Criptografia pós-quântica: a defesa contra futuros ataques de computadores quânticos

A máquina quântica não ganha vantagem contra esses novos problemas
Explicação de como a criptografia pós-quântica resiste ao poder de processamento dos computadores quânticos.

Computadores quânticos podem quebrar a criptografia RSA e de Curvas Elípticas em 5-10 anos, ameaçando Bitcoin, blockchains e dados sensíveis. Algoritmos pós-quânticos como McEliece, CRYSTALS-KYBER e SPHINCS+ já estão em padronização pelo NIST e sendo testados por Google, Amazon e Intel.

  • Computadores quânticos podem quebrar RSA e Curvas Elípticas em 5-10 anos
  • Algoritmos como McEliece, CRYSTALS-KYBER e SPHINCS+ estão em padronização pelo NIST
  • Google, Amazon e Intel já testam criptografia pós-quântica em produção
  • Chaves pós-quânticas podem exigir até 2.500.000 bits, versus 256-512 bits dos algoritmos atuais

A criptografia pós-quântica emerge como solução para proteger dados contra futuros ataques de computadores quânticos, que poderiam quebrar os algoritmos de segurança atuais em poucos anos.

Os computadores quânticos ainda não fazem parte do nosso cotidiano, mas sua chegada já assombra os especialistas em segurança digital. Quando essas máquinas se tornarem realidade prática, elas possuirão um poder de processamento capaz de destruir praticamente toda a criptografia que protege nossas informações hoje. O Bitcoin oferece um exemplo concreto dessa ameaça: segundo Andersen Cheng, CEO da Post-Quantum, computadores quânticos poderiam quebrar a criptografia da moeda digital até 2022. Alguns especialistas vão além, sugerindo que governos já desenvolvem em segredo máquinas quânticas do tamanho de estádios, escondidas em bunkers subterrâneos, capazes de corromper blockchains em poucos anos. Sundar Pichai, CEO do Google, oferece um prazo um pouco mais generoso: entre cinco e dez anos, a computação quântica quebrará a criptografia como a conhecemos.

A ameaça é real porque os algoritmos que protegem nossas informações hoje—RSA e Curvas Elípticas—dependem de problemas matemáticos que um computador quântico resolveria com facilidade. Essa vulnerabilidade foi descoberta em 1994 por Peter Shor, e desde então a comunidade de segurança sabe que o relógio está marcando. Mas a indústria não está esperando passivamente. Empresas e pesquisadores já trabalham em soluções, e uma delas chama-se criptografia pós-quântica: uma tecnologia capaz de resistir aos ataques de máquinas quânticas com a mesma eficiência que os algoritmos atuais resistem aos computadores convencionais.

Roberto Gallo, CEO e cientista-chefe da Kryptus, uma multinacional brasileira especializada em criptografia e segurança cibernética, explica que a criptografia pós-quântica funciona porque seus algoritmos subjacentes não são substancialmente mais fáceis de resolver em um computador quântico do que em um convencional. Em outras palavras, ela não depende dos problemas matemáticos que o algoritmo de Shor consegue explorar. Existem várias famílias de algoritmos sendo desenvolvidas para esse fim. Para encriptação de chaves públicas, destacam-se o McEliece clássico, CRYSTALS-KYBER, NTRU e SABER. Para assinatura digital, os principais candidatos são CRYSTALS-DILITHIUM, FALCON e Rainbow. Todos estão em processo de padronização pelo NIST, a agência americana responsável por estabelecer padrões de segurança.

O nível de segurança oferecido pela criptografia pós-quântica é complexo de avaliar. Não é simplesmente uma questão de mais bits equivalendo a mais proteção—o AES-256, por exemplo, oferece muito mais segurança que o RSA-4096 para fins de sigilo. A confiança em um algoritmo é construída ao longo do tempo, através de análise criptográfica rigorosa. Alguns algoritmos pós-quânticos, como o McEliece e o SPHINCS+, já possuem alta confiança. Outros, como o SIKE, ainda precisam de mais análise.

Essas tecnologias já estão saindo dos laboratórios. Google, Amazon e Intel já implementam criptografia pós-quântica em escalas variáveis, tanto em experimentos quanto em sistemas de produção. O Google testou a tecnologia no Chrome em 2016, e em 2019 Google e Cloudflare conduziram testes conjuntos. O OpenSSH 8.0 já incorpora algoritmos pós-quânticos, embora ainda não como opção padrão. Países como França, EUA, Bélgica, Holanda, Alemanha, Suíça, Japão, Canadá e Reino Unido mantêm grupos de pesquisa ativos na área. Grandes empresas como NCC Group, Intel, Google, Amazon, NXP, Orange e Microsoft lideram o desenvolvimento.

Mas há obstáculos significativos. Desenvolver esses algoritmos exige equipes com conhecimento profundo em estruturas matemáticas avançadas. Problemas mais novos, como as isogenias supersingulares, precisam passar por extenso escrutínio criptográfico antes que a comunidade confie em sua segurança—um processo que leva tempo. Além disso, os algoritmos pós-quânticos requerem chaves criptográficas muito maiores que as atuais. O SIKE precisa de 2.500 bits, enquanto o McEliece exige 2.500.000 bits, comparados aos 256 a 512 bits dos algoritmos de Curva Elíptica. Para aplicações em ambientes sem limitações de largura de banda, isso não é problema. Mas para dispositivos embarcados e Internet das Coisas, essas chaves gigantescas podem ser impeditivas.

A padronização internacional é crucial. Historicamente, a indústria sofre quando muitas opções estão disponíveis mas nenhuma é dominante, fazendo com que soluções antigas como RSA persistam indefinidamente. Gallo acredita que a criptografia pós-quântica deve estar em toda parte no futuro—blockchains, conexões TLS, certificação digital. O grande impulso virá quando as iniciativas de padronização avançarem mais. Por enquanto, a implementação é recomendada para dados que precisam ser protegidos por muitos anos: registros médicos, informações de defesa, blockchains. Essas informações, relevantes por décadas, eventualmente coexistirão com computadores quânticos e já enfrentam riscos reais desde hoje.

Em um período de cinco a dez anos, a computação quântica quebrará a criptografia como a conhecemos hoje
— Sundar Pichai, CEO do Google
A criptografia pós-quântica é recomendada desde já em casos onde informações precisam ser protegidas por muitos anos, como registros médicos, defesa e blockchain
— Roberto Gallo, CEO da Kryptus
La Conversación del Hearth Otra perspectiva de la historia
Inventor

Por que exatamente um computador quântico consegue quebrar a criptografia atual tão facilmente?

Model

Porque os algoritmos que usamos hoje—RSA e Curvas Elípticas—dependem de problemas matemáticos que são muito difíceis para computadores normais, mas relativamente fáceis para quânticos. Um computador quântico pode usar o algoritmo de Shor para fatorar números grandes ou resolver logaritmos discretos rapidamente. É como se a máquina quântica tivesse uma chave mestra para um tipo específico de fechadura.

Inventor

E a criptografia pós-quântica muda o tipo de fechadura?

Model

Exatamente. Ela usa problemas matemáticos diferentes—baseados em teoria dos códigos, hashes, isogenias—que não parecem ser mais fáceis de resolver em um computador quântico do que em um convencional. Não é que seja impossível quebrá-la, é que a máquina quântica não ganha vantagem.

Inventor

Então por que não estamos usando isso já?

Model

Porque confiança leva tempo. Você precisa que criptógrafos de todo o mundo ataquem o algoritmo durante anos, tentando encontrar fraquezas. Alguns desses algoritmos pós-quânticos são novos demais. Além disso, as chaves são enormes—alguns algoritmos precisam de milhões de bits. Para um smartphone, isso é gerenciável. Para um sensor IoT com pouca memória, pode ser impossível.

Inventor

Quem está liderando isso?

Model

O NIST nos EUA está padronizando os algoritmos. Google, Amazon, Intel já testam em produção. Mas é um esforço global—França, Alemanha, Reino Unido, Japão, todos têm grupos de pesquisa. Nenhum país quer ficar para trás quando os computadores quânticos chegarem.

Inventor

Qual é o prazo real?

Model

Ninguém sabe ao certo. Alguns dizem 5 a 10 anos, outros são mais pessimistas. Mas o ponto é que dados sensíveis—registros médicos, segredos de defesa, transações financeiras—precisam ser protegidos por décadas. Se você criptografa algo hoje com RSA, um computador quântico no futuro pode descriptografá-lo. Então o risco é presente, mesmo que a máquina ainda não exista.

Inventor

E se um governo já tem um computador quântico escondido?

Model

Essa é a paranoia que mantém os especialistas acordados à noite. Ninguém saberia. Um governo nunca admitiria ter uma máquina desse tamanho. Por isso a urgência em migrar para pós-quântico agora, antes que seja tarde demais.

Quieres la nota completa? Lee el original en Canaltech ↗
Contáctanos FAQ