TL;DR
A ameaça quântica à criptografia atual é matematicamente conhecida há 30 anos. Os padrões para substituí-la estão prontos há dois. Adversários estão coletando tráfego criptografado hoje — "harvest now, decrypt later" — pra decifrar quando tiverem hardware suficiente. Mesmo assim, o mercado corporativo não vai se mexer antes do primeiro ataque público. Quando ele chegar, cyber passa a ser o item mais caro do CAPEX da sua empresa. Quem preparar crypto-agility agora, com calma, tem vantagem defensável; quem correr depois paga o preço da fila.
Todo mercado reage a um evento traumático. O de cyber reage especificamente bem. Morris Worm virou uma linha de orçamento dos anos 90. Stuxnet acordou SCADA/ICS. SolarWinds fez supply-chain security virar obsessão de CISO. Heartbleed forçou patching em massa de TLS. NotPetya transformou cyber insurance em produto caro e mal definido. Cada um desses momentos empurrou centenas de milhões de dólares de um ano pro outro — em ferramenta, consultoria, migração.
A ameaça quântica está na fila. Mas, ao contrário das anteriores, ela tem três décadas de antecedência pública e ainda assim o mercado está se movendo mais devagar que em qualquer uma das anteriores.
A ameaça não é nova.
Em 1994, Peter Shor publicou o algoritmo que — rodando num computador quântico suficientemente grande — fatora números inteiros em tempo polinomial. Traduzindo: RSA, Diffie-Hellman, curvas elípticas, tudo o que sustenta o HTTPS, as chaves SSH, as assinaturas de certificados, os blocks signing de blockchain, morre.
Em 1996, Lov Grover publicou o algoritmo que diminui pela metade a força efetiva de qualquer criptografia simétrica — AES-128 vira equivalente a AES-64 em resistência. Não quebra, mas fragiliza.
Nenhuma dessas ameaças é teórica controversa. São consenso acadêmico há 30 e 28 anos respectivamente. O que faltava era hardware. Nos últimos cinco anos, o gap fechou o suficiente para parar de ser uma questão de se e virar questão de quando.
"Harvest now, decrypt later" já está acontecendo.
A frase entrou em briefings oficiais dos EUA, Reino Unido e União Europeia a partir de 2021. A premissa é simples: tráfego TLS e VPN capturado hoje, que nenhum hardware atual consegue decifrar, pode ser armazenado indefinidamente e descriptografado quando um computador quântico relevante existir. Qualquer dado com janela de relevância longa — registros médicos, contratos, propriedade intelectual, comunicações diplomáticas, prontuário bancário, planos de defesa — está sendo coletado agora por atores estatais presumidos.
Referência: CISA — Post-Quantum Cryptography Initiative (governo dos EUA)
Isso reverte a direção clássica do risco de cyber: nesse cenário, o ataque acontece hoje e só vira público anos depois, quando alguém consegue decifrar e vazar. Sua empresa pode já ter sido comprometida em abril de 2026 — e só vai descobrir em 2031.
Os padrões já existem.
Em agosto de 2024, o NIST finalizou os três primeiros padrões de criptografia pós-quântica (PQC) depois de oito anos de competição internacional:
- FIPS 203 — ML-KEM (Kyber): encapsulamento de chave, substituto para RSA e Diffie-Hellman.
- FIPS 204 — ML-DSA (Dilithium): assinatura digital, substituto para ECDSA/RSA signing.
- FIPS 205 — SLH-DSA (SPHINCS+): assinatura hash-based, mais conservadora e mais pesada, como redundância.
Referência: NIST, agosto de 2024 — First 3 Finalized Post-Quantum Encryption Standards
Os padrões não são experimentais. São oficiais, federais, auditados. E já têm implementação em produção em lugares notáveis:
- Apple iMessage PQ3 — rollout em fev/2024, combinando ECDH + Kyber em handshake híbrido.
- Signal PQXDH — produção desde setembro de 2023.
- Cloudflare — TLS híbrido com X25519+Kyber disponível desde 2023, ativado por default em muitos caminhos em 2024.
- Chrome, Firefox — suporte a Kyber híbrido em TLS 1.3 disponível desde 2024.
- AWS KMS, Google Cloud KMS — interfaces PQC em preview.
Referências: Apple Security · iMessage PQ3 · Signal PQXDH spec · Cloudflare — The state of the post-quantum internet in 2024
Ou seja: não falta padrão, não falta implementação de referência, não falta exemplo. Falta migração.
Mas a maioria do mercado nem começou.
Entre big techs e setor corporativo tradicional existe um abismo. A big tech tem crypto-agility por design: a quantidade de primitivas criptográficas em uso, onde estão, quem as renova, está documentado num crypto inventory. Trocar RSA por Kyber é tarefa de um time dedicado por alguns trimestres.
Fora desse subconjunto, a realidade é outra. A maioria das empresas não sabe:
- Quais algoritmos de chave pública estão em uso na sua stack, incluindo dependências transitivas.
- Quantos certificados digitais existem no parque, quem os emite, quando expiram.
- Onde há chave privada hardcoded, onde há RSA-2048 num firmware que ninguém atualiza desde 2019.
- Quais integrações com terceiros continuarão quebradas se um vendor virar a chave PQC antes deles.
Um inventário criptográfico corporativo realista leva de seis a dezoito meses de levantamento. Só depois dele que migração vira plano. O ENISA (União Europeia) estima de cinco a quinze anos para transição completa de uma organização grande e complexa.
Referência: ENISA — Post-Quantum Cryptography: Current State and Quantum Mitigation
O calendário do hardware não é mais distante.
Em dezembro de 2024, a Google apresentou o Willow — 105 qubits físicos com correção de erro exponencialmente melhor a cada escala. Não é o cryptographically relevant quantum computer (CRQC) que quebra RSA, mas é a primeira prova pública de que o caminho de correção de erro funciona.
Referência: Google — Meet Willow, our state-of-the-art quantum chip (dezembro de 2024)
A IBM mantém roadmap público com meta de ~200 qubits lógicos em 2029 e ~1.000 qubits lógicos em 2033 — ordem de grandeza relevante para fatorar RSA-2048 em janelas operacionais.
Referência: IBM Quantum Development Roadmap 2033
Estimativas acadêmicas para o CRQC variam entre 2029 e 2035, com intervalo de confiança largo. Importante: o mesmo tipo de estimativa para GPT-4 em 2019 errou por sete anos pra trás. A história recente de IA mostra que quando a curva vira exponencial, o "futuro distante" chega cedo.
O Pearl Harbor quântico.
A pergunta não é "quando o CRQC existe em laboratório". É "quando a notícia pública força decisão de CAPEX em conselho de administração".
Três cenários prováveis para esse evento:
Vazamento retroativo.
Um grupo — estatal ou semi-estatal — publica chaves privadas decifradas de alvos específicos, usando ataque quântico. Pode ser dossiê diplomático, código de wallet cripto, chat histórico. Não precisa ser ao vivo; basta ser verificável. Vira manchete de capa. Insurance redesenha política em 90 dias.
Demonstração científica com alvo público.
Um laboratório (China, Europa ou EUA) publica artigo com fatoração verificável de uma chave RSA-2048 real. Sem ataque, sem vazamento, só prova. Isso já é suficiente pra um CFO aprovar PQC migration no trimestre seguinte.
Regulação forçada.
Um regulador financeiro — BIS, SEC, banco central europeu — publica mandato compulsório de PQC para certos tipos de sistema. Brasil tem esse perfil histórico: adoção regulatória rápida quando há evento externo (LGPD veio três anos depois do GDPR). O gatilho pode ser um dos dois primeiros cenários, ou pura antecipação.
O mercado de cyber tem um padrão previsível: gasta pouco, gasta tarde, gasta depois do susto. A diferença do quântico é que, dessa vez, o dano pode já estar feito — os arquivos estão sendo coletados agora. A migração depois do ataque público não recupera o que foi capturado antes.
Timeline previsível de 2026 a 2030.
Empresas corporativas adiam investimento citando "custo-benefício incerto". Big tech e setor militar dos EUA/Europa seguem migrando. Primeiros CVEs para implementações PQC fracas surgem.
Começam publicações de fatoração de chaves pequenas não-operacionais. Painéis de mercado mudam o tom — cyber insurance começa a exigir evidência de PQC roadmap em questionário de subscrição.
Um dos três cenários acima materializa. CAPEX de cyber salta 3 a 5× em 60 dias nas empresas grandes. Consultorias cobram prêmio. A janela de preparo barata fecha.
EUA, UE, Reino Unido, Japão, Brasil publicam mandatos com prazo. Similar ao que aconteceu com TLS 1.0 deprecado em 2020 — mas com cauda de implementação mais longa.
Quem começou em 2026 já está em operação híbrida estável. Quem começou em 2029 está pagando o dobro, com metade do tempo, em mercado de talento esgotado.
O que faz sentido fazer enquanto está calmo.
Não é "migrar tudo pra PQC agora". É preparar a organização para não depender de velocidade quando a janela fechar. Quatro movimentos concretos, nenhum deles caro em 2026:
- Inventário criptográfico. Mapear onde cada algoritmo de chave pública vive no parque — código próprio, dependências, certificados, VPNs, KMS, HSMs. Ninguém migra o que não enxerga. Leva de 3 a 6 meses e vale pra sempre.
- Crypto-agility por design em código novo. Qualquer feature entregue de hoje em diante com abstração de algoritmo — não
rsa_sign(x)hardcoded, massign(x, algorithm). Dilui custo no tempo. - TLS híbrido onde existe front-end público. Cloudflare, Fastly e algumas CDNs entregam X25519+Kyber com flag ligada. Custo operacional marginal. Proteção efetiva contra harvest-now-decrypt-later já vigente.
- Plano pra dados de longa vida. Identificar quais classes de dado em trânsito têm janela de relevância maior que cinco anos. Esses são os que importam para proteger hoje, mesmo que o CRQC demore.
Por que a Amazing escreve isso.
O site tem uma aba de Quantum inteira sobre isso — crédito, criptografia pós-quântica e roadmap de migração. Não é hype. É o mesmo trabalho de engenharia: espec formal, inventário, migração controlada, humano sênior na direção, agente executando tarefa que é braçal.
A diferença da adoção preventiva versus reativa é econômica: o mesmo projeto custa 3 a 5× menos em 2026 que em 2029, e 2 a 3× menos que em 2028 depois do evento gatilho. Quem não vai pagar isso é big tech, porque já fez. Quem vai pagar é todo o resto.
Se tem sentido começar antes, é agora. Se não tem sentido, pelo menos ter o inventário feito dá tranquilidade na noite em que a manchete chegar.