Período de perigo dos computadores quânticos: Quando realmente ameaçarão a segurança criptográfica?

Quando a computação quântica será capaz de quebrar a criptografia? A resposta a essa questão costuma ser distorcida por campanhas empresariais e pela mídia. Desde demonstrações marcantes de empresas de tecnologia até planos políticos governamentais, a linha do tempo das ameaças quânticas tem sido constantemente exagerada, gerando uma urgência por uma “mudança imediata e completa para a criptografia pós-quântica”. No entanto, esses discursos frequentemente ignoram uma realidade fundamental: diferentes ferramentas criptográficas enfrentam ameaças quânticas de naturezas completamente distintas, e agir precocemente pode ter custos muito maiores do que os riscos de atrasar a ação.

De acordo com uma análise aprofundada do sócio da a16z Justin Thaler, é preciso encarar com racionalidade essa discussão sobre os “computadores perigosos” — nem todas as ferramentas criptográficas estão na mesma fase de risco urgente.

A verdadeira fase de ameaça dos computadores quânticos: a verdade por trás da análise de dados

Quanto à linha do tempo para que a computação quântica quebre criptografia, há muitas previsões contraditórias no mercado. Algumas empresas afirmam que podem alcançar esse feito já em 2030 ou até 2035, mas, ao aprofundar nos detalhes técnicos, fica claro que há uma enorme distância entre essas promessas e o progresso real.

Os chamados “computadores quânticos capazes de quebrar criptografia” precisam atender a condições extremamente rigorosas: primeiro, devem ser tolerantes a erros e capazes de correção de erros; segundo, precisam rodar o algoritmo de Shor (essencial para quebrar criptografia moderna); por fim, sua escala deve ser suficiente para, em um tempo razoável (por exemplo, menos de um mês), quebrar padrões atuais como criptografia de curva elíptica ou RSA-2048.

Com base em marcos técnicos públicos, esses computadores ainda estão longe de serem uma realidade. Mesmo sistemas com mais de 1000 qubits, atualmente, mostram apenas avanços numéricos, não capacidades práticas. Esses sistemas geralmente carecem da conectividade e fidelidade necessárias para cálculos criptográficos.

O gargalo principal não está na quantidade de qubits, mas na sua qualidade. Quebrar criptografia moderna exige dezenas de milhares, talvez milhões, de qubits físicos — essa é uma estimativa inicial. O desafio maior reside na conectividade entre qubits, na fidelidade dos gates e na correção de erros necessária para rodar algoritmos profundos. Mesmo as plataformas mais avançadas atualmente não conseguem manter estáveis mais de alguns qubits lógicos, e a distância para alcançar milhares de qubits lógicos de alta fidelidade e tolerantes a erros é exponencialmente grande.

Juízo racional: antes de aumentarmos o número de qubits e sua fidelidade em 3 ou 4 ordens de magnitude, computadores quânticos capazes de quebrar criptografia moderna ainda não existirão.

No entanto, a confusão criada por comunicados de empresas e pela mídia não se limita a isso:

• Ilusão de “vantagem quântica”: a maioria das demonstrações atuais são tarefas cuidadosamente projetadas, não aplicações úteis reais, apenas porque podem rodar em hardware existente e parecerem rápidas. Essa realidade é muitas vezes minimizada ou ocultada na divulgação.

• Engano na quantidade de qubits físicos: o número de “milhares de qubits físicos” mencionado costuma se referir a computadores de recozimento quântico (quantum annealers), não a computadores de portas universais capazes de rodar o algoritmo de Shor — são coisas distintas.

• Uso indevido de “qubits lógicos”: algumas empresas afirmam que, usando métodos específicos, é possível obter 48 qubits lógicos com apenas 2 qubits físicos cada, o que é tecnicamente sem sentido, pois o código de correção utilizado não consegue corrigir erros, apenas detectar.

• Roteiros enganosos: muitos planos de desenvolvimento mencionam “qubits lógicos” que suportam apenas operações Clifford, que podem ser simuladas eficientemente por computadores clássicos, e não podem rodar o algoritmo de Shor, que exige muitas portas T. Assim, mesmo que um roteiro diga que em determinado ano serão alcançados milhares de qubits lógicos, isso não significa que eles poderão quebrar criptografia.

Essas práticas distorcem a percepção pública do progresso da computação quântica, incluindo até observadores experientes do setor.

“Roubar agora, decifrar no futuro”: quem realmente está na fase de risco?

Para entender a urgência da ameaça quântica, é preciso distinguir o risco de duas categorias de ferramentas criptográficas: criptografia e assinaturas digitais.

A ameaça de “roubar agora e decifrar no futuro” (HNDL) funciona assim: um atacante armazena o fluxo de dados criptografados hoje, esperando que, no futuro, um computador quântico seja capaz de decifrá-los. Países ou adversários altamente preparados já podem estar arquivando comunicações criptografadas de governos e empresas, preparando-se para esse momento.

Portanto, a criptografia realmente precisa de uma atualização imediata, pelo menos para dados que requerem confidencialidade por 10 a 50 anos. Essa é uma ameaça real e inescapável.

Por outro lado, as assinaturas digitais são completamente diferentes. Elas não envolvem confidencialidade que possa ser rastreada. Mesmo que um computador quântico apareça no futuro, ele só poderá forjar assinaturas a partir daquele momento — não poderá “decifrar” assinaturas passadas, como faz com a criptografia. Desde que você possa provar que uma assinatura foi gerada antes do advento do computador quântico, ela nunca poderá ser falsificada.

Essa distinção é crucial, pois determina a urgência de atualização de cada ferramenta.

Na prática, plataformas já agiram de acordo com essa lógica:

• Chrome e Cloudflare implementaram esquemas híbridos de criptografia TLS (X25519 + ML-KEM). “Híbrido” é a palavra-chave — usam simultaneamente uma solução pós-quântica e uma clássica, protegendo contra ataques HNDL e mantendo segurança clássica caso a pós-quântica apresente vulnerabilidades.

• Apple (iMessage com protocolo PQ3) e Signal (com protocolos PQXDH e SPQR) também adotaram criptografia híbrida pós-quântica.

Por outro lado, a implementação de assinaturas digitais pós-quânticas em infraestruturas críticas tem sido adiada — não por falta de necessidade, mas por causa do desempenho e da complexidade de implementação das atuais soluções.

A crise quântica na blockchain: ameaça real ou exagero?

Para as criptomoedas, há boas notícias: a maioria das blockchains não é vulnerável ao ataque HNDL.

Blockchains como Bitcoin e Ethereum, que não priorizam privacidade, usam principalmente assinaturas digitais (não criptografia) para autorizar transações. Essas assinaturas não representam risco de HNDL. A blockchain do Bitcoin é totalmente pública — cada transação é visível na cadeia. A ameaça quântica reside na falsificação de assinaturas (que pode levar ao roubo de fundos), não na decodificação de dados já públicos.

Esse fato foi mal interpretado por várias instituições. O Federal Reserve, por exemplo, chegou a afirmar erroneamente que o Bitcoin seria vulnerável a ataques HNDL, o que exagera a urgência de migração.

Exceções reais são as blockchains de privacidade. Muitas dessas redes criptografam ou escondem endereços de recebimento e valores. Essas informações confidenciais podem ser roubadas hoje e, no futuro, decifradas por computadores quânticos, permitindo a rastreabilidade das transações. Tecnologias como as assinaturas em anel do Monero ou mecanismos de espelhamento de chaves podem facilitar a reconstrução completa do gráfico de transações.

Portanto, se os usuários de blockchains de privacidade se preocupam com a exposição futura de suas transações, essas redes devem migrar o quanto antes para esquemas pós-quânticos ou híbridos, ou repensar sua arquitetura para não colocar informações sensíveis na cadeia.

O dilema do Bitcoin: por que não basta esperar pelo computador quântico

Para o Bitcoin, há fatores práticos que justificam o início imediato do planejamento de uma transição pós-quântica, embora esses fatores não estejam diretamente ligados à tecnologia quântica.

Primeiro, a velocidade de governança. Mudanças no protocolo do Bitcoin são lentas e qualquer disputa pode levar a hard forks destrutivos. Essa dificuldade de coordenação social é um obstáculo real.

Segundo, a impossibilidade de migração passiva. Os detentores de bitcoins precisam ativamente mover seus fundos para novas soluções de assinatura — o que significa que moedas antigas e vulneráveis podem ficar abandonadas e serem alvo de ataques de adversários com computadores quânticos no futuro. Estima-se que milhões de bitcoins possam estar nessa situação, valendo bilhões de dólares.

Porém, isso não é uma catástrofe instantânea. Ataques quânticos iniciais serão caros e lentos, e os atacantes provavelmente focarão em carteiras de alto valor. Além disso, usuários que evitam reutilização de endereços e não usam Taproot, por exemplo, permanecem relativamente seguros, pois suas chaves públicas permanecem ocultas até a realização de uma transação. Quando uma transação é feita, a chave pública é revelada, criando uma janela de oportunidade para ataque quântico — mas, nesse momento, o usuário deve agir rapidamente para confirmar a transação, minimizando o risco.

As carteiras mais vulneráveis são aquelas com chaves públicas expostas, como outputs P2PK antigos, endereços reutilizados e endereços Taproot (que expõem a chave pública na cadeia).

Para fundos abandonados e vulneráveis, a solução é complexa: a comunidade pode estabelecer uma “data limite” para migração, após a qual moedas não migradas seriam consideradas perdidas ou destruídas; ou aceitar que, no futuro, um adversário com computador quântico possa roubá-las. Essa última opção traz sérios riscos legais e de segurança.

Outro desafio do Bitcoin é sua baixa taxa de transações. Mesmo que o plano de migração seja definido, levará meses para transferir todos os fundos vulneráveis, dado o ritmo atual.

Conclusão: o Bitcoin deve começar a planejar a transição pós-quântica agora, não porque a tecnologia quântica certamente aparecerá antes de 2030 (não há evidências sólidas para isso), mas porque a coordenação, governança e logística necessárias para migrar ativos de valor na casa dos bilhões de dólares levam anos. A ameaça quântica é real, mas o principal fator de urgência é a própria limitação do sistema, não uma ameaça iminente de computadores quânticos.

Custos e riscos da transição pós-quântica: por que não se deve agir apressadamente

A criptografia pós-quântica baseia-se principalmente em cinco classes de problemas matemáticos: hash, codificação, reticulados, sistemas de equações quadráticas múltiplas e curvas elípticas isomórficas. A variedade de esquemas decorre do fato de que quanto mais estruturas, maior a eficiência, mas também maior a possibilidade de brechas para ataques.

• Esquemas de hash: os mais conservadores (com maior segurança) têm desempenho pior. Os assinaturas baseadas em hash padrão do NIST podem ter tamanhos de 7 a 8 KB, enquanto assinaturas de curvas elípticas atuais são de apenas 64 bytes — uma diferença de cerca de 100 vezes.

• Reticulados (lattice): são o foco principal de implementação. O NIST selecionou o esquema ML-KEM e duas das três famílias de assinaturas (ML-DSA e Falcon).

• ML-DSA gera assinaturas de aproximadamente 2,4 a 4,6 KB, cerca de 40 a 70 vezes maiores que as atuais.

• Falcon é mais compacto (0,7 a 1,3 KB), mas sua implementação é extremamente complexa, envolvendo operações de ponto flutuante em tempo constante, com casos de ataques de canal lateral bem-sucedidos. Um dos seus criadores afirmou que é “o algoritmo de criptografia mais complexo que já implementei”.

A segurança de implementação é ainda mais desafiadora: assinaturas baseadas em reticulados têm mais valores intermediários sensíveis e lógica de rejeição mais complexa, exigindo maior proteção contra ataques de canal lateral e falhas.

Lições históricas: os principais candidatos do processo de padronização do NIST, como Rainbow (baseado em MQ) e SIKE/SIDH (baseados em isomorfismo de curvas), foram quebrados por computadores clássicos. Isso demonstra os riscos de padronizar e implementar prematuramente.

A comunidade de infraestrutura da internet tem sido cautelosa na adoção de esquemas de assinatura pós-quânticos, pois a transição criptográfica é longa — a migração de MD5/SHA-1 levou anos e ainda não foi concluída.

Recomendações atuais

Diante dessa realidade, devemos seguir princípios:

• Levar a sério a ameaça quântica, mas não presumir que computadores quânticos capazes de quebrar criptografia moderna surgirão antes de 2030, pois o progresso atual não sustenta essa previsão. Ainda assim, há ações que podem e devem ser feitas agora.

01. Implantar imediatamente criptografia híbrida

Para aplicações que requerem confidencialidade de longo prazo e custos aceitáveis, implemente imediatamente esquemas híbridos de criptografia pós-quântica. Navegadores, CDNs e aplicativos de comunicação (iMessage, Signal) já adotaram essa abordagem. O esquema híbrido combina uma solução pós-quântica com uma clássica, protegendo contra ataques HNDL e mitigando riscos de vulnerabilidades futuras.

02. Usar assinaturas hash em cenários tolerantes

Para casos de baixa frequência e tamanhos grandes (como atualizações de software/firmware), já é possível usar assinaturas híbridas baseadas em hash. Essa é uma estratégia conservadora de “salvaguarda”, caso a computação quântica apareça de forma inesperada.

03. Planejar a migração na blockchain

Embora não seja necessário migrar imediatamente para assinaturas pós-quânticas, as redes blockchain devem começar a planejar essa transição, aprendendo com a comunidade de PKI na internet, para que a implementação seja mais madura.

04. Definir rotas de migração

Blockchains públicas como Bitcoin e Ethereum precisam estabelecer planos claros de transição pós-quântica e políticas para fundos “adormecidos” vulneráveis. O Bitcoin, em particular, deve começar a planejar agora, pois seu maior desafio não é técnico, mas de governança e coordenação social.

05. Dar tempo para pesquisa amadurecer

Permitir que pesquisas em SNARKs pós-quânticos e assinaturas agregadas tenham tempo suficiente para amadurecer, evitando a adoção prematura de soluções subótimas.

06. Lições para o design de contas

Para plataformas como Ethereum, carteiras inteligentes (que podem ser atualizadas) oferecem uma transição mais suave. A abstração de contas (separar identidade da assinatura) aumenta a flexibilidade, facilitando a migração pós-quântica e suportando recursos como transações patrocinadas e recuperação social.

07. Priorizar a transição de blockchains de privacidade

Usuários de blockchains de privacidade, que escondem endereços e valores, estão mais expostos ao risco HNDL. Essas redes devem migrar rapidamente para esquemas híbridos ou pós-quânticos, ou repensar sua arquitetura para não colocar informações sensíveis na cadeia.

08. Prioridade de curto prazo: segurança prática antes de ameaça quântica

Durante os próximos anos, vulnerabilidades de implementação e ataques de canal lateral representam ameaças mais concretas do que computadores quânticos. Invista em auditorias, fuzzing, verificação formal e defesa em profundidade, para não deixar que a ansiedade quântica obscureça riscos mais urgentes.

09. Financiar pesquisa contínua

De um ponto de vista de segurança nacional, é fundamental investir na formação de talentos em criptografia pós-quântica. Adversários que obtiverem vantagem na área podem representar riscos graves.

10. Avaliar notícias quânticas com senso crítico

Haverá mais marcos importantes, mas cada um deles também mostra o quanto estamos longe de uma ameaça real. Devemos encarar comunicados de progresso como relatórios de avanço, não como sinais de ação imediata.

Epílogo: equilibrar antes que o perigo chegue

Avanços tecnológicos podem acelerar ou atrasar as previsões. Não afirmamos que em cinco anos será impossível, apenas que a probabilidade é baixa, com base nos dados de progresso técnico disponíveis.

Seguir essas recomendações ajuda a evitar riscos mais diretos e prováveis: vulnerabilidades de implementação, implantação apressada e erros na transição criptográfica. Esses problemas não surgirão só no futuro distante, mas nos anos que antecedem a chegada de computadores quânticos realmente ameaçadores.