Engenheiro de criptografia: computadores quânticos não representam uma ameaça à “criptografia simétrica de 128 bits”

O engenheiro de engenharia de criptografia Filippo Valsorda publicou um artigo de análise técnica em 20 de abril de 2026, argumentando que mesmo seguindo a taxa de desenvolvimento mais otimista, computadores quânticos não seriam capazes de quebrar, em um futuro previsível, a criptografia simétrica de 128 bits (AES-128), destacando que a indústria tem uma leitura equivocada sobre “criptografia pós-quântica”.

Principais argumentos do artigo de Valsorda: o algoritmo de Grover não consegue paralelizar de forma eficaz

（Fonte：Filippo Valsorda）

De acordo com o artigo de análise de Valsorda, um mal-entendido comum na indústria é que o algoritmo de Grover de computadores quânticos “reduziria à metade” a força de segurança de uma chave simétrica de 128 bits, para 64 bits; essa afirmação ignora uma limitação crucial do algoritmo de Grover: seus passos precisam ser executados em série, e tentar paralelizá-los à força aumentaria drasticamente o custo total de computação.

Os cálculos de Valsorda mostram que o custo computacional total para quebrar o AES-128 é de aproximadamente 2¹⁰⁴·⁵ operações; em comparação, usar o algoritmo de Shor para quebrar a criptografia de curvas elípticas de 256 bits exigiria cerca de 2²⁶ operações (citado de um estudo de 2026 por Babbush et al.). A diferença entre os dois é de cerca de 2⁷⁸·⁵ vezes; Valsorda aponta que essa discrepância torna os ataques com Grover ao AES-128 totalmente impraticáveis na prática.

Posição unânime da NIST, BSI e da comunidade acadêmica

Com base nos documentos oficiais citados por Valsorda, o Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) afirma de forma explícita, em suas perguntas frequentes sobre criptografia pós-quântica, que “o algoritmo de Grover pode ter pouca ou nenhuma vantagem para atacar o AES; o AES-128 continuará seguro nas próximas décadas”, e confirma que “as aplicações existentes podem continuar a usar chaves AES de 128 bits”; o NIST IR 8547 também proíbe algoritmos vulneráveis a ataques quânticos em 2035, ao mesmo tempo em que confirma que todos os comprimentos de chave AES ainda são permitidos.

Na Alemanha, o Escritório Federal de Segurança da Informação (BSI), em seu relatório “Mecanismos de Criptografia: Recomendações e Comprimentos de Chave”, recomenda o uso de AES-128, AES-192 e AES-256 em novos sistemas criptográficos. O professor assistente de criptografia da Universidade de Waterloo, Samuel Jaques, em uma apresentação de pesquisa de 2024, declarou: “A busca de Grover baseada em códigos de superfície jamais terá sucesso no AES-128.”

As prioridades práticas da migração pós-quântica

De acordo com a conclusão de Valsorda, a única tarefa urgente da migração de criptografia pós-quântica é substituir criptografia assimétrica suscetível a ataques do algoritmo de Shor, incluindo RSA, ECDSA e ECDH. Valsorda aponta que usar recursos limitados para atualizar chaves simétricas (128→256 bits) é uma operação desnecessária, que aumenta a complexidade do sistema, dispersa e coordena recursos e atrapalha o trabalho real de substituição da criptografia assimétrica, que é verdadeiramente urgente.

Perguntas frequentes

Por que Valsorda acredita que o algoritmo de Grover não ameaça o AES-128?

De acordo com o artigo de análise de Valsorda, os passos do algoritmo de Grover precisam ser executados em série e não podem ser paralelizados de forma eficaz; após paralelizar à força, o custo computacional total para quebrar o AES-128 é de aproximadamente 2¹⁰⁴·⁵ operações, aproximadamente 2⁷⁸·⁵ vezes maior do que o custo para quebrar a criptografia de curvas elípticas de 256 bits usando o algoritmo de Shor.

Qual é a posição oficial do NIST sobre a necessidade de dobrar o tamanho das chaves AES?

De acordo com as perguntas frequentes sobre criptografia pós-quântica do NIST citadas no artigo de Valsorda, o NIST afirma explicitamente que não se deve dobrar o tamanho da chave AES para lidar com ameaças quânticas, confirmando que chaves AES de 128 bits, 192 bits e 256 bits continuam seguras na era pós-quântica.

Qual é a verdadeira tarefa urgente da migração de criptografia pós-quântica?

De acordo com a conclusão de Valsorda, a única tarefa urgente é substituir algoritmos de criptografia assimétrica suscetíveis a ataques do algoritmo de Shor (como RSA, ECDSA, ECDH etc.), e não atualizar o tamanho das chaves simétricas; atualizar chaves simétricas é uma operação desnecessária, que aumenta a complexidade e dispersa os recursos.