Google Quantum AI divulga oficialmente: o número de qubits necessários para quebrar a criptografia do Bitcoin foi reduzido em 20 vezes

Autor: Ryan Babbush & Hartmut Neven, Google Quantum AI

Tradução: Deep Tide TechFlow

Resumo do Deep Tide: Esta é a fonte original em primeira mão para o debate sobre ameaças quânticas de hoje; não é uma mediação jornalística, mas um blogue técnico oficial subscrito em conjunto pelo diretor de investigação em IA quântica e pelo VP de Engenharia da Google Quantum AI.

A conclusão central é apenas uma: as quantidades físicas de qubits quânticos necessárias para quebrar a criptografia de curvas elípticas do Bitcoin, antes estimadas, foram agora reduzidas em cerca de 20 vezes. A Google publicou, em simultâneo, materiais de verificação sob a forma de “provas de conhecimento zero”, permitindo que terceiros verifiquem a conclusão sem revelar pormenores do ataque — e este tipo de divulgação, por si só, também merece atenção.

O texto completo é o seguinte:

31 de março de 2026

Ryan Babbush, Diretor de Investigação em Algoritmos Quânticos da Google Quantum AI; Hartmut Neven, Vice-Presidente de Engenharia na Google Quantum AI, Google Research

Estamos a explorar um novo modelo, para esclarecer a capacidade de quebra de criptografia dos futuros computadores quânticos, e descrever que passos devem ser dados para reduzir o seu impacto.

Estimativas de recursos quânticos

Os computadores quânticos deverão conseguir resolver problemas que antes eram impossíveis de resolver, incluindo aplicações em química, descoberta de fármacos e energia. Contudo, também grandes computadores quânticos relacionados com a criptografia (CRQC) conseguem quebrar a criptografia de chave pública amplamente utilizada atualmente, que protege informações confidenciais e diversos tipos de sistemas. Governos e instituições de vários países, incluindo a Google, têm vindo a enfrentar este desafio de segurança há muitos anos. À medida que a ciência e a tecnologia continuam a avançar, a CRQC está a tornar-se gradualmente uma realidade, o que exige a transição para a criptografia pós-quântica (PQC) — e é precisamente por isso que apresentámos recentemente um calendário de migração para 2029.

No nosso white paper, partilhamos a estimativa mais recente dos “recursos” computacionais quânticos necessários para resolver o problema de logaritmo discreto elíptico de 256 bits (ECDLP-256) que está na base da quebra da criptografia de curvas elípticas (isto é, qubits quânticos e portas quânticas). Expressamos esta estimativa de recursos em termos de qubits lógicos (qubits de correção de erros quânticos constituídos por centenas de qubits quânticos físicos) e do número de portas Toffoli (uma operação básica com um custo elevado em qubits quânticos, que é um dos principais fatores que determinam o tempo de execução de muitos algoritmos).

Em concreto, compilámos dois circuitos quânticos (sequências de portas quânticas) para implementar o algoritmo de Shor para ECDLP-256: um que usa menos de 1200 qubits lógicos e 90 milhões de portas Toffoli, e outro que usa menos de 1450 qubits lógicos e 70 milhões de portas Toffoli. Estimamos que, sob premissas padrão de capacidade de hardware que são consistentes com parte dos nossos processadores quânticos de topo da Google, estes circuitos podem ser executados em menos de 500 mil qubits quânticos físicos, em qubits supercondutores CRQC, em poucos minutos.

Esta é uma redução de aproximadamente 20 vezes no número de qubits quânticos físicos necessários para quebrar ECDLP-256, e é uma continuação do longo processo de otimização em que algoritmos quânticos são compilados em circuitos tolerantes a falhas.

Proteger criptomoedas com criptografia pós-quântica

A maior parte das tecnologias de blockchain e das criptomoedas atuais depende do ECDLP-256 para assegurar aspetos fundamentais da sua segurança. Tal como argumentámos no nosso artigo, a PQC é um caminho maduro para alcançar a segurança de blockchains pós-quânticas, capaz de garantir a viabilidade a longo prazo das criptomoedas e da economia digital num mundo com CRQC.

Listámos exemplos de blockchains pós-quânticos e casos de implementação experimental de PQC em blockchains que anteriormente tinham vulnerabilidades quânticas. Apontámos que, embora existam soluções viáveis como a PQC, a sua implementação ainda leva tempo, o que aumenta continuamente a urgência de agir.

Também apresentámos mais recomendações à comunidade de criptomoedas para melhorar a segurança e a estabilidade no curto e no longo prazo, incluindo: evitar expor ou reutilizar endereços de carteiras que contenham vulnerabilidades, bem como opções de políticas potenciais para o problema das criptomoedas descontinuadas.

A nossa forma de divulgação de vulnerabilidades

A divulgação de vulnerabilidades de segurança é um tema controverso. Por um lado, a posição “não divulgar” considera que tornar vulnerabilidades públicas equivale a fornecer um manual de operações aos atacantes. Por outro lado, o movimento “divulgação total” defende que, ao dar ao público conhecimento de vulnerabilidades de segurança, é possível mantê-lo alerta e adotar medidas de autodefesa, além de incentivar o trabalho de correção de segurança. No campo da segurança informática, esta discussão já se consolidou num conjunto de soluções intermédias, conhecidas como “divulgação responsável” e “divulgação coordenada de vulnerabilidades”. Ambas defendem a divulgação das vulnerabilidades com um período de embargo definido, dando tempo aos sistemas afetados para lançarem correções de segurança. Variações da divulgação responsável com prazos rigorosos, como as adotadas pelo CERT/CC da Carnegie Mellon University e pelo Project Zero da Google, foram também incorporadas como norma internacional ISO/IEC 29147:2018.

A divulgação de vulnerabilidades de segurança em tecnologias de blockchain é ainda mais complexa devido a um fator especial: criptomoedas não são apenas sistemas de processamento de dados descentralizados. O valor dos seus ativos digitais deriva tanto da segurança digital da rede como da confiança do público no sistema. Ao mesmo tempo que a camada de segurança digital poderá ser atacada por CRQC, a confiança do público também pode ser minada por técnicas de medo, incerteza e dúvida (FUD). Assim, estimativas de recursos não científicas e sem fundamento para algoritmos quânticos que quebram ECDLP-256 podem, por si só, constituir um ataque ao sistema.

Estas considerações orientam a nossa abordagem cautelosa à divulgação de recursos de ataque quântico em tecnologias de blockchain baseadas em criptografia de curvas elípticas. Primeiro, reduzimos o risco de FUD que alimenta a conversa, delimitando claramente os domínios em que as blockchains são imunes a ataques quânticos e destacando os progressos que já foram alcançados na segurança de blockchains pós-quânticas. Em seguida, sem partilhar os circuitos quânticos subjacentes, corroboramos a nossa estimativa de recursos publicando uma construção criptográfica de ponta chamada “provas de conhecimento zero”, que permite a terceiros verificar as nossas alegações sem que divulguemos pormenores sensíveis do ataque.

Damos as boas-vindas a discussões adicionais com as comunidades de quantos, segurança, criptomoedas e políticas, para alcançar um consenso relativamente às normas futuras de divulgação responsável.

Com este trabalho, o nosso objetivo é apoiar o desenvolvimento saudável a longo prazo do ecossistema de criptomoedas e das tecnologias de blockchain, que ocupam uma posição cada vez mais importante na economia digital. Olhando para o futuro, esperamos que a nossa abordagem de divulgação responsável conduza a um diálogo importante entre investigadores de computação quântica e o público em geral, e forneça um modelo que possa ser aproveitado no domínio da investigação em criptoanálise quântica.