Em 1994, o matemático americano Peter Shor publicou algo que, na época, parecia mais uma curiosidade teórica do que uma ameaça real: um algoritmo que, se executado em um computador quântico suficientemente poderoso, seria capaz de fatorar números inteiros gigantescos em questões de instantes.
O problema é que a segurança de boa parte da criptografia moderna, aquela que protege seus e-mails, suas transações bancárias, suas senhas e sua identidade digital, depende exatamente da impossibilidade prática de realizar essa fatoração. Esse cenário está prestes a mudar com a Criptografia Quântica.
Por décadas, o “Dia Q”, o Apocalipse da Criptografia Quântica, foi tratado como um problema distante. Algo que as gerações futuras precisariam resolver. Mas em 2026, dois anúncios independentes, um do Google e um de uma startup derivada do Caltech, sacudiram essa complacência.
Os resultados ainda aguardam verificação independente, mas a mensagem que enviam é clara: o prazo pode ser muito mais curto do que imaginávamos.
Por Que a Criptografia Atual Funciona e Por Que o Computador Quântico Muda Essa Realidade?
Para entender o risco quântico, é necessário entender como a criptografia funciona hoje.
Algoritmos como o RSA (desenvolvido por Rivest, Shamir e Adleman em 1977) e o ECDSA (algoritmo de assinatura digital de curva elíptica, do inglês “Elliptic Curve Digital Signature Algorithm”) protegem dados baseando-se em problemas matemáticos que são extremamente difíceis de resolver.
O RSA depende da dificuldade de fatorar o produto de dois números primos muito grandes. Se eu multiplico os números 104.729 e 224.737, obtenho 23.533.124.273.
Descobrir os fatores originais a partir desse número é simples para esse exemplo, mas com números de 2.048 bits de comprimento, o processo levaria bilhões de anos mesmo para os supercomputadores mais potentes da atualidade.
A criptografia de curva elíptica, por sua vez, baseia-se no chamado “problema do logaritmo discreto em curvas elípticas”, que é igualmente intratável para computadores convencionais.
É aqui que o algoritmo de Shor entra como uma ruptura. Shor provou matematicamente que um computador quântico consegue resolver o problema de fatoração de forma exponencialmente mais rápida do que qualquer computador clássico.
Em vez de tentar todas as possibilidades em sequência, o computador quântico usa a superposição quântica (a capacidade de um qubit, a unidade básica de processamento quântico, de existir em múltiplos estados simultaneamente) e o entrelaçamento quântico (a correlação entre qubits que permite que o estado de um afete instantaneamente o estado de outro, independentemente da distância) para explorar todas as soluções possíveis de forma paralela.
O resultado prático: o que levaria bilhões de anos para um supercomputador clássico poderia ser resolvido em minutos por um computador quântico com capacidade suficiente.
O Estado Atual dos Computadores Quânticos
A boa notícia é que esse computador quântico suficientemente poderoso ainda não existe. Os melhores sistemas disponíveis em 2026 operam na casa de milhares de qubits, com qualidade crescente, mas ainda insuficiente para o tipo de ataque que quebraria a criptografia comercial.
Para entender por que, é preciso distinguir entre qubits físicos e qubits lógicos. Um qubit físico é a unidade de hardware, mas ele é inerentemente propenso a erros causados por ruído externo, temperatura e outras interferências.
Para obter um qubit lógico confiável, capaz de realizar cálculos precisos, é necessário combinar dezenas ou centenas de qubits físicos em um sistema de correção de erros.
Os construtores de sistemas devem levar em conta esse ruído e resolver os desafios de engenharia para tornar os qubits quase perfeitos, com fidelidade de 99,99%, além de executar a correção de erros, o que requer o sacrifício de alguns qubits físicos para criar um qubit lógico e corrigido para erros.
Para quebrar a criptografia de curva elíptica usada pelo Bitcoin e pela maioria das blockchains, por exemplo, os pesquisadores do Google demonstraram que o ataque de Shor pode ser realizado com sistemas compostos por 1.200 qubits lógicos e 90 milhões de portas Toffoli, ou com menos de 1.450 qubits e 70 milhões de portas.
Esses números são extremamente altos em comparação com os equipamentos existentes, que têm um limite de 48 qubits lógicos.
A distância entre onde estamos e onde precisaríamos estar é enorme. Mas o ritmo do progresso na área não é linear: os avanços têm sido consistentes e acelerados, e as estimativas de quando o Dia Q chegará têm se tornado progressivamente mais pessimistas.
O Que os Especialistas Dizem
Para entender a dimensão real do risco, consultamos as perspectivas de especialistas que foram questionados sobre o tema.
Henrique Yuen, cientista da computação teórico da Universidade de Columbia, coloca a questão de forma pragmática: “é difícil fazer previsões com alto grau de confiança sobre quando computadores quânticos capazes de executar o algoritmo de Shor estarão operacionais.
Para a indústria, governos, instituições financeiras e sociedade, a pergunta pertinente deveria ser: podemos ter alta certeza de que o algoritmo de Shor não estará operacional nos próximos cinco anos? Caso contrário, precisamos agir com extrema urgência para proteger nossa infraestrutura digital contra ataques quânticos.”
Sophie Schmieg, engenheira sênior de criptografia no Google, reforça a urgência com um tom mais propositivo: “a criptografia atualmente usada para manter informações confidenciais e seguras pode ser quebrada por um computador quântico de grande escala nos próximos anos. Podemos mitigar essa ameaça quântica à criptografia tomando as medidas de migração necessárias agora.”
Dustin Moody, matemático do NIST que lidera os esforços para o desenvolvimento de criptografia pós-quântica, oferece talvez a perspectiva mais equilibrada: “vejo o apocalipse quântico como uma ameaça séria e iminente que exige ação. No entanto, não se trata de um apocalipse, pois temos as ferramentas para lidar com ele, desde que o mundo as adote com rapidez suficiente.”
A Ameaça Silenciosa: Coletar Agora, Descriptografar Depois
Um aspecto do problema que muitas vezes passa despercebido é que a ameaça quântica já pode estar causando danos, mesmo antes de existir um computador quântico capaz de quebrar criptografia.
Bill Fefferman, cientista da computação teórico da Universidade de Chicago, explica o mecanismo: “precisamos combater a ameaça de ataques do tipo coletar agora e descriptografar depois.
A ideia é que os atacantes possam baixar e armazenar informações criptografadas que estão amplamente disponíveis online. Esses dados não estarão acessíveis a eles hoje, mas estarão quando os computadores quânticos em larga escala, capazes de quebrar a criptografia, chegarem.”
A principal preocupação é exatamente o chamado “harvest now, decrypt later”, em que dados criptografados são coletados agora para serem decifrados no futuro, quando a capacidade quântica for suficiente.
Grande parte da segurança digital moderna depende de algoritmos de chave pública usados em conexões HTTPS, certificados, VPNs, assinaturas digitais e troca de chaves.
Em termos práticos: e-mails criptografados, registros médicos, comunicações diplomáticas e transações financeiras que são trafegadas hoje podem estar sendo copiadas e armazenadas por agentes estatais ou criminosos sofisticados.
Quando um computador quântico suficientemente poderoso estiver disponível, todo esse acervo se tornará legível.
Para dados que precisam permanecer confidenciais por anos ou décadas, como documentos legais, registros de saúde e segredos industriais, essa é uma ameaça atual, não futura.
A Solução Já Existe: Criptografia Pós-Quântica
A boa notícia concreta é que a solução não precisa ser inventada. Ela já existe, foi desenvolvida, testada e padronizada. Chama-se Criptografia Pós-Quântica (PQC, do inglês “Post-Quantum Cryptography”), e representa um conjunto de algoritmos matemáticos que são considerados resistentes até mesmo ao poder de processamento dos computadores quânticos mais avançados.
Após anos de pesquisa e testes rigorosos, o NIST selecionou três algoritmos para padronização em agosto de 2024: ML-KEM (conhecido como Kyber), ML-DSA (anteriormente Dilithium) e SLH-DSA (ou Sphincs+).
Estes padrões estão prontos para uso imediato e são projetados para resistir às capacidades computacionais avançadas dos computadores quânticos.
Veja o que cada um faz:
- O ML-KEM (Mecanismo de Encapsulamento de Chaves baseado em Módulo-Reticulado) substitui os sistemas atuais de troca de chaves, como o Diffie-Hellman, usado em conexões HTTPS. Em vez de basear sua segurança na dificuldade de fatorar números primos, ele usa um problema matemático envolvendo estruturas chamadas “reticulados” (do inglês “lattices”), que são resistentes tanto a ataques clássicos quanto quânticos.
- O ML-DSA é um esquema de assinatura digital que substitui o ECDSA em certificados digitais, autenticação e verificação de identidade online. Assinaturas digitais são o mecanismo pelo qual um servidor web prova que é quem diz ser quando você acessa um site pelo protocolo HTTPS.
- O SLH-DSA é um algoritmo baseado em funções de hash (resumos criptográficos) que oferece uma camada adicional de segurança para situações que exigem proteção de longo prazo, especialmente quando documentos precisam ser verificáveis por décadas.
Quem Já Está Agindo e Quem Ainda Não Começou
A adoção da criptografia pós-quântica não é mais teoria. Empresas e governos já iniciaram a transição.
O Google informou que o Chrome passou a ativar o ML-KEM por padrão em TLS 1.3 e QUIC no desktop em 2024, e a empresa também vem aplicando proteção pós-quântica em partes da sua infraestrutura e em produtos como o Cloud KMS.
A Cloudflare, por sua vez, vem ampliando o uso de criptografia pós-quântica em soluções de Zero Trust, WARP e SASE, mostrando que a transição já começou em serviços de grande escala.
TLS (do inglês “Transport Layer Security”, ou Segurança da Camada de Transporte) é o protocolo que cria conexões seguras entre navegadores e servidores web. É o que transforma HTTP em HTTPS.
Quando você acessa um site com o ícone de cadeado na barra de endereço, o TLS está em ação. Que o Google e a Cloudflare já estejam adotando ML-KEM por padrão nesse protocolo é um sinal de que a transição saiu do laboratório e entrou na infraestrutura real da internet.
Do lado corporativo, Sophie Schmieg, do Google, lista o que precisa ser feito com urgência: “cifras TLS incorporadas diretamente no código precisam ser substituídas por suas contrapartes PQC (X25519MLKEM768), as versões do SSH precisam ser atualizadas, as configurações para assinaturas de tokens de acesso precisam ser alteradas de ECDSA para MLDSA, e muito mais.”
O SSH, que em português significa “protocolo de shell seguro”, é a tecnologia usada por administradores de sistemas para se conectar remotamente a servidores. A maioria das empresas usa SSH extensivamente em suas operações de tecnologia da informação, e atualizar esses sistemas é parte essencial da migração pós-quântica.
O Prazo: 2035 e Por Que Isso Não é Tempo Suficiente para Começar Depois
De acordo com o NIST, os algoritmos vulneráveis a computadores quânticos serão depreciados e removidos de seus padrões até 2035, com sistemas de alto risco fazendo a transição muito antes.
Parece tempo suficiente. Mas Dustin Moody, do próprio NIST, avisa que não é: “o principal desafio é o tempo: a transição completa da infraestrutura digital mundial pode levar anos ou até décadas, portanto, o preparo precisa começar muito antes que a ameaça se materialize por completo.
Ninguém sabe quanto tempo levará para desenvolver um computador quântico capaz de quebrar os métodos de criptografia atuais, e o prazo pode ser menor do que gostaríamos.”
Bill Fefferman reforça: “devemos ter especial cuidado ao usar métodos de criptografia pós-quântica para criptografar informações digitais que precisam ser mantidas em segurança por longos períodos, como registros financeiros, documentos legais ou dados de identidade pessoal.”
A lógica é simples e preocupante: se um arquivo médico precisa ser mantido confidencial por 30 anos, e se o Dia Q chegar em 2030, então esse arquivo precisa estar protegido com criptografia pós-quântica já em 2025. Não em 2034.
O Conceito de “Agilidade Criptográfica”
Um dos pontos mais importantes levantados pelos especialistas é a necessidade de o que Dustin Moody chama de “criptografia ágil”: a capacidade de substituir rapidamente os sistemas criptográficos quando necessário.
“As organizações devem priorizar a criptografia ágil e começar realizando um inventário completo de onde e como a criptografia de chave pública é usada. Ao identificar pontos vulneráveis e priorizar dados de alto valor hoje, elas podem realizar uma migração gradual e planejada que reduza os riscos ao longo do tempo”, explica Moody.
A ideia é que uma organização não deveria depender de um único algoritmo criptográfico de forma tão profunda que uma falha nesse algoritmo cause um colapso. O objetivo é construir sistemas flexíveis, que possam ser atualizados com novos algoritmos sem precisar derrubar tudo e reconstruir do zero.
Henrique Yuen, da Universidade de Columbia, alerta para um risco específico nesse caminho: “basta um algoritmo quântico brilhante, um Shor 2.0, por assim dizer, para nos fazer retroceder à estaca zero.
Precisaremos investir mais tempo em testes de estresse dos esquemas de criptografia pós-quântica recomendados, bem como desenvolver criptossistemas alternativos, a fim de maximizar as chances de nos defendermos contra ataques quânticos.”
Isso significa que, mesmo depois de adotar os novos padrões pós-quânticos, o trabalho não estará terminado. A criptografia é uma corrida contínua entre atacantes e defensores, e os padrões precisarão ser constantemente reavaliados e atualizados.
O Que Isso Significa Para o Usuário Comum
Para a maioria das pessoas, essa discussão parece distante e técnica demais para ter impacto direto na vida cotidiana. Mas há implicações práticas que valem a atenção.
Paulo Davies, físico teórico da Universidade Estadual do Arizona, dá um conselho direto: “para o indivíduo, meu conselho é apagar permanentemente o máximo possível de dados antigos, por exemplo, aqueles armazenados na nuvem, e copiar todos os dados essenciais para dispositivos de armazenamento que nunca mais se conectem à internet.”
O raciocínio por trás disso é o mesmo do ataque “coletar agora, descriptografar depois”: dados que você considera privados e seguros hoje podem ser coletados e armazenados por agentes maliciosos agora, esperando pelo momento em que um computador quântico permita lê-los. Reduzir a quantidade de dados sensíveis expostos na internet é uma medida preventiva válida.
Dustin Moody, no entanto, dá uma perspectiva mais tranquilizadora para os usuários leigos: “para a maioria das pessoas, essas mudanças devem ocorrer em grande parte nos bastidores, à medida que provedores de serviços e desenvolvedores de software integram os novos padrões em seus produtos.”
Em outras palavras: para quem usa Gmail, Chrome, serviços bancários online ou aplicativos de mensagem, grande parte da transição será feita de forma transparente pelas empresas responsáveis pelos serviços.
O usuário final não precisará configurar nada manualmente na maioria dos casos. A responsabilidade recai principalmente sobre as organizações que gerenciam dados sensíveis.
O Lado Filosófico: E Se a Mecânica Quântica Tiver Limites?
Nem todos os especialistas aceitam a premissa de que o apocalipse quântico é inevitável. Tim Palmer, físico teórico da Universidade de Oxford, apresenta uma perspectiva não convencional.
Palmer defende um modelo alternativo de mecânica quântica chamado RaQM (Mecânica Quântica Racional), que propõe que a vantagem quântica do algoritmo de Shor pode ter limites naturais quando o número de qubits cresce.
“Quando mais de algumas centenas de qubits estão emaranhados, não há informação suficiente na função de onda quântica para alocar sequer um bit de informação a cada dimensão do espaço de cálculo.
Quando isso acontece, a vantagem quântica do algoritmo de Shor satura e não pode ser melhorada pelo emaranhamento de mais qubits”, argumenta Palmer.
É uma perspectiva minoritária na física, mas não desprovida de mérito científico. O próprio Palmer enxerga nisso uma oportunidade: “o motivo pelo qual estou entusiasmado com os anúncios recentes é que eles acelerarão o dia em que a mecânica quântica poderá ser comprovada, experimentalmente, como falha.”
Para os fins práticos de segurança digital, porém, os especialistas da área são unânimes: apostar que a mecânica quântica eventualmente vai falhar é uma estratégia de risco inaceitável. A preparação precisa acontecer independentemente de as previsões mais pessimistas se concretizarem ou não.
O Que Organizações Precisam Fazer Agora
Para empresas, governos e qualquer instituição que gerencia dados sensíveis, os passos práticos são razoavelmente bem definidos:
O primeiro é realizar um inventário completo de todos os sistemas que usam criptografia de chave pública: servidores web, certificados digitais, sistemas de autenticação, VPNs, aplicativos, bancos de dados e qualquer software de segurança. Muitas organizações simplesmente não sabem onde toda a criptografia está.
O segundo é classificar os dados por risco e por tempo de sensibilidade. Dados que precisam ser mantidos confidenciais por muitos anos merecem prioridade máxima na transição.
O terceiro é começar os testes com os novos algoritmos pós-quânticos. Os padrões do NIST já estão publicados e disponíveis.
O NIST espera que os dois padrões de assinatura digital (ML-DSA e SLH-DSA) e o mecanismo de encapsulamento de chaves (ML-KEM) forneçam a base para a maioria das implantações de criptografia pós-quântica, e eles podem e devem ser usados agora.
O quarto é desenvolver a agilidade criptográfica: construir sistemas que possam ser atualizados com novos algoritmos rapidamente, sem depender de mudanças profundas na arquitetura.
Dave Taku, vice-presidente da RSA Security, ressalta ainda a necessidade de manter o foco no presente: “embora devamos nos preparar agora para o futuro pós-quântico, o maior risco que as organizações enfrentam hoje vem de ataques muito menos sofisticados: senhas fracas, phishing e engenharia social. Aborde esses desafios imediatamente, mesmo enquanto trabalha para cumprir o prazo de 2035 do NIST.”
Criptografia Quântica: Além da Defesa, a Solução Quântica
Há também uma abordagem diferente que usa a própria física quântica como ferramenta de defesa. Paulo Davies, físico da Universidade Estadual do Arizona, explica: “explorando o entrelaçamento quântico, a informação pode ser teletransportada de um ponto a outro com total segurança, pois qualquer tentativa de espionagem corrompe irreversivelmente e de forma detectável os dados transmitidos, revelando assim a fraude. A inevitável mutilação dos dados não é apenas uma perturbação técnica, mas uma lei da natureza, portanto não há como evitá-la.”
Esse campo é chamado de Distribuição de Chaves Quânticas (QKD, do inglês “Quantum Key Distribution”) e representa uma forma de criptografia que é teoricamente inviolável pelas leis da física, não apenas pela dificuldade matemática. A China, por exemplo, já opera uma rede de comunicação quântica de mais de 4.600 km conectando grandes cidades.
No entanto, Davies ressalva que não é necessário recorrer a essas tecnologias sofisticadas para se proteger agora: “não é necessário usar tecnologias sofisticadas de criptografia quântica para evitar o iminente apocalipse quântico. Existem muitos protocolos de criptografia à prova de computação quântica que podem ser seguros para todos os fins práticos.”
O Relógio Está Contando
O apocalipse da criptografia quântica não é uma certeza inevitável, mas é um risco real e crescente. A questão não é se os computadores quânticos eventualmente terão poder suficiente para quebrar a criptografia atual, mas quando isso acontecerá, e se estaremos preparados antes que ocorra.
Os padrões de defesa já existem. Os algoritmos foram testados, padronizados e publicados. O Google já os está implementando no Chrome. A Cloudflare já os está integrando em seus serviços. O caminho está traçado.
O que falta é urgência. A transição da infraestrutura digital mundial é um processo que leva anos. E se o Dia Q chegar antes de essa transição estar concluída, os dados que deveriam ser privados por décadas se tornarão legíveis.
Como resume Dustin Moody, do NIST: publicar os padrões é apenas o começo. O verdadeiro trabalho reside na adoção ampla. E esse trabalho precisa começar agora.
