Parte IV · 1 — A ameaça quântica

draft

Toda a criptografia assimétrica de hoje repousa em problemas que um computador quântico suficientemente grande resolve. Não é ficção: o algoritmo existe desde 1994. A questão é quando — e a resposta exige agir antes disso.


1.1 Por que o quântico quebra a assimétrica

A segurança de RSA, Diffie-Hellman e curvas elípticas é computacional: vem de problemas (fatoração, logaritmo discreto) que nenhum computador clássico resolve em tempo viável. Um computador quântico muda o jogo para essa classe exata de problemas.

  • Algoritmo de Shor (1994) — fatora inteiros e resolve logaritmos discretos

    em tempo polinomial. Isso quebra RSA, DH, ECDH, ECDSA, Ed25519 — toda a base assimétrica de uma vez. Não é um enfraquecimento; é uma ruptura total.

O impacto quântico: o que Shor quebra e o que Grover só enfraquece


1.2 A simétrica só leva um susto

A criptografia simétrica e os hashes sofrem muito menos:

  • Algoritmo de Grover (1996) — acelera buscas por força bruta, dando uma

    vantagem de raiz quadrada. Na prática, reduz a segurança efetiva pela metade: o AES-128 cai para ~64 bits de margem (incômodo), mas o AES-256 permanece com ~128 bits — sólido. O mesmo vale para hashes: use saídas de 256+ bits.

A receita para a simétrica é simples: dobrar o tamanho da chave (use AES-256, SHA-384/512). Não há ruptura, só ajuste de parâmetro. Toda a crise é assimétrica.

Primitiva Algoritmo quântico Efeito Resposta
RSA / DH / curvas Shor quebra total trocar por PQC
AES, ChaCha20 Grover ½ da margem usar 256 bits
SHA-2 / SHA-3 Grover ½ da margem usar 256+ bits

1.3 "Harvest now, decrypt later"

Aqui está o porquê de a urgência ser hoje, mesmo que o computador quântico relevante ainda não exista. Um adversário pode:

  1. Capturar e arquivar hoje todo o tráfego cifrado que conseguir.
  2. Decifrar depois, quando tiver um computador quântico — anos no futuro.

Isso se chama HNDL (Harvest Now, Decrypt Later). Qualquer dado que precise permanecer secreto por mais de uma década — registros médicos, segredos de Estado, chaves de longa duração — já está em risco agora, porque pode estar sendo arquivado neste momento. A confidencialidade de longo prazo é a primeira vítima, muito antes de a máquina existir.


1.4 Quando? A linha do tempo incerta

Ninguém sabe a data de um "CRQC" (Cryptographically Relevant Quantum Computer). As estimativas variam de uma a várias décadas, e o hardware ainda está longe da escala (milhões de qubits lógicos, com correção de erro) que o Shor exige na prática. Mas a decisão não pode esperar a certeza, por três motivos:

  1. HNDL já ameaça dados de longa duração hoje.
  2. Migrar criptografia leva anos em sistemas grandes — protocolos, bibliotecas,

    hardware, padrões.

  3. O risco é assimétrico: migrar cedo custa esforço; migrar tarde demais é

    catastrófico e irreversível.

Por isso o NIST finalizou os primeiros padrões pós-quânticos em 2024 e governos definiram prazos de migração — tema das próximas seções.


Referência densa: Shor, Grover, estimativas de qubits e HNDL em 08-pos-quantica. A seguir: As novas famílias — a matemática que resiste ao quântico e os padrões que a NIST escolheu.