A visão de um engenheiro de criptografia sobre o cronograma da computação quântica

 (words.filippo.io)
6 pontos por GN⁺ 22 일 전 | 1 comentários | Compartilhar no WhatsApp
  • Resultados de pesquisas recentes antecipam para os próximos anos a possibilidade do surgimento de um computador quântico criptograficamente relevante (CRQC), aumentando drasticamente a urgência de implantar criptografia resistente a quantum (PQC)
  • Pesquisas do Google e da Oratomic mostram redução dos recursos necessários para atacar curvas elípticas de 256 bits, confirmando uma tendência de rápida melhora na eficiência de hardware e algoritmos
  • Especialistas apontam 2029 como prazo final para a migração para PQC e alertam que já entramos na “fase de ameaça inegável”
  • Como resposta, são propostos adoção imediata de ML-DSA e ML-KEM, descontinuação gradual de sistemas não-PQ e exclusão de autenticação híbrida
  • Em resumo, CRQC não é mais uma hipótese, mas um risco real, e uma transição completa para PQC antes de 2029 é essencial

A visão de um engenheiro de criptografia sobre o cronograma da computação quântica

  • A urgência de implantar criptografia resistente a quantum (PQC) aumentou drasticamente nos últimos tempos
    • Até poucos meses atrás, acreditava-se que ainda havia folga, mas resultados recentes mudaram o cenário rapidamente
    • Surgiram sinais de que a possibilidade do aparecimento de um computador quântico criptograficamente relevante (CRQC) foi antecipada para dentro de poucos anos

Dois resultados de pesquisa divulgados recentemente

  • A equipe de pesquisa do Google publicou um artigo mostrando uma grande redução no número de qubits lógicos e portas necessários para quebrar curvas elípticas de 256 bits (como NIST P-256 e secp256k1)
    • Em arquiteturas de clock rápido baseadas em qubits supercondutores, os cálculos indicam que um ataque poderia ser realizado em poucos minutos
    • Embora o artigo tenha sido escrito no contexto de criptomoedas, na prática ele tem implicações ainda mais graves para ataques man-in-the-middle contra a WebPKI
  • A equipe de pesquisa da Oratomic apresentou um cenário em que é possível quebrar curvas elípticas de 256 bits com apenas 10 mil qubits físicos em sistemas de átomos neutros com conectividade não local (non-local connectivity)
    • A velocidade é menor, mas se uma chave puder ser quebrada mesmo que apenas uma vez por mês, isso já pode causar consequências catastróficas
  • Ambos os estudos mostram a mesma tendência: melhora no desempenho do hardware, avanço na eficiência algorítmica e redução das exigências de correção de erros

Alertas de especialistas e mudança de cronograma

  • Heather Adkins e Sophie Schmieg, do Google, afirmam que “a fronteira quântica está muito mais próxima do que se esperava” e apresentam 2029 como prazo final para a migração
    • Isso deixa apenas 33 meses, o cronograma mais agressivo já apresentado até agora
  • Scott Aaronson compara a situação ao período de “1939–1940, quando a pesquisa sobre fissão deixou de ser pública”, alertando para a possibilidade de avanços radicais não divulgados
  • O cronograma apresentado na RWPQC 2026 ficou desatualizado em poucas semanas, e a piada de que “o computador quântico está sempre a 10 anos de distância” já não faz mais sentido
  • A mensagem comum entre os especialistas é: “agora estamos na fase de ameaça inegável

Percepção de risco e necessidade de resposta

  • A pergunta central não é “há chance de existir um CRQC em 2030?”, mas sim “você tem certeza de que não existirá um CRQC em 2030?
    • Para quem é responsável pela segurança dos usuários, nem mesmo uma chance abaixo de 1% pode ser ignorada
  • O ceticismo de que “ainda está longe” passou a ser visto como sinal de falta de especialização
    • Scott Aaronson compara isso a perguntar a um físico do Projeto Manhattan em 1943, depois de entender tolerância a falhas quânticas, “quando vocês vão conseguir uma pequena explosão nuclear?”, assim como perguntar “quando vão fatorar 35?”
  • As previsões podem até estar erradas, mas agora importa mais a possibilidade de estarem certas do que a de estarem erradas, e o risco atual já é inaceitável

O que precisa ser feito agora

  • É preciso colocar em produção agora (Ship Now)
    • Mesmo que não seja perfeito, é necessário adotar imediatamente o PQC disponível hoje
    • Assinaturas ML-DSA devem substituir o ECDSA, e os Merkle Tree Certificates para WebPKI já estão suficientemente avançados
  • Antes se acreditava que ainda haveria tempo para ajustar protocolos ao tamanho das assinaturas, mas com o prazo final de 2029 essa margem desapareceu

Transição de troca de chaves e autenticação

  • A troca de chaves PQ baseada em ML-KEM está avançando bem, mas as próximas ações são necessárias
    1. Troca de chaves não-PQ deve ser tratada imediatamente como risco de ataque ativo, com alertas ao usuário, como faz o OpenSSH
    2. Troca de chaves não interativa (NIKE) deve ser abandonada por enquanto, ficando viável apenas um modelo unidirecional de autenticação baseado em KEM

  • É proibido implantar novos sistemas criptográficos não-PQ

    • ECDSA, pairing, criptografia baseada em identidade e similares já não são mais práticos
    • Autenticação híbrida (clássica + PQ) é desnecessária, e a migração deve ir para ML-DSA-44 puro
    • Assinaturas híbridas são desperdício de tempo e complexidade, e a chance de surgir um CRQC é maior do que a chance de o ML-DSA ser quebrado classicamente
    • Ainda assim, em protocolos que já suportam estrutura de múltiplas assinaturas, é possível abrir uma exceção para uma assinatura híbrida simples no modelo “2-of-2”

Criptografia simétrica e algoritmo de Grover

  • Criptografia simétrica não precisa ser alterada

    • Existe o equívoco de que “é preciso chave de 256 bits” por causa de uma simplificação exagerada do algoritmo de Grover
    • Na prática, chaves de 128 bits continuam suficientes, e o ganho quântico de velocidade de Grover não pode ser paralelizado
    • Exigir 256 bits sem necessidade traz risco de prejudicar a interoperabilidade e atrasar a transição para PQC

Impacto no ecossistema de software e hardware

  • Mais da metade da biblioteca padrão do Go pode em breve se tornar insegura
    • O novo desafio será equilibrar ataques de downgrade com retrocompatibilidade
    • É esperado um caos muito maior do que na transição de SHA-1 para SHA-256

  • TEE (ambiente de execução confiável)— como Intel SGX e AMD SEV-SNP — não é confiável por não oferecer suporte a chaves PQ

    • Por limites de velocidade no nível de hardware, a transição para PQ pode ser inviável, exigindo rebaixamento ao papel de “defense in depth”

Ecossistema baseado em criptografia e criptografia de arquivos

  • Sistemas de identidade baseados em criptografia** (como atproto, criptomoedas etc.)** precisam iniciar a migração imediatamente

    • Se a migração não terminar antes da chegada de um CRQC, será preciso escolher entre comprometer usuários ou aposentar contas
    • Criptografia de arquivos é especialmente vulnerável a ataques de “store-now-decrypt-later”
    • Estão previstos alertas e bloqueios para tipos de destinatário age não-PQ
    • Destinatários PQ foram introduzidos pela primeira vez na versão 1.3.0 do age

Educação e transição geracional

  • No curso de doutorado em criptografia da Universidade de Bolonha, RSA, ECDSA e ECDH são tratados apenas como algoritmos legados
    • Os estudantes provavelmente encontrarão esses sistemas como “tecnologias do passado” em suas carreiras
    • Isso simboliza que a transição para PQC é um ponto de virada geracional

Patrocínio e manutenção de open source

  • A Geomys é uma organização especializada em manutenção do ecossistema Go, operando com apoio de Ava Labs, Teleport, Tailscale e Sentry
    • Essas empresas ajudam a garantir manutenção sustentável e segurança para protocolos criptográficos open source
    • A Teleport enfatiza o reforço do controle de acesso para defender contra tomada de contas e phishing, enquanto a Ava Labs destaca a garantia de confiabilidade de longo prazo para protocolos criptográficos de blockchain

Conclusão

  • A possibilidade do surgimento de um CRQC já não é mais uma hipótese, mas um risco concreto
  • Uma transição completa para PQC antes de 2029 é indispensável
  • ML-KEM e ML-DSA devem ser implantados imediatamente, e sistemas não-PQ precisam ser descontinuados gradualmente
  • Tanto profissionais de criptografia quanto tomadores de decisão precisam agir agora

Leituras relacionadas

1 comentários

 
GN⁺ 22 일 전
Comentários do Hacker News

  • Se o momento em que os computadores quânticos se tornarem práticos estiver próximo, FIPS 203 (ML-KEM) deve ser aplicado primeiro na troca de chaves de sessão de protocolos como TLS e SSH
    O ML-KEM deve substituir o Diffie-Hellman existente (clássico e de curva elíptica)
    Sem isso, um atacante pode armazenar dados agora e descriptografá-los mais tarde
    Por outro lado, certificados e assinaturas digitais não podem ser falsificados retroativamente, então a urgência é menor
    Ainda assim, em casos como documentos digitais com validade legal, em que a falsificação teria impacto, são necessárias formas de assinatura seguras também no futuro
    Bibliotecas importantes como OpenSSH e OpenSSL já suportam ML-KEM, então é possível aplicar isso com facilidade até no nível de servidores pessoais sem mudar a infraestrutura de autenticação

    • Até o ano passado eu também tinha essa posição, e era o consenso comum do setor
      Mas o cronograma pode ser antecipado de 2035 para 2029, então chegamos ao ponto em que a migração da infraestrutura de autenticação também precisa acontecer em paralelo
      A implantação de ML-KEM já está indo bem, mas agora precisamos tratar a troca de chaves não pós-quântica como um risco potencial
      Ou seja, se houver dados armazenados por mais de 3 anos, isso deve ser tratado como nível de alerta
    • O ponto importante é não substituir completamente o Diffie-Hellman existente, mas usar troca de chaves híbrida em paralelo
      Assim, um ataque só funciona se tanto a criptografia clássica quanto a resistente a quantum forem quebradas
      Como o ML-KEM também é um algoritmo novo e pode acabar sendo quebrado, o modelo híbrido é a defesa mais realista
      Especialistas como Dan Bernstein (djb) também enfatizam que não optar pelo híbrido é uma escolha irresponsável
    • Na prática, documentos legais e carimbos de tempo criptográficos já são assinados com base em RSA ou EC
      Nesses casos, é necessário migrar para assinaturas resistentes a quantum para evitar falsificações no futuro

  • Essa discussão parece não linear
    No caso do RSA, a dificuldade aumentou gradualmente em 8 bits, 64 bits, 256 bits, mas nos últimos 10 anos a computação quântica não fez nenhum avanço sobre RSA ou EC
    Então dizer de repente que toda a criptografia de chave pública poderá ser quebrada em poucos anos soa estranho
    Na prática, é difícil chegar a uma conclusão precipitada antes de ver sequer um RSA-256 ser quebrado em laboratório

    • Ao ler o texto de Bas Westerbaan e o comentário de Scott Aaronson, o ponto central é a correção de erros (error correction)
      No momento em que isso se torna viável, ir de RSA de 32 bits para RSA de 2048 bits não faz tanta diferença
      É como numa reação nuclear em cadeia: quando ela se torna autossustentável, aumentar o tamanho da bomba não é tão difícil
      É por isso que os especialistas dizem que o cronograma pode acelerar
    • De fato, nos últimos 10 anos a precisão dos gates e o número de qubits aumentaram em dezenas de vezes, e a eficiência da correção de erros também melhorou drasticamente
      Nos últimos 4 anos, o avanço nessa área foi explosivo
    • O ponto deste texto é que a troca de chaves públicas está em risco, não que a criptografia simétrica usada depois também esteja em risco
    • Como referência, até agora o maior número fatorado por um computador quântico foi 21

  • Achei um bom texto
    É impressionante que a padronização de destinatários híbridos em HPKE tenha levado 2 anos por causa do atraso do CFRG
    A IETF precisa rever internamente esse tipo de problema de processo

    • Acho que a lógica anti-híbrido defendida no texto está errada
      Mesmo que um CRQC existisse hoje, um algoritmo híbrido elevaria o custo do ataque para pelo menos US$ 1 milhão
      Considerando que alguns candidatos da 3ª fase de PQC podiam ser quebrados até em notebook, isso me parece muito melhor
    • Foi uma pena não ter te visto na reunião recente do CRFG

  • Este texto me fez mudar um pouco minha posição de que “computadores quânticos ainda estão longe e RSA está ok”
    Obrigado por explicar o risco de forma realista de um jeito que até pessoas céticas conseguem entender

    • A fala de Scott Aaronson foi especialmente marcante
      A analogia de que “entender tolerância a falhas quânticas e perguntar ‘quando vocês vão fatorar 35?’ é como perguntar a um cientista do Projeto Manhattan em 1943 ‘quando vocês vão fazer uma pequena explosão nuclear?’” mudou completamente minha forma de pensar

  • O argumento de omitir chaves híbridas é perigoso
    Esses algoritmos novos ainda têm pouca validação em produção, então um único defeito simples pode causar danos em grande escala

  • A computação quântica também pode ser usada para acelerar o treinamento de LLMs, então faz sentido o Google investir nisso
    Google e SoftBank investiram US$ 230 milhões no ano passado, e Microsoft, IBM e Google gastaram ao todo US$ 15 bilhões nos últimos 20 anos
    Mas, considerando que o investimento anual do Google em data centers é de US$ 150 bilhões, isso também pode ser um sinal de que a adoção prática ainda está longe

  • É perfeitamente possível que governos estejam desenvolvendo supercomputadores para quebrar criptografia
    Como no Projeto Manhattan, os princípios já são conhecidos e restam apenas problemas de engenharia
    Governos são bons em concentrar dinheiro, então isso pode de fato estar em andamento

    • Na época, a bomba de urânio (Little Boy) tinha uma estrutura simples o bastante para que se tivesse confiança no sucesso mesmo sem teste
      Já a bomba de plutônio (Fat Man) era muito mais complexa, mas mais eficiente, e acabou servindo de base para a tecnologia de mísseis nucleares
      Os projetos de Little Boy e Fat Man continuam interessantes até hoje
    • O computador quântico é como o zero-day definitivo
      É uma tecnologia que não se usa imediatamente, mas se guarda para o momento decisivo
    • Acho difícil acreditar que governos não desenvolvam tecnologia em segredo
      Já houve casos como o XKeyscore, por exemplo
    • Ainda assim, o Projeto Manhattan foi um megaprojeto industrial com participação de uma parcela significativa da população dos EUA
      Uma mobilização dessa escala provavelmente nunca mais será vista

  • Ao ler este texto, voltei a perceber a importância da criptografia simétrica
    Até que a PQE se estabeleça por completo, alguns sistemas críticos podem ser reforçados com criptografia simétrica baseada em chaves pré-compartilhadas (PSK)
    Por exemplo, operar um WireGuard VPN com PSK exige distribuição manual de chaves, mas torna inútil o tráfego coletado
    Essa abordagem não escala, mas pode ser uma camada de segurança realista e aplicável imediatamente
    No fim, PQE é o ideal, mas como a nova matemática e os novos sistemas ainda foram pouco validados, é preciso se preparar em paralelo

  • Não entendo por que o autor insiste em AES-128
    AES-256 praticamente não tem diferença de custo e é mais seguro contra ataques de store-now-decrypt-later
    O padrão do setor recomenda chaves de 256 bits, então basta seguir isso
    Ferramentas como Age também deveriam usar por padrão chaves de arquivo de 256 bits

    • Mas o NIST e o BSI afirmam explicitamente que AES-128, 196 e 256 continuam seguros mesmo após a era quântica
      O consenso geral do setor é que AES-128 já é suficiente
      Não existe cenário em que CRQC ameace a criptografia simétrica
    • O autor deixou claro que AES-128 não está em risco imediato
      Forçar uma migração para 256 agora pode, na verdade, desviar a atenção das transições realmente importantes

  • Embora a computação quântica, baseada em emaranhamento (entanglement), pareça produzir efeitos mais rápidos que a luz, ela na prática não viola as leis da física
    Portanto, faz mais sentido vê-la não como ficção, mas como um desafio de engenharia extremamente difícil