Sobre a ameaça quântica ao Bitcoin e blockchains, existem duas opiniões principais: (1) O quântico não será relevante por muito tempo, portanto não há necessidade de urgência. (2) O quântico já é relevante, e precisamos agir com urgência. Para constar, os físicos quânticos e especialistas em segurança estão cada vez mais presentes no mundo (2). Pessoas que acreditam que estamos no mundo (1) estão armadas com fatos errados, suposições erradas ou simplesmente não querem pensar criticamente sobre o impacto. 🧵

1/ Exemplo 1: O mais recente post no blog do Google, escrito por Hartmut Neven (chefe de @GoogleQuantumAI) e Kent Walker (chefe de Assuntos Públicos do Google/Alphabet), apresenta a transição para a criptografia pós-quântica como urgente, sistêmica, exigindo ação coordenada agora para "acelerar o progresso" e a adoção.

2/ O argumento do Google é simples: computadores quânticos vão quebrar a criptografia que protege a internet. Os métodos criptográficos atuais dependem de problemas que computadores clássicos não conseguem resolver de forma eficiente. O quântico quebra esse paradigma e não estará "para sempre a uma década de distância".

3/ E eles não estão apenas teorizando. Pesquisadores do Google acabam de publicar um trabalho mostrando que quebrar a criptografia RSA de 2048 bits requer ~1 milhão de qubits ruidosos, não os bilhões estimados anteriormente. Os requisitos de recursos estão caindo mais rápido do que o esperado, portanto o cronograma está se comprimindo.

4/ (Aliás, para os comentaristas que possam apontar que o Bitcoin não usa RSA, respondo antecipadamente que o ECDSA pode ser mais fácil de quebrar do que o RSA-2048 porque o algoritmo do Shor roda em um polinômio de tempo no comprimento da chave, e as chaves de curva elíptica são muito mais curtas que as chaves RSA, o que pode tornar isso ainda mais urgente).

5/ Pergunta: Por que o Google investiria fortemente em acelerar a adoção da criptografia pós-quântica para seus próprios sistemas se fosse pessimista quanto ao progresso quântico? Resposta: Eles estão vendo suas próprias curvas de capacidade e agindo de acordo.

6/ Mesmo assumindo que o que é público é de última geração (não é), a posição do Google é racional: prepare-se para a capacidade antes que ela chegue, porque uma vez que ela chega, você já está atrasado. Postura clássica de defesa. Isso não é só o Google. Empresas líderes que priorizam a segurança (como @Cloudflare e @Apple) estão priorizando a segurança pós-quântica em seus roadmaps. Que motivo eles têm para priorizar isso que nós não fazemos?

7/ Exemplo 2: Scott Aaronson, um dos mais proeminentes céticos da computação quântica e físico conhecido por denunciar o hype quântico, reconheceu o progresso genuíno alcançado nos últimos dois anos, ao mesmo tempo em que enfatiza a incerteza sobre as linhas do tempo futuras. @preskill fez observações semelhantes. Aqui está Scott:

8/ Quando pessoas nesse nível, que construíram sua reputação com ceticismo quântico e integridade acadêmica, dizem que o progresso é real e que os prazos podem estar acelerando, isso deveria fazer todos refletir. Apostar a segurança de trilhões em ativos em "vai ser lento" é imprudente.

9/ Exemplo 3: O governo dos EUA determinou que todos os sistemas críticos migrem para a criptografia pós-quântica até 2030. O NIST finalizou os padrões PQC em 2024. A NSA é obviamente um fator importante para impulsionar esses prazos, trabalhando de trás para frente a partir da inteligência de ameaças. Se eles exigem migração até 2030, podem estar vendo prazos de capacidade que justificam essa urgência. Eles podem saber coisas que nós não sabemos.

10/ Em resumo, o consenso dos especialistas entre pessoas que realmente constroem computadores quânticos, ou organizações que têm muito risco é: o progresso acelerou, os prazos são incertos, a preparação é essencial e os riscos são altos.

11/ Agora compare isso com o campo dos "que não fazem nada". Suas evidências são frequentemente autorreferenciais, ignoram completamente especialistas quânticos e repetem afirmações empiricamente erradas em uma câmara de eco. Estudo de caso: @coinshares relatório (publicado no mesmo dia do post do blog do Google mencionado acima). Vamos analisar os erros desse texto, pois é um exemplo ilustrativo.

12/ Erro #1: O autor afirma que apenas ~1,6 milhões de BTC é vulnerável, com talvez 10.200 BTC capazes de causar disrupção no mercado. A matemática aqui está simplesmente errada.

13/ Fato: A entidade acreditada ser apenas Satoshi detém 1.096.152 BTC em 21.924 endereços. Todos vulneráveis. E não são só endereços P2PK. Qualquer endereço que tenha assinado uma transação uma vez (e deixado fundos residuais lá) é vulnerável a ataques quânticos. Isso inclui muitos dos maiores endereços de BTC atualmente.

14/ Mantemos um rastreador constantemente atualizado do Bitcoin vulnerável à quantumidade aqui: Faça referência cruzada com @ChaincodeLabs excelente relatório técnico sobre ameaças quânticas ao Bitcoin aqui: Em ambos os casos, a exposição é muito maior do que o relatório @coinshares sugere.

15/ Erro #2: A "evidência" deles de que o quantum está longe é uma citação do CTO da Ledger. Eu respeito essa pessoa e não tenho nada contra ela, mas isso é puro apelo à autoridade com viés óbvio. Se assinaturas resistentes à quântica forem adotadas, todos os dispositivos @Ledger existentes podem se tornar obsoletos. Então considere o incentivo e a fonte. No mínimo, devemos reconhecer que essa é uma visão única, e potencialmente "escolhida a dedo" para viés de confirmação.

16/ Erro #3: Embora não especialistas sejam consultados sobre sua expertise no domínio quântico, nenhuma tentativa é feita para entender o esforço ou a complexidade exclusiva de aplicar soluções pós-quânticas a uma blockchain já implantada. Estes incluem: - milhões de chaves distribuídas que precisam ser migradas separadamente - não há autoridade centralizada para tomar decisões - propriedade dos ativos inteiramente com base em assinatura digital (sem recurso de reserva)

17/ De acordo com pesquisas revisadas por pares, a blockchain do BTC teria que ser desligada por 76 dias para processar as transações de migração do conjunto UTXO existente. Esse é o melhor caso.

18/ Erro #4: O autor despreza qualquer pessoa que aumente a conscientização sobre ameaças quânticas como "vigaristas". Se um computador quântico quebrando a base criptográfica de trilhões de dólares em ativos digitais não é um problema sério, eu não sei o que será. Caricaturar pesquisadores e construtores como vigaristas é autodestrutivo.

19/ Mesmo que você aceite a alegação de "10 anos de diferença" pelo valor nominal (e há bons motivos para não o fazer), parece distante até você perceber que é: - a estimativa otimista que já tem alguns anos, e os requisitos de recursos estão caindo mais rápido do que o previsto, e - o desafio técnico de migrar esses sistemas é significativamente mais complexo do que as pessoas imaginam.

20/ A boa notícia é que podemos resolver esse problema. Blockchains podem se adaptar. A criptografia pós-quântica existe. Mas descartar os avisos de especialistas em quântica porque a ameaça parece distante é exatamente como você se pega desprevenido.

21/ As pessoas gostam de certeza. Infelizmente, a única certeza sobre computadores quânticos criptograficamente relevantes é que eles vão quebrar o Bitcoin e quase todas as outras redes de ativos digitais. Prever exatamente quando esse momento chega é uma tarefa perdida. Mas não há razão para que não possa chegar antes do esperado, assim como o progresso da IA desafiou repetidamente prazos pessimistas por meio de avanços exponenciais.

22/ Prefiro que a segurança das blockchains não dependa da suposição de que o progresso da computação quântica será lento. /Fim

Sobre linhas do tempo quânticas, o motivo pelo qual eu pessoalmente acho que há uma desconexão é porque as pessoas não entendem a não linearidade do progresso aqui. Simplificando, computadores quânticos ou serão incapazes de fazer qualquer coisa criptograficamente significativa (hoje), ou serão capazes de qualquer algoritmo assimétrico clássico implantado. Não há motivo para investir em construir um sistema para um meio-termo. A principal diferença entre um e o outro é a capacidade de correção de erros. **É por isso** que você vê todo o investimento e esforço sendo aplicado ali. Porque, uma vez que isso seja decifrado, escalar esses sistemas para relevância criptográfica não será tão difícil. Nada, e então tudo de uma vez.

@reardencode @dallairedemers @Ethan_Heilman Além disso, há todos os motivos para acreditar que, à medida que as coisas avançam, há muito menos motivos para divulgar o estado da arte. Na verdade, isso pode já estar acontecendo.