Incerteza. Essa é a melhor palavra para descrever o sentimento que tive na RSA Conference 2018 ao participar de sessões focadas em computadores quânticos e possíveis perigos para a cibersegurança. E não estava sozinho. O tradicional painel de criptógrafos do discurso de abertura apontou a “ascensão do poder da computação quântica” como uma das ameaças à indústria da cibersegurança. No entanto, não houve nenhuma estimativa real de quando isso finalmente aconteceria. Vamos tentar ligar alguns pontos de diferentes áreas.
A incerteza, tão comum na mecânica quântica, é algo que tentamos evitar em nossas vidas cotidianas e profissionais. A reação normal de um ser humano comum a esse sentimento é o medo – o que não faltou por parte dos representantes da indústria temendo que, um dia, todos os seus dados criptografados tornem-se vulneráveis à computação quântica. E esse receio não é infundado – tudo por conta da supremacia quântica.
Você já deve ter ouvido falar do termo, que descreve um estado hipotético de maturidade tecnológica em que os computadores quânticos poderiam realizar tarefas que normais não conseguem. Uma dessas funções (pouco relevante para a ciência, mas muito para a indústria) é a fatoração dos números primos a partir do produto, operação assimétrica em termos de capacidade de computação. É uma tarefa de rápida verificação (por meio da multiplicação dos números), mas que precisa de um tempo extremamente longo para descobrir os fatores – aspecto do qual dependem quase todos os atuais esquemas de criptografia.
No entanto, a definição quantitativa do termo supremacia quântica é relativamente nova, você pode encontrá-la nesse artigo da Nature Physics. Os editores da publicação estimam que o limiar de qubits – o ponto no qual a supremacia quântica pode ser atingida – é de aproximadamente 50 qubits. Dito isso, o Bristlecone, processador de 72 qubits do Google revelado há um mês, deve ser capaz de superar o supercomputador mais relevante do mundo na fatoração de números primos a partir do resultado de suas multiplicações. Então, deveríamos estar preocupados?
Bem, sim e não. Bem-vindo à nova realidade quântica na qual ninguém tem certeza do estado das coisas – é “sim” e “não” ao mesmo tempo. Brincadeirinha: a resposta é “sim” se você ou seus clientes armazenam informações criptografadas por longos períodos de tempo, e “não” se não o fizerem.
Mas o que realmente significa “longo”? Sério, quanto tempo temos para nos preparar? A resposta também é diferente de acordo com os tipos de algoritmos. Durante sua palestra na RSA, Konstantinos Karagiannis – CTO de Consultoria de Segurança da BT Americas – estimou que algoritmos assimétricos (DES, AES) com chaves de 512 bits de comprimento vão cair primeiro quando o número de qubits ultrapassar 100, permitindo que mensagens de 512 bits sejam fatoradas em minutos. Algoritmos simétricos (como RSA, por exemplo) com chaves de 4096 bits de comprimento exigirão mais de 1000 qubits para serem quebrados em um espaço de tempo similar.
Como pode ver, nem o Bristlecone chegou lá ainda. Porém, pode chegar ano que vem, se presumirmos que a lei de Moore também se aplica aos computadores quânticos. Nesse caso, contando a partir de março de 2018, a previsão seria de que a encriptação assimétrica com chaves de 512 bits tende a ser finalmente violada por um suposto descendente do Bristlecone de 144 qubits em algum momento do final de 2019. Já a encriptação assimétrica com chaves de 4096 bits estaria a salvo por mais seis anos, o que nos daria tempo até o final de 2025, quando o chip quântico de 1152-alguma coisa poderá estrear. Essa é uma linha do tempo bastante hipotética que não inclui a adoção da nova tecnologia, algo que nunca é instantâneo. E, infelizmente, não há meios para confirmar essa previsão; mesmo os mais potentes supercomputadores da atualidade não conseguem simular seus equivalentes quânticos com especificações de qubits tão grandes.
Ao menos temos algumas estimativas de tempo para planejar o futuro. Se você não pretende manter dados criptografados por períodos maiores que esses, não deve se preocupar – reguladores locais ou internacionais terão de encontrar algoritmos à prova de quântica antes de 2025. O que, por sinal, significa deixar de criptografar dados em repouso (e que pode ser uma má ideia) ou realizar manutenções regulares nos dados armazenados, que inclui descriptografar e recriptografá-los com algoritmos mais fortes de vez em quando.
Se não quiser esperar até que os reguladores surjam com padrões resistentes à quântica, talvez deva considerar a tecnologia híbrida – uma combinação das melhores tecnologias de criptografia existentes (como a RSA) com chaves de comprimentos apropriados e, por exemplo, algoritmos baseados em curvas elípticas (ECC). As primeiras não podem ser decodificadas com métodos clássicos, enquanto os segundos são considerados à prova de quântica, apesar de poderem ser quebrados com computadores contemporâneos. Essa combinação deve ser suficiente para manter seus dados seguros, pelo menos durante o tempo em que se prepara melhor para o iminente futuro da computação quântica. Enquanto isso, é bom monitorar os avanços na indústria da criptografia e adotar novos algoritmos assim que se tornarem disponíveis (e serem comprovados como resistentes à computação quântica).
Outras tecnologias também contam com a natureza assimétrica da computação digital, sendo a blockchain a maior potencial vítima do hackeamento quântico. Até agora, apenas a Ethereum anunciou publicamente um roteiro para “tornar-se resistente à quântica”. Esqueci de mencionar que o one-time pad ou “chave de uso único” (um método clássico inventado em 1882) tem uma invulnerabilidade ao hackeamento quântico integrada? Alimentado por soluções de fibra ótica de distribuição de chaves quânticas, que já estão disponíveis para empresas de médio e grande porte, dessa forma, tende a se tornar uma opção viável em um momento de colapso incerteza. E talvez até mesmo para além. Não temos certeza, você sabe.