Os requisitos do algoritmo de Shor para fatorizar RSA-2048 caíram uma ordem de grandeza em menos de um ano

A criptografia que protege a infraestrutura digital moderna não falha no momento em que um computador quântico é construído. Falha no momento em que adversários adquirem capacidade quântica suficiente para decifrar os dados já recolhidos. Esta inversão temporal — a ameaça chega antes da máquina — define a estrutura real do problema do Q-Day e explica porque o défice de preparação medido hoje se traduz diretamente numa violação de segurança medida em anos.

O mecanismo em risco não é obscuro. A criptografia RSA, o padrão dominante de chave pública, baseia-se numa única assimetria matemática: multiplicar dois grandes números primos é computacionalmente trivial, mas recuperar esses fatores a partir do seu produto escala em dificuldade de forma tão acentuada que nenhum computador clássico consegue inverter a operação para tamanhos de chave de 2048 bits ou mais dentro de qualquer prazo prático. Os handshakes TLS que protegem o tráfego web, as autoridades de certificação que autenticam identidades, as assinaturas digitais que validam transações financeiras: toda a arquitetura da comunicação digital de confiança assenta nesta assimetria.

O algoritmo de Shor, formalizado em 1994, demonstrou que a computação quântica dissolve esta assimetria completamente. Tirando partido da superposição quântica e das transformadas de Fourier quânticas para encontrar o período de uma função aritmética modular que codifica o problema da fatorização, um computador quântico suficientemente grande poderia recuperar chaves privadas RSA em horas, não nos milhares de milhões de anos que uma máquina clássica necessitaria. O algoritmo é conhecido há três décadas. O que mudou no último ano é a estimativa dos recursos necessários para o executar.

Também poderá gostarSoulmask: O Novo Jogo de Sobrevivência de Mundo Aberto que Está a Revolucionar o Steam

Os requisitos de hardware de um computador quântico criptograficamente relevante eram, até há pouco tempo, tão enormes que funcionavam como uma barreira prática. As estimativas iniciais situavam o número de qubits físicos necessários para fatorizar RSA-2048 em cerca de mil milhões. Em 2021, Gidney e Ekerå tinham reduzido essa estimativa para aproximadamente vinte milhões de qubits a operar durante oito horas. Depois, em menos de doze meses entre 2024 e 2025, três avanços algorítmicos fizeram colapsar a estimativa mais uma ordem de grandeza.

O primeiro foi uma reestruturação de como se executa a exponenciação modular, a operação computacional central no algoritmo de Shor. A abordagem clássica exigia registos quânticos suficientemente grandes para conter simultaneamente inteiros de 2048 bits. A aritmética modular aproximada, desenvolvida por Chevignard, Fouque e Schrottenloher, substituiu isto por uma abordagem segmentada que calcula a exponenciação em partes usando registos muito menores, tolerando erros controlados que podem ser corrigidos posteriormente. O computador quântico deixa de precisar de manter o problema completo em memória de uma só vez. O segundo avanço abordou o principal estrangulamento de custo na computação quântica tolerante a falhas: gerar os estados quânticos de recursos especiais necessários para as operações de porta não corrigíveis por erro. A magic state cultivation, desenvolvida na Google Quantum AI, faz crescer estados de alta fidelidade a partir de estados de menor qualidade com uma sobrecarga drasticamente reduzida relativamente à destilação tradicional. O terceiro avanço, sintetizado num artigo de Craig Gidney em 2025, combinou ambas as técnicas e reduziu o número total de operações de porta Toffoli exigidas de cerca de dois biliões para cerca de 6,5 mil milhões, uma melhoria de mais de cem vezes na eficiência computacional.

O resultado combinado: fatorizar RSA-2048 parece agora tecnicamente viável com aproximadamente um milhão de qubits físicos a operar durante cerca de uma semana. A lacuna de hardware entre este requisito e os sistemas existentes mantém-se real, mas a trajetória de compressão mudou qualitativamente. Reduzir de mil milhões para vinte milhões de qubits demorou doze anos; reduzir de vinte milhões para menos de um milhão demorou menos de um. Esta aceleração é o sinal analiticamente importante.

Os avanços paralelos no hardware reforçam esta trajetória. O chip Willow da Google, demonstrado no final de 2024, forneceu a primeira confirmação experimental de que a correção de erros quânticos pode suprimir o ruído abaixo do limiar do código de superfície. O roteiro publicado pela IBM projeta o primeiro computador quântico tolerante a falhas em grande escala, com aproximadamente 200 qubits lógicos, para 2029. Múltiplas plataformas independentes demonstraram fidelidades de porta de dois qubits de 99,9% ou superior. A lacuna entre os requisitos teóricos de recursos e a capacidade de hardware demonstrada comprimiu-se de múltiplas ordens de grandeza para algo próximo de uma única.

Esta compressão confere urgência material a uma ameaça tratada até agora como comodamente distante: recolher agora, decifrar depois. Os atores estatais e não estatais sofisticados que recolhem tráfego de rede cifrado há anos possuem texto cifrado que se torna legível no momento em que existe um computador quântico criptograficamente relevante. O quadro temporal adequado para avaliar o risco do Q-Day não é quando os computadores quânticos serão construídos, mas durante quanto tempo os dados cifrados hoje precisam de permanecer confidenciais.

A resposta criptográfica a esta ameaça tem um nome, um conjunto de normas e um calendário de conformidade. A criptografia pós-quântica substitui os problemas de fatorização de inteiros e logaritmos discretos subjacentes ao RSA e à criptografia de curva elíptica por estruturas matemáticas consideradas resistentes a ataques clássicos e quânticos. A família principal adotada pelos organismos de normalização globais é a criptografia baseada em reticulados, que fundamenta a sua segurança na dificuldade do problema do vetor mais curto e desafios geométricos relacionados em espaços de alta dimensão. Em agosto de 2024, o NIST finalizou três normas criptográficas pós-quânticas. Em março de 2025, um quinto algoritmo, HQC, foi selecionado como alternativa baseada em códigos ao ML-KEM.

Leitura recomendadaE o ‘Grande Irmão’ já está aqui

A existência de normas não resolve o problema da migração. Inicia-o. As transições criptográficas desta dimensão precisaram historicamente de quinze a vinte anos para uma penetração completa na infraestrutura, e esta migração é estruturalmente mais complexa do que qualquer precedente. A infraestrutura de chave pública precisa de ser rearquitetada em cada camada. Os módulos de segurança de hardware que armazenam e gerem chaves precisam de ser substituídos ou atualizados; as autoridades de certificação precisam de emitir novas hierarquias de credenciais; as implementações TLS em milhares de milhões de pontos finais precisam de ser atualizadas; os protocolos incorporados em sistemas embebidos, infraestrutura de controlo industrial e sistemas financeiros de longa duração precisam de ser auditados e substituídos.

O quadro regulatório respondeu com um calendário comprimido que reflete a urgência da trajetória do hardware. A CNSA 2.0 da NSA exige que todos os novos sistemas de segurança nacional sejam quantum-safe até janeiro de 2027. O calendário de depreciação do NIST prevê remover algoritmos vulneráveis a ataques quânticos das normas aprovadas após 2035. O Grupo de Cooperação NIS da União Europeia publicou em 2025 uma folha de roteiro de implementação coordenada. A avaliação de preparação quântica do IBM Institute for Business Value de 2025 encontrou uma pontuação média global de apenas 25 em 100.

O conselho prático que emerge desta paisagem técnica não é o pânico, mas a ação faseada e priorizada. O inventário criptográfico é o pré-requisito. Os sistemas que gerem dados com longos horizontes de confidencialidade devem ser priorizados para migração antecipada. As implementações criptográficas híbridas, combinando ML-KEM com algoritmos clássicos de troca de chaves em paralelo, oferecem uma ponte prática: os dados protegidos por um esquema híbrido exigem que um adversário quebre simultaneamente os componentes clássico e pós-quântico, elevando substancialmente o custo de qualquer ataque de recolha e decifragem diferida.

O que os desenvolvimentos algorítmicos de 2024 e 2025 alteraram fundamentalmente é a distribuição de incerteza em torno do Q-Day. O consenso anterior situava comodamente a computação quântica criptograficamente relevante nos anos 2030, com barras de erro significativas que se estendiam para os anos 2040. A compressão das estimativas de recursos para menos de um milhão de qubits, combinada com o roteiro da IBM para 2029 e a confirmação experimental da Google da correção de erros abaixo do limiar, deslocou as estimativas credíveis significativamente para a frente e estreitou o intervalo de incerteza.

A transição para a criptografia pós-quântica não termina com a implementação de algoritmos baseados em reticulados. Cria uma nova superfície criptográfica cuja segurança a longo prazo depende de suposições sobre a dificuldade de problemas geométricos em espaços de alta dimensão. O que o momento presente exige não é certeza sobre quando a computação quântica irá amadurecer, mas uma avaliação lúcida do que significa construir uma instituição cuja postura de segurança ainda se baseia na suposição de que fatorizar grandes números primos é difícil. Essa suposição tem uma data de validade.

Mais artigos semelhantes

O Gambito Suncatcher: Por Dentro do Plano da Google para Conquistar o Futuro da IA

A China aprova o primeiro implante cerebral comercial do mundo e ultrapassa a Neuralink

A Domesticação da Conversa de Grupo: Como o WhatsApp Está a Redesenhar a Nossa Vida Social Digital

Samsung Expande Linha de PCs com IA: Novos Galaxy Book5 Pro e Galaxy Book5 360

A camada de identidade que a internet nunca teve está a ser construída agora, sob pressão sintética

IA: A grande besta nasceu