Computação quântica e blockchain: alinhar a urgência com a ameaça real

Escrito por: Justin Thaler

Tradução: BAIHUÁ Blockchain

Os prazos para computadores quânticos relevantes para a criptografia são frequentemente exagerados — levando a apelos urgentes para uma transição total e imediata para a criptografia pós-quântica.

No entanto, estes apelos tendem a ignorar os custos e riscos de uma migração prematura, bem como as diferenças radicais no perfil de risco entre primitivas criptográficas distintas:

A criptografia pós-quântica, apesar dos seus custos, exige uma implementação imediata: os ataques “Recolher Agora, Desencriptar Depois” (Harvest-Now-Decrypt-Later, HNDL) já estão em curso, porque os dados sensíveis encriptados hoje ainda terão valor quando chegarem os computadores quânticos, mesmo que isso só aconteça daqui a décadas. Os custos de desempenho e riscos de implementação da criptografia pós-quântica são reais, mas os ataques HNDL deixam quem precisa de confidencialidade a longo prazo sem alternativa.

As assinaturas pós-quânticas envolvem considerações diferentes. Elas são menos suscetíveis a ataques HNDL e os seus custos e riscos (maiores tamanhos, penalização de desempenho, imaturidade e erros de implementação) justificam uma abordagem ponderada, e não uma migração imediata.

Estas distinções são cruciais. A incompreensão pode distorcer a análise custo-benefício e levar as equipas a ignorar riscos de segurança mais prementes — como erros de programação (bugs).

O verdadeiro desafio de uma transição bem-sucedida para a criptografia pós-quântica está em alinhar a urgência com as ameaças reais. Abaixo, esclareço equívocos comuns sobre a ameaça quântica à criptografia — abrangendo encriptação, assinaturas e provas de conhecimento zero — com foco especial no seu impacto para blockchains.

Como está o nosso calendário?

Apesar de afirmações muito divulgadas, a possibilidade de um computador quântico relevante para a criptografia (CRQC) surgir na década de 2020 é extremamente baixa.

Por “computador quântico relevante para a criptografia”, refiro-me a uma máquina quântica tolerante a falhas, com correção de erros, capaz de executar o algoritmo de Shor numa escala suficiente para, num prazo razoável (por exemplo, dentro de um mês de computação contínua), quebrar {secp}256{k}1 ou {RSA-2048}, atacando a criptografia de curva elíptica ou RSA.

Com base em qualquer interpretação razoável dos marcos públicos e estimativas de recursos, estamos ainda muito longe de um computador quântico relevante para a criptografia. Por vezes, empresas afirmam que um CRQC pode surgir antes de 2030 ou, no máximo, antes de 2035, mas o progresso publicamente conhecido não suporta tais afirmações.

Para contextualizar, em todas as arquiteturas atuais — iões aprisionados, qubits supercondutores e sistemas de átomos neutros — as plataformas de computação quântica atuais estão longe das centenas de milhares a milhões de qubits físicos necessários para executar o algoritmo de Shor contra {RSA-2048} ou {secp}256{k}1 (dependendo das taxas de erro e do esquema de correção).

O fator limitante não é apenas o número de qubits, mas também a fidelidade das portas, a conectividade dos qubits e a profundidade de circuito de correção de erros sustentada necessária para correr algoritmos quânticos profundos. Embora alguns sistemas já tenham mais de 1.000 qubits físicos, o número bruto de qubits é enganador: estes sistemas não têm a conectividade e fidelidade de portas necessárias para cálculos relevantes para criptografia.

Os sistemas mais recentes estão a atingir taxas de erro físico próximas do limiar em que a correção de erros quânticos começa a funcionar, mas ninguém demonstrou mais do que alguns qubits lógicos com profundidade de circuito de correção sustentada… quanto mais os milhares de qubits lógicos tolerantes a falhas, de alta fidelidade e com circuitos profundos necessários para correr o algoritmo de Shor. Persiste um enorme fosso entre mostrar que a correção de erros quânticos é viável em princípio e alcançar a escala necessária para criptoanálise.

Resumindo: salvo melhorias de vários ordens de magnitude na quantidade e fidelidade de qubits, um computador quântico relevante para a criptografia continua distante.

No entanto, comunicados empresariais e reportagens mediáticas podem ser confusos. Eis alguns equívocos e fontes comuns de confusão:

Demonstrações que afirmam “vantagem quântica” atualmente focam-se em tarefas desenvolvidas artificialmente. Estas tarefas não foram escolhidas pela sua utilidade, mas porque podem ser executadas no hardware existente e aparentam grande aceleração quântica — facto frequentemente omitido nos anúncios.

Empresas anunciam ter milhares de qubits físicos. Mas tal refere-se a máquinas de recozimento quântico, não ao modelo de portas necessário para correr o algoritmo de Shor e atacar criptografia de chave pública.

Empresas usam liberalmente o termo “qubit lógico”. Qubits físicos são ruidosos. Como referido, os algoritmos quânticos requerem qubits lógicos; o algoritmo de Shor precisa de milhares. Usando correção de erros, muitos qubits físicos podem formar um qubit lógico — normalmente centenas a milhares, dependendo da taxa de erro. Mas algumas empresas esticaram o termo ao absurdo. Por exemplo, um anúncio recente alegou realizar um qubit lógico com um código de distância 2 e apenas dois qubits físicos. Isto é absurdo: um código de distância 2 apenas deteta erros, não os corrige. Qubits lógicos verdadeiramente tolerantes a falhas para criptoanálise exigem centenas a milhares de qubits físicos, não dois.

Mais genericamente, muitos roteiros de computação quântica usam “qubit lógico” para se referir a qubits que apenas suportam operações Clifford. Estas podem ser simuladas eficientemente em clássicos, não sendo suficientes para correr o algoritmo de Shor, que requer milhares de portas T corrigidas (ou, mais genericamente, portas não-Clifford).

Mesmo que um roteiro aponte para “milhares de qubits lógicos em X anos”, isso não significa que a empresa espera correr o algoritmo de Shor para quebrar criptografia clássica nesse mesmo ano X.

Estas práticas distorcem gravemente a perceção pública da proximidade de um computador quântico relevante para a criptografia, mesmo entre observadores experientes.

Dito isto, alguns especialistas estão entusiasmados com o progresso. Por exemplo, Scott Aaronson escreveu recentemente que, dado “o atual ritmo incrível do hardware”,

considera plausível termos um computador quântico tolerante a falhas a correr o algoritmo de Shor antes das próximas eleições presidenciais nos EUA.

Mas Aaronson esclareceu depois que não se referia a um computador relevante para a criptografia: consideraria um sucesso uma execução tolerante a falhas do algoritmo de Shor para fatorizar 15 = 3 x 5 — cálculo que se faz mais rápido com papel e lápis. O padrão continua a ser a execução em pequena escala, não em escala relevante para criptografia, já que experiências anteriores usaram circuitos simplificados, não o algoritmo completo e tolerante a falhas. E há razões para estas experiências focarem sempre o número 15: a aritmética módulo 15 é fácil, enquanto fatorizar números um pouco maiores, como 21, é muito mais difícil. Por isso, experiências que alegam fatorizar 21 dependem tipicamente de dicas ou atalhos adicionais.

Resumindo, não há progresso publicamente conhecido que suporte a expectativa de um computador quântico capaz de quebrar {RSA-2048} ou {secp}256{k}1 — o que é crucial para a criptografia prática — nos próximos 5 anos.

Mesmo 10 anos é ambicioso. Dada a distância que nos separa de um computador quântico relevante para a criptografia, entusiasmo com o progresso é compatível com prazos superiores a uma década.

E quanto ao prazo de 2035 estabelecido pelo governo dos EUA para a migração pós-quântica total dos sistemas governamentais? Considero esse um calendário razoável para uma transição de grande escala. No entanto, não é uma previsão de que um computador quântico relevante para a criptografia existirá nessa altura.

Para que cenários se aplicam (ou não) ataques HNDL?

“Recolher Agora, Desencriptar Depois” (HNDL) refere-se a adversários que armazenam tráfego encriptado hoje para o desencriptar quando existirem computadores quânticos relevantes para a criptografia. Adversários ao nível de Estados certamente já estão a arquivar em massa comunicações encriptadas do governo dos EUA, para as desencriptar anos depois de um CRQC surgir.

É por isso que a encriptação deve migrar imediatamente — pelo menos para quem exige confidencialidade por 10-50 anos ou mais.

Mas as assinaturas digitais — de que todas as blockchains dependem — diferem: não há confidencialidade retroativa a atacar.

Ou seja, se um computador quântico relevante para a criptografia surgir, a falsificação de assinaturas torna-se possível a partir desse momento, mas assinaturas passadas não “escondem” segredos como as mensagens encriptadas. Desde que se saiba que a assinatura foi gerada antes do surgimento do CRQC, não pode ter sido falsificada.

Isto faz com que a transição para assinaturas digitais pós-quânticas seja menos urgente do que a transição da encriptação.

As principais plataformas estão a agir em conformidade: Chrome e Cloudflare lançaram encriptação híbrida {X}25519+{ML-KEM} para a segurança da camada de transporte (TLS).

Neste artigo, uso por simplicidade o termo “esquema de encriptação”, embora tecnicamente protocolos de comunicação segura como o TLS usem troca de chaves ou mecanismos de encapsulamento, não encriptação de chave pública.

Aqui, “híbrido” significa usar simultaneamente um esquema pós-quântico (ML-KEM) e um clássico ({X}25519), obtendo garantias combinadas de segurança. Assim, podem bloquear ataques HNDL via ML-KEM, mantendo segurança clássica caso ML-KEM se revele inseguro mesmo para computadores atuais.

O protocolo PQ3 da Apple para iMessage já implementa esta encriptação híbrida pós-quântica; o Signal também, via PQXDH e SPQR.

Por contraste, a adoção de assinaturas digitais pós-quânticas na infraestrutura crítica da Internet está a ser adiada até que computadores quânticos relevantes para a criptografia estejam realmente iminentes, devido ao impacto no desempenho (detalhado mais à frente).

zkSNARKs — provas sucintas de conhecimento zero não-interativas, cruciais para a escalabilidade e privacidade das blockchains — estão numa situação semelhante às assinaturas. Mesmo para {zkSNARKs} não pós-quânticos (que usam criptografia de curva elíptica, tal como os esquemas clássicos), a sua propriedade de conhecimento zero é segura contra adversários quânticos.

A propriedade de conhecimento zero garante que nenhuma informação sobre o segredo é revelada na prova — mesmo para adversários quânticos —, pelo que não há segredos a “recolher” para desencriptação futura.

Portanto, {zkSNARKs} não são vulneráveis a ataques HNDL. Assim como as assinaturas não pós-quânticas geradas hoje são seguras, qualquer prova {zkSNARK} gerada antes da chegada de um computador quântico relevante para a criptografia é confiável (ou seja, a afirmação provada é de facto verdadeira) — mesmo que use criptografia de curva elíptica. Só após a chegada de um CRQC é que um atacante poderia forjar provas convincentes de afirmações falsas.

O que isto significa para blockchains

A maioria das blockchains não está exposta a ataques HNDL:

A maioria das cadeias não-privadas, como Bitcoin e Ethereum hoje, utiliza primariamente criptografia não pós-quântica para autorizar transações — ou seja, usa assinaturas digitais, não encriptação.

Também aqui as assinaturas não são um risco HNDL: ataques “Recolher Agora, Desencriptar Depois” aplicam-se a dados encriptados. Por exemplo, a blockchain do Bitcoin é pública; a ameaça quântica é a falsificação de assinaturas (derivar a chave privada para roubar fundos), não desencriptar dados já públicos. Isto elimina a urgência de migração da encriptação motivada por ataques HNDL.

Infelizmente, até análises de fontes confiáveis como a Reserva Federal dos EUA erradamente afirmam que o Bitcoin é vulnerável a ataques HNDL, exagerando a urgência da transição para a criptografia pós-quântica.

Dito isto, uma menor urgência não significa que o Bitcoin possa esperar: enfrenta pressões distintas de tempo devido à enorme coordenação social necessária para alterar o protocolo.

A exceção hoje são cadeias de privacidade, muitas das quais encriptam ou ocultam de outro modo destinatários e montantes. Assim que existirem computadores quânticos capazes de quebrar criptografia de curva elíptica, esta confidencialidade pode ser recolhida agora e usada retroativamente para desanonimizar.

A gravidade deste ataque varia consoante o design da blockchain. Por exemplo, para os ring signatures baseados em curvas e imagens de chave do Monero (etiquetas de ligação para evitar double-spending em cada saída), o próprio registo público basta para reconstruir retroativamente o grafo de gastos. Noutras cadeias, o dano é mais limitado — para detalhes, ver a análise do engenheiro e investigador de criptografia da Zcash, Sean Bowe.

Se for importante que as transações dos utilizadores não sejam expostas por computadores quânticos, cadeias de privacidade devem migrar para primitivas pós-quânticas (ou híbridas) assim que viável. Alternativamente, devem adotar arquiteturas que evitem colocar segredos desencriptáveis na cadeia.

O dilema único do Bitcoin: governação + moedas abandonadas

Em particular para o Bitcoin, existem dois fatores que aumentam a urgência de iniciar a transição para assinaturas digitais pós-quânticas — ambos alheios à tecnologia quântica.

Uma preocupação é a lentidão da governação: o Bitcoin muda devagar. Questões controversas podem resultar em hard forks destrutivos se a comunidade não conseguir chegar a consenso sobre a solução apropriada.

Outra preocupação é que a migração para assinaturas pós-quânticas não pode ser passiva: os proprietários devem migrar ativamente as suas moedas. Isto significa que moedas abandonadas e vulneráveis a ataques quânticos não podem ser protegidas. Algumas estimativas apontam para milhões de BTC potencialmente abandonados e vulneráveis, valendo dezenas de milhares de milhões de dólares aos preços atuais (dezembro de 2025).

No entanto, a ameaça quântica ao Bitcoin não será uma catástrofe repentina durante a noite… mas sim um processo seletivo e gradual de ataque. Computadores quânticos não quebrarão toda a criptografia de uma vez — o algoritmo de Shor tem de atacar uma chave pública de cada vez. Os primeiros ataques quânticos serão extremamente caros e lentos. Assim, quando um computador quântico conseguir quebrar uma única chave de assinatura do Bitcoin, os atacantes escolherão carteiras de alto valor.

Além disso, utilizadores que evitam reutilizar endereços e não usam endereços Taproot — que expõem diretamente a chave pública na cadeia — estão em grande parte protegidos mesmo sem alterações ao protocolo: as suas chaves públicas permanecem ocultas atrás de uma função hash até a moeda ser gasta. Quando eventualmente gastam, a chave pública torna-se visível e há uma breve corrida em tempo real entre o utilizador legítimo e um atacante com equipamento quântico para gastar a moeda antes da confirmação. Assim, as moedas realmente vulneráveis são aquelas cujas chaves públicas já foram expostas: saídas pay-to-public-key iniciais, endereços reutilizados e Taproot.

Para moedas abandonadas e vulneráveis, não há solução simples. Algumas opções incluem:

A comunidade Bitcoin concordar com um “dia de sinalização”, após o qual moedas não migradas são consideradas destruídas.

Permitir que qualquer pessoa com computador quântico relevante para a criptografia reclame moedas abandonadas e vulneráveis.

A segunda opção levanta sérios problemas legais e de segurança. Tomar posse de moedas via computador quântico sem a chave privada — mesmo alegando propriedade legítima ou boa-fé — pode constituir crime de furto e fraude informática em muitas jurisdições.

Além disso, “abandonada” baseia-se numa presunção de inatividade. Ninguém sabe realmente se essas moedas não têm donos vivos com as chaves. Ter possuído as moedas no passado pode não bastar para justificar legalmente quebrar a criptografia para as recuperar. Esta ambiguidade legal aumenta a probabilidade de moedas vulneráveis caírem nas mãos de agentes maliciosos dispostos a ignorar a lei.

Outro problema específico do Bitcoin é a sua baixa capacidade de processamento de transações. Mesmo que o plano de migração seja acordado, migrar todos os fundos vulneráveis para endereços pós-quânticos exigiria meses à taxa de transações atual.

Estes desafios tornam essencial o planeamento imediato da transição pós-quântica do Bitcoin — não porque computadores quânticos relevantes para a criptografia possam surgir antes de 2030, mas porque a governação, coordenação e logística técnica para migrar bens de dezenas de milhares de milhões levarão anos a resolver.

A ameaça quântica ao Bitcoin é real, mas a pressão do calendário resulta das limitações do próprio Bitcoin, não de computadores quânticos iminentes. Outras blockchains enfrentam desafios próprios com fundos vulneráveis, mas o Bitcoin tem uma exposição única: as suas primeiras transações usam saídas pay-to-public-key, expondo diretamente as chaves públicas na cadeia, tornando uma grande fração dos BTC especialmente vulneráveis a computadores quânticos relevantes para a criptografia. Esta diferença técnica — combinada com a longevidade, concentração de valor, baixa capacidade e rigidez da governação — agrava o problema.

Note-se que as vulnerabilidades descritas acima dizem respeito à segurança criptográfica das assinaturas do Bitcoin — não à segurança económica da blockchain. Esta última advém do mecanismo de consenso proof-of-work (PoW), que não é facilmente vulnerável a computadores quânticos, por três razões:

O PoW baseia-se em funções hash, sendo apenas afetado pela aceleração quântica quadrática do algoritmo de Grover, e não pela aceleração exponencial do algoritmo de Shor.

Os custos práticos de implementar a pesquisa de Grover tornam improvável que um computador quântico obtenha aceleração significativa sobre o PoW do Bitcoin.

Mesmo que haja aceleração significativa, ela apenas favorece grandes mineradores quânticos, mas não destrói o modelo de segurança económica do Bitcoin.

Custos e riscos das assinaturas pós-quânticas

Para perceber porque as blockchains não devem apressar a adoção de assinaturas pós-quânticas, é preciso entender os custos de desempenho e o grau ainda incerto de confiança na segurança pós-quântica.

A maioria da criptografia pós-quântica baseia-se num de cinco métodos:

Hashing (hashing)

Códigos (codes)

Redes (lattices)

Sistemas quadráticos multivariados (multivariate quadratic systems, MQ)

Isogenias (isogenies).

Por que cinco métodos diferentes? A segurança de qualquer primitiva pós-quântica baseia-se na hipótese de que computadores quânticos não conseguem resolver eficientemente certo problema matemático. Quanto mais “estruturado” o problema, mais eficiente é o protocolo criptográfico que podemos construir.

Mas há um custo: estrutura adicional oferece mais pontos de ataque para algoritmos adversários. Isto cria um dilema fundamental — hipóteses mais fortes permitem melhor desempenho, mas aumentam o risco de falhas de segurança (ou seja, hipóteses serem refutadas).

De modo geral, métodos baseados em hashing são os mais conservadores quanto à segurança, pois temos mais confiança que computadores quânticos não os atacam eficientemente. Contudo, são os menos eficientes. Por exemplo, o esquema baseado em hashing padronizado pelo NIST, mesmo no parâmetro mais baixo, tem tamanho de 7-8 KB. Em contraste, assinaturas digitais de curva elíptica atuais têm apenas 64 bytes — cerca de 100 vezes mais pequenas.

Esquemas baseados em redes são os principais candidatos atuais. O NIST escolheu para padronização o único esquema de encriptação e dois dos três esquemas de assinatura baseados em redes. Um deles (ML-DSA, antes Dilithium) gera assinaturas de 2,4 KB (nível de segurança de 128 bits) até 4,6 KB (256 bits) — 40-70 vezes maiores que as de curva elíptica. Outro, Falcon, tem assinaturas menores (Falcon-512: 666 bytes; Falcon-1024: 1,3 KB), mas usa operações de floating point complexas, sendo considerado pelo próprio NIST um desafio de implementação. Um dos criadores de Falcon, Thomas Pornin, chama-lhe “o algoritmo criptográfico mais complexo que implementei”.

A segurança de implementação das assinaturas baseadas em redes é mais desafiante do que as de curva elíptica: o ML-DSA tem mais valores intermédios sensíveis e lógica de amostragem de rejeição não trivial, exigindo contramedidas contra canais laterais e falhas. O Falcon acrescenta problemas de floating point em tempo constante; de facto, já ocorreram ataques de canais laterais que recuperaram chaves secretas de implementações de Falcon.

Estes problemas representam riscos imediatos, ao contrário da ameaça distante dos computadores quânticos relevantes para a criptografia.

Há razões sólidas para cautela na adoção de métodos pós-quânticos mais eficientes. Historicamente, esquemas promissores como Rainbow (baseado em MQ) e SIKE/SIDH (baseado em isogenias) foram quebrados com computadores clássicos, ainda durante o processo de padronização do NIST.

Isto demonstra ciência saudável, mas ilustra como a padronização e adoção prematuras podem sair pela culatra.

Como referido, a infraestrutura da Internet está a abordar a migração das assinaturas com ponderação. Dado o tempo que leva uma transição de encriptação na Internet, isto é relevante. A transição de funções hash como MD5 e SHA-1 — tecnicamente obsoletas há anos — demorou muitos anos a ser implementada na infraestrutura, e ainda está em curso em alguns casos. E isto para esquemas totalmente quebrados, não apenas potencialmente vulneráveis a tecnologias futuras.

Desafios únicos das blockchains face à infraestrutura da Internet

Felizmente, blockchains ativamente mantidas por comunidades open-source, como Ethereum ou Solana, podem atualizar-se mais rapidamente do que a infraestrutura da Internet tradicional. Por outro lado, a infraestrutura da Internet beneficia da rotação frequente de chaves, movendo a superfície de ataque mais depressa do que a velocidade a que máquinas quânticas iniciais poderão comprometer — luxo que as blockchains não têm, pois moedas e suas chaves podem permanecer expostas indefinidamente.

No geral, blockchains devem seguir a abordagem ponderada da Internet para migração de assinaturas. Em ambos os casos, as assinaturas não estão expostas a ataques HNDL, e os custos e riscos de migrar prematuramente para esquemas pós-quânticos imaturos continuam elevados.

Há ainda desafios específicos das blockchains que tornam a migração prematura particularmente arriscada e complexa: por exemplo, blockchains têm requisitos únicos para esquemas de assinatura, sobretudo a capacidade de agregação rápida de múltiplas assinaturas. Hoje, as assinaturas BLS são populares pela agregação eficiente, mas não são pós-quânticas. Investigadores exploram agregação de assinaturas pós-quânticas baseadas em SNARKs. Este trabalho é promissor, mas está numa fase inicial.

Para SNARKs, a comunidade foca-se hoje em estruturas baseadas em hashing como principal opção pós-quântica. No entanto, uma mudança significativa aproxima-se: acredito que nos próximos meses e anos, opções baseadas em redes se tornarão alternativas atraentes, superando SNARKs baseados em hashing em desempenho, tal como acontece entre assinaturas baseadas em redes e em hashing.

O problema maior hoje: segurança de implementação

Nos próximos anos, vulnerabilidades de implementação serão um risco de segurança maior do que computadores quânticos relevantes para a criptografia. Para {SNARKs}, o foco principal são bugs de programação.

Bugs já são um desafio em assinaturas digitais e esquemas de encriptação — {SNARKs} são ainda mais complexos. De facto, uma assinatura digital pode ser vista como um {zkSNARK} muito simples para a afirmação “sei a chave privada correspondente à minha chave pública e autorizo esta mensagem”.

Para assinaturas pós-quânticas, o risco imediato inclui ataques de implementação, como canais laterais e injeção de falhas. Estes ataques estão bem documentados e podem extrair chaves secretas de sistemas já implementados. São ameaças muito mais urgentes do que computadores quânticos distantes.

A comunidade gastará anos a identificar e corrigir bugs em {SNARKs} e a reforçar implementações de assinaturas pós-quânticas contra ataques laterais e de falhas. Como o panorama de SNARKs pós-quânticos e agregação de assinaturas é ainda incerto, blockchains que migrem cedo correm o risco de ficarem presas a opções subótimas, tendo de migrar novamente quando surgirem opções melhores ou forem descobertas vulnerabilidades.

O que fazer? 7 recomendações

Com base no que expus, deixo recomendações para vários intervenientes — de construtores a decisores políticos. Princípio fundamental: leve a sério a ameaça quântica, mas não atue assumindo que computadores quânticos relevantes para a criptografia chegarão antes de 2030. Esta hipótese não é corroborada pelo progresso atual. Ainda assim, há medidas que podemos e devemos tomar já:

Devemos implementar imediatamente encriptação híbrida.

Ou, pelo menos, onde a confidencialidade a longo prazo importa e o custo é aceitável.

Muitos browsers, CDNs e apps de mensagens (iMessage, Signal) já adotaram métodos híbridos. O modelo híbrido — pós-quântico + clássico — resiste a ataques HNDL, ao mesmo tempo que mitiga fraquezas potenciais nos esquemas pós-quânticos.

Usar já assinaturas baseadas em hashing quando o tamanho for aceitável.

Atualizações de software/firmware — e outros cenários de baixa frequência e insensíveis ao tamanho — devem adotar já assinaturas baseadas em hashing (de modo híbrido, para mitigar erros de implementação, não dúvidas nas hipóteses de segurança).

Isto é conservador e, no improvável caso de um computador quântico relevante para a criptografia surgir cedo, oferece à sociedade um “bote salva-vidas” claro. Se não houver assinaturas pós-quânticas em atualizações antes do CRQC, enfrentaremos um problema de arranque: não poderemos distribuir com segurança os patches de criptografia pós-quântica necessários para nos protegermos.

Blockchains não precisam apressar assinaturas pós-quânticas — mas devem planear já.

Desenvolvedores de blockchains devem seguir o exemplo da comunidade de PKI da Internet e adotar uma abordagem ponderada à implementação de assinaturas pós-quânticas. Isto permitirá que os esquemas amadureçam em desempenho e segurança, dando tempo para reestruturar sistemas para tamanhos de assinatura maiores e desenvolver melhores técnicas de agregação.

Para Bitcoin e outras L1: a comunidade deve definir um plano de migração e políticas para fundos vulneráveis e abandonados. Migração passiva não é viável, pelo que o planeamento é fundamental. E, dado que o Bitcoin enfrenta desafios não técnicos únicos — governação lenta e grandes volumes de fundos vulneráveis potencialmente abandonados —, é especialmente importante começar já a planear.

Entretanto, devemos permitir que a investigação sobre {SNARKs} pós-quânticos e assinaturas agregáveis amadureça (o que pode levar mais alguns anos). Mais uma vez, migrar cedo arrisca ficar preso a opções subótimas ou ter de migrar de novo para corrigir vulnerabilidades de implementação.

Nota sobre o modelo de contas do Ethereum: o Ethereum suporta dois tipos de conta, com diferentes implicações para a migração pós-quântica — contas externas (EOAs), controladas por chaves {secp}256{k}1; e carteiras de contrato inteligente com lógica de autorização programável.

Em cenários não urgentes, se o Ethereum adicionar suporte para assinaturas pós-quânticas, carteiras de contrato inteligentes e atualizáveis podem mudar para validação pós-quântica via upgrade, enquanto as EOAs podem precisar transferir fundos para novos endereços pós-quânticos (embora o Ethereum deva fornecer um mecanismo dedicado de migração para EOAs).

Em caso de emergência quântica, investigadores do Ethereum propõem um hard fork para congelar contas vulneráveis e permitir a recuperação de fundos através de provas {SNARKs} pós-quânticas de conhecimento da seed. Este mecanismo cobre EOAs e qualquer carteira de contrato inteligente ainda não atualizada.

Impacto prático para utilizadores: carteiras de contrato inteligentes bem auditadas e atualizáveis podem oferecer uma migração ligeiramente mais suave — mas a diferença não é grande e envolve trade-offs de confiança na gestão e atualização da carteira. Mais importante é que a comunidade Ethereum continue a trabalhar em primitivas pós-quânticas e planos de resposta de emergência.

Lição mais ampla para construtores: hoje, muitas blockchains acoplam a identidade de contas a uma primitiva criptográfica específica — Bitcoin e Ethereum a ECDSA sobre {secp}256{k}1, outras a EdDSA. Os desafios da migração pós-quântica evidenciam o valor de desacoplar a identidade de conta de qualquer esquema de assinatura específico. O movimento do Ethereum para contas inteligentes e iniciativas de abstração de contas em outras cadeias refletem esta tendência: permitir que contas atualizem a lógica de autenticação sem perder histórico e estado on-chain. Esta separação não torna trivial a migração pós-quântica, mas oferece mais flexibilidade do que codificar contas a um único esquema. (Também permite outras funcionalidades como transações patrocinadas, recuperação social e multiassinaturas).

Para cadeias de privacidade que encriptam/ocultam detalhes de transações, se o desempenho o permitir, devem priorizar uma migração mais precoce.

A confidencialidade dos utilizadores nestas cadeias está hoje exposta a ataques HNDL, embora a gravidade varie com o design. Cadeias em que o registo público permite desanonimização total retroativa enfrentam o risco mais urgente.

Considerar esquemas híbridos (pós-quântico + clássico) para prevenir que um esquema pós-quântico se revele inseguro até mesmo para computadores clássicos, ou implementar mudanças arquitetónicas que evitem colocar segredos desencriptáveis na cadeia.

No curto prazo, priorizar a segurança de implementação — não a mitigação da ameaça quântica.

Especialmente para primitivas criptográficas complexas como {SNARKs} e assinaturas pós-quânticas, bugs e ataques de implementação (canais laterais, injeção de falhas) serão riscos de segurança muito maiores do que computadores quânticos relevantes para a criptografia nos próximos anos.

Investir já em auditorias, fuzzing, verificação formal e métodos de defesa em profundidade — não deixe que receios quânticos obscureçam ameaças imediatas de bugs!

Financiar o desenvolvimento da computação quântica.

Uma implicação importante para a segurança nacional é a necessidade de financiamento e formação contínuos em computação quântica.

Um rival alcançar capacidade quântica relevante para a criptografia antes dos EUA representaria um sério risco de segurança nacional para os EUA e para o mundo.

Manter perspetiva sobre anúncios de computação quântica.

Com o amadurecimento do hardware quântico, haverá muitos marcos nos próximos anos. Paradoxalmente, a frequência destes anúncios demonstra o quão longe estamos de computadores quânticos relevantes para a criptografia: cada marco é apenas uma de muitas etapas a ultrapassar, cada uma gerando manchetes e entusiasmo.

Encare comunicados de imprensa como relatórios de progresso a avaliar criticamente, não como sinais para ação imediata.

Naturalmente, podem surgir avanços surpreendentes que acelerem os prazos, tal como podem surgir obstáculos que os atrasem.

Não afirmo que computadores quânticos relevantes para a criptografia em cinco anos sejam absolutamente impossíveis, apenas altamente improváveis. As recomendações acima são robustas perante esta incerteza e segui-las permite evitar riscos mais imediatos e prováveis: bugs de implementação, deploys apressados e os erros clássicos das transições de criptografia.