Artigo de: Justin Thaler, parceiro de pesquisa em crypto da a16z e professor adjunto de Ciência da Computação na Universidade de Georgetown
Tradução: Yangz, Techub News
As previsões sobre o momento de surgimento de computadores quânticos relacionados à criptografia (CRQC) muitas vezes são exageradas, levando a chamados urgentes e abrangentes para uma transição rápida para a pós-quântica. Essas chamadas frequentemente ignoram os custos e riscos de uma migração prematura, além de negligenciar as diferentes características de risco de diversos primitivas criptográficas:
Apesar do alto custo, a criptografia pós-quântica precisa ser implantada imediatamente: ataques de “coleta e decifra” (HNDL) já estão em andamento, e dados sensíveis atualmente criptografados ainda terão valor quando os computadores quânticos realmente chegarem (mesmo que ainda levem décadas). Além disso, há custos de desempenho e riscos de implementação na criptografia pós-quântica, mas para dados que precisam de confidencialidade de longo prazo, o ataque HNDL nos deixa sem alternativa.
Por outro lado, as assinaturas pós-quânticas enfrentam considerações diferentes. Elas não são facilmente afetadas por ataques HNDL, mas seus custos e riscos (maior escala, impacto no desempenho, imaturidade na implementação e vulnerabilidades potenciais) exigem cautela, não uma migração imediata.
Essas diferenças são cruciais. Uma má compreensão distorce a análise de custo-benefício, levando equipes a ignorar riscos de segurança mais evidentes — como vulnerabilidades no sistema.
O verdadeiro desafio na transição bem-sucedida para a criptografia pós-quântica é alinhar a urgência com a ameaça real. A seguir, esclarecerei equívocos comuns sobre a ameaça de computadores quânticos à criptografia, abrangendo criptografia, assinaturas e provas de conhecimento zero, com foco especial no impacto para blockchain.
Em que estágio estamos?
Apesar de muita propaganda, a probabilidade de surgimento de computadores quânticos relacionados à criptografia (CRQC) até a década de 2020 é extremamente baixa.
Por “computadores quânticos relacionados à criptografia” refiro-me a uma máquina tolerante a falhas, com correção de erros, capaz de executar algoritmos de Shor em escala suficiente para atacar criptografia de curva elíptica ou RSA em tempos razoáveis (por exemplo, decifrando secp256k1 ou RSA-2048 em até um mês de cálculo contínuo). Com base em marcos públicos e estimativas de recursos, estamos longe de construir uma CRQC. Algumas empresas às vezes afirmam que ela pode surgir até 2030 ou antes de 2035, mas o progresso conhecido publicamente não apoia essas afirmações.
Atualmente, nenhuma plataforma de computação quântica, incluindo armadilhas de íons, qubits supercondutores ou sistemas de átomos neutros, se aproxima de ter dezenas de milhares a milhões de qubits físicos (dependendo de taxas de erro e esquemas de correção) necessários para executar Shor e quebrar RSA-2048 ou secp256k1. Os fatores limitantes não são apenas o número de qubits, mas também a fidelidade de portas, conectividade entre qubits e a profundidade de circuitos de correção de erros necessários para rodar algoritmos quânticos profundos.
Embora alguns sistemas já tenham mais de 1.000 qubits físicos, apenas contar esses qubits é enganoso: eles carecem da conectividade e fidelidade de portas necessárias para cálculos criptográficos. Os sistemas mais avançados estão se aproximando de taxas de erro físicas onde a correção quântica começa a fazer efeito, mas ninguém demonstrou ainda mais de alguns qubits lógicos com circuitos de correção contínuos — muito menos os milhares de qubits lógicos de alta fidelidade, profundidade de circuito e tolerância a erros necessários para rodar Shor.
Da teoria à escala necessária para análise criptográfica, há uma grande lacuna. Em resumo, antes de aumentar a quantidade e fidelidade de qubits em vários ordens de magnitude, uma CRQC ainda está longe. Evidências públicas não suportam a expectativa de que uma CRQC capaz de quebrar RSA-2048 ou secp256k1 surja nos próximos 5 anos. Quanto ao prazo de 2035 definido pelo governo dos EUA para uma transição completa para a pós-quântica, considero uma linha do tempo razoável para uma mudança de grande escala, mas não uma previsão de que uma CRQC aparecerá até lá.
Para que cenários o ataque HNDL é relevante?
O ataque “coleta e decifra” (HNDL) consiste em um invasor armazenar fluxos criptografados agora, para decifrá-los quando a CRQC realmente existir. Agentes de nível estatal já arquivam comunicações criptografadas do governo dos EUA, esperando que, no futuro, possam decifrá-las com uma CRQC. Por isso, a tecnologia de criptografia precisa migrar imediatamente — pelo menos para quem precisa de confidencialidade por mais de 10-50 anos.
Por outro lado, assinaturas digitais (fundamentais para blockchains) diferem da criptografia. Se uma CRQC surgir, falsificar assinaturas se tornará possível, mas assinaturas antigas não “escondem” segredos como mensagens criptografadas. Desde que se saiba que uma assinatura foi gerada antes do surgimento da CRQC, ela não pode ser falsificada. Assim, a transição para assinaturas pós-quânticas não é tão urgente quanto para criptografia.
Atualmente, plataformas principais estão agindo: Chrome e Cloudflare lançaram esquemas híbridos X25519+ML-KEM para segurança na camada de transporte (TLS); a Apple implementou o esquema híbrido PQ3 no iMessage; Signal também adotou PQXDH e SPQR.
Em contraste, a implantação de assinaturas digitais pós-quânticas em infraestrutura crítica foi adiada até a CRQC estar realmente próxima, devido ao impacto de desempenho (que será detalhado posteriormente neste artigo).
Provas de conhecimento zero (zkSNARKs), essenciais para escalabilidade e privacidade de longo prazo na blockchain, enfrentam uma situação semelhante às assinaturas. Mesmo zkSNARKs que não são pós-quânticos (usando criptografia de curva elíptica, como as atuais) possuem atributos de conhecimento zero que são pós-quânticos seguros. Essas propriedades garantem que nenhuma informação sobre o testemunho secreto seja revelada na prova — mesmo para atacantes quânticos — eliminando a necessidade de “coletar agora” informações confidenciais para decifrar no futuro.
Portanto, zkSNARKs não são facilmente afetados por ataques HNDL. Assim como assinaturas não pós-quânticas geradas hoje são seguras, qualquer prova zkSNARK gerada antes do surgimento da CRQC é confiável (a afirmação que ela prova é verdadeira), mesmo que use criptografia de curva elíptica. Apenas após o surgimento de uma CRQC, atacantes poderão criar provas convincentes de declarações falsas.
O que isso significa para blockchain?
A maioria das blockchains não é vulnerável a ataques HNDL: blockchains públicas não privadas, como Bitcoin e Ethereum, usam principalmente criptografia não pós-quântica para autorizar transações — ou seja, usam assinaturas, não criptografia. Reforçando, essas assinaturas não representam risco HNDL: o ataque é relevante para dados criptografados. Por exemplo, a blockchain do Bitcoin é pública; a ameaça quântica está na falsificação de assinaturas (roubo de chaves privadas para roubar fundos), não na decodificação de transações já públicas. Isso elimina a urgência de uma transição criptográfica.
Infelizmente, até análises de fontes confiáveis como o Federal Reserve erroneamente afirmaram que o Bitcoin é vulnerável a HNDL, exagerando a urgência da transição pós-quântica. A urgência menor não significa que o Bitcoin possa esperar: ele enfrenta diferentes pressões de tempo, relacionadas às mudanças de protocolo e à necessidade de coordenação social. (Mais detalhes sobre os desafios específicos do Bitcoin a seguir.)
A exceção atual são as blockchains de privacidade, onde muitas usam criptografia ou outros métodos para esconder destinatários e valores. Essa confidencialidade pode ser coletada agora, e uma vez que a CRQC seja capaz de quebrar criptografia de curva elíptica, a desanonimização pode ser feita retroativamente.
Para essas blockchains de privacidade, a gravidade do ataque varia conforme o design. Por exemplo, Monero, que usa assinaturas em anel baseadas em curvas e imagens de chaves (para evitar duplo gasto), pode rastrear gastos apenas com o livro público. Em outras cadeias, o dano é mais limitado — veja a discussão do engenheiro de criptografia e pesquisador Sean Bowe sobre Zcash.
Se os usuários consideram importante que suas transações não sejam expostas a computadores quânticos relacionados à criptografia, essas blockchains devem migrar o quanto antes para primitivas pós-quânticas (ou esquemas híbridos). Ou adotar arquiteturas que evitem colocar segredos decifráveis na cadeia.
O desafio especial do Bitcoin: governança e moedas abandonadas
Para o Bitcoin, duas realidades tornam urgente a adoção de assinaturas pós-quânticas: ambas independentes da tecnologia quântica:
Primeiro, a lentidão na governança: mudanças no Bitcoin são lentas. Se a comunidade não concordar com uma solução adequada, questões controversas podem levar a forks prejudiciais.
Segundo, a transição para assinaturas pós-quânticas não pode ser passiva: os detentores de moedas devem ativamente migrar seus fundos. Isso significa que moedas abandonadas e vulneráveis a ataques quânticos não estarão protegidas. Estima-se que milhões de bitcoins possam estar em risco.
No entanto, a ameaça quântica ao Bitcoin não será um evento repentino ou de uma só vez, mas um processo gradual e seletivo. Computadores quânticos não quebram todas as criptografias ao mesmo tempo: o algoritmo de Shor precisa atacar um por um. Ataques iniciais serão caros e lentos. Assim, ao conseguirem quebrar uma chave de assinatura de um bitcoin, atacantes podem escolher alvos de alto valor.
Além disso, usuários que evitam reutilizar endereços e não usam endereços Taproot (que expõem a chave pública na cadeia) estão relativamente protegidos, mesmo sem mudanças de protocolo: suas chaves permanecem ocultas até serem gastas. Quando finalmente divulgarem a transação de gasto, a chave pública será visível, criando uma corrida contra o tempo: os honestos querem confirmar a transação, enquanto atacantes com dispositivos quânticos tentam encontrar a chave privada antes da confirmação. Assim, moedas mais vulneráveis são aquelas com chaves públicas já expostas — outputs P2PK antigos, endereços reutilizados e moedas em Taproot.
Quanto às moedas abandonadas e vulneráveis, não há solução simples:
- Uma opção é que a comunidade defina uma “data limite” após a qual moedas não migradas sejam consideradas destruídas.
- Outra é permitir que moedas abandonadas, vulneráveis a ataques quânticos, sejam tomadas por quem possuir computadores quânticos relacionados à criptografia.
A segunda opção traz sérios problemas legais e de segurança: usar computadores quânticos para reivindicar propriedade de moedas sem a posse da chave privada, mesmo com boas intenções, pode ser considerado roubo ou fraude em muitas jurisdições.
Além disso, “abandonado” é uma suposição baseada na inatividade, mas ninguém sabe ao certo se essas moedas realmente não têm um proprietário vivo com a chave. Provar posse anterior pode não ser suficiente para reverter a proteção criptográfica. Essa ambiguidade aumenta o risco de moedas abandonadas serem capturadas por agentes mal-intencionados que ignoram leis.
Outro problema do Bitcoin é sua baixa capacidade de transações: mesmo com uma transição planejada, mover todos os fundos vulneráveis para endereços pós-quânticos levará meses.
Por isso, é fundamental que o Bitcoin comece a planejar sua transição pós-quântica agora — não porque computadores quânticos relacionados à criptografia possam surgir antes de 2030, mas porque a governança, coordenação e logística para migrar bilhões de dólares levarão anos.
A ameaça quântica ao Bitcoin é real, mas o relógio não é impulsionado pelo surgimento de uma CRQC, e sim pelas limitações do próprio Bitcoin. Outras blockchains também enfrentam desafios semelhantes, mas o risco do Bitcoin é especialmente grave: suas primeiras transações expõem chaves públicas na cadeia, tornando uma grande proporção de bitcoins vulnerável a ataques de computadores quânticos relacionados à criptografia. Essa diferença técnica, combinada com sua longa história, concentração de valor, baixa taxa de transações e governança rígida, torna o problema particularmente sério.
Vale notar que as vulnerabilidades descritas acima dizem respeito à segurança criptográfica das assinaturas do Bitcoin, não à segurança econômica da blockchain. Essa segurança econômica vem do mecanismo de consenso de prova de trabalho, que é menos suscetível a ataques de computadores quânticos por três razões:
- PoW depende de funções hash, que são afetadas apenas pela busca de Grover, com uma aceleração quadrática, não pela de Shor, que é exponencial.
- O custo de implementar a busca de Grover torna improvável que qualquer computador quântico consiga uma aceleração significativa na prova de trabalho do Bitcoin.
- Mesmo com aceleração, ela beneficiaria mais os grandes mineradores do que os pequenos, sem comprometer a segurança econômica do sistema.
Custos e riscos das assinaturas pós-quânticas
Para entender por que a implantação de assinaturas pós-quânticas não deve ser precipitada, é preciso considerar os custos de desempenho e nossa confiança na segurança pós-quântica, que ainda está em evolução.
A maioria das primitivas pós-quânticas baseia-se em cinco abordagens principais: hash, codificação, lattice (grade), MQ (sistemas de equações quadráticas múltiplas) e isomorfismo. A segurança dessas primitivas assume que computadores quânticos não podem resolver eficientemente certos problemas matemáticos. Quanto mais estruturados forem esses problemas, mais eficientes podem ser os esquemas criptográficos, mas também maior a superfície de ataque. Há um conflito fundamental: esquemas mais estruturados oferecem melhor desempenho, mas aumentam a vulnerabilidade.
De modo geral, esquemas baseados em hash são os mais conservadores em termos de segurança, pois temos maior confiança de que computadores quânticos não os atacarão efetivamente. Mas seu desempenho é pior: por exemplo, a assinatura baseada em hash padrão do NIST, mesmo com parâmetros mínimos, ocupa de 7 a 8 KB. Em contraste, assinaturas de curva elíptica atuais têm apenas 64 bytes — uma diferença de cerca de 100 vezes.
Esquemas de lattice são o foco principal atualmente. O NIST já padronizou duas das três principais famílias de assinatura baseadas em lattice: ML-DSA (antes Dilithium), com assinaturas de 2,4 KB a 4,6 KB, cerca de 40-70 vezes maiores que assinaturas de curva elíptica; e Falcon, com assinaturas menores (Falcon-512 com 666 bytes, Falcon-1024 com 1,3 KB), mas que envolve cálculos complexos de ponto flutuante, sendo considerado um desafio de implementação pelo NIST.
Em relação às assinaturas de curva elíptica, esquemas baseados em lattice apresentam maior complexidade de implementação: mais valores intermediários sensíveis e lógica de rejeição por amostragem, exigindo proteção contra canais laterais e falhas. Falcon também aumenta preocupações com operações de ponto flutuante de tempo constante; na prática, ataques de canal lateral já conseguiram recuperar chaves de implementações de Falcon.
Esses problemas representam riscos diretos, diferentes das ameaças de computadores quânticos distantes.
Ao implantar esquemas pós-quânticos mais eficientes, há motivos para cautela. Históricamente, candidatos como Rainbow (baseado em MQ) e SIKE/SIDH (baseado em isomorfismo) foram quebrados por computadores clássicos, não quânticos, durante o processo de padronização do NIST. Isso demonstra que padronizações prematuras podem ser prejudiciais.
Como mencionado, a infraestrutura da internet adota uma abordagem cautelosa na transição de assinaturas. Considerando quanto tempo leva para uma mudança de protocolo na prática, essa cautela é ainda mais relevante. A transição de MD5 e SHA-1, por exemplo, foi tecnicamente abandonada anos atrás, mas sua implementação levou anos adicionais, e ainda ocorre em alguns ambientes. Essas vulnerabilidades já foram completamente exploradas, mas o processo de substituição continua.
Desafios específicos de blockchain em relação à infraestrutura da internet
Felizmente, blockchains de código aberto, como Ethereum ou Solana, podem atualizar-se mais rapidamente. Por outro lado, a infraestrutura tradicional se beneficia de trocas frequentes de chaves, o que acelera a rotação de pontos de ataque, algo que as blockchains não fazem, pois suas moedas e chaves podem ficar expostas indefinidamente.
De modo geral, blockchains devem seguir uma abordagem cautelosa na migração de assinaturas, assim como a internet. Ambas não são vulneráveis a ataques HNDL, e migrar cedo para esquemas não maduros traz custos e riscos elevados.
Desafios específicos de blockchain tornam a migração precoce especialmente arriscada: por exemplo, assinaturas BLS, usadas por sua rápida agregação, não são pós-quânticas. Pesquisadores exploram esquemas de assinatura pós-quânticos baseados em SNARKs, que prometem melhorias de desempenho, como assinaturas mais curtas.
No momento, a comunidade considera esquemas baseados em hash como principais candidatos pós-quânticos. Mas, nos próximos meses e anos, esquemas baseados em lattice podem se tornar alternativas atraentes, com desempenho superior, incluindo provas de comprimento significativamente menor, similar às assinaturas de lattice mais curtas do que as de hash.
Problemas maiores no momento: segurança de implementação
Nos próximos anos, vulnerabilidades de implementação representarão riscos de segurança muito maiores do que computadores quânticos relacionados à criptografia. Para SNARKs, a principal preocupação é vulnerabilidade de implementação.
Vulnerabilidades já afetam assinaturas digitais e esquemas de criptografia, mas SNARKs são ainda mais complexos. Na prática, esquemas de assinatura podem ser vistos como uma forma simples de zkSNARKs, que afirmam: “Eu sei a chave privada correspondente à minha chave pública e autorizei esta mensagem”.
Para assinaturas pós-quânticas, riscos de implementação incluem ataques de canal lateral e injeção de falhas, com registros detalhados e possibilidade de extrair chaves de sistemas já implantados. Essas ameaças são mais urgentes do que a ameaça de computadores quânticos distantes.
A comunidade dedicará anos para identificar e corrigir vulnerabilidades em SNARKs, reforçando a segurança contra ataques de canal lateral e falhas. Como SNARKs pós-quânticos e esquemas de assinatura agregada ainda estão em desenvolvimento, uma migração prematura pode levar a soluções subótimas ou a novas vulnerabilidades.
Como devemos proceder? Sete recomendações
Diante dessa realidade, apresento algumas recomendações para stakeholders. O princípio geral é: levar a sério a ameaça quântica, mas não agir com base na hipótese de que uma CRQC surgirá até 2030. O progresso atual não apoia essa hipótese, mas há ações que podemos e devemos tomar:
-
Devemos implantar imediatamente criptografia híbrida, ou pelo menos em áreas onde a confidencialidade de longo prazo seja importante e o custo seja aceitável. Navegadores, CDNs e aplicativos de mensagens como iMessage e Signal já adotaram esquemas híbridos. Essa abordagem (pós-quântico + clássico) protege contra ataques HNDL e mitiga vulnerabilidades potenciais de esquemas pós-quânticos.
-
Sempre que possível, usar assinaturas baseadas em hash imediatamente. Atualizações de software/firmware e outros cenários de baixa frequência e escala limitada devem adotar assinaturas híbridas de hash agora — não por desconfiança na segurança do hash, mas por precaução. Essa abordagem conservadora fornece uma “balsa de salvação” caso uma solução pós-quântica mais avançada surja rapidamente. Sem atualizações de software já implementadas, uma vez que a CRQC apareça, será difícil distribuir de forma segura as correções criptográficas necessárias.
-
Blockchains não precisam acelerar a implantação de assinaturas pós-quânticas imediatamente, mas devem começar a planejar. Desenvolvedores devem seguir práticas de comunidades de PKI, adotando uma postura cautelosa na implantação de assinaturas pós-quânticas, permitindo que essas soluções amadureçam em desempenho e segurança. Isso também dá tempo para reestruturar sistemas para lidar com assinaturas maiores e desenvolver melhores técnicas de agregação.
-
Para Bitcoin e outros L1: a comunidade deve definir rotas de migração e políticas para fundos abandonados vulneráveis a ataques quânticos. Migração passiva não é viável; planejamento é essencial. Dado o desafio de governança e o grande volume de fundos de alto valor potencialmente vulneráveis, é crucial começar agora.
-
Simultaneamente, é necessário avançar na pesquisa de zkSNARKs pós-quânticos e assinaturas agregadas, que podem levar anos para amadurecer. Como mencionado, migrações prematuras podem bloquear soluções subótimas ou criar a necessidade de novas migrações futuras.
-
Sobre o modelo de contas do Ethereum: ele suporta contas externas (EOA, controladas por chaves secp256k1) e carteiras inteligentes com lógica de autorização programável. Em emergências, se o Ethereum adicionar suporte a assinaturas pós-quânticas, carteiras inteligentes podem fazer upgrade via contrato; EOAs podem precisar transferir fundos para novos endereços seguros. Em caso de emergência, há planos de hard fork para congelar contas vulneráveis e permitir que usuários provem posse de suas chaves com zkSNARKs pós-quânticos, aplicando-se a ambos os tipos de conta.
Impacto prático para usuários: carteiras inteligentes auditadas e atualizáveis podem oferecer uma transição mais suave, mas ainda assim há trade-offs na confiança e na governança.
Para construtores, a lição é: muitos blockchains atualmente vinculam a identidade da conta a uma única assinatura (como ECDSA sobre secp256k1 ou EdDSA). A migração pós-quântica reforça a importância de desacoplar a identidade da conta de qualquer assinatura específica, permitindo atualizações de lógica de autenticação sem perder histórico e estado na cadeia.
Para cadeias que criptografam ou escondem detalhes de transações, a migração precoce para primitivas pós-quânticas é recomendada, especialmente se a confidencialidade for prioridade. Essas cadeias enfrentam risco de ataques HNDL, especialmente se o livro público permitir rastreamento completo.
No curto prazo, a prioridade deve ser a segurança de implementação, não a mitigação do risco quântico. Vulnerabilidades de implementação, como ataques de canal lateral e injeção de falhas, representam riscos mais imediatos do que computadores quânticos distantes. Investir em auditoria, fuzzing, verificação formal e defesa em camadas é essencial.
Financiar o desenvolvimento de computação quântica é uma lição de segurança nacional: qualquer país que obtenha capacidade de CRQC representará uma ameaça global.
Manter uma visão clara sobre anúncios de avanços quânticos é importante: eles indicam o quanto estamos longe de uma CRQC real, pois cada marco representa uma etapa que deve ser superada, muitas vezes gerando manchetes e entusiasmo. Essas notícias devem ser vistas com cautela, não como sinais de que a crise é iminente.
Eventos inesperados podem acelerar ou atrasar o cronograma, mas a probabilidade de uma CRQC surgir em cinco anos é muito baixa. Seguir essas recomendações ajuda a evitar riscos mais imediatos, como vulnerabilidades de implementação, implantação apressada e transições mal planejadas.
(Nota: Devido à extensão e à complexidade técnica do tema, o conteúdo foi resumido nesta tradução.)
