Quando um computador quântico quebrará ECDSA? Timeline realista
Ponto-chave
Analise realista de quando computadores quânticos serao capazes de quebrar ECDSA/secp256k1: estado atual, estimativas de especialistas e o risco harvest-now-decrypt-later.
Resumo: Com o estado atual da computação quântica (~1000 qubits ruidosos), quebrar ECDSA/secp256k1 requer ~2500 qubits lógicos ou milhoes de qubits fisicos. Estimativas variam de 2033 (otimista) a 2040+ (pessimista), com consenso em 2035-2038. Porém, a estratégia harvest-now-decrypt-later e o mandato NSA para migração até 2030 indicam que a preparacao deve comecar agora.
A pergunta de trilhoes de dolares
Existe uma pergunta que todo investidor em criptoativos deveria estar fazendo: quando exatamente um computador quântico será capaz de quebrar a criptografia que protege meus ativos?
A resposta honestá e: ninguém sabe com certeza. Mas podemos fazer uma análise baseada em dados reais — o estado atual da tecnologia, a velocidade de progresso, e o que os melhores especialistas do mundo estimam.
Este artigo não vai sensacionalizar nem minimizar. Vai apresentar os fatos, as estimativas, e o que eles significam para suas decisões de investimento.
Estado atual: onde estamos em 2026
Google Willow (2024)
Em dezembro de 2024, o Google anunciou o Willow — um processador quântico de 105 qubits que demonstrou "quantum error correction below threshold" pela primeira vez. Isso significa que, ao adicionar mais qubits ao sistema de correcao de erro, a taxa de erro diminui (em vez de aumentar, como acontecia antes).
Por que isso importa: Correcao de erro e o gargalo fundamental. Sem ela, mais qubits significam mais ruido, não mais poder computacional. Willow demonstrou que o problema e solucionavel — embora com 105 qubits, estamos muito longe de escala criptografica.
IBM Condor e Heron (2023-2024)
A IBM lancou o Condor (1.121 qubits) em 2023 — o primeiro processador a superar 1.000 qubits. Em 2024, lancou o Heron com 133 qubits mas foco em qualidade (menor taxa de erro por qubit).
O insight IBM: A empresa reconheceu que qubit count sozinho não resolve. Mudou sua estratégia de "mais qubits" para "melhores qubits" — sinalizando que a industria entende que qualidade importa mais que quantidade.
Outros players
- Microsoft: Topológical qubits (Majorana) — abordagem diferente, potencialmente mais estavel, mas ainda em fase inicial
- IonQ: Trapped ion qubits — alta fidelidade individual, mas dificuldade de escala
- China (USTC): Jiuzhang e Zuchongzhi — fortes em demonstracoes específicas, mas sem clara vantagem em correcao de erro
O que e necessário para quebrar ECDSA
O alvo: secp256k1
Bitcoin, Ethereum, e a maioria das blockchains usam ECDSA com a curva secp256k1. Para quebrar essa curva, um computador quântico precisa executar o algoritmo de Shor adaptado para o problema do logaritmo discreto em curvas elipticas.
Qubits lógicos vs fisicos
Aqui está a distincao crucial que a maioria das noticias ignora:
- Qubit fisico: Um qubit real no hardware. Ruidoso, sujeito a erros, perde coerencia rápidamente.
- Qubit lógico: Um qubit "ideal" construido a partir de multiplos qubits fisicos via códigos de correcao de erro. Comporta-se como um qubit perfeito.
Para executar Shor contra secp256k1, você precisa de qubits lógicos. As estimativas mais recentes:
| Estudo | Qubits lógicos necessários | Ano da estimativa |
|---|---|---|
| Roetteler et al. (Microsoft) | ~2,330 | 2017 |
| Haner et al. | ~2,500 | 2020 |
| Gidney & Ekera (Google) | ~2,048 (otimizado) | 2021 |
Consenso aproximado: ~2.500 qubits lógicos para quebrar secp256k1.
De lógicos para fisicos: o multiplicador
Cada qubit lógico requer multiplos qubits fisicos para correcao de erro. O fator depende da taxa de erro dos qubits fisicos:
| Taxa de erro por qubit | Qubits fisicos por lógico | Total para secp256k1 |
|---|---|---|
| 10^-3 (atual aprox.) | ~1,000-10,000 | 2.5M - 25M |
| 10^-4 (meta proximos anos) | ~100-1,000 | 250K - 2.5M |
| 10^-5 (meta longo prazo) | ~10-100 | 25K - 250K |
| 10^-6 (teorico) | ~10 | ~25K |
Com taxas de erro atuais (~10^-3), precisariamos de 2,5 a 25 milhoes de qubits fisicos. Estamos em ~1.000. A distancia e de 3-4 ordens de magnitude.
Timeline: três cenarios
Cenario otimista (2033-2035)
Premissas:
- Progresso exponencial continua (dobrando qubits a cada 1-2 anos)
- Breakthrough em correcao de erro reduz overhead dramaticamente
- Investimento governamental massivo (corrida armamentista quântica EUA-China)
Por que e possível: A história da computação mostra que uma vez que um limiar e cruzado (como Willow fez com correcao de erro), o progresso pode acelerar dramaticamente. Se topológical qubits (Microsoft) funcionarem, o overhead de correcao poderia cair 100x.
Probabilidade estimada: 15-20%
Cenario pessimista (2040+)
Premissas:
- Progresso linear ou com platôs
- Correcao de erro melhora gradualmente mas sem breakthroughs
- Barreiras de engenharia (refrigeracao, interconexao) limita escala
Por que e possível: Computação quântica enfrenta desafios de engenharia fundamentais. Manter milhoes de qubits a temperaturas proximas do zero absoluto, com interconexoes precisas, e um problema de engenharia sem precedentes. Pode haver platôs tecnológicos como houve em fusão nuclear.
Probabilidade estimada: 25-30%
Cenario medio — consenso de especialistas (2035-2038)
Premissas:
- Progresso solido mas não miraculoso
- Taxa de erro melhora para 10^-4 até 2030
- Escala atinge centenas de milhares de qubits fisicos até 2035
- Otimizacoes algoritmicas reduzem requisitos de qubits
Por que e o consenso: A maioria dos especialistas em computação quântica, quando pressionados por uma estimativa, aponta para meados/fim da decada de 2030. E o cenario que o NIST usou como base para sua urgencia em públicar padroes PQC.
Probabilidade estimada: 45-55%
O fator X: o que não sabemos
Programas militares classificados
A NSA, GCHQ (Reino Unido), e equivalentes chineses operam programas de computação quântica classificados. Ninguem sabe exatamente onde estão. Historicamente, agencias de inteligência estiveram 5-15 anos a frente do setor público em criptografia.
A evidencia indireta: A NSA mandou que todas as agencias federais americanas migrem para PQC até 2030 (CNSA 2.0). Se eles soubessem que computadores quânticos estão a 20+ anos de distancia, por que a urgencia? O mandato 2030 sugere que a NSA avalia o risco como mais proximo do que o público imagina.
Breakthroughs imprevistos
A história da computação está repleta de avancos que ninguém previu:
- Transistores (1947): Computadores eram mecanicos, ninguém previu a miniaturizacao
- Internet (1969): Projetada para 4 universidades, hoje conecta 5 bilhoes de pessoas
- GPU computing (2007): Placas de video se tornaram supercomputadores
Um equivalente em computação quântica — um novo tipo de qubit, um novo metodo de correcao de erro, uma nova arquitetura — poderia comprimir a timeline em anos.
Harvest Now, Decrypt Later: o risco que ja existe
Mesmo que computadores quânticos so quebrem ECDSA em 2038, existe um risco que ja e real em 2026: Harvest Now, Decrypt Later (HNDL).
Como funciona
- Atacante intercepta dados criptografados HOJE (transações, chaves públicas, comúnicacoes)
- Armazena esses dados (custo de storage e trivial)
- Espera 10-15 anos até ter computador quântico
- Descriptografa tudo retroativamente
Quem faz isso
Agencias de inteligência de grandes potencias (EUA, China, Russia) ja coletam massivamente dados criptografados para descriptografia futura. Isso não e especulação — e fato documentado por Edward Snowden e outros.
Implicacao para investidores
Se você faz uma transação Bitcoin hoje, sua chave pública fica exposta na blockchain — permanentemente, para sempre. Se alguém copiar essa chave pública hoje (trivial — e informação pública), em 2038 pode derivar sua chave privada e mover seus fundos.
A janela de risco não e "quando computadores quânticos existirem". E "quanto tempo você pretende manter seus ativos". Se você planeja manter Bitcoin por 15+ anos, seus ativos JA estão em risco de HNDL.
O que a NSA sabe (e está dizendo)
CNSA 2.0: o mandato de 2030
Em setembro de 2022, a NSA públicou o Commercial National Security Algorithm Suite 2.0 (CNSA 2.0), mandando que:
- Até 2025: Sistemas de segurança nacional devem suportar algoritmos PQC
- Até 2030: Todos os sistemas devem estar COMPLETAMENTE migrados para PQC
- ECDSA: Explicitamente marcado para eliminacao
Interpretacao: A NSA não gasta capital politico mandando migracoes de bilhoes de dolares em prazos apertados sem motivo. O mandato 2030 e a avaliacao de risco da organizacao mais bem informada do mundo sobre ameaças criptograficas.
O silencio sobre a timeline
Note o que a NSA NÃO diz: quando exatamente computadores quânticos quebraráo criptografia. Eles mandam migrar até 2030, mas não dizem "porque esperamos um computador quântico em 2031". Esse silencio e proposital — e a coisa mais assustadora do documento.
O que isso significa para seus ativos
A matemática da decisão
Considere a decisão de um investidor em termos de probabilidade e impacto:
| Cenario | Probabilidade | Impacto se não migrar | Impacto se migrar |
|---|---|---|---|
| Q-Day antes de 2035 | 15-20% | Perda total de ativos ECDSA | Protegido |
| Q-Day 2035-2040 | 45-55% | Perda total de ativos ECDSA | Protegido |
| Q-Day após 2040 | 25-30% | Perda total (adiada) | Protegido (antecipado) |
O valor esperado e claro: não migrar para PQC e uma aposta de alto risco com retorno zero. Migrar para PQC tem custo baixo e elimina o risco completamente.
O custo de esperar
Cada ano que passa sem migrar:
- Mais dados são coletados para HNDL
- Mais transações expoe chaves públicas
- A migração fica mais complexa (mais ativos, mais histórico)
- O mercado fica mais competitivo por soluções PQC (custos sobem)
A posicao do ouro.capital
O ouro.capital não aposta em uma timeline específica. Em vez de tentar adivinhar se Q-Day será em 2035 ou 2040, construiu um sistema que e seguro em qualquer cenario:
- Se Q-Day for amanha: tokens ouro.capital estão protegidos por ML-DSA
- Se Q-Day for em 2050: tokens ouro.capital estão protegidos por ML-DSA (e você não perdeu nada por ter segurança extra)
A custódia de ouro fisico em cofre LBMA em Zurique adiciona uma camada que não depende de nenhuma criptografia: o ouro fisico existe independentemente do mundo digital.
Conclusao: a timeline e incerta, a direcao não e
Ninguem pode dizer com certeza quando um computador quântico quebrará ECDSA. Pode ser 2033, pode ser 2040. Mas todos os sinais apontam na mesma direcao:
- O progresso e real e continuo
- As maiores organizacoes do mundo estão se preparando
- A NSA manda migrar até 2030
- HNDL significa que dados coletados hoje serao vulneraveis
- A migração leva anos — comecar tarde e arriscar não terminar a tempo
Para investidores com horizonte de 10+ anos, a questão não e "quando será Q-Day" — e "por que arriscar quando alternativas quantum-safe ja existem?"
A resposta racional, independente de qual timeline você acredite, e a mesma: proteja-se agora, enquanto a migração e simples e o mercado está calmo.
Matheus Feijão
CEO & Fundador — ouro.capital
Especialista em fintech e criptoativos desde 2002. CEO da ouro.capital.