a16z｜Computação quântica e blockchain: alinhando a "urgência" com ameaças reais

Chainfeeds Guia de Leitura:

Este artigo esclarece equívocos comuns sobre ameaças quânticas, incluindo os impactos nos algoritmos de criptografia, mecanismos de assinatura e provas de conhecimento zero (ZKP), e discute o que isso significa para os sistemas blockchain.

Fonte do artigo:

a16z

Opinião:

a16z: O primeiro risco de segurança real trazido pela computação quântica não é um "ataque futuro", mas sim o ataque Harvest Now, Decrypt Later (HNDL), ou seja, o atacante armazena agora comunicações criptografadas, esperando até possuir capacidade de computação quântica no futuro para então descriptografá-las. Isso significa que comunicações altamente confidenciais (especialmente em nível nacional), mesmo que hoje não possam ser quebradas, ainda podem ser expostas no futuro. Portanto, para sistemas que exigem confidencialidade por 10-50 anos ou mais, é necessário começar a implementar criptografia resistente a quântica desde já. No entanto, essa ameaça não se aplica aos sistemas de assinatura digital. Assinaturas digitais não possuem "conteúdo privado que possa ser descriptografado retroativamente", nem existe o problema de "validações passadas serem invalidadas pela computação quântica". Mesmo que, no futuro, a computação quântica possa forjar assinaturas, isso só afetará transações e autorizações futuras, não invalidando assinaturas passadas ou expondo informações ocultas. Com base nessa lógica, os mecanismos de assinatura mais comuns em blockchain (ECDSA, EdDSA) precisarão ser atualizados no futuro, mas não há urgência para migração imediata. Além disso, o modelo de segurança dos zkSNARKs é ainda mais distinto da criptografia. Mesmo que os zkSNARKs utilizados hoje sejam baseados em curvas elípticas, sua propriedade de conhecimento zero permanece segura contra ataques quânticos, pois a prova não contém dados privados que possam ser recuperados por algoritmos quânticos. Portanto, os zkSNARKs também não apresentam risco de arquivamento para futura descriptografia. Em outras palavras, blockchains focadas em privacidade têm mais urgência, blockchains públicas não têm tanta pressa, assinaturas devem ser atualizadas depois da criptografia, e SNARKs têm ainda menos urgência do que assinaturas — esta é a real ordem de prioridade das ameaças quânticas no mundo blockchain. Embora o ecossistema blockchain como um todo não precise migrar imediatamente para assinaturas resistentes a quântica, o Bitcoin é uma exceção. O motivo não é a ameaça quântica iminente, mas sim a governança lenta, a complexidade histórica da estrutura de transações e a dependência da migração ativa por parte dos usuários. Primeiro, as mudanças no protocolo do Bitcoin são extremamente lentas; qualquer alteração no consenso ou lógica de segurança pode causar controvérsias, divisões ou até hard forks. Em segundo lugar, a atualização do Bitcoin não pode migrar automaticamente todos os ativos, pois as chaves de assinatura são mantidas pelos usuários e o protocolo não pode forçar a atualização. Isso significa que carteiras expiradas, perdidas ou sem gerenciamento (estimadas em milhões de BTC) ficarão permanentemente expostas a futuros ataques quânticos. Mais complicado ainda, o Bitcoin utilizava inicialmente P2PK (endereços que expõem diretamente a chave pública), cujas chaves públicas já estão visíveis na blockchain, permitindo que a computação quântica, através do algoritmo de Shor, derive diretamente a chave privada. Isso difere do modelo de endereço moderno (hash que oculta a chave pública), onde a chave pública só é exposta ao realizar uma transação, permitindo uma corrida contra o atacante dentro de uma janela de tempo. Portanto, a migração do Bitcoin não é apenas um problema técnico, mas envolve riscos legais (perda vs. prova de posse), colaboração social, tempo de implementação e custos de longo prazo. Mesmo que a ameaça quântica ainda esteja distante, o Bitcoin precisa começar agora a definir um roteiro de migração irreversível. Embora a ameaça quântica exista de fato, uma atualização apressada e abrangente pode trazer riscos ainda maiores na prática. Atualmente, muitos algoritmos resistentes a quântica apresentam custos de desempenho significativos, complexidade de implementação e até casos históricos de serem quebrados por algoritmos clássicos (como Rainbow, SIKE). Por exemplo, as assinaturas pós-quânticas mais populares, como ML-DSA e Falcon, são dezenas ou até centenas de vezes maiores do que as assinaturas atuais, e sua implementação é suscetível a ataques de canal lateral, vulnerabilidades de ponto flutuante ou erros de parâmetros que podem levar ao vazamento de chaves. Portanto, blockchains não devem migrar cegamente, mas adotar uma estratégia de arquitetura em fases, multitrilho e substituível: implementar criptografia híbrida (pós-quântica + clássica) para comunicações confidenciais de longo prazo; usar sistemas de assinatura por hash antecipadamente em cenários que não exigem assinaturas frequentes (firmware, atualizações de sistema); manter o planejamento e pesquisa no nível da blockchain pública, adotando o mesmo ritmo cauteloso do PKI da internet; e adotar design modular ou abstração de contas, permitindo que futuros sistemas de assinatura possam ser atualizados sem comprometer a identidade e o histórico de ativos on-chain. [O artigo original está em inglês]