Re: a ameaça quântica ao Bitcoin e às blockchains, existem duas visões amplas: (1) A quântica não será relevante por um longo tempo, portanto não há necessidade de urgência. (2) A quântica já é relevante, e precisamos agir com urgência. Para que conste, os físicos quânticos e especialistas em segurança estão cada vez mais na visão (2). As pessoas que acreditam que estamos na visão (1) estão armadas com fatos errados, suposições erradas ou simplesmente não querem pensar criticamente sobre o impacto. 🧵

1/ Exibição 1: O mais recente post no blog do Google por Hartmut Neven (chefe do @GoogleQuantumAI) e Kent Walker (Chefe de Assuntos Públicos do Google/Alphabet) enquadra a transição para a criptografia pós-quântica como urgente, sistêmica, exigindo ação coordenada agora para "acelerar o progresso" e a adoção.

2/ O argumento do Google é simples: os computadores quânticos vão quebrar a criptografia que protege a internet. Os métodos criptográficos atuais dependem de problemas que os computadores clássicos não conseguem resolver de forma eficiente. A computação quântica quebra esse paradigma e não estará "para sempre a uma década de distância".

3/ E eles não estão apenas a teorizar. Pesquisadores do Google acabaram de publicar um trabalho mostrando que quebrar a criptografia RSA de 2048 bits requer ~1 milhão de qubits ruidosos, e não os bilhões estimados anteriormente. Os requisitos de recursos estão a cair mais rapidamente do que o esperado, assim, a linha do tempo está a ser comprimida.

4/ (A propósito, para os comentadores que possam apontar que o Bitcoin não usa RSA, respondo de forma preventiva que o ECDSA pode ser mais fácil de quebrar do que o RSA-2048 porque o algoritmo de Shor funciona em tempo polinomial em relação ao comprimento da chave, e as chaves de curva elíptica são muito mais curtas do que as chaves RSA, potencialmente tornando isso ainda mais urgente).

5/ Pergunta: Por que razão o Google investiria fortemente na aceleração da adoção da criptografia pós-quântica para os seus próprios sistemas se estivesse pessimista em relação ao progresso quântico? Resposta: Eles estão a observar as suas próprias curvas de capacidade e a agir em conformidade.

6/ Mesmo assumindo que o que é público é o estado da arte (não é), a posição do Google é racional: prepare-se para a capacidade antes que ela chegue, porque uma vez que está aqui, você já está atrasado. Postura clássica de defesa. Isso não é apenas o Google. Empresas líderes que priorizam a segurança (como @Cloudflare e @Apple) estão priorizando a segurança pós-quântica em seus roteiros. Que razão eles têm para priorizar isso que nós não temos?

7/ Exibição 2: Scott Aaronson, um dos céticos mais proeminentes da computação quântica e um físico conhecido por criticar a exageração quântica, reconheceu o progresso genuíno feito nos últimos dois anos, enquanto enfatizava a incerteza sobre os prazos futuros. @preskill fez observações semelhantes. Aqui está Scott:

8/ Quando pessoas neste nível, que construíram a sua reputação em ceticismo quântico e integridade acadêmica, dizem que o progresso é real e que os prazos podem estar a acelerar, isso deve fazer todos pararem para pensar. Apostar a segurança de trilhões em ativos em "será lento" é imprudente.

9/ Exibição 3: O governo dos EUA determinou que todos os sistemas críticos devem migrar para a criptografia pós-quântica até 2030. O NIST finalizou os padrões de PQC em 2024. A NSA é obviamente um fator importante na definição desses prazos, trabalhando a partir da inteligência de ameaças. Se eles estão exigindo a migração até 2030, estão potencialmente vendo cronogramas de capacidade que justificam essa urgência. Eles podem saber coisas que nós não sabemos.

10/ Em resumo, o consenso dos especialistas que realmente estão a construir computadores quânticos, ou de organizações que têm muito em jogo, é: o progresso acelerou, os prazos são incertos, a preparação é essencial e os riscos são elevados.

11/ Agora contraste isso com o grupo dos "que não fazem nada". As suas evidências são frequentemente autorreferenciais, ignoram completamente os especialistas em quantum e repetem afirmações empiricamente erradas em uma câmara de eco. Estudo de caso: relatório da @coinshares (publicado no mesmo dia que o post do blog do Google mencionado acima). Vamos analisar os erros nesse post, pois é um exemplo ilustrativo.

12/ Erro #1: O autor afirma que apenas ~1,6M BTC é vulnerável, com talvez 10.200 BTC capazes de causar uma disrupção no mercado. A matemática aqui está simplesmente errada.

13/ Fato: A entidade que se acredita ser Satoshi detém sozinha 1.096.152 BTC em 21.924 endereços. Todos vulneráveis. E não são apenas endereços P2PK. Qualquer endereço que tenha assinado uma transação uma vez (e deixado fundos residuais lá) é vulnerável a ataques quânticos. Isso inclui muitos dos maiores endereços BTC hoje.

14/ Mantemos um rastreador constantemente atualizado de Bitcoin vulnerável a quântica aqui: Faça a referência cruzada com o excelente relatório técnico da @ChaincodeLabs sobre ameaças quânticas ao Bitcoin aqui: Em qualquer dos casos, a exposição é muito maior do que o relatório da @coinshares sugere.

15/ Erro #2: A "prova" deles de que a computação quântica está longe é uma citação do CTO da Ledger. Eu respeito essa pessoa e não tenho nada contra ele, mas isso é uma pura apelação à autoridade com um viés óbvio. Se as assinaturas resistentes à computação quântica forem adotadas, cada dispositivo @Ledger existente potencialmente se tornará obsoleto. Portanto, considere o incentivo e considere a fonte. No mínimo, devemos reconhecer que esta é uma visão única, e uma potencialmente "selecionada" para viés de confirmação.

16/ Erro #3: Embora não especialistas sejam consultados sobre sua experiência em domínio quântico, não se faz nenhuma tentativa de entender o esforço ou a complexidade única de aplicar soluções pós-quânticas a uma blockchain existente e já implantada. Estes incluem: - milhões de chaves distribuídas que precisam ser migradas separadamente - nenhuma autoridade central de tomada de decisão - propriedade de ativos inteiramente com base em uma assinatura digital (sem alternativa)

17/ De acordo com pesquisas revisadas por pares, a blockchain do BTC teria que ser desligada por 76 dias para processar transações de migração para o conjunto UTXO existente. Esse é o melhor cenário.

18/ Erro #4: O autor desconsidera qualquer um que levante a consciência sobre ameaças quânticas como "grifters." Se um computador quântico quebrar a fundação criptográfica de $ trilhões em ativos digitais não é um problema sério, não sei o que é. Caricaturar pesquisadores e construtores como grifters é autossabotagem.

19/ Mesmo que você leve a afirmação de "10 anos a partir de agora" ao pé da letra (e há boas razões para não fazê-lo), isso soa distante até você perceber que isso é: - a estimativa otimista que agora tem alguns anos, e os requisitos de recursos estão caindo mais rápido do que o previsto, e - o desafio técnico de migrar esses sistemas é significativamente mais complexo do que as pessoas esperam.

20/ A boa notícia é que podemos resolver este problema. As blockchains podem adaptar-se. A criptografia pós-quântica existe. Mas desconsiderar os avisos dos especialistas em quantum porque a ameaça parece distante é exatamente como você fica despreparado.

21/ As pessoas gostam de certeza. Infelizmente, a única certeza sobre computadores quânticos relevantes do ponto de vista criptográfico é que eles vão quebrar o Bitcoin e quase todas as outras redes de ativos digitais. Prever exatamente quando esse momento chegará é uma tarefa de tolos. Mas não há razão para que não possa chegar mais cedo do que o esperado, assim como o progresso da IA tem repetidamente desafiado cronogramas pessimistas através de avanços exponenciais.

22/ Eu preferiria que a segurança das blockchains não fosse baseada na suposição de que o progresso da computação quântica será lento. /Fim

Relativamente às linhas do tempo quânticas, a razão pela qual eu pessoalmente penso que há uma desconexão é porque as pessoas não entendem a não-linearidade do progresso aqui. Simplificando, os computadores quânticos serão incapazes de fazer qualquer coisa criptograficamente significativa (hoje), ou serão capazes de todos os algoritmos assimétricos clássicos implementados. Não há razão para investir na construção de um sistema para o meio-termo. A principal diferença entre um e outro é a capacidade de correção de erros. **É por isso** que você está vendo todo o investimento e esforço sendo aplicados lá. Porque, uma vez que isso seja resolvido, escalar esses sistemas para a relevância criptográfica não será tão difícil. Nada, e então tudo de uma vez.

@reardencode @dallairedemers @Ethan_Heilman Além disso, há todas as razões para acreditar que, à medida que as coisas progridem, há muito menos razão para publicitar o estado da arte. Na verdade, isso pode já estar a acontecer.