Não tenho certeza se a maioria das pessoas no espaço da privacidade está plenamente ciente do ataque de colher-agora-decriptar-depois. Continuamos a dizer que ainda temos n anos até que o primeiro computador quântico maduro execute o algoritmo de Shor em um caso real. A segurança pós-quântica não é um luxo futuro, especialmente para sistemas de privacidade. O modelo de ameaça já mudou: os adversários não precisam de um computador quântico hoje para quebrar seus dados amanhã. Eles só precisam coletá-los. Cada transação, mensagem ou prova criptografada que atinge o mempool público ou a cadeia pode ser arquivada indefinidamente. No momento em que uma máquina quântica suficientemente poderosa chegar, qualquer coisa criptografada sob suposições clássicas de curva elíptica se torna texto simples. Este é o problema de colher-agora-decriptar-depois, e ele mata silenciosamente a garantia de que “criptografado hoje significa privado para sempre.” Os protocolos de privacidade têm que tratar isso como uma restrição de design de primeira classe. Se seu sistema depende de ECDH, assinaturas secp256k1 para derivar chaves, ou qualquer criptografia baseada em curva elíptica dentro da sua camada de privacidade, você já está expondo seus usuários a uma violação atrasada. Gostamos de pensar que a privacidade é uma propriedade instantânea, mas na realidade é uma propriedade durável: deve sobreviver ao tempo, aos avanços em hardware e a adversários com memórias longas e armazenamento barato. É por isso que a segurança pós-quântica importa muito mais para a privacidade do que para a autenticação geral ou consenso. Uma assinatura pode ser rotacionada. Uma chave de validador pode ser migrada. Mas os textos cifrados, uma vez publicados, são permanentes. E “decriptação” não é um erro que você pode corrigir. (Visual: Peter Shor)