Em Janeiro de 2025, Google e Oratomic demonstraram que P-256, RSA-2048 e secp256k1 podem ser quebrados em minutos pelo primeiro CRQC — com menos qubits lógicos do que se estimava.
Filippo Valsorda (ex-Go team/Google, autor do age) revisou publicamente o prazo crítico de 2035 → 2029. Dados cifrados em ECDH hoje serão decriptados retroativamente.
Stack Go implementado
11 módulos · ML-KEM · ML-DSA · BGV/FHE
Padrões seguidos
NIST FIPS 203 · 204 · 205
Auditabilidade
Código aberto · sem black-box
Tempo até Jan/2029
—
dias
—
horas
—
min
—
seg
Cada segundo: novos dados cifrados em ECDH sendo capturados para HNDL (Harvest Now, Decrypt Later).
HNDL ativo · agora
Curvas elípticas de 256 bits podem cair em minutos com qubits supercondutores — muito menos qubits lógicos do que se estimava na projeção anterior.
"As fronteiras quânticas podem estar mais próximas do que parecem." — Heather Adkins + Sophie Schmieg, Google
Demonstração de que P-256 pode ser quebrado com apenas ~10.000 qubits físicos — caminho mais lento, mas igualmente catastrófico.
"Comparo este momento ao período em que pesquisas de fissão nuclear foram classificadas (1939–40)." — Scott Aaronson
O autor do age e ex-Go team reconheceu publicamente: "mudei minha visão — o prazo é 2029, não 2035". Migração pós-quântica não pode mais esperar.
words.filippo.io/crqc-timeline/ →Adversários estatais já coletam tráfego cifrado com ECDH agora. Quando o CRQC existir, decriptam tudo retroativamente. Sua sessão TLS de hoje é o vazamento de 2029.
2026 · Hoje
TLS 1.3 com ECDHE intercambia chaves efêmeras. Adversário grava:
2029 · CRQC
Algoritmo de Shor rodando em CRQC recupera a chave privada do servidor:
Resultado
ECDH recomputado, AES-GCM decifrado:
Demo real · módulo 11_crqc_migration
$ GOWORK=off go run ./fhe/11_crqc_migration
2026 — Mensagem encriptada (AES-GCM): dfae9b4357d2... (96 bytes)
2029 — CRQC executa Shor(pub_Bob) → priv_Bob em ~minutos
2029 — Mensagem decriptada: "CONFIDENCIAL: chave mestra sistema bancário..."
Open Finance · Pix · APIs regulatórias
ECDHE + ECDSA P-256/secp256k1. Sessões gravadas hoje ficam expostas em 2029. BACEN ainda não publicou guideline — mas vai.
Certificados TLS com validade 2+ anos
Qualquer cert emitido agora com expiração em 2027–2029 vive dentro da janela de risco. Let's Encrypt, ICP-Brasil, internal CAs — todos vulneráveis.
Healthtechs com dados de longa guarda
Prontuário eletrônico tem retenção mínima de 20 anos. Dados cifrados hoje com algoritmos vulneráveis serão exposição retroativa massiva após CRQC.
Bitcoin, Ethereum, Bluesky, atproto
ECDSA secp256k1 em UTXOs P2PK expostos diretamente. Identidades permanentes não podem ser "trocadas" — requer hard fork coordenado.
Infra DevOps de longo prazo
SSH host keys ECDSA/Ed25519, JWT ES256, certificados mTLS internos. Chaves de longa duração = Shor extrai privada da pública.
AES-256-GCM · SHA-256 · HMAC
Grover reduz a 128 bits efetivos — ainda seguro. Não precisa migrar criptografia simétrica. O problema é 100% assimétrica.
Do diagnóstico em 2 semanas ao programa PQC completo de 12 meses, com squad embedded e compliance BACEN-ready.
Para quem precisa entender a exposição antes de decidir.
Um serviço crítico migrado e testado em produção.
Migração end-to-end com squad embedded e compliance contínuo.
Preencha abaixo. Respondemos em 24h úteis com um PDF de 3 páginas: inventário crítico + roadmap de 90 dias + estimativa de investimento. Sem pitch de vendas.