A ideia de que computadores quânticos vão quebrar códigos criptográficos e desencadear um desastre global de segurança aparece com frequência no noticiário. A onda mais recente vem de novas estimativas sugerindo que esse tipo de ataque pode ser 20 vezes mais fácil do que se calculava antes.
Isso assusta porque a criptografia é a base de proteção de praticamente tudo no ciberespaço - de conexões Wi‑Fi a operações bancárias e a moedas digitais como o bitcoin.
Como a computação quântica pode atingir a criptografia
Uma comparação ajuda a entender por que a discussão ganhou tração. Antes, estimava-se que seria preciso um computador quântico com 20 milhões de qubits (bits quânticos) para quebrar, em oito horas, o algoritmo RSA (batizado com os sobrenomes de seus inventores, Rivest–Shamir–Adleman). A nova estimativa afirma que o mesmo poderia ser feito com 1 milhão de qubits.
Se a criptografia for enfraquecida, a computação quântica representaria um risco sério para a nossa segurança digital cotidiana. A pergunta, então, é inevitável: estamos perto de um “apocalipse” da criptografia provocado por computadores quânticos?
Nem toda criptografia seria afetada do mesmo jeito. Para as ferramentas criptográficas mais usadas hoje, o impacto tende a ser pequeno. A criptografia simétrica, que é a responsável por criptografar a maior parte dos dados atualmente (e que não inclui o RSA), pode ser reforçada com relativa facilidade para resistir a computadores quânticos.
O efeito potencialmente mais relevante está na criptografia de chave pública, usada para estabelecer conexões seguras na internet. É o que dá suporte, por exemplo, a compras online e a mensagens protegidas - tradicionalmente com o RSA, embora cresça o uso de uma alternativa chamada Diffie-Hellman de curva elíptica.
A criptografia de chave pública também sustenta assinaturas digitais, como as usadas em transações de bitcoin, e aí entra ainda outro tipo: o algoritmo de assinatura digital de curva elíptica.
Se um dia existir um computador quântico suficientemente poderoso e confiável, técnicas que hoje são apenas teóricas podem passar a conseguir quebrar essas ferramentas de criptografia de chave pública. Em princípio, algoritmos RSA seriam mais vulneráveis por causa do tipo de matemática em que se apoiam - embora as alternativas também possam ter fragilidades.
Além disso, os próprios métodos teóricos de ataque tendem a evoluir com o tempo; o estudo recente sobre o RSA é apenas o exemplo mais novo disso.
Onde os computadores quânticos estão hoje
Computadores quânticos já existem, mas ainda têm capacidades bastante limitadas. Também não há um único modelo padrão de “computador quântico”: há diversas abordagens de projeto sendo exploradas em paralelo.
Antes que qualquer uma dessas abordagens chegue a um ponto realmente útil, ainda existem barreiras tecnológicas grandes a superar. Ao mesmo tempo, como há muito investimento envolvido, é razoável esperar melhorias técnicas importantes nos próximos anos.
O que não sabemos
O que segue altamente incerto é tanto o destino quanto os prazos do desenvolvimento da computação quântica. Na prática, ainda não sabemos do que computadores quânticos serão capazes.
As opiniões de especialistas são muito divergentes sobre quando a computação quântica “de verdade” deve aparecer. Uma minoria acredita que um avanço decisivo está prestes a acontecer. Outra minoria, igualmente relevante, acha que isso nunca vai se concretizar. A maioria considera que é possível no futuro, mas as previsões variam de entre dez e 20 anos até muito além disso.
E, mesmo que surjam, esses computadores quânticos serão relevantes para a criptografia? Em essência, ninguém sabe. Como boa parte das preocupações nessa área, o estudo sobre RSA descreve um ataque que pode funcionar ou não, e que exigiria uma máquina que talvez nunca seja construída (os computadores quânticos mais potentes hoje têm pouco mais de 1.000 qubits e ainda cometem muitos erros).
Ainda assim, do ponto de vista criptográfico, essa incerteza pode ser, em certa medida, secundária. Segurança exige pensar no pior cenário e preparar sistemas para o futuro.
Por isso, a postura mais prudente é partir do pressuposto de que um computador quântico relevante para a criptografia pode existir algum dia. Mesmo que ele esteja a 20 anos de distância, isso importa porque parte dos dados que criptografamos agora talvez ainda precise permanecer protegida daqui a 20 anos.
A experiência também indica que, em sistemas complexos - como redes financeiras -, a troca de criptografia pode levar muito tempo para ser concluída. Logo, é preciso começar já.
O que devemos fazer
A boa notícia é que grande parte do trabalho mais difícil já foi feita. Em 2016, o Nist (Instituto Nacional de Padrões e Tecnologia dos EUA) iniciou uma competição internacional para criar novas ferramentas de criptografia pós-quântica, consideradas resistentes a computadores quânticos.
Em 2024, o Nist publicou um conjunto inicial de padrões que inclui um mecanismo pós-quântico de troca de chaves e diversos esquemas pós-quânticos de assinatura digital.
Para ficar protegido contra um futuro computador quântico, sistemas digitais precisam substituir a criptografia de chave pública atual por mecanismos pós-quânticos. Também é necessário garantir que a criptografia simétrica existente use chaves simétricas longas o suficiente (muitos sistemas já cumprem esse requisito).
Ainda assim, a mensagem central é: não entre em pânico. Este é o momento de avaliar riscos e definir os próximos passos. O Centro Nacional de Segurança Cibernética do Reino Unido (NCSC), por exemplo, sugeriu um cronograma principalmente para grandes organizações e para quem dá suporte a infraestrutura crítica, como sistemas de controlo industrial.
Nesse plano, 2028 aparece como prazo para concluir um inventário criptográfico e estabelecer um plano de migração pós-quântica, com processos de atualização finalizados até 2035. Um horizonte de uma década indica que os especialistas do NCSC não veem um apocalipse iminente da criptografia.
Para o resto de nós, a orientação é aguardar. Se, no momento certo, isso for considerado necessário, navegadores, Wi‑Fi, telemóveis e apps de mensagens devem ir ganhando segurança pós-quântica aos poucos - por meio de atualizações (não deixe de instalá-las) ou pela substituição gradual de tecnologia.
Sem dúvida, ainda veremos muitas notícias sobre avanços na computação quântica e sobre “apocalipses” criptográficos, à medida que grandes empresas de tecnologia disputam espaço nas manchetes.
É possível que a computação quântica relevante para a criptografia chegue um dia - muito provavelmente num futuro distante. Se e quando isso acontecer, tudo indica que estaremos preparados.
Keith Martin, Professor, Grupo de Segurança da Informação, Royal Holloway University of London
Este artigo foi republicado de The Conversation sob uma licença Creative Commons. Leia o artigo original.
Comentários
Ainda não há comentários. Seja o primeiro!
Deixar um comentário