Muitas das coisas que faz online todos os dias são protegidas por criptografia para que ninguém mais possa aceder. Os seus serviços bancários online e as suas mensagens para os seus amigos provavelmente são criptografados, por exemplo – assim como segredos do governo. Mas essa proteção está a ser ameaçada por conta do desenvolvimento de computadores quânticos, que ameaçam tornar inúteis os métodos modernos de criptografia.
As máquinas quânticas funcionam de uma maneira fundamentalmente diferente dos computadores clássicos que usamos hoje. Em vez de usarem o código binário tradicional, que representa informações com 0s e 1s, usam bits quânticos, ou qubits. As propriedades incomuns dos qubits tornam os computadores quânticos muito mais poderosos para alguns tipos de cálculos, incluindo os problemas matemáticos que sustentam grande parte da criptografia moderna.
“Os investigadores sabem há décadas que, se um computador quântico em grande escala pudesse ser construído, poderia fazer alguns cálculos que colocariam em risco os criptossistemas dos quais contamos hoje para a segurança”, revela Dustin Moody, matemático do NIST, o Instituto Nacional de Padrões e Tecnologia dos Estados Unidos.
Embora as máquinas quânticas ainda estejam muito longe de serem capazes de quebrar a criptografia moderna, em 2016 o NIST deu início a uma competição para desenvolver novos padrões criptográficos que fossem mais resistentes à computação quântica. A corrida é longa e o resultado dos vencedores está previsto para ser anunciado em 2022, mas no final de julho a organização comunicou que tinha reduzido o grupo inicial de 69 candidatos para apenas 15.
E até agora uma única abordagem para a “criptografia pós-quântica” está a ser usada pela maioria dos finalistas: criptografia baseada em reticulados.
Como funciona
A criptografia de chave pública, também conhecida como criptografia assimétrica, usa matemática tradicional para codificar dados, desbloqueando-os apenas para aqueles que têm a chave – ou que conseguem decifrá-las. Por outro lado, a criptografia baseada em reticulados usa grades enormes com mil milhões de pontos individuais em milhares de dimensões. Quebrar o código significa ir de um ponto específico a outro – o que é essencialmente impossível, a menos que conheça a rota.
Até mesmo a Agência de Segurança Nacional, a agência de espionagem dos EUA que há muito tempo alerta sobre a ameaça representada por computadores quânticos, recentemente, expressou confiança em abordagens baseadas em reticulados.
No entanto, o que conta não é apenas quão impenetrável ou complexa é a matemática. As abordagens pós-quânticas só funcionarão se puderem ser usadas em todos os lugares em que a criptografia de alto nível será necessária. Por exemplo, o tamanho da chave necessária para descriptografar os dados é importante: imagine o que será possível dentro de um equipamento médico que tem pouca memória e uma largura de banda severamente limitada. Se a matemática for tão complexa a ponto de que abrir a fechadura exige uma chave enorme, a solução pode não passar no teste de utilização.
Cinco dos candidatos pré-selecionados anunciados no final de julho usam abordagens reticuladas que não têm uma solução quântica conhecida, e o novo relatório de status do NIST diz que eles são “os algoritmos de uso geral mais promissores” na lista.
Mas essa lista inclui abordagens alternativas que também podem ser um sucesso – especialmente se os sistemas de reticulados se revelarem insuficientes. Essas outras opções são geralmente menos maduras, menos estudadas e muito mais distantes de serem usadas no mundo real, levando a maioria dos observadores a acreditar que esses sistemas reticulados vão triunfar quando dois vencedores forem escolhidos em 2022.
“O que o NIST acredita é que os problemas de reticulados são realmente difíceis”, diz Elena Kirshanova, matemática e investigadora de criptoanálise da Universidade Federal do Báltico de Immanuel Kant (em inglês, I.Kant Baltic Federal University), na Rússia. “Embora esses problemas sejam difíceis, parecem bastante eficientes em termos de tempo para gerar chaves, para construir assinaturas e também eficientes em termos de memória.”
Quando é que vão chegar?
Se se está a investir tanto tempo e esforço para evitar um desastre de segurança, quando é que veremos um computador quântico que possa fazer tudo isto?
No ano passado, o Google vangloriava-se de ter alcançado a “supremacia quântica” ao encontrar uma tarefa que um computador quântico poderia fazer e que era essencialmente impossível para um computador clássico. A empresa anunciou que tinha utilizado o seu computador quântico Sycamore de 53 bits para resolver um problema de matemática em 200 segundos, enquanto que um computador clássico levaria 10.000 anos.
Foi um marco importante, mas não deu início a uma nova era da computação quântica, e os especialistas da indústria e do mundo académico rapidamente criticaram a empresa por uma série de razões.
Na realidade, provavelmente estamos a uma década ou mais de distância de um computador quântico que possa resolver problemas úteis – o que dá ao NIST tempo para tomar uma decisão para que a transição para a criptografia quântica segura possa começar.
“Leva muito tempo para padronizar e implementar algoritmos criptográficos em produtos”, refere Moody, do NIST. “Pode levar 10 ou 20 anos. Precisamos que esse processo seja feito antes que um computador quântico apareça, então estaremos à frente do jogo”.
No entanto, nem todos estão convencidos de que o tempo será bem gasto.
“A próxima etapa são os computadores quânticos a resolverem um problema útil, o que ainda não fizeram”, diz Vadim Lyubashevsky, um criptógrafo da IBM que trabalhou no algoritmo CRYSTALS que agora é finalista da competição do NIST. “Se isso não acontecer logo, acho que as empresas vão esquecer o burburinho atual e implementar o sistema mais frágil que sairá do NIST até que, de uma hora para outra, sejam lembradas do problema daqui a 30 anos”.
Artigo de Patrick Howell O’Neill, colaborador da MIT Technology Review (EUA) (adaptado).
MIT Technology Review