Criptografia Quântica: Princípios, Protocolos e Redes
A criptografia quântica promete segurança baseada nas leis da física, superando as limitações da criptografia clássica. Este artigo explora os fundamentos da criptografia quântica, seus protocolos, como o BB84, e as redes quânticas, comparando-a com a criptografia pós-quântica.
MundiX News·09 de maio de 2026·12 min de leitura·👁 5 views
64K+
Alcance em 30 dias
Cloud4Y
#1 Provedor de nuvem corporativa
60,02
Classificação
778
Assinantes
Assinar
Cloud4Y
52 minutos atrás
Criptografia quântica: princípios, protocolos, redes
12 min
1.6K
Blog da Cloud4Y
Segurança da informação
*
Infraestrutura de TI
*
Armazenamento de dados
*
Sala de leitura
Quando um computador quântico suficientemente poderoso surgir, o algoritmo de Shor quebrará RSA e ECC. Com ele, TLS, assinaturas digitais, VPNs e instalações cairão. E é apenas uma questão de tempo: a estimativa dos recursos necessários nos últimos anos diminuiu em várias ordens de magnitude, e a discussão sobre custos mudou de acadêmica para engenharia.
A tarefa está sendo resolvida em duas direções. Criptografia pós-quântica (PQC) - novos problemas matemáticos resistentes a ataques quânticos; funciona em hardware convencional, o NIST aprovou padrões em 2024. A criptografia quântica (QC) representa proteção no nível físico de qubits individuais e requer óptica dedicada ou satélites, mas não se baseia em suposições computacionais, mas em leis físicas - com ressalvas, às quais voltaremos.
Este artigo é sobre QC. Primeiro, analisaremos a física em que ela se baseia; em seguida, o protocolo BB84 e seus relacionados. Ao longo do caminho, veremos que QC não é apenas distribuição de chaves. No final do artigo, as redes quânticas, ataques a equipamentos reais, a posição dos reguladores são analisados, e uma comparação de QC e PQC é feita.
De onde vem a ameaça
A segurança do RSA e ECC é baseada no fato de que os problemas de fatoração e logaritmos regionais são praticamente insolúveis para computadores clássicos. Esta não é uma consequência, mas uma observação empírica. Em 1994, Peter Shor mostrou que existe um algoritmo eficiente para um computador quântico: ambas as tarefas são criadas para encontrar uma função periódica, e o período executa a transformada de Fourier quântica.
A explicação popular de que Shor "itera todas as opções ao mesmo tempo" leva a enganos. A aceleração quântica não é uma enumeração paralela, mas a extração de uma estrutura global por meio da interferência de amplitude: as respostas "incorretas" se cancelam, as "corretas" se desenvolvem.
Shor não quebra cifras simétricas, mas o algoritmo de Grover de 1996 leva a uma enumeração completa quadraticamente. No limite superior teórico, isso equivale à distância de metade do comprimento da chave: AES-256 significa resistência AES-128. No primeiro hardware, o efeito é menor - Grover não é bem paralelizado e requer cadeias subsequentes. Dobrar o interruptor é uma medida razoável, mas não de pânico.
Uma ameaça mais traiçoeira é estratégica. O tráfego criptografado pode ser interceptado e armazenado hoje, e descriptografado quando isso se tornar possível. Esse modelo é chamado de "Coletar agora, descriptografar depois", e o torna vulnerável a segredos de longo prazo agora: diplomacia, bancos médicos e biométricos, dados comerciais que mantêm valor por muitos anos.
Duas respostas
PQC - algoritmos para os quais é desconhecido: treliça, código, hash-based quantum acceleration. Em agosto de 2024, o NIST aprovou os primeiros padrões: ML-KEM para troca de chaves
1
, ML-DSA e SLH-DSA para substituição
2 3
. Eles já estão sendo implementados em TLS 1.3, Signal, iMessage. A principal vantagem é trabalhar em hardware convencional e escalar em redes existentes.
QC é baseado nas propriedades físicas de fótons individuais. A segurança é garantida pelas leis da natureza, não pela complexidade computacional; em troca, surge a necessidade de construir uma infraestrutura dedicada. QC é usado em nichos onde a segurança física é uma prioridade, e não a universalidade: rodovias entre bancos, canais estatais, linhas de satélite.
Em seguida, sobre a segunda estratégia.
A física em que tudo mais se baseia
Toda a criptografia quântica se resume a quatro propriedades de sistemas quânticos.
Superposição.
Um qubit é um vetor em um espaço complexo bidimensional: |ψ⟩ = α|0⟩ + β|1⟩, com normalização |α|² + |β|² = 1. Geometricamente, o estado puro de um qubit é um ponto na superfície da superfície de Bloch: um bit clássico vive em dois polos, um qubit - em qualquer corpo de conexão. No papel de QKD, um qubit geralmente desempenha a polarização de um único fóton; Horizontal e vertical definem uma base, diagonal e anti-diagonal - outra.
Medição e incompatibilidade de bases.
A medição irreversivelmente traduz um qubit em um dos vetores de base da base. Estados ortogonais são diferenciados com 100% de confiabilidade; não ortogonais - não: em qualquer estratégia para diferenciá-los, há um limite inferior de erro, que é seu produto escalar. O princípio da incerteza de Heisenberg - um caso especial desse fato: você não pode saber com precisão os valores de dois observadores não comutativos ao mesmo tempo. No BB84, essas observações levam à polarização em duas bases - a medição em uma apaga informações sobre a segunda.
Proibição de clonagem.
Não existe uma operação quântica universal que copie informações sobre um estado desconhecido (Wootters e Zurek, Dieks, 1982). A prova cabe em uma linha de linhas: se o copiador
U
trabalha em estados básicos, então para superposições |ψ⟩ = (|0⟩ + |1⟩)/√2 ele dá
U
|ψ⟩|0⟩ = (|00⟩ + |11⟩)/√2, uma cópia real |ψ⟩|ψ⟩ = (|00⟩ + |01⟩ + |10⟩ + |11⟩)/2 - um estado completamente diferente. Contradição. Consequência para a criptografia: o interceptador não pode "remover o fixador" do fóton e enviar o original adiante, para que a pesquisa ocorra de verdade, a destruição do estado original.
Emaranhamento.
Duas partículas podem estar em um estado que não se decompõe no produto do processamento de cada uma: por exemplo, |Φ⁺⟩ = (|00⟩ + |11⟩)/√2. Medir uma partícula instantaneamente estabelece outro estado. Esta não é uma transmissão de sinal mais rápida que a luz - o próprio resultado - mas as correlações em pares emaranhados são mais fortes do que qualquer teoria clássica com parâmetros ocultos sugere; formalmente, eles violam a cor de Bell. Verificação de violações - um teste estatístico da originalidade da natureza quântica da correspondência. No protocolo E91, tal verificação é embutida diretamente no interruptor do processo.
Protocolo BB84
Charles Bennett e Gilles Brassard propuseram o BB84 em 1984. Este é o primeiro e mais refinado protocolo de distribuição de chaves quânticas; o resto são variações sobre o mesmo tema.
Em protocolos criptográficos, os nomes são tradicionalmente usados: Alice (remetente legítimo), Bob (receptor legítimo) e Eve (interceptador, do inglês eavesdropper).
Alice codifica bits aleatórios na polarização de fótons individuais, para cada fóton uma escolha aleatória de uma das duas bases: linear (0°/90° = 0/1) ou diagonal (45°/135° = 0/1). Bob pega os fótons e cada um escolhe aleatoriamente e independentemente uma base de medição. Quando as bases chegam, Bob lê um pouco de Alice. Quando não aconteceu, o resultado aconteceu.
Em seguida, ele passa por um canal clássico aberto. Alice e Bob se comunicam as bases (mas não os bits) e deixam apenas a posição onde as bases coincidem - esta é a "chave bruta" em um quarto, aproximadamente metade do resultado na sequência. Em seguida, eles selecionam aleatoriamente uma parte da chave bruta e comparam abertamente os bits: a proporção de discrepâncias é QBER, a taxa de erro de bit quântico. Se o QBER estiver abaixo do limite (para BB84 - cerca de 11%), o canal é considerado aceitável. Os bits restantes transmitem a correção de erros por métodos clássicos e aumentam a confidencialidade: a função hash "comprime" a chave, destruindo as informações que teoricamente podem vazar para Eve. A saída é uma chave curta, mas segura em termos de informação teórica.
Uma implementação do protocolo em oito bits é assim (H e V - polarização horizontal e vertical, D e A - diagonal e anti-diagonal; ? significa um resultado aleatório quando as bases não correspondem):
Posição
1
2
3
4
5
6
7
8
Bit de Alice
0
1
1
0
1
0
0
1
Base de Alice
+
×
+
×
×
+
×
+
Polarização
H
D
V
D
A
H
A
V
Base de Bob
+
+
×
×
×
+
+
+
Resultado de Bob
0
?
?
0
1
0
?
1
Bases combinadas
✓
✗
✗
✓
✓
✓
✗
✓
Na chave bruta
0
—
—
0
1
0
—
1
De oito fótons transmitidos, cinco bits foram obtidos na chave bruta - 0, 0, 1, 0, 1. Esta ainda não é a chave final: em seguida, uma parte dela será separada para avaliar o QBER, a correção de erros será executada e a confidencialidade será aprimorada. Na próxima etapa, menos de um quarto dos bits originais aparecem na chave final.
A estratégia de Eve "interceptar, medir, reenviar" perde em todas as frentes de uma vez. É impossível copiar um fóton, o que significa que as medições são obrigatórias. A base de Alice, Eve, é desconhecida, na véspera do incidente ela escolhe a opção errada e destrói o estado original. Nas posições onde as bases de Alice e Bob coincidem, sua intervenção dá cerca de 25% de erros - a característica de avanço do QBER, que as partes legais veem instantaneamente.
De onde vêm os 25% - é mais fácil ver em uma posição. Deixe Alice enviar o bit 0 na base linear, ou seja, o fóton |H⟩. Eve escolheu diagonal (não adivinhou). Sua medição destrói |H⟩ e com igual probabilidade dará |D⟩ ou |A⟩; deixe |D⟩ acontecer, e Eve envia |D⟩ para Bob. Bob mede na base linear (as bases coincidem com Alice - a posição entrará na chave bruta). A projeção de |D⟩ em {|H⟩, |V⟩} dá |H⟩ com uma probabilidade de 1/2 (bit 0, correto) e |V⟩ com uma probabilidade de 1/2 (bit 1, erro). Agregado em toda a chave: Eve adivinha a base com uma probabilidade de 1/2 e não estraga nada; quando não adivinha - o fóton redirecionado dá a Bob um bit incorreto com uma probabilidade de 1/2. Total de erro na chave bruta: 1/2 × 1/2 = 25%. Com QBER ~11%, o protocolo é seguro, com 25% - claramente não.
Família de protocolos
E91 (Ekert, 1991) é baseado no emaranhamento, a segurança é verificada pela violação do protocolo Bell. B92 (Bennett, 1992) - uma simplificação do BB84 com dois estados não ortogonais. CV-QKD funciona com quadraturas de pulsos coerentes, é compatível com equipamentos de telecomunicações padrão e fornece alta velocidade em distâncias constantes. MDI-QKD Use sensores de detecção: a medição é realizada em um nó intermediário, que pode até ser hostil. Twin-Field QKD (2018) usa interferência em uma estação intermediária e estabeleceu um recorde de fibra óptica sem nós confiáveis de até 600–800 km.
Onde a teoria diverge da realidade
A segurança do BB84 é baseada em um único fóton ideal e um detector ideal. Nem um nem outro acontece.
Lasers reais às vezes emitem pulsos com dois ou mais fótons, e Eve pode separar o extra, manter na memória quântica e medir após o anúncio das bases - o ataque de Divisão do Número de Fótons. Contramedida - estados de armadilha. Na implementação prática, Alice alterna aleatoriamente o LED do laser entre vários níveis: "sinal" (μ ≈ 0,5 do número médio de fótons por pulso), "isca" (ν ≈ 0,1) e vácuo (0). No nível de fótons individuais, Eve não pode gravar o sinal da isca. Mas se ela bloquear pulsos de fóton único e permitir apenas pulsos multifóton, a localização dos pulsos recebidos nos três pontos de Bob será violada - ela deixará de corresponder ao que dá estatísticas de Poisson de um laser ideal. Nas frequências de recepção e QBER condicionadas em cada canal, Alice e Bob estimam o limite inferior para a fração de pulsos de fóton único que honestamente chegaram a Bob, e a partir desse limite o tamanho garantido da chave final é derivado. Com um laser poderoso, Eve também pode traduzir os detectores de Bob para o modo linear, controlando seus equipamentos - cegando o detector; a resposta é MDI-QKD e monitoramento dos detectores de estado. As conexões secundárias (consumo de energia, emissão eletromagnética, temporização) continuam a fornecer um problema que a natureza quântica do canal não fecha automaticamente.
A frase "proteção garantida pelas leis da física" requer três ressalvas. Você precisa de um canal clássico autenticado - sem ele, Eve realiza um MITM normal e se torna "Bob" para Alice e vice-versa; a autenticação requer um segredo pré-distribuído ou uma assinatura assimétrica, ou seja, novamente reduzida à criptografia clássica ou pós-quântica. O equipamento deve corresponder ao modelo - todos os ataques descritos acima exploram a lacuna entre idealização e realidade. E as provas formais são feitas com confrontos explícitos sobre modelos (ataques individuais, coletivos, sequenciais) e levando em consideração os efeitos de chave finita. Isso não cancela o valor do QKD, mas "física indestrutível" é uma simplificação.
O que mais a criptografia quântica sabe
QKD é a parte mais desenvolvida, mas não a interna.
QRNGs quânticos
usar processos fundamentalmente ruidosos imprevisíveis - laser de tiro, polarização de fótons únicos, decaimento radioativo. Ao contrário dos geradores pseudo-aleatórios clássicos, esta é uma verdadeira aleatoriedade; QRNGs comerciais já são usados em finanças e criptografia.
Assinaturas digitais quânticas
são baseadas em leis físicas, e não em suposições computacionais, como RSA, ECDSA e assinaturas PQC; sua maturidade prática é menor do que a do QKD.
Compartilhamento de segredos quânticos
divide um segredo entre
participantes
com um limite de recuperação através do emaranhamento multipartidário.
Compromisso quântico e lançamento de moedas
exceções baseadas em protocolos de conhecimento zero e muitos componentes de criptografia; O resultado negativo de Mayers e Lo - Chau (1997) mostra que o compromisso quântico absolutamente seguro é impossível - existem apenas variantes enfraquecidas.
Como construir uma rede quântica
A troca de chaves quânticas entre dois nós dentro de uma cidade foi resolvida há muito tempo. A capacidade de escalar essa capacidade para uma infraestrutura global ainda não é possível.
A fibra óptica recebe o sinal: além de 150–200 km, um único fóton se torna indistinguível em relação ao ruído térmico. Em redes clássicas, o problema é fechado por amplificadores ópticos - eles medem o sinal e o regeneram. Em quântico, isso não é possível: o método requer cópia (proibido proibir a clonagem), e a medição metaliza a superposição.
A solução de contorno mais madura é
nós confiáveis
. Alice recebe a chave K₁ com o Nó 1, o Nó 1 - a chave K₂ com o Nó 2, e assim por diante até Bob; a mensagem é re-criptografada sequencialmente. A maior implantação é a rodovia Pequim-Xangai, com mais de 2.000 km de extensão com 32 nós, lançada em 2017. Limitação crítica: cada nó tem acesso à chave em formato aberto. A comprometimento de um nó quebra toda a cadeia, e os nós devem ser fisicamente protegidos - este é um tempo organizacional e financeiro sério.
QKD via satélite
supera a distância através do vácuo espacial - quase não há perdas de generalidade. Em 2016, a China lançou Micius ("Mo-tzu") - o primeiro satélite especificamente projetado para comunicação quântica. Resultados: distribuição de chaves entre estações terrestres a 1200 km, comunicação de fótons emaranhados na mesma distância, videoconferência segura Pequim - Viena. Os primeiros experimentos foram realizados à noite, pois a luz solar cria ruído de fundo; eles contribuem para a disseminação do esquema também no modo diurno.
Repetidores quânticos
resolveria o problema da distância sem confiar em nós intermediários - através da permutação de emaranhamento (troca de emaranhamento). O nó A cria emaranhado, deixa um fóton com ele, o segundo envia para B; o nó C faz o mesmo, o segundo fóton também é enviado para B; medições de Bell conjuntas de dois fótons recebidos foram realizadas em B. Como resultado, os fótons A e C acabam emaranhados entre si, embora nunca tenham agido de forma interdependente. Ao repetir a operação em uma cadeia, você pode estender o emaranhamento a qualquer distância. Mas para coordenar entre os segmentos, você precisa de
memória quântica
com baixa coerência temporal. Hoje, no laboratório, são microssegundos - segundos importantes; ainda não é suficiente para a extensão de redes.
PQC ou QKD
Ambas as direções resolvem o problema - a transmissão segura de chaves - com posições diferentes.
PQC
QKD
Base de segurança
Complexidade computacional de novos problemas matemáticos
Ausência de clonagem, incompatibilidade de bases
Infraestrutura
Hardware convencional, atualizações de software
Óptica dedicada ou satélite, fótons únicos, detectores criogênicos
Alcance
Qualquer (sobre a internet normal)
~500–800 km via fibra óptica sem nós confiáveis; para cobertura global - satélite
Velocidade
Megabits - gigabits por segundo
Kilobits - megabits por segundo, caindo com a distância.
Autenticação
Embutido
Não resolvido - requer um mecanismo separado (geralmente PQC)
Modelo de derrota
Proteção com suposições computacionais
Informação-teórica com equipamento ideal
Padrões
NIST 2024 (ML-KEM, ML-DSA, SLH-DSA), implantação em massa
ETSI ISG-QKD, ITU-T; implantações pontuais
Reguladores ocidentais
Recomendações (NIST, NSA CNSA 2.0, UK NCSC, ANSSI, BSI)
As mesmas agências recomendam publicamente
não confiar
QKD segredos de estado
China e parte da UE
Paralelamente ao QKD
Implantação estatal ativa
As duas últimas linhas são uma encruzilhada política que determina a geografia das implantações subsequentes. As agências de segurança cibernética ocidentais são céticas em relação ao QKD por razões de engenharia: requer óptica dedicada, não resolve o problema de autenticação, é caro, vulnerável a ataques de implementação, limitado ao modo ponto a ponto e de curto alcance. A China segue a estratégia oposta e investe em grande escala.
Prática
O mercado comercial é pequeno, mas existe. ID Quantique (Suíça) é o jogador mais antigo, cujo equipamento garantiu a contagem de votos em Genebra. A Toshiba oferece sistemas QKD compatíveis com linhas de fibra óptica existentes por meio de multiplexação por divisão de comprimento de onda. QuantumCTek é o principal fornecedor de rodovias médias. Na Rússia, QRate, InfoTeCS, Smart Quantum Telecom estão trabalhando.
Programas estatais: China (rodovia Pequim-Xangai, Micius, redes urbanas de Hefei, Jinan, Xangai); União Europeia (EuroQCI reúne todos os 27 estados membros); Rússia (projetos da Ferrovias Russas e Rosatom, rodovia Moscou-São Petersburgo); EUA (investimentos DOE, DARPA, NSF, mas a principal taxa federal é no PQC); Programa de Assistência no Japão, Coreia do Sul, Índia. Padrões - ETSI ISG-QKD para componentes e interfaces, ITU-T para telecomunicações, ISO/IEC para segurança.
A disseminação é dificultada por um conjunto compreensível de razões: custo (os detectores SNSPD exigem criogenia, o canal - dezenas de dólares), velocidade (quilobits por segundo - isso não é suficiente para criptografia de streaming, mas suficiente para a troca regular de chaves em AES), compatibilidade com o tráfego existente em uma única fibra óptica, alcance sem nós confiáveis, certificação de dispositivos. Este último gerou Device-Independent QKD - protocolos cuja segurança é fornecida apenas pelas estatísticas de violações do protocolo Bell e não depende do hardware interno do dispositivo. DI-QKD ainda é experimental.
O que fazer hoje
Em 2026, a imagem é a seguinte. A infraestrutura de massa - navegadores, mensageiros, TLS, nuvens - está se movendo para PQC: os padrões foram adotados, Google, Apple, Cloudflare já estão implementando ML-KEM, uma migração de vários anos está por vir. QKD vive em outro segmento - comunicações dedicadas entre objetos de onda crítica, especialmente rodovias, linhas de satélite. A maior implantação prática é a chinesa; A Europa está construindo EuroQCI; Os EUA usam PQC. Uma arquitetura híbrida - PQC para aplicação em massa, QKD para canais especializados - é um cenário realista para o médio prazo.
A escolha prática hoje se aproxima de uma questão. Se você precisa proteger o tráfego do usuário, APIs, e-mail, assinatura de documentos - planeje a migração para PQC (ML-KEM, ML-DSA). Se você precisa proteger o canal entre duas causas de objetos, há a possibilidade de colocar óptica ou usar um satélite, e o modelo "segurança baseada na física" dá valor tangível - QKD se torna uma opção que vale a pena considerar junto com seu custo, limitações e o fato de que ele ainda usa autenticação clássica ou criptografia pós-quântica.
Soluções em nuvem para proteção de dados
Na prática, a proteção de dados em infraestruturas digitais já pode ser aprimorada hoje com métodos criptográficos comprovados que aproximam a infraestrutura dos requisitos de segurança pós-quântica. Por exemplo, o provedor de nuvem russo Cloud4Y fornece um serviço de
codificação de máquinas virtuais
, que garante a segurança de discos rígidos virtuais e dados neles.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
64K+
Alcance em 30 dias
Cloud4Y
#1 Provedor de nuvem corporativa
60,02
Classificação
778
Assinantes
Assinar
Cloud4Y
52 minutos atrás
Criptografia quântica: princípios, protocolos, redes
12 min
1.6K
Blog da Cloud4Y
Segurança da informação
*
Infraestrutura de TI
*
Armazenamento de dados
*
Sala de leitura
Quando um computador quântico suficientemente poderoso surgir, o algoritmo de Shor quebrará RSA e ECC. Com ele, TLS, assinaturas digitais, VPNs e instalações cairão. E é apenas uma questão de tempo: a estimativa dos recursos necessários nos últimos anos diminuiu em várias ordens de magnitude, e a discussão sobre custos mudou de acadêmica para engenharia.
A tarefa está sendo resolvida em duas direções. Criptografia pós-quântica (PQC) - novos problemas matemáticos resistentes a ataques quânticos; funciona em hardware convencional, o NIST aprovou padrões em 2024. A criptografia quântica (QC) representa proteção no nível físico de qubits individuais e requer óptica dedicada ou satélites, mas não se baseia em suposições computacionais, mas em leis físicas - com ressalvas, às quais voltaremos.
Este artigo é sobre QC. Primeiro, analisaremos a física em que ela se baseia; em seguida, o protocolo BB84 e seus relacionados. Ao longo do caminho, veremos que QC não é apenas distribuição de chaves. No final do artigo, as redes quânticas, ataques a equipamentos reais, a posição dos reguladores são analisados, e uma comparação de QC e PQC é feita.
De onde vem a ameaça
A segurança do RSA e ECC é baseada no fato de que os problemas de fatoração e logaritmos regionais são praticamente insolúveis para computadores clássicos. Esta não é uma consequência, mas uma observação empírica. Em 1994, Peter Shor mostrou que existe um algoritmo eficiente para um computador quântico: ambas as tarefas são criadas para encontrar uma função periódica, e o período executa a transformada de Fourier quântica.
A explicação popular de que Shor "itera todas as opções ao mesmo tempo" leva a enganos. A aceleração quântica não é uma enumeração paralela, mas a extração de uma estrutura global por meio da interferência de amplitude: as respostas "incorretas" se cancelam, as "corretas" se desenvolvem.
Shor não quebra cifras simétricas, mas o algoritmo de Grover de 1996 leva a uma enumeração completa quadraticamente. No limite superior teórico, isso equivale à distância de metade do comprimento da chave: AES-256 significa resistência AES-128. No primeiro hardware, o efeito é menor - Grover não é bem paralelizado e requer cadeias subsequentes. Dobrar o interruptor é uma medida razoável, mas não de pânico.
Uma ameaça mais traiçoeira é estratégica. O tráfego criptografado pode ser interceptado e armazenado hoje, e descriptografado quando isso se tornar possível. Esse modelo é chamado de "Coletar agora, descriptografar depois", e o torna vulnerável a segredos de longo prazo agora: diplomacia, bancos médicos e biométricos, dados comerciais que mantêm valor por muitos anos.
Duas respostas
PQC - algoritmos para os quais é desconhecido: treliça, código, hash-based quantum acceleration. Em agosto de 2024, o NIST aprovou os primeiros padrões: ML-KEM para troca de chaves
1
, ML-DSA e SLH-DSA para substituição
2 3
. Eles já estão sendo implementados em TLS 1.3, Signal, iMessage. A principal vantagem é trabalhar em hardware convencional e escalar em redes existentes.
QC é baseado nas propriedades físicas de fótons individuais. A segurança é garantida pelas leis da natureza, não pela complexidade computacional; em troca, surge a necessidade de construir uma infraestrutura dedicada. QC é usado em nichos onde a segurança física é uma prioridade, e não a universalidade: rodovias entre bancos, canais estatais, linhas de satélite.
Em seguida, sobre a segunda estratégia.
A física em que tudo mais se baseia
Toda a criptografia quântica se resume a quatro propriedades de sistemas quânticos.
Superposição.
Um qubit é um vetor em um espaço complexo bidimensional: |ψ⟩ = α|0⟩ + β|1⟩, com normalização |α|² + |β|² = 1. Geometricamente, o estado puro de um qubit é um ponto na superfície da superfície de Bloch: um bit clássico vive em dois polos, um qubit - em qualquer corpo de conexão. No papel de QKD, um qubit geralmente desempenha a polarização de um único fóton; Horizontal e vertical definem uma base, diagonal e anti-diagonal - outra.
Medição e incompatibilidade de bases.
A medição irreversivelmente traduz um qubit em um dos vetores de base da base. Estados ortogonais são diferenciados com 100% de confiabilidade; não ortogonais - não: em qualquer estratégia para diferenciá-los, há um limite inferior de erro, que é seu produto escalar. O princípio da incerteza de Heisenberg - um caso especial desse fato: você não pode saber com precisão os valores de dois observadores não comutativos ao mesmo tempo. No BB84, essas observações levam à polarização em duas bases - a medição em uma apaga informações sobre a segunda.
Proibição de clonagem.
Não existe uma operação quântica universal que copie informações sobre um estado desconhecido (Wootters e Zurek, Dieks, 1982). A prova cabe em uma linha de linhas: se o copiador
U
trabalha em estados básicos, então para superposições |ψ⟩ = (|0⟩ + |1⟩)/√2 ele dá
U
|ψ⟩|0⟩ = (|00⟩ + |11⟩)/√2, uma cópia real |ψ⟩|ψ⟩ = (|00⟩ + |01⟩ + |10⟩ + |11⟩)/2 - um estado completamente diferente. Contradição. Consequência para a criptografia: o interceptador não pode "remover o fixador" do fóton e enviar o original adiante, para que a pesquisa ocorra de verdade, a destruição do estado original.
Emaranhamento.
Duas partículas podem estar em um estado que não se decompõe no produto do processamento de cada uma: por exemplo, |Φ⁺⟩ = (|00⟩ + |11⟩)/√2. Medir uma partícula instantaneamente estabelece outro estado. Esta não é uma transmissão de sinal mais rápida que a luz - o próprio resultado - mas as correlações em pares emaranhados são mais fortes do que qualquer teoria clássica com parâmetros ocultos sugere; formalmente, eles violam a cor de Bell. Verificação de violações - um teste estatístico da originalidade da natureza quântica da correspondência. No protocolo E91, tal verificação é embutida diretamente no interruptor do processo.
Protocolo BB84
Charles Bennett e Gilles Brassard propuseram o BB84 em 1984. Este é o primeiro e mais refinado protocolo de distribuição de chaves quânticas; o resto são variações sobre o mesmo tema.
Em protocolos criptográficos, os nomes são tradicionalmente usados: Alice (remetente legítimo), Bob (receptor legítimo) e Eve (interceptador, do inglês eavesdropper).
Alice codifica bits aleatórios na polarização de fótons individuais, para cada fóton uma escolha aleatória de uma das duas bases: linear (0°/90° = 0/1) ou diagonal (45°/135° = 0/1). Bob pega os fótons e cada um escolhe aleatoriamente e independentemente uma base de medição. Quando as bases chegam, Bob lê um pouco de Alice. Quando não aconteceu, o resultado aconteceu.
Em seguida, ele passa por um canal clássico aberto. Alice e Bob se comunicam as bases (mas não os bits) e deixam apenas a posição onde as bases coincidem - esta é a "chave bruta" em um quarto, aproximadamente metade do resultado na sequência. Em seguida, eles selecionam aleatoriamente uma parte da chave bruta e comparam abertamente os bits: a proporção de discrepâncias é QBER, a taxa de erro de bit quântico. Se o QBER estiver abaixo do limite (para BB84 - cerca de 11%), o canal é considerado aceitável. Os bits restantes transmitem a correção de erros por métodos clássicos e aumentam a confidencialidade: a função hash "comprime" a chave, destruindo as informações que teoricamente podem vazar para Eve. A saída é uma chave curta, mas segura em termos de informação teórica.
Uma implementação do protocolo em oito bits é assim (H e V - polarização horizontal e vertical, D e A - diagonal e anti-diagonal; ? significa um resultado aleatório quando as bases não correspondem):
Posição
1
2
3
4
5
6
7
8
Bit de Alice
0
1
1
0
1
0
0
1
Base de Alice
+
×
+
×
×
+
×
+
Polarização
H
D
V
D
A
H
A
V
Base de Bob
+
+
×
×
×
+
+
+
Resultado de Bob
0
?
?
0
1
0
?
1
Bases combinadas
✓
✗
✗
✓
✓
✓
✗
✓
Na chave bruta
0
—
—
0
1
0
—
1
De oito fótons transmitidos, cinco bits foram obtidos na chave bruta - 0, 0, 1, 0, 1. Esta ainda não é a chave final: em seguida, uma parte dela será separada para avaliar o QBER, a correção de erros será executada e a confidencialidade será aprimorada. Na próxima etapa, menos de um quarto dos bits originais aparecem na chave final.
A estratégia de Eve "interceptar, medir, reenviar" perde em todas as frentes de uma vez. É impossível copiar um fóton, o que significa que as medições são obrigatórias. A base de Alice, Eve, é desconhecida, na véspera do incidente ela escolhe a opção errada e destrói o estado original. Nas posições onde as bases de Alice e Bob coincidem, sua intervenção dá cerca de 25% de erros - a característica de avanço do QBER, que as partes legais veem instantaneamente.
De onde vêm os 25% - é mais fácil ver em uma posição. Deixe Alice enviar o bit 0 na base linear, ou seja, o fóton |H⟩. Eve escolheu diagonal (não adivinhou). Sua medição destrói |H⟩ e com igual probabilidade dará |D⟩ ou |A⟩; deixe |D⟩ acontecer, e Eve envia |D⟩ para Bob. Bob mede na base linear (as bases coincidem com Alice - a posição entrará na chave bruta). A projeção de |D⟩ em {|H⟩, |V⟩} dá |H⟩ com uma probabilidade de 1/2 (bit 0, correto) e |V⟩ com uma probabilidade de 1/2 (bit 1, erro). Agregado em toda a chave: Eve adivinha a base com uma probabilidade de 1/2 e não estraga nada; quando não adivinha - o fóton redirecionado dá a Bob um bit incorreto com uma probabilidade de 1/2. Total de erro na chave bruta: 1/2 × 1/2 = 25%. Com QBER ~11%, o protocolo é seguro, com 25% - claramente não.
Família de protocolos
E91 (Ekert, 1991) é baseado no emaranhamento, a segurança é verificada pela violação do protocolo Bell. B92 (Bennett, 1992) - uma simplificação do BB84 com dois estados não ortogonais. CV-QKD funciona com quadraturas de pulsos coerentes, é compatível com equipamentos de telecomunicações padrão e fornece alta velocidade em distâncias constantes. MDI-QKD Use sensores de detecção: a medição é realizada em um nó intermediário, que pode até ser hostil. Twin-Field QKD (2018) usa interferência em uma estação intermediária e estabeleceu um recorde de fibra óptica sem nós confiáveis de até 600–800 km.
Onde a teoria diverge da realidade
A segurança do BB84 é baseada em um único fóton ideal e um detector ideal. Nem um nem outro acontece.
Lasers reais às vezes emitem pulsos com dois ou mais fótons, e Eve pode separar o extra, manter na memória quântica e medir após o anúncio das bases - o ataque de Divisão do Número de Fótons. Contramedida - estados de armadilha. Na implementação prática, Alice alterna aleatoriamente o LED do laser entre vários níveis: "sinal" (μ ≈ 0,5 do número médio de fótons por pulso), "isca" (ν ≈ 0,1) e vácuo (0). No nível de fótons individuais, Eve não pode gravar o sinal da isca. Mas se ela bloquear pulsos de fóton único e permitir apenas pulsos multifóton, a localização dos pulsos recebidos nos três pontos de Bob será violada - ela deixará de corresponder ao que dá estatísticas de Poisson de um laser ideal. Nas frequências de recepção e QBER condicionadas em cada canal, Alice e Bob estimam o limite inferior para a fração de pulsos de fóton único que honestamente chegaram a Bob, e a partir desse limite o tamanho garantido da chave final é derivado. Com um laser poderoso, Eve também pode traduzir os detectores de Bob para o modo linear, controlando seus equipamentos - cegando o detector; a resposta é MDI-QKD e monitoramento dos detectores de estado. As conexões secundárias (consumo de energia, emissão eletromagnética, temporização) continuam a fornecer um problema que a natureza quântica do canal não fecha automaticamente.
A frase "proteção garantida pelas leis da física" requer três ressalvas. Você precisa de um canal clássico autenticado - sem ele, Eve realiza um MITM normal e se torna "Bob" para Alice e vice-versa; a autenticação requer um segredo pré-distribuído ou uma assinatura assimétrica, ou seja, novamente reduzida à criptografia clássica ou pós-quântica. O equipamento deve corresponder ao modelo - todos os ataques descritos acima exploram a lacuna entre idealização e realidade. E as provas formais são feitas com confrontos explícitos sobre modelos (ataques individuais, coletivos, sequenciais) e levando em consideração os efeitos de chave finita. Isso não cancela o valor do QKD, mas "física indestrutível" é uma simplificação.
O que mais a criptografia quântica sabe
QKD é a parte mais desenvolvida, mas não a interna.
QRNGs quânticos
usar processos fundamentalmente ruidosos imprevisíveis - laser de tiro, polarização de fótons únicos, decaimento radioativo. Ao contrário dos geradores pseudo-aleatórios clássicos, esta é uma verdadeira aleatoriedade; QRNGs comerciais já são usados em finanças e criptografia.
Assinaturas digitais quânticas
são baseadas em leis físicas, e não em suposições computacionais, como RSA, ECDSA e assinaturas PQC; sua maturidade prática é menor do que a do QKD.
Compartilhamento de segredos quânticos
divide um segredo entre
participantes
com um limite de recuperação através do emaranhamento multipartidário.
Compromisso quântico e lançamento de moedas
exceções baseadas em protocolos de conhecimento zero e muitos componentes de criptografia; O resultado negativo de Mayers e Lo - Chau (1997) mostra que o compromisso quântico absolutamente seguro é impossível - existem apenas variantes enfraquecidas.
Como construir uma rede quântica
A troca de chaves quânticas entre dois nós dentro de uma cidade foi resolvida há muito tempo. A capacidade de escalar essa capacidade para uma infraestrutura global ainda não é possível.
A fibra óptica recebe o sinal: além de 150–200 km, um único fóton se torna indistinguível em relação ao ruído térmico. Em redes clássicas, o problema é fechado por amplificadores ópticos - eles medem o sinal e o regeneram. Em quântico, isso não é possível: o método requer cópia (proibido proibir a clonagem), e a medição metaliza a superposição.
A solução de contorno mais madura é
nós confiáveis
. Alice recebe a chave K₁ com o Nó 1, o Nó 1 - a chave K₂ com o Nó 2, e assim por diante até Bob; a mensagem é re-criptografada sequencialmente. A maior implantação é a rodovia Pequim-Xangai, com mais de 2.000 km de extensão com 32 nós, lançada em 2017. Limitação crítica: cada nó tem acesso à chave em formato aberto. A comprometimento de um nó quebra toda a cadeia, e os nós devem ser fisicamente protegidos - este é um tempo organizacional e financeiro sério.
QKD via satélite
supera a distância através do vácuo espacial - quase não há perdas de generalidade. Em 2016, a China lançou Micius ("Mo-tzu") - o primeiro satélite especificamente projetado para comunicação quântica. Resultados: distribuição de chaves entre estações terrestres a 1200 km, comunicação de fótons emaranhados na mesma distância, videoconferência segura Pequim - Viena. Os primeiros experimentos foram realizados à noite, pois a luz solar cria ruído de fundo; eles contribuem para a disseminação do esquema também no modo diurno.
Repetidores quânticos
resolveria o problema da distância sem confiar em nós intermediários - através da permutação de emaranhamento (troca de emaranhamento). O nó A cria emaranhado, deixa um fóton com ele, o segundo envia para B; o nó C faz o mesmo, o segundo fóton também é enviado para B; medições de Bell conjuntas de dois fótons recebidos foram realizadas em B. Como resultado, os fótons A e C acabam emaranhados entre si, embora nunca tenham agido de forma interdependente. Ao repetir a operação em uma cadeia, você pode estender o emaranhamento a qualquer distância. Mas para coordenar entre os segmentos, você precisa de
memória quântica
com baixa coerência temporal. Hoje, no laboratório, são microssegundos - segundos importantes; ainda não é suficiente para a extensão de redes.
PQC ou QKD
Ambas as direções resolvem o problema - a transmissão segura de chaves - com posições diferentes.
PQC
QKD
Base de segurança
Complexidade computacional de novos problemas matemáticos
Ausência de clonagem, incompatibilidade de bases
Infraestrutura
Hardware convencional, atualizações de software
Óptica dedicada ou satélite, fótons únicos, detectores criogênicos
Alcance
Qualquer (sobre a internet normal)
~500–800 km via fibra óptica sem nós confiáveis; para cobertura global - satélite
Velocidade
Megabits - gigabits por segundo
Kilobits - megabits por segundo, caindo com a distância.
Autenticação
Embutido
Não resolvido - requer um mecanismo separado (geralmente PQC)
Modelo de derrota
Proteção com suposições computacionais
Informação-teórica com equipamento ideal
Padrões
NIST 2024 (ML-KEM, ML-DSA, SLH-DSA), implantação em massa
ETSI ISG-QKD, ITU-T; implantações pontuais
Reguladores ocidentais
Recomendações (NIST, NSA CNSA 2.0, UK NCSC, ANSSI, BSI)
As mesmas agências recomendam publicamente
não confiar
QKD segredos de estado
China e parte da UE
Paralelamente ao QKD
Implantação estatal ativa
As duas últimas linhas são uma encruzilhada política que determina a geografia das implantações subsequentes. As agências de segurança cibernética ocidentais são céticas em relação ao QKD por razões de engenharia: requer óptica dedicada, não resolve o problema de autenticação, é caro, vulnerável a ataques de implementação, limitado ao modo ponto a ponto e de curto alcance. A China segue a estratégia oposta e investe em grande escala.
Prática
O mercado comercial é pequeno, mas existe. ID Quantique (Suíça) é o jogador mais antigo, cujo equipamento garantiu a contagem de votos em Genebra. A Toshiba oferece sistemas QKD compatíveis com linhas de fibra óptica existentes por meio de multiplexação por divisão de comprimento de onda. QuantumCTek é o principal fornecedor de rodovias médias. Na Rússia, QRate, InfoTeCS, Smart Quantum Telecom estão trabalhando.
Programas estatais: China (rodovia Pequim-Xangai, Micius, redes urbanas de Hefei, Jinan, Xangai); União Europeia (EuroQCI reúne todos os 27 estados membros); Rússia (projetos da Ferrovias Russas e Rosatom, rodovia Moscou-São Petersburgo); EUA (investimentos DOE, DARPA, NSF, mas a principal taxa federal é no PQC); Programa de Assistência no Japão, Coreia do Sul, Índia. Padrões - ETSI ISG-QKD para componentes e interfaces, ITU-T para telecomunicações, ISO/IEC para segurança.
A disseminação é dificultada por um conjunto compreensível de razões: custo (os detectores SNSPD exigem criogenia, o canal - dezenas de dólares), velocidade (quilobits por segundo - isso não é suficiente para criptografia de streaming, mas suficiente para a troca regular de chaves em AES), compatibilidade com o tráfego existente em uma única fibra óptica, alcance sem nós confiáveis, certificação de dispositivos. Este último gerou Device-Independent QKD - protocolos cuja segurança é fornecida apenas pelas estatísticas de violações do protocolo Bell e não depende do hardware interno do dispositivo. DI-QKD ainda é experimental.
O que fazer hoje
Em 2026, a imagem é a seguinte. A infraestrutura de massa - navegadores, mensageiros, TLS, nuvens - está se movendo para PQC: os padrões foram adotados, Google, Apple, Cloudflare já estão implementando ML-KEM, uma migração de vários anos está por vir. QKD vive em outro segmento - comunicações dedicadas entre objetos de onda crítica, especialmente rodovias, linhas de satélite. A maior implantação prática é a chinesa; A Europa está construindo EuroQCI; Os EUA usam PQC. Uma arquitetura híbrida - PQC para aplicação em massa, QKD para canais especializados - é um cenário realista para o médio prazo.
A escolha prática hoje se aproxima de uma questão. Se você precisa proteger o tráfego do usuário, APIs, e-mail, assinatura de documentos - planeje a migração para PQC (ML-KEM, ML-DSA). Se você precisa proteger o canal entre duas causas de objetos, há a possibilidade de colocar óptica ou usar um satélite, e o modelo "segurança baseada na física" dá valor tangível - QKD se torna uma opção que vale a pena considerar junto com seu custo, limitações e o fato de que ele ainda usa autenticação clássica ou criptografia pós-quântica.
Soluções em nuvem para proteção de dados
Na prática, a proteção de dados em infraestruturas digitais já pode ser aprimorada hoje com métodos criptográficos comprovados que aproximam a infraestrutura dos requisitos de segurança pós-quântica. Por exemplo, o provedor de nuvem russo Cloud4Y fornece um serviço de
codificação de máquinas virtuais
, que garante a segurança de discos rígidos virtuais e dados neles.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
