Ponto-chave
RSA-2048 protege o internet banking. secp256k1 protege Bitcoin. Ambos caem com o algoritmo de Shor. Entenda os números e a timeline real da ameaça.
Resumo: RSA-2048 e secp256k1 (Bitcoin) dependem de problemas matematicos que o algoritmo de Shor resolve em tempo polinomial. Estima-se que 4.000 qubits lógicos quebram RSA-2048 e 2.500 quebram secp256k1. Com o progresso atual, isso pode ser realidade em 7-15 anos.
Dois pilares com prazo de validade
Dois algoritmos criptograficos protegem a vasta maioria do valor digital do mundo:
- RSA-2048: protege internet banking, certificados SSL, email corporativo, assinaturas digitais de documentos, comúnicação governamental
- secp256k1 (ECDSA): protege toda transação de Bitcoin, boa parte do Ethereum, e derivados
Juntos, esses dois algoritmos guardam trilhoes de dolares em valor. E ambos tem uma vulnerabilidade matemáticamente comprovada: o algoritmo de Shor, públicado por Peter Shor do MIT em 1994.
Não e uma questão de "se" — e uma questão de "quando."
Como RSA-2048 funciona (e por que vai cair)
A base: fatoracao de números grandes
RSA funciona assim:
- Escolha dois números primos enormes (p e q), cada um com ~1024 bits
- Multiplique-os: N = p × q (um número de 2048 bits)
- N e tornado público (chave pública)
- p e q são mantidos secretos (base da chave privada)
A segurança depende de um fato: multiplicar p × q e trivial, mas descobrir p e q a partir de N e computacionalmente impossível para computadores classicos quando N e grande o suficiente.
Um computador classico tentando fatorar N por forca bruta precisaria testar um número absurdo de combinacoes. Os melhores algoritmos classicos (General Number Field Sieve) ainda exigiriam bilhoes de anos para RSA-2048.
Por que Shor muda tudo
O algoritmo de Shor usa propriedades quânticas (superposição e entrelaçamento) para encontrar periodicidades em funcoes modulares. Sem entrar na matemática:
- Classico: fatorar N de 2048 bits = ~bilhoes de anos
- Quântico (Shor): fatorar N de 2048 bits = ~horas a dias
A diferença não e de "um pouco mais rápido." E de exponencialmente mais rápido. E como comparar caminhar até a lua versus teletransportar-se: categorias completamente diferentes.
Quantos qubits para quebrar RSA-2048?
Estimativas academicas recentes:
| Estudo | Qubits lógicos necessários | Qubits fisicos (com correcao de erros) |
|---|---|---|
| Gidney & Ekera (2021) | ~4.000 | ~20 milhoes (com taxa de erro atual) |
| Otimizacoes teoricas | ~2.000-3.000 | ~4-8 milhoes (com melhor correcao) |
| Cenario futuro (melhor hardware) | ~4.000 | ~1-2 milhoes |
A distancia entre "4.000 qubits lógicos" e "milhoes de qubits fisicos" e o que nos da tempo. Cada qubit lógico precisa de muitos qubits fisicos para correcao de erros porque qubits reais são ruidosos e cometem erros.
Mas — e este e o ponto crucial — a taxa de erros está caindo exponencialmente. O Google demonstrou isso com o chip Willow em 2024: ao adicionar mais qubits, os erros diminuem exponencialmente, não aumentam. Isso era a barreira que muitos ceticos diziam ser intransponível.
Como secp256k1 funciona (e por que vai cair)
A base: logaritmo discreto em curvas elipticas
Bitcoin usa ECDSA com a curva secp256k1. Funciona assim:
- Escolha um número secreto (chave privada): um número de 256 bits
- Multiplique por um ponto gerador na curva eliptica: resultado = chave pública
- A chave pública e derivada da privada, mas reverter e "impossível"
A segurança depende de: multiplicar um ponto por um escalar na curva e fácil, mas descobrir o escalar dado o ponto original e o resultado (logaritmo discreto) e computacionalmente impossível classicamente.
Shor também resolve logaritmo discreto
O algoritmo de Shor não se limita a fatoracao. Ele resolve o problema do logaritmo discreto — exatamente o que protege ECDSA — com eficiência similar.
Quantos qubits para quebrar secp256k1?
| Estimativa | Qubits lógicos | Qubits fisicos |
|---|---|---|
| Roetteler et al. (2017) | ~2.500 | ~10-15 milhoes |
| Otimizacoes recentes | ~1.500-2.000 | ~4-6 milhoes |
| Cenario futuro | ~2.500 | ~500K-2M |
Interessante: secp256k1 e mais fácil de quebrar que RSA-2048. Curvas elipticas de 256 bits oferecem segurança equivalente a RSA-3072 contra ataques classicos, mas contra Shor, a curva de 256 bits e mais vulnerável que RSA-2048.
Isso significa que Bitcoin cairia antes do internet banking convencional em um cenario de progresso gradual da computação quântica.
O estado atual: onde estamos na corrida
Marcos recentes de hardware quântico
| Ano | Marco | Significado |
|---|---|---|
| 2019 | Google "supremacia quântica" (53 qubits) | Prova de conceito |
| 2023 | IBM Condor (1.121 qubits) | Escala de qubits fisicos |
| 2024 | Google Willow (105 qubits, redução exponencial de erros) | Breakthrough em correcao |
| 2025 | Multiplos players com 1.000+ qubits | Convergencia de plataformas |
| 2026 | Roadmaps apontam para 10.000+ qubits | Aceleracao contínua |
A curva de progresso
O progresso em qubits não e linear — está seguindo algo parecido com a Lei de Moore:
- 2019: ~50 qubits
- 2021: ~127 qubits
- 2023: ~1.100 qubits
- 2025: ~4.000+ qubits (roadmaps)
- 2027-2029: ~100.000+ qubits (projecoes)
- 2030-2035: ~1.000.000+ qubits (projecoes)
Se as projecoes se mantiverem, qubits fisicos suficientes para ameaçar RSA/ECDSA podem existir entre 2032 e 2040.
O fator correcao de erros
O avanço do Google Willow em 2024 e particularmente significativo. Até então, adicionar mais qubits aumentava a taxa de erros do sistema (mais qubits = mais ruido = mais erros). Willow demonstrou que, com a arquitetura correta, mais qubits podem significar menos erros — abrindo caminho para os milhoes de qubits necessários para Shor.
Por que "aumentar o tamanho da chave" não resolve
Uma reacao comum e: "basta usar RSA-4096 ou RSA-8192." Isso e um mal-entendido fundamental.
Contra ataques classicos, dobrar o tamanho da chave aumenta astronomicamente a dificuldade. Contra Shor, o custo de ataque cresce apenas polinomialmente com o tamanho da chave.
| Tamanho RSA | Tempo classico para quebrar | Qubits para Shor | Tempo com Shor |
|---|---|---|---|
| 1024 bits | Anos (ja considerado inseguro) | ~2.000 | Horas |
| 2048 bits | Bilhoes de anos | ~4.000 | Horas |
| 4096 bits | Trilhoes de anos | ~8.000 | Horas |
| 8192 bits | Inimaginavel | ~16.000 | Horas-dias |
Viu o padrao? Dobrar a chave apenas dobra os qubits necessários — e qubits estão crescendo exponencialmente. Não ha tamanho de chave RSA que escale rápido o suficiente para se manter seguro indefinidamente contra quantum.
O mesmo vale para curvas elipticas maiores. Passar de secp256k1 para uma curva de 512 ou 1024 bits apenas adia o problema por um ou dois ciclos de duplicacao de qubits.
O valor em risco: números concretos
RSA-2048
- Protege: ~90% das conexoes TLS da internet
- Valor em transito: trilhoes de dolares diarios
- Setores: banking, e-commerce, governo, saude, energia
secp256k1
- Protege: 100% das transações Bitcoin (~US$1.3 trilhao em market cap)
- Também usado por: Ethereum (em parte), derivados
- Enderecos com chave pública exposta: milhoes (incluindo ~1.1 milhao de BTC de Satoshi)
Outros algoritmos vulneraveis na mesma classe
- ECDSA com qualquer curva (P-256, P-384, Ed25519)
- RSA de qualquer tamanho
- Diffie-Hellman (key exchange)
- DSA (assinaturas)
- ElGamal
Praticamente toda criptografia de chave pública em uso hoje está na lista.
O cenario de ataque: como seria na prática
Contra Bitcoin (secp256k1)
- Atacante obtém computador quântico com ~2.500 qubits lógicos
- Identifica enderecos com chave pública exposta (visivel na blockchain)
- Executa Shor para derivar chave privada da pública
- Assina transação transferindo fundos para endereco proprio
- Rede Bitcoin aceita a transação (assinatura e valida)
- Fundos roubados — irreversivelmente
Não ha como a rede distinguir entre "dono legitimo assinando" e "atacante quântico assinando." Ambos produzem assinaturas identicas e validas.
Contra internet banking (RSA-2048)
- Atacante intercepta handshake TLS (ou usa dados HNDL coletados anteriormente)
- Quebra a chave privada do servidor via Shor
- Decripta toda comúnicação passada e futura daquela sessao
- Obtem credenciais, dados financeiros, tokens de autenticação
Contra tokens de ativos digitais (ECDSA)
- Token representando ouro/imovel/titulo usa ECDSA para provar propriedade
- Atacante deriva chave privada da pública
- Transfere propriedade do ativo para si
- Se o ativo e on-chain sem recurso legal, perda e permanente
Por que serviram bem — e por que expiraram
E importante reconhecer: RSA e ECDSA não são algoritmos "ruins." Eles serviram extraordinariamente bem por decadas:
- RSA (1978): 48 anos de serviço seguro contra ataques classicos
- ECDSA/secp256k1 (2009 no Bitcoin): 17 anos de serviço impecavel
Eles foram projetados para serem seguros contra computadores classicos — e sao. Nenhum computador classico jamais quebrou RSA-2048 ou secp256k1 em cenario real.
Mas foram projetados em uma era onde computadores quânticos eram ficcao cientifica. Shor públicou seu algoritmo em 1994, quando "computador quântico" era um conceito puramente teorico. Hoje não e mais.
A transicao ja comecou
Quem ja se moveu:
| Organizacao | Acao | Quando |
|---|---|---|
| NIST | Publicou FIPS 203/204/205 (ML-KEM, ML-DSA, SLH-DSA) | Agosto 2024 |
| Apple | Lancou PQ3 no iMessage | Fevereiro 2024 |
| Signal | Implementou PQXDH | Setembro 2023 |
| Google Chrome | ML-KEM em TLS | 2024 |
| NSA | CNSA 2.0: migração obrigatoria até 2030 | Setembro 2022 |
| Cloudflare | PQC em ~20% do trafego | 2024 |
Quem nao se moveu:
- Bitcoin: nenhum roadmap PQC concreto
- Ethereum: mencionado em roadmap de longo prazo mas sem implementacao
- Maioria dos tokens ERC-20: zero planos
- Maioria das exchanges: zero planos
O que isso significa para seu patrimônio
Se você tem valor armazenado em ativos protegidos por RSA-2048 ou secp256k1, você tem uma bomba-relogio. O detonador não e visivel — está em laboratorios ao redor do mundo, avancando trimestre a trimestre.
A questão não e se vai explodir. E se você tera movido seu patrimônio para terreno seguro antes disso.
Ativos digitais construidos com ML-DSA (CRYSTALS-Dilithium, FIPS 204) não dependem de fatoracao nem de logaritmo discreto. Baseiam-se em problemas de reticulados (lattices) para os quais nenhum algoritmo quântico eficiente e conhecido — classico ou quântico.
A bomba-relogio de RSA e secp256k1 e real. Mas a solução também e. A diferença está em quem age antes do alarme tocar.
Matheus Feijão
CEO & Fundador — ouro.capital
Especialista em fintech e criptoativos desde 2002. CEO da ouro.capital.