mais tarde no processo de normalização do NIST. Isto demonstra o funcionamento normal da ciência, mas também sugere que a padronização e implementação prematuras podem sair-lhes pela culatra. Desafios específicos da blockchain também tornam a migração prematura particularmente perigosa, como os requisitos únicos da blockchain para esquemas de assinatura, em particular a capacidade de agregar rapidamente um grande número de assinaturas.

a16z Sete Sugestões: Lidar com Prudentemente com Ameaças Quânticas

A A16Z enfatizou ainda que, comparados com os riscos de computação quântica que ainda não se manifestaram, os desafios mais realistas atualmente enfrentados por cadeias públicas tradicionais como o Bitcoin e o Ethereum advêm da dificuldade das atualizações colaborativas, da complexidade da governação e das vulnerabilidades do código da camada de implementação. Recomenda que os programadores planeiem caminhos resistentes ao quântico com antecedência com base numa janela de tempo de avaliação razoável, em vez de apressarem as migrações. Ao mesmo tempo, é salientado que, num futuro próximo, questões tradicionais de segurança, como defeitos de código, ataques de canal lateral e injeção de falhas, continuam a ser mais dignas de investimento prioritário do que a computação quântica, e devem focar-se no reforço da auditoria, fuzzing e verificação formal.

a16z Resumo das sete recomendações centrais

Implemente encriptação híbrida hoje: Pelo menos em cenários onde a confidencialidade a longo prazo é crucial

Use assinaturas baseadas em hash: Em cenários de baixa frequência e tamanho tolerável, como atualizações de software

A blockchain é cuidadosamente planeada: Não te apresses a migrar, mas começa já a planear o teu percurso

Primeiro a cadeia de privacidade: Se o desempenho for aceitável, a transição deve ser feita o mais rapidamente possível

Priorizar a segurança: A auditoria e os testes são mais urgentes do que os anti-quânticos

Financiamento da investigação e desenvolvimento quântico: Impedir que os adversários ganhem habilidades primeiro

Veja o anúncio racionalmente: Tratar os relatórios de progresso como marcos em vez de gatilhos de ação

Os desenvolvedores de blockchain devem seguir o exemplo da comunidade Web PKI, adotando uma abordagem prudente na implementação de assinaturas pós-quânticas. Isto ajuda os esquemas de assinatura pós-quântica a continuarem a melhorar em termos de desempenho e segurança. É especialmente importante que a comunidade Bitcoin comece a planear já, pois a governação lenta e um grande número de endereços de alto valor, potencialmente abandonados e vulneráveis ao quântico apresentam desafios especiais.