O Google estima que computadores quânticos poderão quebrar a criptografia RSA até 2029. A ameaça é real — mas a solução também.

O que é o Q-Day?

Existe uma data no calendário que ninguém sabe ao certo quando chegará, mas que mantém especialistas em cibersegurança acordados à noite. Ela tem nome: Q-Day. É o momento em que um computador quântico suficientemente poderoso se tornará capaz de quebrar, em horas ou minutos, os algoritmos criptográficos que hoje protegem praticamente toda a comunicação digital do planeta.

Transações bancárias, prontuários médicos, e-mails, históricos de localização, carteiras de criptomoedas — tudo isso está protegido, hoje, por um truque matemático simples: multiplicar números enormes é fácil, mas fatorá-los de volta é computacionalmente inviável. O algoritmo RSA, criado em 1977 por Ron Rivest, Adi Shamir e Leonard Adleman, é o mais famoso representante dessa família. E ele é o principal alvo.

O Google alertou, em março de 2025, que tem como meta o ano de 2029 para garantir a segurança da era quântica em seus sistemas — uma estimativa que encurtou drasticamente a janela que especialistas acreditavam ter disponível.

"É o dia em que pessoas — talvez adversários — terão acesso a um computador quântico capaz de quebrar os códigos criptográficos em uso." — Michele Mosca, cofundador da evolutionQ e professor do Institute for Quantum Computing da University of Waterloo

Por que computadores quânticos são tão ameaçadores para o RSA?

Computadores convencionais processam informação sequencialmente usando bits — valores que são 0 ou 1. Computadores quânticos usam qubits, que podem ser 0, 1 ou ambos ao mesmo tempo graças a uma propriedade chamada superposição. Isso permite explorar um espaço enorme de possibilidades em paralelo.

Em 1994, o matemático Peter Shor criou um algoritmo que, rodando em um computador quântico em escala, resolve em tempo polinomial o mesmo problema de fatoração que levaria bilhões de anos para um computador clássico. O RSA não foi projetado para resistir a isso — porque, na época, computadores quânticos eram ficção científica.

Além do RSA, a criptografia de curva elíptica (ECC) — usada em HTTPS, criptomoedas como Bitcoin e Ethereum, e assinaturas digitais — também seria vulnerável. O Google publicou um estudo mostrando uma redução de aproximadamente 20 vezes no número de qubits necessários para quebrar a ECC, o que torna a ameaça mais próxima do que se imaginava.

O ataque silencioso: "colher agora, descriptografar depois"

Há um aspecto da ameaça quântica que costuma ser subestimado: o problema já pode estar acontecendo.

Agentes mal-intencionados — estados, grupos criminosos ou qualquer ator com recursos — podem estar coletando hoje dados criptografados transmitidos pela internet, armazenando-os e esperando o Q-Day chegar para, então, descriptografar tudo de uma vez. Registros de saúde com histórico genético, segredos industriais, comunicações diplomáticas — nada daquilo que foi transmitido nos últimos anos estaria seguro retroativamente.

Isso significa que migrar para criptografia pós-quântica amanhã não protege o que foi transmitido ontem. A urgência é dupla.

A solução já existe — e foi padronizada

A boa notícia é que a comunidade científica e os governos não estão de braços cruzados. Em 13 de agosto de 2024, o NIST (Instituto Nacional de Padrões e Tecnologia dos EUA) publicou os três primeiros padrões oficiais de Criptografia Pós-Quântica (PQC):

• ML-KEM (FIPS 203) — anteriormente chamado CRYSTALS-Kyber. Substituto do RSA e do Diffie-Hellman para troca de chaves. É o "carro-chefe" da migração, indicado para proteger conexões TLS (o cadeado do seu navegador).
• ML-DSA (FIPS 204) — substituto para assinaturas digitais. Baseado em reticulados matemáticos (lattices), é computacionalmente muito mais difícil de atacar, mesmo para máquinas quânticas.
• SLH-DSA (FIPS 205) — baseado em funções de hash, serve como alternativa robusta caso alguma vulnerabilidade seja descoberta nos algoritmos de lattice. É o "plano B" do ecossistema.

Esses algoritmos não se baseiam em fatoração. Eles exploram problemas matemáticos de reticulados (como o problema do vetor mais curto) e funções de hash, que são ordens de magnitude mais complexos de resolver — mesmo para um computador quântico.

E as senhas? O bcrypt e o Argon2 sobrevivem?

É uma distinção importante: a criptografia ameaçada pelo Q-Day é a assimétrica (chave pública/privada), usada em conexões e assinaturas. Funções de hash de senha como bcrypt e Argon2 — usadas para armazenar senhas em bancos de dados — são de mão única e não têm chave pública. O algoritmo de Shor não se aplica a elas.

O risco quântico para hashes é o algoritmo de Grover, que acelera buscas por força bruta — mas apenas reduz a segurança pela metade (256 bits efetivos viram ~128 bits). Bcrypt e especialmente Argon2id (com parâmetros de custo adequados) continuam seguros no cenário pós-quântico, pois são deliberadamente lentos e intensivos em memória.

O desafio não é técnico — é de migração

A solução existe. O problema é escalar. Migrações criptográficas históricas levaram de 10 a 20 anos, e esta será mais complexa. Mais de 90% das empresas ainda não têm um roteiro para lidar com ameaças quânticas, segundo dados citados pela McKinsey.

Para desenvolvedores, a abordagem recomendada é o hybrid key exchange — usar ML-KEM em paralelo com os algoritmos atuais durante a transição. O OpenSSL 3.x já suporta ML-KEM via extensão, e Google Chrome e Cloudflare já implementam TLS pós-quântico em produção.

Em junho de 2025, um decreto executivo americano determinou que agências federais iniciem a migração imediatamente. O prazo do NIST é claro: RSA e ECC devem ser depreciados para novos sistemas até 2030 e completamente removidos até 2035.

O Y2K que talvez não seja Y2K

Alguns pesquisadores comparam a ameaça quântica ao bug do milênio — e há conforto nessa analogia, já que o Y2K foi resolvido graças a esforço coordenado global. Mas a diferença é relevante: o Y2K tinha uma data certa. O Q-Day não tem. Pode ser 2029. Pode ser antes.

E o mais preocupante: um Q-Day que aconteça em segredo — em laboratório de estado ou ator privado mal-intencionado — pode já estar ocorrendo sem que o mundo saiba.

A corrida não é contra o tempo. É contra a invisibilidade.

Fontes: CNN Brasil, NIST (csrc.nist.gov), Google Research Blog, Global Risk Institute — Quantum Threat Timeline Report 2025, McKinsey & Company. 
Algoritmo de Shor - acesso em 19/05/2026.
Algoritmo de Grover - acesso em 10/05/2026.