A julgar por muitas manchetes, dá para acreditar que a computação quântica está prestes a derrubar a segurança digital - e a notícia mais recente reforça essa sensação ao citar novas estimativas segundo as quais quebrar certos códigos pode ser até 20 vezes mais fácil do que se pensava.
A criptografia sustenta a proteção de praticamente tudo no ciberespaço, da rede sem fio (Wi‑Fi) aos bancos e às moedas digitais, como o bitcoin.
Até pouco tempo, estimava-se que seriam necessários oito horas e um computador quântico com 20 milhões de qubits (bits quânticos) para quebrar o popular algoritmo RSA (batizado com as iniciais de seus inventores, Rivest–Shamir–Adleman). A nova estimativa afirma que isso poderia ser feito com 1 milhão de qubits.
Se a criptografia ficar mais fraca, a computação quântica passaria a representar uma ameaça séria à nossa cibersegurança cotidiana. Então, uma “apocalipse” da criptografia quântica está realmente às portas?
Computação quântica e criptografia: onde está o risco
Computadores quânticos já existem, mas ainda têm capacidades muito restritas. E não há um único “modelo” de computador quântico: há várias abordagens de projeto sendo usadas em paralelo.
Antes que qualquer uma dessas abordagens se torne de fato útil, existem grandes barreiras tecnológicas a superar. Ainda assim, como há muito dinheiro sendo investido, é razoável esperar avanços relevantes nos próximos anos.
Para as ferramentas criptográficas mais comuns hoje, a computação quântica tende a ter impacto pequeno. A criptografia simétrica - que protege a maior parte dos nossos dados atualmente (e não inclui o RSA) - pode ser reforçada com relativa facilidade para resistir a computadores quânticos.
Criptografia simétrica vs. criptografia de chave pública
Onde o efeito pode ser maior é na criptografia de chave pública, usada para estabelecer conexões seguras na internet. É assim que, por exemplo, se viabiliza compras online e mensagens protegidas, tradicionalmente com RSA - embora, cada vez mais, se use uma alternativa chamada Diffie-Hellman de curva elíptica.
A criptografia de chave pública também serve para criar assinaturas digitais, como as usadas em transações de bitcoin, e aí entra outro tipo: o algoritmo de assinatura digital de curva elíptica.
Se algum dia existir um computador quântico poderoso o bastante e, além disso, confiável, processos que hoje são essencialmente teóricos podem se tornar capazes de quebrar essas ferramentas de criptografia de chave pública. Os algoritmos RSA podem ser mais vulneráveis por causa do tipo de matemática que empregam, embora as alternativas também possam ter fragilidades.
E esses processos teóricos, inevitavelmente, vão melhorar com o tempo - como o próprio artigo sobre RSA, citado nas notícias, acaba de mostrar.
O que não sabemos
O que segue altamente incerto é tanto o “ponto de chegada” quanto os prazos do desenvolvimento da computação quântica. Na prática, ainda não sabemos ao certo do que computadores quânticos serão capazes.
As opiniões de especialistas divergem bastante sobre quando surgirá uma computação quântica realmente relevante. Uma minoria acredita que um avanço decisivo é iminente. Outra minoria, igualmente expressiva, acha que isso nunca vai acontecer. A maioria vê como uma possibilidade futura, mas as previsões variam de algo entre dez e 20 anos até muito além disso.
E, mesmo que surjam, esses computadores serão relevantes para a criptografia? Em termos simples: ninguém sabe. Como ocorre com a maior parte das preocupações nessa área, o trabalho sobre RSA trata de um ataque que pode ou não funcionar, e que exigiria uma máquina que talvez nunca seja construída (os computadores quânticos mais potentes hoje têm pouco mais de 1,000 qubits - e ainda cometem muitos erros).
Do ponto de vista criptográfico, porém, essa incerteza pode ser, em grande medida, irrelevante. Segurança pressupõe pensar no pior cenário e preparar sistemas para o futuro.
Por isso, o mais prudente é partir do pressuposto de que um computador quântico relevante para a criptografia pode existir um dia. Mesmo que esteja a 20 anos de distância, isso importa porque certos dados que criptografamos hoje ainda podem precisar de proteção daqui a 20 anos.
A experiência também mostra que, em sistemas complexos como redes financeiras, atualizar a criptografia pode levar muito tempo. Portanto, é necessário começar agora.
O que devemos fazer
A boa notícia é que a parte mais difícil do raciocínio técnico já foi feita. Em 2016, o Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) lançou uma competição internacional para criar novas ferramentas de criptografia pós-quântica, consideradas resistentes a computadores quânticos.
Em 2024, o NIST publicou um conjunto inicial de padrões que inclui um mecanismo pós-quântico de troca de chaves e vários esquemas pós-quânticos de assinaturas digitais.
Para ficar protegido contra um futuro computador quântico, sistemas digitais precisam trocar a criptografia de chave pública atual por novos mecanismos pós-quânticos. Também devem garantir que a criptografia simétrica em uso tenha suporte a chaves simétricas suficientemente longas (e muitos sistemas já atendem a esse requisito).
Ainda assim, minha mensagem principal é: não entre em pânico. Este é o momento de avaliar riscos e escolher caminhos para o futuro. O Centro Nacional de Segurança Cibernética do Reino Unido (NCSC) sugeriu um cronograma desse tipo, voltado sobretudo a grandes organizações e a quem sustenta infraestrutura crítica, como sistemas industriais de controle.
Nesse plano, 2028 aparece como prazo para concluir um inventário criptográfico e estabelecer um plano de migração pós-quântica, com os processos de atualização finalizados até 2035. Essa janela de uma década indica que os especialistas do NCSC não enxergam um apocalipse de criptografia quântica tão cedo.
Para o restante de nós, a postura é aguardar. Com o tempo, se for considerado necessário, navegadores, Wi‑Fi, celulares e aplicativos de mensagens devem se tornar gradualmente seguros no cenário pós-quântico, seja por atualizações de segurança (não deixe de instalá-las), seja pela substituição progressiva da tecnologia.
Sem dúvida, ainda veremos muitas reportagens sobre avanços na computação quântica e supostos apocalipses da criptografia, enquanto grandes empresas de tecnologia disputam atenção.
A computação quântica realmente relevante para a criptografia pode, sim, chegar um dia - provavelmente bem no futuro. Se e quando isso acontecer, é bem possível que estejamos prontos.
Keith Martin, Professor, Information Security Group, Royal Holloway University of London
Este artigo foi republicado de The Conversation sob uma licença Creative Commons. Leia o artigo original.
Comentários
Ainda não há comentários. Seja o primeiro!
Deixar um comentário