a16z｜Computação quântica e blockchain: alinhando a "urgência" com ameaças reais

Chainfeeds Guia de Leitura:

Este artigo esclarece equívocos comuns sobre ameaças quânticas, incluindo seus impactos em algoritmos criptográficos, mecanismos de assinatura e provas de conhecimento zero (ZKP), além de discutir o que isso significa para sistemas blockchain.

Fonte do artigo:

a16z

Opinião:

a16z: O primeiro risco real de segurança trazido pela computação quântica não é um "ataque futuro", mas sim o ataque Harvest Now, Decrypt Later (HNDL), ou seja, o atacante armazena comunicações criptografadas agora e espera até ter capacidade quântica no futuro para descriptografá-las. Isso significa que comunicações altamente confidenciais (especialmente em nível nacional), mesmo que não possam ser quebradas hoje, ainda podem ser expostas no futuro. Portanto, para sistemas que exigem confidencialidade por 10-50 anos ou mais, é necessário começar a implementar criptografia resistente à computação quântica agora. No entanto, essa ameaça não se aplica aos sistemas de assinatura digital. Assinaturas digitais não possuem "conteúdo privado que possa ser descriptografado retroativamente", nem existe o problema de "validações passadas serem invalidadas pela computação quântica". Mesmo que, no futuro, a computação quântica possa forjar assinaturas, isso só afetará transações e autorizações futuras, sem invalidar assinaturas passadas ou expor informações ocultas. Com base nessa lógica, os mecanismos de assinatura mais comuns em blockchain (ECDSA, EdDSA) precisarão ser atualizados no futuro, mas não há urgência para migrar imediatamente. Além disso, o modelo de segurança dos zkSNARKs é ainda mais distinto da criptografia. Mesmo que os zkSNARKs usados hoje sejam baseados em curvas elípticas, sua propriedade de conhecimento zero permanece segura contra ataques quânticos, pois a prova não contém dados privados que possam ser recuperados por algoritmos quânticos. Portanto, os zkSNARKs também não correm o risco de serem arquivados e posteriormente descriptografados. Em outras palavras, blockchains focadas em privacidade têm mais urgência, blockchains públicas não têm tanta pressa, assinaturas podem ser atualizadas depois da criptografia, e SNARKs têm ainda menos urgência que assinaturas — essa é a real ordem de prioridade das ameaças quânticas no mundo blockchain. Embora o ecossistema blockchain como um todo não precise migrar imediatamente para assinaturas resistentes à computação quântica, o Bitcoin é uma exceção. O motivo não é uma ameaça quântica iminente, mas sim a governança lenta, a complexidade histórica da estrutura das transações e a dependência da migração ativa dos usuários. Primeiro, mudanças no protocolo do Bitcoin são extremamente lentas; qualquer alteração no consenso ou na lógica de segurança pode causar controvérsias, divisões ou até hard forks. Em segundo lugar, a atualização do Bitcoin não pode migrar automaticamente todos os ativos, pois as chaves de assinatura são mantidas pelos usuários e o protocolo não pode forçar a atualização. Isso significa que carteiras expiradas, perdidas ou sem gerenciamento (estimadas em milhões de BTC) ficarão permanentemente expostas a ataques quânticos futuros. Mais complicado ainda, o Bitcoin usava inicialmente P2PK (endereços que expõem a chave pública diretamente), cujas chaves públicas já estão visíveis na blockchain, e a computação quântica pode usar o algoritmo de Shor para derivar a chave privada dessas chaves públicas visíveis. Isso é diferente do modelo de endereço moderno (hash que oculta a chave pública), onde a chave pública só é exposta ao enviar uma transação, permitindo uma corrida contra o atacante dentro de uma janela de tempo. Portanto, a migração do Bitcoin não é apenas um problema técnico, mas envolve riscos legais (prova de perda vs. posse), colaboração social, tempo de implementação e custos de longo prazo. Mesmo que a ameaça quântica esteja distante, o Bitcoin precisa começar agora a definir um roteiro de migração irreversível. Embora a ameaça quântica seja real, uma atualização apressada e abrangente pode trazer riscos ainda maiores no presente. Atualmente, muitos algoritmos resistentes à computação quântica apresentam custos de desempenho significativos, complexidade de implementação e até casos históricos de quebra por algoritmos clássicos (como Rainbow, SIKE). Por exemplo, as principais assinaturas pós-quânticas atuais, como ML-DSA e Falcon, são dezenas ou até centenas de vezes maiores que as assinaturas atuais, e sua implementação é suscetível a ataques de canal lateral, vulnerabilidades de ponto flutuante ou erros de parâmetro que podem levar ao vazamento de chaves. Portanto, blockchains não devem migrar cegamente, mas adotar uma estratégia de arquitetura em fases, multitrilho e substituível: implantar criptografia híbrida (pós-quântica + clássica) para comunicações confidenciais de longo prazo; usar sistemas de assinatura por hash antecipadamente em cenários que não exigem assinaturas frequentes (firmware, atualizações de sistema); manter o planejamento e a pesquisa no nível da blockchain pública, adotando um ritmo cauteloso alinhado ao PKI da internet; e adotar abstração de contas ou design modular, permitindo que sistemas de assinatura futuros possam ser atualizados sem comprometer a identidade e o histórico de ativos on-chain. [O texto original está em inglês]