a16z artigo completo: Que riscos a computação quântica traz para as criptomoedas?

Autor | Justin Thaler, sócio de investigação na a16z

Tradutor | GaryMa 吴说区块链

Sobre “computadores quânticos capazes de representar uma ameaça real aos atuais sistemas criptográficos” e quando eles chegarão, as pessoas frequentemente fazem previsões exageradas de tempo — — levando a pedidos de migração imediata e em grande escala para sistemas pós-quânticos.

Mas esses pedidos muitas vezes ignoram os custos e riscos de uma migração prematura, assim como também ignoram que diferentes primitivas criptográficas enfrentam perfis de risco completamente distintos:

A criptografia pós-quântica, mesmo que custe caro, deve ser implementada imediatamente: ataques de “coletar agora, decifrar depois” (Harvest-now-decrypt-later, HNDL) já estão ocorrendo, pois quando o computador quântico realmente chegar — — mesmo que seja décadas depois — — os dados sensíveis atualmente protegidos por criptografia ainda terão valor. Apesar do desempenho adicional e dos riscos de implementação da criptografia pós-quântica, para dados que requerem confidencialidade a longo prazo, um ataque HNDL deixa poucas opções.

Por outro lado, o aspecto dos assinaturas pós-quânticas é completamente diferente. Elas não são afetadas por ataques HNDL, e seus custos e riscos (tamanhos maiores, maior consumo de desempenho, implementação ainda imatura e possíveis vulnerabilidades) indicam que a transição deve ser feita com cautela, não de forma imediata.

Essas diferenças são extremamente importantes. Vários equívocos podem distorcer análises de custo-benefício, levando equipes a negligenciar riscos de segurança mais críticos — — como vulnerabilidades propriamente ditas.

O verdadeiro desafio na implementação de um sistema criptográfico pós-quântico é fazer com que a “urgência” corresponda à “ameaça real”. A seguir, esclarecerei alguns equívocos comuns sobre a ameaça quântica e seu impacto na criptografia — — incluindo criptografia, assinaturas e provas de conhecimento zero — — e especialmente seu efeito na blockchain.

Em que ponto estamos atualmente?

Na década de 2020, a possibilidade de “computadores quânticos com ameaça real à criptografia (CRQC)” é extremamente baixa, apesar de algumas declarações de alto perfil que geraram atenção.

ps: A sigla CRQC será usada daqui em diante para “cryptographically relevant quantum computer”, ou seja, computadores quânticos relevantes para criptografia.

Este termo refere-se a um computador quântico tolerante a falhas, capaz de executar o algoritmo de Shor em escala suficiente para atacar criptografia de curvas elípticas ou RSA (por exemplo, quebrar secp256k1 ou RSA-2048 em até um mês de operação contínua).

Com base em marcos públicos e avaliações de recursos, ainda estamos longe de alcançar esse tipo de computador. Embora algumas empresas afirmem que CRQC provavelmente aparecerá antes de 2030 ou até 2035, o progresso visível publicamente não apoia essas previsões.

Historicamente, nos arquiteturas atuais — — íons presos, qubits supercondutores e sistemas de átomos neutros — — nenhum plataforma de computação quântica está próxima de ter dezenas de milhares a milhões de qubits físicos necessários para executar o algoritmo de Shor contra RSA-2048 ou secp256k1 (a quantidade exata depende da taxa de erro e do esquema de correção de erros).

Os fatores limitantes não são apenas o número de qubits, mas também a fidelidade dos portões, a conectividade dos qubits e a profundidade de circuitos de correção de erros sustentáveis necessárias para executar algoritmos quânticos profundos. Embora alguns sistemas já tenham ultrapassado 1.000 qubits físicos, esse número pode ser enganoso: esses sistemas ainda carecem da conectividade e fidelidade de portões necessárias para cálculos criptográficos.

Sistemas recentes estão próximos de níveis físicos de erro que permitem a correção quântica, mas ainda não há demonstrações de mais de alguns poucos qubits lógicos com profundidade de circuito sustentável — — muito menos os milhares de qubits lógicos de alta fidelidade, profundidade de circuito e tolerância a falhas necessários para executar o algoritmo de Shor de fato. Há uma lacuna gigantesca entre a viabilidade teórica da correção quântica e a escala real necessária para a quebra de criptografia.

Resumindo: a menos que o número de qubits e sua fidelidade melhorem várias ordens de magnitude simultaneamente, computadores quânticos com ameaça real à criptografia ainda estão longe.

No entanto, comunicados de imprensa e mídia frequentemente levam a equívocos. As armadilhas mais comuns incluem:

• Demonstrações de “vantagem quântica” que, na prática, enfrentam problemas artificialmente criados. Esses problemas não são escolhidos por sua relevância prática, mas porque podem ser resolvidos com hardware atual e aparentam oferecer uma aceleração quântica significativa — — uma vantagem muitas vezes minimizada na publicidade.

• Empresas afirmando ter alcançado milhares de qubits físicos. Muitas vezes, isso se refere a computadores de recozimento quântico (quantum annealers), não a computadores de circuito universal capazes de executar o algoritmo de Shor.

• Uso casual do termo “qubits lógicos”. Qubits físicos são altamente ruidosos; algoritmos quânticos exigem qubits lógicos, que, como mencionado, precisam de milhares de qubits físicos cada. Com correção de erros, um qubit lógico geralmente requer de centenas a milhares de qubits físicos (dependendo da taxa de erro). Algumas empresas exageram nesse conceito — — por exemplo, uma recente afirmação de que, usando um código de distância 2, conseguiu-se 48 qubits lógicos com apenas dois qubits físicos por qubit lógico — — o que é absurdo: códigos de distância 2 podem detectar erros, mas não corrigir. Para correção tolerante a falhas, cada qubit lógico necessita de centenas a milhares de qubits físicos.

• Uso generalizado de “qubits lógicos” para se referir a qubits que suportam apenas operações de Clifford. Essas operações podem ser simuladas eficientemente por algoritmos clássicos e não são suficientes para executar o algoritmo de Shor, que exige milhares de portas T (ou portas não-Clifford) com correção de erros.

Assim, uma rota que afirme “atingir milhares de qubits lógicos até ano X” não indica que essa empresa conseguirá executar de fato o algoritmo de Shor para quebrar criptografia clássica na mesma época. Essas práticas distorcem a percepção pública — — inclusive de profissionais do setor — — sobre quanto estamos realmente próximos de um CRQC.

Apesar disso, alguns especialistas estão otimistas. Por exemplo, Scott Aaronson recentemente escreveu que, considerando o ritmo impressionante do avanço do hardware, é plausível que, antes da próxima eleição presidencial dos EUA, tenhamos uma máquina tolerante a falhas capaz de rodar o algoritmo de Shor.

Mas Aaronson esclareceu que isso não significa uma máquina com capacidade de quebrar criptografia: mesmo que ela consiga apenas fatorar 15 = 3×5 — — um número que qualquer um consegue fatorar mentalmente — — ele ainda consideraria isso uma realização suficiente. O padrão ainda seria a execução de uma versão em escala micro do algoritmo de Shor, não uma escala com significado criptográfico; além disso, os experimentos atuais focam na fatoração de 15 com circuitos simplificados, não com correção de erros tolerante. A escolha de fatorar 15 não é por acaso: as operações com módulo 15 são extremamente simples, enquanto números maiores como 21 são muito mais difíceis de fatorar. Assim, experimentos que dizem ter fatorado 21 muitas vezes dependem de dicas ou atalhos.

Resumindo: não há progresso público apoiando a previsão de que, nos próximos 5 anos, aparecerá uma máquina quântica capaz de quebrar RSA-2048 ou secp256k1 — — o que realmente interessa para a criptografia.

Mesmo um horizonte de 10 anos ainda é uma previsão ambiciosa. Considerando a distância até uma máquina quântica realmente relevante para a criptografia, mesmo que fiquemos entusiasmados com avanços, isso pode facilmente se estender por pelo menos uma década.

Então, o que significa o fato do governo dos EUA estabelecer 2035 como meta para a migração completa de seus sistemas para sistemas pós-quânticos? A meu ver, trata-se de um cronograma razoável para uma transição de grande escala. Mas isso não é uma previsão de que um CRQC aparecerá até lá.

HNDL — — quais cenários ela se aplica (e quais não)?

A ataque de “coletar agora, decifrar depois” (Harvest now, decrypt later, HNDL) consiste em armazenar comunicações criptografadas atuais, esperando que, no futuro, um “computador quântico com ameaça real” seja capaz de decifrá-las. É certo que atores de nível estatal já arquivam sistematicamente comunicações criptografadas do governo dos EUA, na expectativa de decifrá-las assim que um computador quântico relevante surgir. Por isso, a migração para sistemas pós-quânticos é obrigatória desde hoje — — pelo menos para entidades que precisam manter confidencialidade por mais de 10 a 50 anos.

Por outro lado, assinaturas digitais — — essenciais para blockchains — — diferem da criptografia: elas não possuem “confidencialidade” que possa ser atacada posteriormente.

Em outras palavras, quando um computador quântico chegar, ele poderá falsificar assinaturas digitais a partir daquele momento, mas assinaturas geradas antes não são “segredos” a serem revelados. Desde que se possa verificar que uma assinatura foi criada antes do surgimento do CRQC, ela não pode ser falsificada.

Assim, em comparação com sistemas criptográficos, a urgência na migração de assinaturas pós-quânticas é menor.

As principais plataformas também agem de acordo: Chrome e Cloudflare já implementaram uma abordagem híbrida de troca de chaves X25519+ML-KEM na camada de transporte TLS. [Neste texto, chamei de “schemes de criptografia” por simplicidade, embora tecnicamente TLS e protocolos similares usem mecanismos de troca de chaves ou encapsulamento, não criptografia de chave pública.]

“Híbrido” aqui significa combinar simultaneamente uma solução pós-quântica (ML-KEM) com uma solução tradicional (X25519), buscando segurança de ambos os lados. Essa abordagem visa impedir ataques HNDL, ao mesmo tempo em que, se ML-KEM não for segura atualmente, X25519 fornece garantias tradicionais de segurança.

Apple também adotou uma abordagem semelhante em seu protocolo PQ3 para o iMessage, e Signal implementou algo similar em seus protocolos PQXDH e SPQR.

Por outro lado, a migração de assinaturas digitais em infraestruturas críticas da web será adiada até que o CRQC realmente apareça, pois os atuais esquemas pós-quânticos provocam uma degradação de desempenho significativa (discutiremos isso em breve).

zkSNARKs — — provas de conhecimento zero, curtas e não interativas, que são essenciais para escalabilidade e privacidade futuras de blockchains — — têm um funcionamento similar às assinaturas digitais frente à ameaça quântica. Mesmo que algumas zkSNARKs não sejam inerentemente pós-quânticas (pois usam curvas elípticas similares às atuais criptografias e assinaturas), sua propriedade de “zero conhecimento” permanece segura contra ataques quânticos.

A propriedade de “zero conhecimento” garante que a prova não revela nada sobre a testemunha secreta — — mesmo sob ataque quântico — —, e, portanto, não há dados confidenciais que possam ser coletados antecipadamente e depois decifrados.

Assim, zkSNARKs não são afetadas por ataques HNDL. Como assinaturas digitais atuais que não são pós-quânticas, desde que a prova zkSNARK seja criada antes do surgimento do CRQC, ela é confiável (a afirmação provada é verdadeira). Mesmo que zkSNARKs usem curvas elípticas, sua segurança depende de quando foram criadas. Depois do CRQC, um atacante poderá tentar criar provas “falsas” que pareçam válidas, mas não são.

O que isso significa para blockchain

A maioria das blockchains não está vulnerável a ataques HNDL: a maioria das redes não-privadas — — como Bitcoin e Ethereum — — usam assinaturas digitais (não criptografia) na autorização de transações.

Reforçando, assinaturas digitais não são vulneráveis a ataques HNDL: ataques de “coletar depois, decifrar depois” só se aplicam a dados criptografados. Por exemplo, a blockchain do Bitcoin é pública; a ameaça quântica reside na falsificação de assinaturas (derivar a chave privada para roubar fundos), e não na decodificação de transações já públicas. Ou seja, ataques HNDL não representam uma ameaça imediata à criptografia atual de blockchains.

Infelizmente, alguns órgãos confiáveis — incluindo o Federal Reserve dos EUA — ainda afirmam incorretamente que o Bitcoin é vulnerável a ataques HNDL, o que exagera a urgência de migrar para sistemas pós-quânticos.

Por outro lado, “urgência reduzida” não significa que o Bitcoin pode esperar indefinidamente: a necessidade de coordenação social para atualizar protocolos impõe prazos diferentes. (Discutiremos mais sobre os desafios únicos do Bitcoin a seguir.)

Uma exceção atual são as blockchains de privacidade, que escondem detalhes de transações — — e, por isso, potencialmente mais vulneráveis a ataques HNDL, dependendo do design. Essas blockchains podem usar esquemas híbridos (pós-quântico + clássico) para evitar que segredos de transações possam ser posteriormente desanonimizados, ou podem adotar arquiteturas que evitam colocar segredos decifráveis na cadeia.

Para essas blockchains de privacidade, a gravidade do ataque depende do projeto: por exemplo, no Monero, as assinaturas de anel e a imagem-chave (um mecanismo para impedir duplo gasto, que vincula transações a uma saída específica) podem, com seu livro público, possibilitar reconstruir o fluxo completo de transações no futuro. Em outras blockchains de privacidade, o impacto pode ser mais limitado — — conforme detalhado na discussão do engenheiro de criptografia e pesquisador Sean Bowe, do Zcash.

Se os usuários consideram importante que as transações “não sejam expostas ao surgimento de computadores quânticos” no futuro, as blockchains de privacidade devem migrar rapidamente para primitivas pós-quânticas (ou usar esquemas híbridos). Ou, ainda, adotar arquiteturas que não armazenam segredos passíveis de decifração na cadeia.

5. Priorizar segurança na implementação — — e não apenas mitigação da ameaça quântica

Especialmente para zkSNARKs e assinaturas pós-quânticas complexas, vulnerabilidades e ataques de implementação (canal lateral, injeção de falhas) serão uma ameaça mais real e imediata nos próximos anos do que os ataques de CRQC. Já é hora de investir em auditorias, fuzzing, verificação formal e defesas em múltiplas camadas — — sem deixar que a preocupação com a ameaça quântica ofusque os riscos mais urgentes de vulnerabilidades.

6. Apoiar o avanço da computação quântica

Do ponto de vista de segurança nacional, é fundamental investir continuamente em pesquisa, desenvolvimento e capacitação na área de computação quântica. Se algum adversário superar os EUA na conquista de CRQC, isso representará um risco sério à segurança nacional americana e global.

7. Manter uma perspectiva adequada sobre anúncios relacionados à computação quântica

Com a maturidade do hardware quântico, nos próximos anos, ocorrerão muitos anúncios de marcos importantes. Curiosamente, a frequência desses anúncios é uma evidência de que ainda estamos distantes de um CRQC: cada marco é apenas uma das muitas etapas rumo ao objetivo final, e cada avanço gera atenção e entusiasmo midiático. Devemos encarar esses comunicados como relatórios de progresso a serem avaliados criticamente, não sinais de ação imediata.

Claro, podem surgir avanços inesperados que acelerem o cronograma, ou obstáculos sérios que o atrasem. Meu ponto é: não considero que um CRQC seja “impossível nos próximos cinco anos”, apenas altamente improvável. Essas recomendações são robustas diante dessa incerteza e ajudam a evitar riscos mais diretos e concretos — — como vulnerabilidades, implantações apressadas e erros comuns na migração criptográfica.

Justin Thaler é sócio de investigação na a16z e professor adjunto de Ciência da Computação na Universidade de Georgetown. Seus interesses de pesquisa incluem computação verificável, teoria da complexidade e algoritmos para grandes conjuntos de dados.