Existe um computador sendo construído que vai quebrar todo seu banco digital. Quando ele chega?

Você confia naquele cadeado no canto do navegador. Quando você entra no aplicativo do banco, no aplicativo da empresa de cartão, no site da Receita Federal, o cadeado aparece e você relaxa. Tudo cifrado. Ninguém no caminho consegue ler.

Esse cadeado existe há mais de 30 anos. Funciona por causa de um problema matemático bem específico: fatorar números muito grandes é absurdamente lento em computadores normais. Para quebrar uma chave RSA de 2048 bits, que é a base do cadeado HTTPS que você usa todo dia, um computador convencional precisaria de mais tempo do que a idade do universo.

Mas existe outra forma de computar. E nessa outra forma, o problema deixa de ser absurdo. Vira trivial.

O computador que pensa de outro jeito

Computadores normais (seu celular, o servidor que hospeda seu banco, o supercomputador da NASA) todos funcionam do mesmo jeito básico: bits que valem 0 ou 1, processados em sequência ou paralelo. Você pode ter milhões de processadores trabalhando juntos, mas cada um ainda faz uma coisa por vez.

Computadores quânticos são diferentes. Eles trabalham com qubits, unidades que podem estar em uma combinação de 0 e 1 ao mesmo tempo (estado chamado de superposição). Não é metáfora, é como a matéria se comporta em escala atômica. Um qubit explora múltiplos estados em paralelo. Dois qubits exploram 4. Dez qubits, 1.024. Cinquenta qubits, mais de um quadrilhão.

Para certos problemas, incluindo o "fatorar números grandes" que sustenta o RSA, esse paralelismo quântico não é só mais rápido. É uma classe inteira de aceleração: um problema que demoraria a idade do universo em computador normal cai para minutos num computador quântico bem grande.

O algoritmo que faz isso se chama algoritmo de Shor, publicado em 1994 pelo matemático Peter Shor. Naquela época era teoria pura. Não existia hardware para rodar. Em 2026, existe. Pequeno, instável, ainda longe da escala necessária, mas existe.

O que ele quebra (e o que não quebra)

Esse é o ponto mais importante e o que menos se entende.

O que cai quando o computador quântico chegar à escala criptograficamente relevante:

• RSA (todas as variantes: 1024, 2048, 4096 bits). Usado em ~95% das conexões HTTPS hoje.
• Diffie-Hellman e variantes elípticas (ECDH). Usado para trocar chaves no início de toda conexão segura.
• ECDSA (Elliptic Curve Digital Signature Algorithm). Usado para assinar transações em Bitcoin, certificados digitais, autenticação SSH.
• DSA. Algoritmo de assinatura legado, ainda em uso em alguns sistemas.

Em outras palavras: toda a criptografia assimétrica usada para estabelecer conexões seguras na internet hoje cai. O cadeado verde no navegador é construído sobre RSA ou ECDH. Sua conexão SSH com servidor é ECDSA. Sua transação Bitcoin é assinada com ECDSA. Todas vulneráveis.

O que continua de pé:

• AES-256 (Advanced Encryption Standard). A cifra simétrica que protege dados em repouso, tipo disco cheio, banco de dados, backup. O algoritmo de Grover (outro algoritmo quântico) reduz a segurança efetiva pela metade: AES-256 vira como se fosse AES-128, ainda absurdamente forte.
• SHA-256, SHA-3. Funções hash. Grover também reduz pela metade: SHA-256 vira equivalente a 128 bits de segurança, ainda forte.
• ChaCha20. Cifra simétrica alternativa, mesma situação do AES.

A regra prática: criptografia simétrica (mesma chave nos dois lados) sobrevive com chaves maiores. Criptografia assimétrica (chave pública/privada) é a que precisa ser substituída completamente.

O que está sendo construído agora

Não é teoria mais. Em 2026, há computadores quânticos rodando em empresas e laboratórios. Os números mudam mês a mês, mas para ter ordem de grandeza:

• IBM Quantum anunciou em 2023 o processador Condor com 1.121 qubits. Em 2024, divulgou roadmap para superar 100.000 qubits até 2029.
• Google Quantum AI em 2024 demonstrou o chip Willow com 105 qubits e nova arquitetura de correção de erro (publicado na revista Nature, dezembro 2024).
• Quantinuum, IonQ, Rigetti, PsiQuantum são empresas americanas com abordagens diferentes (íons aprisionados, fotônica, supercondutores).
• China investe pesado via Estado. O grupo de Pan Jianwei (USTC) demonstrou supremacia quântica em problemas específicos. Detalhes operacionais menos transparentes que no ocidente.

Aqui mora a pergunta crítica: quantos qubits são necessários para quebrar RSA-2048?

Estimativas atuais (Gidney & Ekerå 2019, revisões 2024) sugerem entre 20 milhões e 100 milhões de qubits físicos, porque qubits reais precisam de redundância massiva para fazer correção de erro. Computadores atuais têm na ordem de 1.000 a 1.500 qubits físicos. Falta entre 4 e 5 ordens de grandeza.

Parece distante. Mas computação evolui em escala exponencial. A Lei de Moore demorou 50 anos para ir de chip com mil transistores a chip com bilhões. A computação quântica, com investimento público e privado combinados na ordem de dezenas de bilhões de dólares, está em ritmo mais agressivo.

Quando, então?

Honestamente: ninguém sabe com precisão. Mas existem balizas razoáveis.

O Mosca's Theorem (2015), do matemático canadense Michele Mosca, propõe a equação:

Se X (tempo que seus dados precisam ficar seguros) + Y (tempo para migrar para criptografia pós-quântica) > Z (tempo até o computador quântico chegar), você está em risco.

Para dados pessoais sensíveis (médicos, financeiros, identidade), X é fácil: 10 a 30 anos no mínimo. Y, para uma instituição grande, é 5 a 10 anos. Z, segundo a maior parte dos analistas em 2026, está entre 2030 e 2040, com cenário pessimista colocando em 2028 e otimista em 2050.

Se X+Y é 30 anos e Z é 15, você já está em risco hoje. Não porque o computador existe, mas porque o que você cifra agora pode ser interceptado e decifrado quando ele chegar. A migração não pode esperar a chegada da máquina.

Governos não estão esperando. Em 2022, a Casa Branca emitiu o memorando NSM-10 obrigando todas as agências federais americanas a migrarem para criptografia pós-quântica até 2035. O Reino Unido tem cronograma similar. A União Europeia também. O Brasil, oficialmente, ainda não tem mandato federal, mas bancos do consórcio Febraban e o Banco Central começaram em 2025 grupos de trabalho sobre migração.

A boa notícia: a solução já está pronta

Em agosto de 2024, o NIST finalizou os primeiros três padrões de criptografia pós-quântica:

• ML-KEM-768 (Module-Lattice Key Encapsulation Mechanism) substitui RSA e Diffie-Hellman. Baseado em problemas matemáticos sobre reticulados (lattices) que nem computador quântico conhecido sabe resolver eficientemente.
• ML-DSA (Module-Lattice Digital Signature Algorithm) substitui ECDSA e RSA para assinatura digital.
• SLH-DSA (Stateless Hash-based Digital Signature Algorithm), alternativa de assinatura baseada em funções hash, ultra-conservadora.

Esses algoritmos foram avaliados por 8 anos em uma competição pública aberta. Centenas de criptógrafos no mundo todo testaram, atacaram, encontraram falhas em candidatos rivais e refinaram os finalistas. O ML-KEM-768 que existe hoje foi quebrado em variantes anteriores. Sobreviveu porque corrigiu. Esse é o jeito que padronização criptográfica funciona.

ML-KEM-768 não exige hardware especial. Roda em servidor comum, em celular, em navegador (via WebAssembly). A cifragem é razoavelmente rápida, em torno de 1 ms num laptop comum. A chave pública é maior que RSA (1.184 bytes contra ~300 do RSA-2048), mas perfeitamente prática.

Bibliotecas que implementam o padrão estão disponíveis publicamente: @noble/post-quantum em JavaScript, liboqs em C/Rust, suporte nativo no Bouncy Castle em Java. Em outras palavras: a substituição é factível hoje, não em 2030.

"OK, mas e eu?"

Para trocar a criptografia da internet inteira, você depende de bancos, governos e provedores se mexerem. Você não controla esse cronograma.

Para seus dados pessoais sob seu próprio controle (senhas, documentos, anotações sensíveis, códigos 2FA, fotos privadas, herança digital), você não precisa esperar.

A TAIVA Vault usa o modelo híbrido recomendado pelo NIST. Combina criptografia clássica (Argon2id, derivação resistente a força bruta) com ML-KEM-768 (resistência pós-quântica). Se algum dos dois algoritmos for quebrado no futuro, o outro continua protegendo seus dados. É exatamente o pattern que governos americanos e europeus estão adotando para migração.

A integridade do que está no seu cofre é verificável independente da gente: cada operação é encadeada em uma Merkle chain SHA-256 e ancorada diariamente em Bitcoin via OpenTimestamps. As releases do software são assinadas digitalmente com Cosign + Rekor transparency log. Você pode verificar que o software rodando é exatamente o que foi publicado, sem confiar em ninguém.

O resumo em uma frase

O computador quântico é real. Está sendo construído agora. Vai chegar em algum momento entre 2030 e 2040. E quando chegar, vai quebrar a maioria da criptografia em uso hoje em minutos.

Você tem dois caminhos:

1. Esperar bancos e governos terminarem a migração (pode levar 10 a 15 anos) e torcer para que nenhum atacante esteja acumulando seus dados hoje para decifrar depois.
2. Migrar o que está sob seu controle agora.

O segundo caminho é menos dramático. Também é mais inteligente.

Anterior na série: Hackers já estão roubando seus dados hoje para abrir em alguns anos. Existe nome para isso.. O ataque que está acontecendo agora e cujo resultado você só vai sentir daqui a 10 anos.

TAIVA Vault: cofre digital pessoal com criptografia pós-quântica. ML-KEM-768 híbrido com Argon2id, MPC 2-de-3 entre 3 servidores independentes, audit chain ancorado em Bitcoin. Começar trial grátis (14 dias) →