1/ As previsões da computação quântica ultimamente variam de "criptografia de chave pública será quebrada em 2 anos" a "falta um século." Ambos estão errados. Meu post mais recente explica o que o progresso de conhecimento público realmente apoia — e o que as blockchains devem fazer a respeito. Tópico abaixo 🧵

2/ Um computador quântico criptograficamente relevante (CRQC) na década de 2020 é altamente improvável. Mesmo meados da década de 2030 é ambicioso. Existem sistemas com 1000+ qubits, mas a contagem bruta de qubits é enganosa: precisamos de milhares de qubits lógicos corrigidos por erros e enormes orçamentos de portas T — muito além de hoje.

3/ Uma grande fonte de confusão: empresas chamando qubits de "qubits lógicos corrigidos por erros" quando não suportam operações que não sejam Clifford, ou, em alguns casos graves, nem conseguem corrigir erros. Isso enganou seriamente até observadores mais sofisticados sobre o quão próximos estamos da CRQC.

4/ Um erro comum ao discutir ameaças quânticas: tratar todas as primitivas criptográficas da mesma forma. Criptografia, assinaturas e SNARKs enfrentam perfis de risco muito diferentes.

5/ O risco mais claro de curto prazo é Harvest-Now-Decrypt-Later (HNDL): adversários registram tráfego criptografado agora para descriptografar quando existe um CRQC.

6/ Por isso a criptografia pós-quântica (PQ) precisa ser enviada agora, apesar dos custos/riscos. Chrome+Cloudflare implementou esquemas híbridos (PQ+classical) para TLS; iMessage e Signal para mensagens. O HNDL não deixa escolha para dados que precisem de confidencialidade de longo prazo, mesmo que o quantum esteja a décadas de distância.

7/ Assinaturas são diferentes: não há confidencialidade para "colher". Uma assinatura criada antes da existência de um CRQC não pode ser falsificada retroativamente. Risco diferente ⇒ urgência diferente.

8/ Hoje em dia, as blockchains usam assinaturas para autorização, não criptografia. Sem exposição ao HNDL, podemos ser deliberados sobre a migração da assinatura PQ.

9/ As assinaturas PQ atuais deixam muito a desejar: ML-DSA ≈2,4–4,6 KB, Falcon ≈666 B–1,3 KB (mas difícil de implementar corretamente), SPHINCS+ ≈7–8 KB+. Para comparação, ECDSA tem apenas ~64 bytes. Maiores/mais lentas/mais complexas ⇒ maior risco de insetos.

10/ Cautela é necessária: Rainbow (baseado em MQ) e SIKE/SIDH (baseado em isogenia) foram quebrados classicamente durante o processo do NIST. A implantação prematura pode sair pela culatra.

11/ A PKI web está buscando criptografia primeiro, assinaturas depois exatamente por esses motivos. Blockchains deveriam seguir o mesmo caminho.

12/ zkSNARKs? Boas notícias: mesmo SNARKs que não são PQ têm conhecimento zero pós-quântico. Nada sobre a testemunha é revelado, nem mesmo para adversários quânticos. O que se torna vulnerável após a CRQC é a solidez (falsificação de novas provas falsas), não a confidencialidade ou a solidez das provas passadas.

13/ Um ponto chave: por muitos anos, bugs e ataques de implementação (side-channels, fault injection) serão riscos maiores do que CRQCs. Isso se aplica aos SNARKs, esquemas de agregação de assinaturas e até mesmo às próprias assinaturas. Invista em auditorias, fuzzing e métodos formais.

14/ Desafios especiais do Bitcoin: governança lenta, nenhuma migração passiva e um fornecimento abandonado não trivial em endereços quânticos de alto valor.

15/ Não há solução fácil. O Bitcoin precisa levar a ameaça a sério — não porque os CRQCs estejam chegando antes de 2030, mas porque enfrentar essas questões, principalmente não técnicas, exige anos de coordenação.

16/ O que fazer: ✅ Implemente criptografia híbrida PQ agora ✅ Use assinaturas híbridas baseadas em hash agora, onde o tamanho é tolerável (atualizações de firmware/software) ✅ Para blockchains: não apresse assinaturas PQ — mas planeje caminhos de migração

17/ Cadeias de privacidade que criptografam detalhes de transações devem priorizar a criptografia PQ (ou designs que evitam segredos decifráveis on-chain) para reduzir o risco de HNDL. Cadeias centradas em assinaturas podem introduzir as assinaturas PQ à medida que técnicas e implementações de agregação amadurecem.

18/ Mantenha a perspectiva: paradoxalmente, anúncios frequentes de marcos quânticos ≠ proximidade com o CRQC. Eles destacam quantas pontes ainda precisam ser atravessadas.

19/ Resumindo: relacione a urgência com ameaças reais. Criptografia: urgente (HNDL). Assinaturas: deliberadas. SNARKs: A propriedade ZK permanece segura; Vulnerabilidade pós-CRQC. E, acima de tudo, os insetos continuam sendo o maior risco de curto prazo.