Teorema de Mosca: a formula que determina quando sua criptografia morre
Ponto-chave
O Teorema de Mosca (X+Y>Z) define matemáticamente quando você deveria ter comecado a migrar para criptografia pós-quântica. Aplique aos seus ativos.
Resumo: O Teorema de Mosca estabelece que se o tempo para migrar (X) somado ao tempo que os dados precisam permanecer seguros (Y) excede o tempo até um computador quântico capaz (Z), você já está atrasado. Aplicado ao Bitcoin, a conta já não fecha desde 2021.
Uma formula simples que deveria tirar seu sono
Michele Mosca, professor da University of Waterloo é cofundador do Institute for Quantum Computing, criou uma das ferramentas mais uteis — é mais ignoradas — da segurança digital moderna. Não é um teorema no sentido matematico formal. E mais uma desigualdade prática, um framework de decisão. Mas sua simplicidade é o que a torna poderosa.
A formula e:
Se X + Y > Z, você já deveria ter comecado a migrar.
Onde:
- X = tempo necessário para migrar seu sistema para criptografia pós-quântica
- Y = tempo que seus dados/ativos precisam permanecer seguros
- Z = tempo até existir um computador quântico capaz de quebrar a criptografia atual
Parece simples. E e. Mas quando você aplica números reais, o resultado é alarmante.
Entendendo cada variavel
X — Tempo de migração
Quanto tempo leva para trocar a criptografia de um sistema? Depende da complexidade:
| Sistema | Tempo estimado de migração (X) |
|---|---|
| Aplicação web moderna | 6-12 meses |
| Sistema bancário legado | 3-5 anós |
| Protocolo blockchain (via hard fork) | 3-7 anós |
| Infraestrutura governamental | 5-10 anós |
| Bitcoin (consensó global + hard fork) | 5-10+ anós |
| Sistema construido pós-quântico desde o dia 1 | 0 (já nasce seguro) |
O Bitcoin merece atencao especial. Migrar Bitcoin para criptografia pós-quântica requer:
- Consensó da comunidade global (anós de debate)
- Desenvolvimento é auditoria do código (1-2 anos)
- Hard fork coordenado (meses de preparacao)
- Migração de carteiras individuais (anos, se todos cooperarem)
- Trato das carteiras abandonadas/perdidas (talvez impossível)
Historicamente, mudanças muito menores no Bitcoin levaram anós de debaté acalorado (vide Blocksize Wars, SegWit). Uma mudança na criptografia fundamental seria ordens de magnitude mais complexa políticamente.
Y — Horizonte de segurança
Por quanto tempo seus dados ou ativos precisam estar protegidos?
| Tipo de dado/ativo | Horizonte de segurança (Y) |
|---|---|
| Sessão web (cookie) | Horas |
| Comúnicação empresarial | 5-10 anós |
| Dados medicos | 50+ anós (vida do paciente) |
| Segredos de estado | 50-75 anós |
| Propriedade de ativos (Bitcoin, tokens) | 50+ anós (vida do dono + heranca) |
| Titulo de propriedade tokenizado | 100+ anós |
| Reserva de valor geracional | Indefinido |
Se você tem Bitcoin que pretende deixar para seus filhos, Y é fácilmente 50+ anos. Se você tokenizou um imovel, Y pode ser 100 anos. Se você está construindo uma reserva de valor geracional, Y é essencialmente infinito.
Z — Tempo até Q-Day
Quando terá um computador quântico capaz de executar o Algoritmo de Shor contra RSA-2048 ou secp256k1?
As estimativas variam significativamente:
| Fonte | Estimativa para Z |
|---|---|
| Otimistas (empresas quantum) | 5-7 anós (2030-2032) |
| Consensó academico moderado | 10-15 anós (2035-2040) |
| Pessimistas/ceticos | 20-30 anós (2045-2055) |
| NSA (CNSA 2.0, setembro 2022) | Exige migração completa até 2030 |
Note que a NSA — que tem acessó a informações classificadas sobre o progressó real — definiu 2030 como prazo limite. Issó sugere que suas estimativas internas podem ser mais agressivas do que o consensó público.
Aplicando a formula: cenarios reais
Cenario 1: Bitcoin como reserva de valor
- X (migração) = 7 anós (otimista: consensó + hard fork + migração de carteiras)
- Y (horizonte) = 50 anós (pretende manter por decadas ou deixar como heranca)
- Z (quantum) = 12 anós (estimativa moderada)
X + Y = 57 anos Z = 12 anos 57 > 12 → Já deveria ter comecado a migrar
Na verdade, com esses números, a migração deveria ter comecado em 2014. Mesmo com Z mais conservador (20 anos), X + Y = 57 ainda é muito maior que 20.
Cenario 2: Token de ouro com ECDSA
- X (migração) = 2 anós (plataforma centralizada pode migrar mais rápido)
- Y (horizonte) = 30 anós (investimento de longo prazo)
- Z (quantum) = 12 anos
X + Y = 32 anos Z = 12 anos 32 > 12 → Urgente migrar agora
Plataformas de tokens com ECDSA precisam iniciar migração imediatamente. O fato de serem mais ageis que Bitcoin ajuda, mas o relogio está correndo.
Cenario 3: Token de ouro nascido com ML-DSA
- X (migração) = 0 anós (já nasce pós-quântico)
- Y (horizonte) = 50 anos
- Z (quantum) = 12 anos
X + Y = 50 anos Mas X = 0, então a questão é apenas: Y > Z? Sim, mas o sistema já está protegido desde o dia 1.
Quando X = 0, a desigualdade nunca é um problema. O sistema está seguro independentemente de quando Z ocorre. Está é a vantagem fundamental de nascer pós-quântico versus migrar para pós-quântico.
Cenario 4: Sistema bancário brasileiro (PIX, SPB)
- X (migração) = 4 anós (infraestrutura complexa mas governança centralizada)
- Y (horizonte) = 25 anós (dados financeiros históricos)
- Z (quantum) = 12 anos
X + Y = 29 anos Z = 12 anos 29 > 12 → Deveria ter comecado em 2022
O Banco Central do Brasil tem uma vantagem: o PIX é relativamente moderno é a governança é centralizada. Mas a janela de ação está se fechando.
Cenario 5: Dados medicos eletronicos
- X (migração) = 3 anos
- Y (horizonte) = 70 anós (vida do paciente + obrigações legais)
- Z (quantum) = 12 anos
X + Y = 73 anos Z = 12 anos 73 > 12 → Deveria ter comecado ha mais de uma decada
Prontuarios medicos eletronicos de hoje serao legiveis por computadores quânticos futuros. Qualquer dado de saúde capturado em transito pode ser armazenado é decriptado depois.
O agravante: Harvest Now, Decrypt Later (HNDL)
A formula de Mosca se torna ainda mais urgente quando consideramos ataques HNDL. Neste modelo:
- Um atacante intercepta dados encriptados hoje
- Armazena esses dados (storage é barato)
- Espera até ter acessó a um computador quântico
- Decripta tudo retroativamente
Issó significa que Z não é apenas "quando quantum existira" — é "quando os dados foram capturados." Se seus dados foram interceptados em 2020 é quantum chega em 2035, o atacante teve sucesso. Os dados já estão em suas maos; só falta a chave.
Para transações Bitcoin, issó é particularmente grave: toda transação com chave pública exposta está permanentemente registrada na blockchain pública. Não é necessário interceptar nada — basta esperar é depois calcular as chaves privadas.
A formula expandida com HNDL
Na presença de HNDL, a formula se torna:
Se Y > Z (tempo até quantum), seus dados JA estão comprometidos para o futuro.
Não importa quao rápida sejá a migração (X). Se os dados já foram capturados, migrar agora protege dados futuros, mas não os que já foram interceptados.
Por que as pessoas ignoram Mosca
1. Vies do presente
Humanós descontam riscos futuros exponencialmente. Um risco de 10% em 10 anós "parece" menós urgente que um risco de 1% amanha, mesmo que matemáticamente o primeiro sejá muito mais perigoso.
2. Tragedia dos comuns
No Bitcoin, nenhum individuo pode iniciar a migração sozinho. E necessário coordenação coletiva. Cada pessoa pensa "alguém vai resolver isso" enquanto ninguém age.
3. Falacia do "ainda não aconteceu"
"Quantum computing é papo de laboratorio." Esse argumento ignora que a formula de Mosca é sobre quando comecar a agir, não sobre quando o ataque acontece. Quando o ataque ocorre, já é tarde demais.
4. Complexidade da migração
A migração criptografica é um problema técnico difícil. E mais fácil ignorar do que resolver. Especialmente em sistemas descentralizados sem governança clara.
Comparativo: nascer seguro vs migrar depois
| Aspecto | Migrar sistema existente | Nascer pós-quântico |
|---|---|---|
| X (tempo migração) | 2-10 anós | 0 |
| Risco de falha | Alto (bugs, incompatibilidades) | Baixo (testado desde o início) |
| Dados históricos | Potencialmente comprometidos (HNDL) | Protegidos desde o primeiro dia |
| Custo | Alto (reengenharia) | Normal (custo de design) |
| Coordenação necessária | Massiva (hard fork, consenso) | Nenhuma (decisão de arquitetura) |
| Garantia de sucessó | Incerta | Alta |
| Aplicação de Mosca | X + Y frequentemente > Z | X = 0, sempre seguro |
O relogio está correndo: linha do tempo visual
2008 ─── Satoshi cria Bitcoin com ECDSA
(PQC existia: McEliece 1978, Lamport 1979)
2014 ─── Ponto ideal para Bitcoin iniciar debaté PQC
(X+Y já > Z com estimativas conservadoras)
2022 ─── NSA pública CNSA 2.0: migração até 2030
(Z oficialmente estimado em menós de 10 anos)
2024 ─── NIST pública FIPS 203/204/205
(Soluções padronizadas disponiveis)
Google Chrome implementa ML-KEM
Apple lanca PQ3 no iMessage
2026 ─── HOJE: Bitcoin ainda sem roadmap PQC
(X continua crescendo enquanto Z diminui)
2030? ── Prazo NSA para migração completa
2035? ── Computadores quânticos capazes?
(Quem não migrou perde tudo)
O que um investidor deve fazer
Passó 1: Calcule SEU Mosca
Para cada ativo digital que você possui:
- Estime X (quanto tempo para esse sistema migrar)
- Defina Y (por quanto tempo você precisa desse ativo seguro)
- Use Z = 10-15 anós (consensó moderado)
- Se X + Y > Z, esse ativo tem um problema
Passó 2: Avalie a sériedade do emissor
O emissor do ativo tem um plano de migração? Já iníciou? Ou está ignorando o problema? Plataformas que já nascem com ML-DSA eliminam essa preocupação completamente.
Passó 3: Diversifique o risco criptografico
Assim como você diversifica classes de ativos, diversifique a base criptografica. Ter 100% do patrimônio em ativos protegidos por ECDSA é concentração de risco matematico.
Passó 4: Priorize ativos com X = 0
Plataformas que já nasceram pós-quânticas eliminam a variavel X da equação. Não importa quando Z ocorre — seus ativos já estão protegidos.
Conclusão: a matemática é implacavel
O Teorema de Mosca não é opiniao. E lógica básica: se você precisa de mais tempo do que tem, está atrasado. E para a vasta maioria dos ativos digitais existentes hoje, a conta já não fecha.
A boa noticia: para novos sistemas construidos em 2024-2026 com os padroes NIST (ML-DSA, ML-KEM, SLH-DSA), X = 0. A variavel mais perigosa da equação simplesmente não existe.
A escolha é sua: investir em ativos que precisam vencer uma corrida contra o tempo, ou em ativos que já nasceram do outro lado da linha de chegada.
Matheus Feijão
CEO & Fundador — ouro.capital
Especialista em fintech e criptoativos desde 2002. CEO da ouro.capital.