Quando é que os computadores quânticos conseguirão ultrapassar as tecnologias de encriptação existentes? Os parceiros de investigação da A16Z analisam profundamente a verdadeira linha temporal das ameaças quânticas, esclarecem os diferentes riscos enfrentados pela encriptação e assinaturas, e apresentam sete principais sugestões de resposta para a indústria blockchain. Este artigo é de Justin Thaler / a16zRelatório de investigação, porZona dinâmicaCompilado e polido.
(Resumo: Especialista em física: Dê ao computador quântico mais cinco anos para quebrar a chave privada do Bitcoin, se quiser atualizar o BTC, precisa de desligar completamente? ）
(Suplemento de contexto: Bitcoin crackeado antes de 2030? O “Quantum Echo” do Google Willow gerou debate entre especialistas: a maioria das chaves públicas foi exposta cedo)

Índice deste artigo

• Linha temporal: Quão longe está de um computador quântico capaz de quebrar encriptação?
• Ataque “Roubar Agora, Decifrar o Futuro”: Para Quem É? A quem não se aplica?
• O que significa isto para a blockchain?
• Problemas especiais do Bitcoin: impasse na governação e “moedas adormecidas”
• O custo e risco das assinaturas pós-quânticas
• Desafios únicos da blockchain vs. infraestrutura da internet
• Como devemos responder? Sete sugestões

Quão longe estamos do advento de um computador quântico capaz de quebrar o Bitcoin?

Quando é que os computadores quânticos conseguirão decifrar a criptografia existente? A linha temporal desta questão é frequentemente exagerada, levando a apelos para uma mudança urgente e abrangente para a criptografia pós-quântica.

No entanto, estas chamadas muitas vezes ignoram os custos e riscos associados à migração prematura e não reconhecem a natureza das ameaças enfrentadas por diferentes ferramentas criptográficas:

• A encriptação pós-quântica deve ser implementada imediatamente, independentemente do custo. Porque o método de ataque “roubar agora, decifrar no futuro” (HNDL) já existe. Os dados sensíveis encriptados de hoje, mesmo que os computadores quânticos só estejam disponíveis décadas depois, continuam a ser valiosos. Embora a encriptação pós-quântica possa causar penalizações de desempenho e riscos de implementação, não temos escolha quando se trata de dados que precisam de ser mantidos confidenciais durante muito tempo.
• Assinaturas digitais pós-quânticas são outra história. São menos vulneráveis a estes ataques de “roubo e desencriptação”, e os seus próprios custos e riscos (volumo, carga de desempenho, soluções imaturas, potenciais vulnerabilidades) exigem um planeamento cuidadoso em vez de ação imediata.

É crucial distinguir entre eles. Perceções erradas podem distorcer a análise custo-benefício, levando as equipas a ignorar riscos de segurança mais prementes, como vulnerabilidades de código.

O verdadeiro desafio de transitar com sucesso para a criptografia pós-quântica reside em alinhar a urgência da ação com ameaças reais. O que se segue irá esclarecer equívocos comuns sobre a criptografia de ameaças da computação quântica, abrangendo encriptação, assinaturas e provas de conhecimento zero, com especial foco no que significam para blockchain.

Linha temporal: Quão longe está de um computador quântico capaz de quebrar tecnologia de encriptação?

Apesar de toda a propaganda exagerada, a probabilidade de existir um “computador quântico relacionado com criptografia” nos anos 20 deste século é extremamente baixa.

O chamado “computador quântico relacionado com criptografia” refere-se a um computador quântico com tolerância a falhas e capacidades de correção de erros, capaz de executar o algoritmo Shor e suficientemente grande para quebrar cifras de curvas elípticas (como secp256k1) ou RSA (como RSA-2048) num prazo razoável (por exemplo, operação contínua durante no máximo um mês).

Com base em marcos técnicos e avaliações de recursos disponíveis publicamente, ainda estamos bastante longe de um computador assim. Embora algumas empresas afirmem que é possível antes de 2030 ou mesmo 2035, o progresso atualmente conhecido não apoia estas afirmações.

Atualmente, nenhuma plataforma de computação quântica consegue aproximar-se das centenas de milhares ou mesmo milhões de qubits físicos necessários para decifrar RSA-2048 ou secp256k1 (dependendo da taxa de erro e do esquema de correção de erros).

O gargalo reside não só no número de qubits, mas também na fidelidade das portas, na conectividade entre qubits e na profundidade dos circuitos contínuos de correção de erros necessários para executar algoritmos quânticos profundos. Alguns sistemas têm agora mais de 1.000 qubits físicos, mas este número por si só é enganador: carecem da conectividade e fidelidade necessárias para operações criptográficas.

Enquanto os sistemas recentes se aproximam do limiar físico de taxa de erro necessário para a correção quântica de erros, ninguém conseguiu executar de forma fiável mais do que alguns qubits lógicos, quanto mais os milhares de qubits lógicos de alta fidelidade, circuitos profundos e tolerantes a falhas necessários para executar o algoritmo de Shir. Desde a prova de princípio até à escala necessária para alcançar a criptoanálise, a diferença continua enorme.

Resumindo: até que o número e a fidelidade dos qubits aumentem em ordens de grandeza, os computadores quânticos relacionados com a criptografia continuam fora de alcance.

No entanto, os comunicados de imprensa corporativos e a cobertura mediática são frequentemente confusos. Os principais pontos de confusão incluem:

2. Demonstrações “Quantum Advantage”: A maioria das tarefas de demonstração atuais é bem desenhada e não é realmente útil, simplesmente porque podem ser executadas em hardware existente e “aparecer” rapidamente. Isto é frequentemente minimizado na propaganda.
3. Propaganda de “milhares de qubits físicos”: Isto normalmente refere-se a recozidos quânticos, não a computadores quânticos modelo de portas que podem executar o algoritmo Shor necessário para atacar cifras de chave pública.
4. Abuso de “qubits lógicos”: Qubits físicos são ruidosos, e algoritmos práticos requerem “qubits lógicos” compostos por muitos qubits físicos através da correção de erros. São necessários milhares destes qubits lógicos para executar o algoritmo de Shir, e cada um normalmente requer centenas a milhares de qubits físicos. No entanto, algumas empresas exageram, como a recente afirmação de que 48 qubits lógicos são alcançados com apenas 2 qubits físicos por qubit lógico usando o código de correção de erros “distância-2” (apenas deteção de erros, não correção de erros), que é irrelevante.
5. Roteiros enganadores: Muitos “qubits lógicos” suportam apenas “operações Clifford”, que podem ser simuladas eficientemente por computadores clássicos e não são suficientes para executar algoritmos Shor que requerem um grande número de “portas não-Cliffor” (como portas T). Portanto, mesmo que um roteiro afirme “alcançar milhares de qubits lógicos em X anos”, isso não significa que a empresa espere decifrar a cifra clássica até lá.

Estas práticas distorceram significativamente a perceção pública do progresso da computação quântica, incluindo observadores veteranos.

Claro que o progresso é mesmo entusiasmante. Por exemplo, Scott Aaronson escreveu recentemente que, dada a “surpreendente velocidade do progresso do hardware”, acredita que “é uma possibilidade real termos um computador quântico tolerante a falhas que possa executar o algoritmo Shor antes das próximas eleições presidenciais dos EUA.” Mas mais tarde esclareceu que isto não se refere a computadores quânticos relacionados com criptografia – mesmo que seja apenas uma decomposição tolerante a falhas de 15=3×5 (que é mais rápida com caneta e papel), considera que está a cumprir a sua promessa. Esta é ainda uma demonstração em pequena escala, e tais experiências visam sempre 15, porque o módulo 15 é simples de operar, e números ligeiramente maiores (como 21) são muito mais difíceis.

Conclusão chave: Computadores quânticos relacionados com criptografia capazes de decifrar RSA-2048 ou secp256k1 deverão surgir nos próximos 5 anos – cruciais para a criptografia prática – sem apoio ao progresso público. Mesmo passados 10 anos, continua ambicioso.

Portanto, o entusiasmo pelo progresso não contradiz o julgamento temporal de que “ainda demorará mais de uma década”.

E quanto ao prazo do governo dos EUA em 2035 para a migração em larga escala pós-quântica dos sistemas governamentais? Penso que este é um plano temporal razoável para completar a transformação em grande escala, mas não prevê que computadores quânticos relacionados com criptografia apareçam definitivamente nessa altura.

Ataque “Roubar Agora, Decifrar o Futuro”: A quem se aplica? A quem não se aplica?

O ataque “Steal Now, Decrypt Future” significa que o atacante armazena tráfego encriptado agora e desencripta-o depois de um computador quântico relacionado com criptografia aparecer no futuro. É provável que um adversário ao nível do Estado tenha arquivado um grande número de comunicações encriptadas do governo dos EUA para futura desencriptação.

Portanto, a encriptação deve ser atualizada imediatamente, pelo menos para os dados que requerem um período de confidencialidade superior a 10-50 anos.

Mas as assinaturas digitais, a pedra angular de todas as blockchains, são diferentes da criptografia: não têm o segredo necessário para serem retroativas a ataques. Mesmo que os computadores quânticos apareçam no futuro, só poderão falsificar assinaturas a partir daí e não poderão “desencriptar” assinaturas passadas. Desde que se possa provar que a assinatura foi gerada antes do advento dos computadores quânticos, não pode ser falsificada.

Isto torna a transição para assinaturas digitais quânticas para trás muito menos urgente do que a transição criptográfica.

As plataformas mainstream fazem exatamente isso:

• A Chrome e a Cloudflare implementaram uma solução híbrida X25519+ML-KEM para encriptação TLS de rede. “Híbrido” significa usar tanto o esquema de segurança pós-quântico (ML-KEM) como a solução existente (X25519), que tem tanto segurança, prevenção de ataques HNDL como manutenção da segurança clássica no caso de um problema com a solução pós-quântica.
• O iMessage da Apple (protocolo PQ3) e o Signal (protocolos PQXDH e SPQR) também implementam encriptação híbrida pós-quântica semelhante.

Em contraste, a implementação de assinaturas digitais pós-quânticas em infraestruturas críticas de rede tem sido adiada até que os computadores quânticos relacionados com a criptografia estejam realmente próximos. Porque o esquema atual de assinatura pós-quântica resultará em degradação do desempenho (mais sobre isso abaixo).

As provas de conhecimento zero (zkSNARKs) encontram-se numa situação semelhante às assinaturas. Mesmo aqueles zkSNARKs que não são pós-quânticos seguros (usam criptografia de curvas elípticas) são eles próprios pós-quânticos seguros. Esta propriedade garante que a prova não revela qualquer informação sobre o segredo (e os computadores quânticos não podem evitar), pelo que não existem segredos que possam ser “roubados agora” para futura desencriptação. Portanto, os zkSNARKs também não são vulneráveis a ataques HNDL. Qualquer prova zkSNARK gerada antes do computador quântico era confiável (mesmo que usasse uma cifra de curva elíptica), e um atacante podia forjar uma prova falsa depois de o computador quântico aparecer.

O que significa isto para a blockchain?

A maioria das blockchains não é vulnerável a ataques HNDL.

Tal como as atuais cadeias não relacionadas com a privacidade, como o Bitcoin e o Ethereum, a sua criptografia não pós-quântica é usada principalmente para autorização de transações (ou seja, assinaturas digitais) em vez de encriptação. Estas assinaturas não representam um risco de HNDL. Tomando a blockchain Bitcoin como exemplo, é pública, e a ameaça quântica reside na falsificação de assinaturas (roubo de fundos) em vez de descifrar dados públicos de transações. Isto elimina a urgência criptográfica imediata do HNDL.

Lamentavelmente, até instituições de autoridade como o Federal Reserve afirmaram falsamente que o Bitcoin é vulnerável a ataques HNDL, exagerando a urgência da transição.

Claro que a menor urgência não significa que o Bitcoin possa relaxar. Enfrenta pressões temporais diferentes do enorme trabalho de coordenação social necessário para as alterações de protocolo (detalhado abaixo).

A exceção atual é a cadeia de privacidade. Muitas cadeias de privacidade encriptam ou escondem o destinatário e o montante. Esta informação confidencial pode ser roubada agora e retroativamente desanonimizada depois de futuros computadores quânticos decifrarem o código da curva elíptica. A gravidade do ataque varia consoante o design (por exemplo, a assinatura em anel e a imagem-chave do Monero podem permitir reconstruir completamente o gráfico de transações). Portanto, se os utilizadores estiverem preocupados com a possibilidade de as suas transações não serem expostas a futuros computadores quânticos, as cadeias de privacidade devem transitar para primitivas pós-quânticas (ou esquemas híbridos) o mais rapidamente possível, ou adotar uma arquitetura que não coloque segredos desencriptáveis na cadeia.

Problemas Especiais do Bitcoin: Impasse de Governação e “Moedas Adormecidas”

Para o Bitcoin, existem dois fatores reais que impulsionam a urgência das assinaturas quânticas após o início do planeamento, ambos nada a ver com a tecnologia quântica em si:

• Governação lenta: O processo de mudança do Bitcoin é lento, e qualquer controvérsia pode desencadear um hard fork destrutivo.
• Não pode ser migrado passivamente: Os detentores de moedas devem migrar ativamente os seus ativos. Isto significa que moedas abandonadas e vulneráveis a ataques quânticos não estarão protegidas. Estima-se que possam existir milhões desses BTC “adormecidos” e vulneráveis ao quântico, totalizando centenas de milhares de milhões de dólares ao valor atual.

No entanto, a ameaça quântica não é um fim “da noite para o dia” para o Bitcoin, mas sim um processo seletivo e gradual de direcionamento. Os primeiros ataques quânticos serão extremamente caros e lentos, com os atacantes a apontarem seletivamente para carteiras de alto valor.

Além disso, utilizadores que evitam a reutilização de endereços e não utilizam endereços Taproot (que expõem a chave pública diretamente na cadeia) são essencialmente seguros mesmo sem atualizações de protocolo – as suas chaves públicas ficam escondidas atrás de hashes até serem esgotadas. A chave pública só é exposta quando a transação de despesa é transmitida, e há uma curta corrida em tempo real para iniciar uma corrida curta em tempo real: utilizadores honestos confirmam as transações o mais rapidamente possível, enquanto os atacantes quânticos tentam calcular a chave privada e roubar fundos antes disso.

Portanto, as moedas verdadeiramente vulneráveis são aquelas cujas chaves públicas foram expostas: saídas P2PK iniciais, endereços reutilizados e ativos mantidos de forma Taproot.

Para moedas vulneráveis abandonadas, a solução é bastante complicada: ou a comunidade concorda com um “prazo”, e as moedas que não foram migradas depois disso são consideradas destruídas; Ou deixar que seja tomado por quem possuir computadores quânticos no futuro. Esta última trará sérios problemas legais e de segurança.

O último dilema único do Bitcoin é o baixo débito de transações. Mesmo que o plano de migração seja finalizado, levará meses a transferir todos os fundos vulneráveis à taxa atual.

Estes desafios tornam necessário que o Bitcoin comece a planear uma transição pós-quântica já – não porque os computadores quânticos possam surgir antes de 2030, mas porque a governação, coordenação e logística técnica necessárias para migrar centenas de milhares de milhões de dólares em ativos levará anos.

A ameaça quântica que enfrenta o Bitcoin é real, mas a pressão do tempo advém principalmente das suas próprias limitações e não do iminente computador quântico.

Nota: As vulnerabilidades acima relativas às assinaturas não afetam a segurança económica do Bitcoin (ou seja, o consenso de prova de trabalho). O PoW depende de operações de hashing, é afetado apenas pela aceleração secundária do algoritmo de pesquisa Grover, e o overhead real é substancial, tornando improvável que alcance uma aceleração significativa. Mesmo que exista, só dá vantagem aos grandes mineiros, não subverte o seu modelo de segurança económica.

O custo e o risco das assinaturas pós-quânticas

Porque é que as blockchains não deveriam implementar apressadamente assinaturas pós-quânticas? Precisamos de compreender o custo de desempenho e a nossa confiança de que estas novas soluções continuam a evoluir.

A criptografia pós-quântica baseia-se principalmente em cinco tipos de problemas matemáticos: hashing, codificação, rede, equações quadráticas multivariadas e homologia de curvas elípticas. A razão para a diversidade é que a eficiência do esquema está relacionada com a “estrutura” do problema em que se baseia: quanto mais estruturas, maior a eficiência é geralmente maior, mas pode também permitir mais avanços para o algoritmo de ataque, o que é um compromisso fundamental.

• O esquema de hash é o mais conservador (mais confiante em segurança), mas o de pior desempenho. Por exemplo, a assinatura de hash mínima padronizada pelo NIST é de 7-8KB, enquanto a assinatura atual da curva elíptica é apenas de 64 bytes, uma diferença de cerca de 100 vezes.
• O cenário da grelha é o foco atual da implantação. O esquema único de encriptação pós-quântica selecionado pelo NIST (ML-KEM) e duas das três assinaturas (ML-DSA, Falcon) são baseados em rede.
• O tamanho da assinatura ML-DSA é aproximadamente 2,4-4,6KB, o que é 40-70 vezes maior do que as assinaturas atuais.
• As assinaturas Falcon são pequenas (0,7-1,3KB), mas a implementação é extremamente complexa, envolvendo operações de ponto flutuante em tempo constante, e já houve casos bem-sucedidos de ataques de canal lateral. Um dos seus fundadores chamou-lhe “o algoritmo criptográfico mais complexo que alguma vez implementei.”
• Maiores desafios de segurança na implementação: As assinaturas de grelha têm intermediários mais sensíveis e uma lógica complexa de amostragem de rejeição do que as assinaturas de curvas elípticas, exigindo canais laterais mais fortes e proteção contra injeção de falhas.

Os riscos imediatos colocados por estes problemas são muito mais realistas do que os de computadores quânticos distantes.

As lições da história também nos tornam cautelosos: candidatos líderes no processo de normalização do NIST, como o Rainbow (assinaturas baseadas em MQ) e o SIKE/SIDH (encriptação baseada em homologia), foram ultrapassados pelos computadores clássicos. Isto ilustra os riscos de padronização e implementação prematuras.

A infraestrutura da internet adotou uma abordagem cautelosa à migração de assinaturas, o que é particularmente notável porque a própria transição criptográfica consome muito tempo (por exemplo, a migração de MD5/SHA-1 já decorre há anos e ainda não está totalmente concluída).

Os desafios únicos da blockchain vs. infraestrutura da internet

Por outro lado, as blockchains mantidas por comunidades open-source (por exemplo, Ethereum, Solana) podem ser atualizadas mais rapidamente do que a infraestrutura de rede tradicional. A desvantagem é que as redes tradicionais podem reduzir a superfície de ataque através da rotação frequente de chaves, enquanto as moedas blockchain e as chaves associadas podem ficar expostas durante muito tempo.

Mas, em geral, a blockchain deve continuar a seguir a estratégia prudente de migração de assinaturas da rede. Ambos são imunes a ataques HNDL a assinaturas, e o custo e risco de migrar demasiado cedo é significativo.

Existem também algumas complexidades únicas da blockchain que tornam a migração prematura particularmente perigosa:

• Requisitos de agregação de assinaturas: As blockchains frequentemente precisam de agregar rapidamente um grande número de assinaturas (como assinaturas BLS). O BLS é rápido, mas não é seguro pós-quântico. A investigação pós-agregação de assinaturas quânticas baseada no SNARK é promissora, mas ainda está numa fase inicial.
• O futuro dos SNARKs: A comunidade está atualmente principalmente otimista em relação aos SNARKs pós-quânticos baseados em hash, mas acredito que alternativas aos SNARKs baseados em rede surgirão nos próximos meses ou anos, e terão melhor desempenho em muitos aspetos (como a duração da prova).

O problema atual mais sério é a implementação da segurança.

Durante muitos anos, implementar vulnerabilidades representará um risco de segurança maior do que os computadores quânticos. Para os SNARKs, a principal ameaça são as vulnerabilidades dos programas. As assinaturas digitais e a encriptação já apresentam desafios, e os SNARKs são muito mais complexos. Na verdade, as assinaturas digitais podem ser consideradas um zkSNARK minimalista.

Para assinaturas pós-quânticas, ataques de implementação como canais laterais e injeção de falhas são ameaças mais prementes. Vai demorar anos até a comunidade reforçar estas implementações.

Portanto, fazer uma transição demasiado cedo, antes de a poeira assentar, pode prender-te a um cenário subótimo ou ser forçado a migrar uma segunda vez para corrigir vulnerabilidades.

Como devemos responder? Sete sugestões

Com base nas realidades acima, proponho o seguinte a todas as partes, desde os construtores aos decisores. O princípio geral é: levar as ameaças quânticas a sério, mas não assumir que computadores quânticos relacionados com criptografia aparecerão antes de 2030 (o progresso atual não apoia esta suposição). Entretanto, há algumas coisas que podemos e devemos fazer agora:

2. Implementar imediatamente encriptação híbrida: Pelo menos quando é necessário segredo a longo prazo e o custo é aceitável. Muitos navegadores, CDNs e aplicações de comunicação (por exemplo, iMessage, Signal) já começaram a ser implementados. Esquemas híbridos (pós-quântico + clássico) protegem contra ataques HNDL e contornam potenciais vulnerabilidades em esquemas pós-quânticos.
3. Utilizar assinaturas baseadas em hash imediatamente em cenários onde tamanhos grandes possam ser tolerados: Para cenários de baixa frequência e insensíveis ao tamanho, como atualizações de software/firmware, podem agora ser usadas assinaturas híbridas com hash (a hibridização serve para proteger contra vulnerabilidades na implementação de novas soluções). Isto fornece um “bote salva-vidas” conservador caso apareçam computadores quânticos acidentalmente antecipadamente.
4. A blockchain não precisa de se apressar a lançar assinaturas quânticas, mas o planeamento deve começar imediatamente:
5. Os programadores devem emular a atitude prudente da comunidade online de PKI para tornar a solução mais madura.
6. Cadeias públicas como o Bitcoin precisam de definir caminhos de migração e políticas para “dormir” fundos vulneráveis. O Bitcoin, em particular, precisa de começar a planear já, pois os seus desafios são maioritariamente não técnicos (governação lenta, muitos endereços “adormecidos” de alto valor).
7. Permitir maturidade (possivelmente vários anos) para SNARKs pós-quânticos e investigação de assinatura agregada para evitar o direcionamento prematuro de protocolos subótimos.
8. Sobre Contas Ethereum: Carteiras de contratos inteligentes (atualizáveis) podem oferecer um caminho de migração mais suave, mas com diferenças limitadas. Mais importante do que os tipos de contas, a comunidade continua a avançar na investigação primitiva pós-quântica e nos planos de contingência. Implicações de Design Mais Amplas: Desacoplar identidades de contas de esquemas de assinatura específicos (como a abstração de contas) pode proporcionar maior flexibilidade, não só para migração pós-quântica, mas também para transações patrocinadas, recuperação social e outras funções.
9. As cadeias de privacidade devem dar prioridade à transição (se o desempenho for aceitável): A confidencialidade do utilizador está a ser exposta a ataques HNDL. Esquemas híbridos ou ajustes de arquitetura podem ser considerados para evitar a cadeia de segredos desencriptados.
10. A curto prazo, priorizar a segurança da implementação em detrimento de um foco excessivo em ameaças quânticas: Para criptografia complexa como SNARKs e assinaturas pós-quânticas, vulnerabilidades e ataques de implementação estarão em maior risco do que os computadores quânticos durante muitos anos. Invista em auditoria, fuzzing, verificação formal e defesa aprofundada agora, e não deixe que a ansiedade quântica ofusque ameaças de vulnerabilidade mais prementes.
11. Continuar a financiar a investigação e desenvolvimento em computação quântica: Do ponto de vista da segurança nacional, é necessário continuar a investir em fundos e a cultivar talentos. Se o principal adversário for o primeiro a obter poder de computação quântica relacionado com a criptografia, representará um risco sério.
12. Olhe para as notícias de computação quântica racionalmente: Há mais marcos pela frente. Mas cada marco prova que ainda estamos longe do nosso objetivo. Os comunicados de imprensa devem ser vistos como relatórios de progresso que exigem avaliação crítica, e não como sinais de ação precipitada.

Claro que os avanços tecnológicos podem acelerar, e os gargalos também podem prolongar as previsões. Não estou a afirmar que seja absolutamente impossível dentro de cinco anos, mas penso que é muito improvável. Seguir estas recomendações pode ajudar-nos a evitar riscos mais imediatos e prováveis: vulnerabilidades de implementação, implementações apressadas e erros comuns nas transições criptográficas.