Você pode estar familiarizado com o conceito de criptografia clássica, que é o tipo de criptografia que usamos todos os dias. Você pode até ter ouvido falar de criptografia quântica, que faz uso de computadores quânticos e efeitos mecânicos quânticos. Embora ambas sejam tecnologias importantes por si só, a criptografia clássica sustenta quase a totalidade da tecnologia de comunicação moderna, a criptografia pós-quântica é uma etapa realmente crítica que não é tão Amplamente conhecido. A criptografia pós-quântica não deveria ser a próxima grande coisa depois da criptografia quântica. Em vez disso, é a classe de criptografia que ainda é relevante em um mundo onde existem poderosos computadores quânticos.
A aceleração quântica
A criptografia clássica é basicamente toda baseada em um pequeno número de diferentes problemas matemáticos. Esses problemas foram cuidadosamente escolhidos porque são extremamente difíceis, a menos que você conheça informações específicas. Mesmo com computadores, esses problemas matemáticos são comprovadamente difíceis. Em 2019, um estudo gastou 900 anos de núcleo de CPU para quebrar uma chave RSA de 795 bits. Uma chave RSA de 1024 bits levaria mais de 500 vezes mais poder de processamento para quebrar. Além disso, as chaves RSA de 1.024 bits foram substituídas por RSA de 2.048 bits, que seria praticamente impossível de quebrar.
O problema é que os computadores quânticos funcionam de maneira completamente diferente em comparação com os computadores normais. Isso significa que certas coisas que são difíceis para os computadores normais fazerem são muito mais fáceis para os computadores quânticos. Infelizmente, muitos dos problemas matemáticos usados na criptografia são exemplos perfeitos disso. Toda criptografia assimétrica em uso moderno é vulnerável a essa aceleração quântica, assumindo o acesso a um computador quântico suficientemente poderoso.
Tradicionalmente, se você deseja aumentar a segurança da criptografia, precisa apenas de chaves mais longas. Isso pressupõe que não há mais problemas fundamentais com o algoritmo e que ele pode ser ampliado para usar chaves mais longas, mas o princípio é válido. Para cada bit extra de segurança, a dificuldade dobra, o que significa que passar da criptografia de 1024 bits para 2048 bits é um grande pico de dificuldade. Esse crescimento exponencial da dificuldade, no entanto, não se aplica a esses problemas quando executados em computadores quânticos, nos quais a dificuldade aumenta logaritmicamente e não exponencialmente. Isso significa que você não pode simplesmente dobrar o tamanho da chave e ficar bem para a próxima década de aumento do poder de computação. O jogo inteiro acabou e um novo sistema é necessário.
Um raio de esperança
Curiosamente, todos os algoritmos de criptografia simétrica modernos também são afetados, mas em um grau muito menor. A segurança efetiva de uma cifra assimétrica como RSA é diminuída pela raiz quadrada. Uma chave RSA de 2048 bits oferece o equivalente a 45 ou mais bits de segurança contra um computador quântico. Para algoritmos simétricos como o AES, a segurança efetiva é “apenas” reduzida pela metade. O AES de 128 bits é considerado seguro contra um computador normal, mas a segurança efetiva contra um computador quântico é de apenas 64 bits. Isso é fraco o suficiente para ser considerado inseguro. O problema pode ser resolvido, no entanto, dobrando o tamanho da chave para 256 bits. Uma chave AES de 256 bits oferece 128 bits de proteção, mesmo contra um computador quântico suficientemente poderoso. Isso é o suficiente para ser considerado seguro. Melhor ainda, o AES de 256 bits já está disponível publicamente e em uso.
Dica: Os bits de segurança oferecidos pelos algoritmos de criptografia simétrica e assimétrica não são diretamente comparáveis.
A coisa toda de “computador quântico suficientemente poderoso” é um pouco difícil de definir com precisão. Isso significa que um computador quântico precisa ser capaz de armazenar qubits suficientes para poder rastrear todos os estados necessários para quebrar a chave de criptografia. O fato chave é que ninguém tem a tecnologia para fazer isso ainda. O problema é que não sabemos quando alguém desenvolverá essa tecnologia. Pode ser cinco anos, dez anos ou mais.
Dado que existe pelo menos um tipo de problema matemático adequado para criptografia que não é particularmente vulnerável a computadores quânticos, é seguro assumir que existem outros. Na verdade, existem muitos esquemas de criptografia propostos que são seguros de usar, mesmo diante de computadores quânticos. O desafio é padronizar esses esquemas de criptografia pós-quântica e provar sua segurança.
Conclusão
A criptografia pós-quântica refere-se à criptografia que permanece forte mesmo diante de poderosos computadores quânticos. Os computadores quânticos são capazes de quebrar completamente alguns tipos de criptografia. Eles podem fazer isso muito mais rápido do que os computadores normais, graças ao algoritmo de Shor. A aceleração é tão grande que não há como combatê-la na prática. Como tal, um esforço está em andamento para identificar possíveis esquemas criptográficos que não sejam vulneráveis a essa aceleração exponencial e, portanto, possam resistir aos computadores quânticos.
Se alguém com um futuro computador quântico tiver muitos dados históricos antigos que possam facilmente decifrar, ainda poderá causar grandes danos. Com o alto custo e as habilidades técnicas necessárias para construir, manter e usar um computador quântico, há poucas chances de serem usados por criminosos. Governos e megacorporações eticamente ambíguas, no entanto, têm os recursos e podem não usá-los para um bem maior. Mesmo que esses poderosos computadores quânticos ainda não existam, é importante transferi-los para criptografia pós-quântica assim que se mostrar seguro fazê-lo para evitar a disseminação histórica descriptografia.
Muitos candidatos à criptografia pós-quântica estão essencialmente prontos para começar. O problema é que provar que eles são seguros já era extremamente difícil quando você não precisava permitir computadores quânticos complicados. Muitas pesquisas estão em andamento para identificar as melhores opções para uso generalizado. Uma coisa importante a entender é que a criptografia pós-quântica é executada em um computador normal. Isso a diferencia da criptografia quântica, que precisa ser executada em um computador quântico.