Qubits e blockchain: Quando é realmente necessário preocupar-se?

A ameaça dos computadores quânticos ao blockchain é frequentemente completamente mal interpretada. Muitas pessoas pensam que este aviso de segurança é apenas uma questão do futuro imaginado, ou pelo contrário, que o blockchain precisa de uma transformação total já hoje. Na realidade, a situação é muito mais complexa e diferente, dependendo do tipo de sistema de criptografia utilizado.

Risco real: Harvest Now, Decrypt Later

O ataque mais perigoso não acontece no futuro, mas está a acontecer agora mesmo. Os atacantes armazenam as comunicações encriptadas atuais, aguardando até que tenham capacidade de cálculo quântico suficiente para as decifrar (chamado HNDL - Harvest Now, Decrypt Later). Isto significa que dados de segurança nacional ou informações pessoais “seguras” hoje podem ser totalmente expostos dentro de 10-50 anos.

Com esta consciência, os sistemas que precisam proteger informações a longo prazo devem implementar criptografia resistente a quânticos já a partir de agora. No entanto, isto aplica-se apenas à criptografia—não às assinaturas digitais.

Assinaturas sem “problema de armazenamento”

Este é o ponto-chave que muitas pessoas deixam passar: as assinaturas digitais funcionam de forma completamente diferente da criptografia.

Quando envia uma mensagem encriptada, o atacante armazena essa cópia encriptada e pode decifrá-la mais tarde, se tiver capacidade computacional suficiente. Mas as assinaturas não têm “conteúdo privado oculto” que precise ser decifrado.

Mesmo que os computadores quânticos no futuro possam forjar assinaturas com sucesso, isso apenas afetará transações e autorizações no futuro—as assinaturas verificadas no passado continuam válidas. Não há como um ataque quântico derrubar a validade histórica ou expor informações ocultas de assinaturas antigas.

Por isso, os algoritmos de assinatura mais comuns no blockchain, como ECDSA e EdDSA, embora precisem de atualização no futuro, não precisam de mudanças imediatas.

ZKP: Prioridade menor

Provas de conhecimento zero (zkSNARKs) têm um modelo de segurança completamente diferente. Embora zkSNARKs atualmente usem curvas elípticas, a sua propriedade de “não conhecimento” permanece segura contra computadores quânticos. A razão: provas que não contêm dados pessoais podem ser recuperadas por algoritmos quânticos. Assim, zkSNARKs não apresentam risco HNDL, e a prioridade de atualização é menor até que as assinaturas.

Ordem de prioridade prática para o blockchain

• Mais urgente: Criptografia para comunicações de longo prazo
• Nível 2: Atualização de assinaturas (mas não de forma imediata)
• Nível 3: Atualização de zkSNARKs e provas de conhecimento zero

Bitcoin: uma exceção difícil

O Bitcoin é a única exceção que precisa de ação antecipada, mesmo que a ameaça quântica ainda esteja distante. O motivo não é puramente técnico, mas a complexidade desta blockchain:

Primeiro, o Bitcoin altera o protocolo de forma extremamente lenta. Qualquer mudança de segurança pode gerar controvérsia, divisão ou hard fork.

Segundo, nas fases iniciais, o Bitcoin usava P2PK (endereços públicos diretamente na cadeia), com chaves públicas visíveis. Computadores quânticos podem usar o algoritmo de Shor para recuperar a chave privada diretamente da chave pública divulgada. Isto é mais perigoso do que os sistemas modernos (que escondem a chave pública por hash).

Terceiro, a atualização do Bitcoin não pode mover automaticamente os ativos, pois as chaves estão sob controle dos utilizadores. Isto significa que milhões de BTC de carteiras que perderam acesso, estão inacessíveis ou abandonadas ficarão permanentemente expostos à possibilidade de falsificação de assinatura quântica no futuro.

Por isso, o Bitcoin precisa de um roteiro de transição que seja irreversível desde já—não por causa de uma ameaça urgente, mas devido à lentidão do processo de implementação.

Aviso: Atualizações apressadas podem ser ainda mais perigosas

Apesar de a ameaça quântica existir, uma mudança total e apressada traz riscos maiores:

Os algoritmos atuais de resistência quântica (ML-DSA, Falcon) têm custos de desempenho consideráveis—com tamanhos de assinatura dez a centenas de vezes maiores do que atualmente. São vulneráveis a ataques de canal lateral, erros de ponto flutuante ou parâmetros incorretos, levando à fuga de chaves. Alguns algoritmos de resistência quântica já foram até quebrados por algoritmos clássicos (Rainbow, SIKE).

Estratégia prática para o blockchain

Em vez de uma mudança cega, o blockchain deve:

• Criptografia híbrida para comunicações de longo prazo (post-quantum + clássico)
• Assinaturas hash para casos de menor assinatura (firmware, atualizações de sistema)
• Manter planos e pesquisa para a camada pública, alinhada com os padrões de Internet PKI, com implementação cautelosa
• Projetar contas ou módulos abstratos, permitindo atualizações de assinaturas no futuro sem comprometer a história de identidade e ativos na cadeia

Desta forma, o blockchain pode estar preparado para a era quântica sem criar uma crise de segurança imediatamente.