SHAttered (2017)
Primeira colisão SHA-1 demonstrada. Dois PDFs com o mesmo hash, gerados por ~US$110k. Código do ataque público no GitHub. SHA-1 em assinaturas digitais está quebrado.
Stevens, Bursztein, Karpman et al. — shattered.io
Por que agora
O relógio deixou de ser teórico.
DORA está em vigor. Colisões SHA-1 são práticas. Adversários estão arquivando teu tráfego cifrado hoje, apostando em computadores quânticos em uma década. Esta página é a evidência que tu manda pro teu CISO.
Linha do tempo
Oito anos de sinais convergentes
O risco não é um único evento no futuro. É uma sequência de marcos — metade já cumprida.
- 2017Clássico
SHAttered
Google + CWI publicam a primeira colisão prática de SHA-1. Custo: ~US$110k de compute. Hoje o mesmo ataque sai por menos de US$10k.
- 2020Clássico
SHA-mbles + Git deprecia SHA-1
Colisões com prefixo escolhido viram realidade. Git troca o hash de objeto padrão pra SHA-256.
- 2023Quântico
Chrome envia ML-KEM híbrido em TLS
Chrome 116 habilita X25519+ML-KEM-768 nos serviços Google. Cloudflare e AWS KMS seguem. Pós-quântico deixou de ser projeto de pesquisa.
- Ago 2024Regulação
NIST publica FIPS 203, 204, 205
ML-KEM, ML-DSA, SLH-DSA viram padrões federais. Já obrigatórios pra licitação federal dos EUA.
- Jan 2025Regulação
DORA entra em vigor
Entidades financeiras da UE têm que demonstrar gestão de risco TIC — incluindo inventário criptográfico e plano de migração. Multas de até 2% do faturamento anual.
- Dez 2024Quântico
Google Willow · 105 qubits
Google demonstra correção quântica de erros abaixo do limite. IBM Heron (156 qubits) segue. Roadmaps miram 100k+ qubits até 2033.
- 2030–2035Quântico
Janela estimada de Q-day
As melhores estimativas públicas colocam computadores quânticos criptanaliticamente relevantes dentro da vida útil do código que tu envia hoje. Segredos shipped em 2026 podem precisar sobreviver essa janela.
Hoje
Ameaças clássicas — já exploráveis
Não precisa de computador quântico pra quebrar cripto fraca. Vários padrões que o QuantumScan detecta são vulneráveis a ataques que já existem em kits públicos.
SHA-mbles (2020)
Colisões SHA-1 com prefixo escolhido. Permite a um atacante forjar dois documentos arbitrários com o mesmo hash. Custo: ~US$45k em 2020, bem menos de US$10k hoje.
Leurent & Peyrin — sha-mbles.github.io
Deprecação no Git
Git trocou o hash de objeto padrão de SHA-1 pra SHA-256 na versão 2.29 (out 2020). Os mantenedores reconheceram que SHA-1 não era mais seguro pra endereçamento de conteúdo.
Release notes Git 2.29
Harvest now, decrypt later
É amplamente entendido que adversários estatais arquivam tráfego cifrado hoje, apostando em quebrar trocas de chave RSA/ECDH com computadores quânticos futuros. Qualquer segredo com vida útil >10 anos já está em risco.
NSA CNSA 2.0 advisory (2022)
NIST SP 800-131A
SHA-1 está formalmente proibido pra geração de assinaturas digitais desde 2013. RSA-1024 proibido desde 2014. São decisões de política refletindo viabilidade concreta de ataque.
NIST Special Publication 800-131A Rev. 2
A maioria dos findings CRITICAL no QuantumScan cai nessa categoria — exploráveis com computadores clássicos hoje, não algum dia.
Amanhã
Ameaças quânticas — matemática provada, prazo finito
O algoritmo de Shor está matematicamente provado. A única pergunta é quando vai existir um computador quântico grande o suficiente. Os grandes laboratórios dizem 10–15 anos; analistas conservadores dizem menos.
Algoritmo de Shor (1994)
Matematicamente provado pra fatorar inteiros grandes e calcular logaritmos discretos em tempo polinomial num computador quântico. RSA, DH, ECDH, ECDSA caem todos. Não é hipótese — é uma prova de 30 anos.
Shor, IEEE FOCS 1994
Estimativas de recursos
Melhor estimativa atual pra quebrar RSA-2048: ~20 milhões de qubits físicos ruidosos com correção de erros, em umas 8 horas. O número cai todo ano à medida que os algoritmos melhoram.
Gidney & Ekerå, Quantum 5, 433 (2021)
IBM Heron · Google Willow
Processador IBM Heron: 156 qubits com taxas de erro melhoradas (2024). Google Willow: 105 qubits demonstrando correção de erros abaixo do limite (dez 2024). A barreira de correção de erros — por muito tempo o principal obstáculo — começa a cair.
IBM Quantum Roadmap · Google AI Quantum (Nature, 2024)
Padronização NIST PQC
Depois de 8 anos de competição aberta com 82 submissões e dezenas de papers de criptanálise, NIST publicou FIPS 203 (ML-KEM), FIPS 204 (ML-DSA) e FIPS 205 (SLH-DSA) em agosto 2024.
NIST FIPS 203, 204, 205
Já em produção
Chrome 116 (2023), endpoints TLS da Cloudflare, AWS KMS e o protocolo Signal rodam hoje X25519+ML-KEM-768 híbrido. Pós-quântico está sendo entregue; a pergunta é só se teu stack acompanha.
Blogs pós-quânticos de Chrome, Cloudflare, AWS, Signal
NIST recomenda migração híbrida (clássica + PQC juntas) justamente porque nenhum algoritmo é invencível. SIKE, finalista do NIST, foi quebrado classicamente em 2022.
Compliance
O que os reguladores já exigem
Tu não precisa provar que ML-KEM funciona. Precisa provar ao auditor que tem um inventário criptográfico documentado e plano de migração. Esse requisito existe hoje.
| Framework | Escopo | Requisito | Aplicação |
|---|---|---|---|
| DORA (UE 2022/2554) | Entidades financeiras UE + terceiros TIC | Artigo 7: framework de gestão de risco TIC. Artigo 9: gestão de chaves criptográficas. Artigo 28: registro de risco TIC de terceiros. | Ativo desde 17 de janeiro de 2025. Multas de até 2% do faturamento anual mundial total. |
| NIS2 (UE 2022/2555) | Entidades essenciais + importantes em 18 setores | Artigo 21: políticas de criptografia como parte das medidas de gestão de risco de cibersegurança. | Prazos nacionais de transposição em sua maioria vencidos em 2024. Multas de até €10M ou 2% da receita. |
| NIST FIPS 203/204/205 | Agências federais dos EUA + seus fornecedores | Padrões obrigatórios pra encapsulamento de chaves e assinaturas digitais. NSA CNSA 2.0 exige migração até 2035, com sistemas novos em PQC até 2027. | Licitação federal; cascateia pra contratantes privados via FedRAMP, CMMC e auditorias de fornecedores. |
| PCI DSS 4.0 | Qualquer um que processa dados de cartão | Seção 12.3.3: inventário documentado de suites criptográficas e protocolos, com revisão de desenvolvimentos e prazos da indústria. | Obrigatório desde março 2025. Perda do status PCI bloqueia processamento de pagamentos. |
| LGPD (Brasil) · Habeas Data (LATAM) | Processadores de dados pessoais em BR + maior parte da LATAM | Orientação da ANPD trata criptografia desatualizada como segurança inadequada — mesma lógica do Artigo 32 do GDPR (state-of-the-art). | Sanções administrativas; no BR até 2% da receita limitado a R$50M por infração. |
Divulgação honesta
O que não sabemos — e por que não muda a conta
A gente vende mapeamento, documentação e plano de migração. Não vendemos certeza sobre um futuro quântico. Aqui está o que é genuinamente incerto.
Quando o Q-day acontece
Ninguém sabe. Estimativas públicas vão de 2030 a 2045. O trabalho do comprador não é prever Q-day — é garantir que os sistemas entregues hoje possam ser rotacionados limpamente quando a data ficar mais clara.
Se o ML-KEM aguenta
SIKE foi finalista do NIST quebrado em 2022 por matemática puramente clássica (Castryck–Decru). ML-KEM e ML-DSA sobreviveram mais escrutínio, mas nenhum algoritmo está provado seguro pra sempre. Por isso o NIST exige deploys híbridos e agilidade criptográfica.
Se teu finding específico é explorável
Nem todo algoritmo marcado no teu repo é realmente alcançável por um atacante. Um scanner estático não pode saber o contexto de runtime. Trata findings como prioridades, não como prova de comprometimento.
O que custa esperar
Migração é mais barata antes do regulador ligar
Esses são qualitativos — cada organização é diferente. Mas o padrão de deprecações criptográficas passadas (SHA-1, RC4, TLS 1.0) é consistente.
Feita progressivamente, em 18–24 meses
Inventário → priorização → upgrade de libs → deploy híbrido → cutover. Encaixa em ciclos normais de release. O custo de engenharia parece um sprint de tech-debt.
Feita reativamente, depois de um achado de auditoria
Múltiplos times puxados em paralelo, consultores externos faturando, freeze em features até restaurar compliance. Rotineiramente 5–10× o custo progressivo.
Feita depois de um vazamento
Soma jurídico, imprensa, divulgação regulatória, notificação de clientes e possíveis ações coletivas. A migração em si vira nota de rodapé numa conta muito maior.
O audit trail compõe
Uma organização com CBOM + relatório DORA de 2026 arquivado entra em qualquer auditoria futura com posição defensável. Quem não tem, começa cada conversa do zero.
Próximo passo
Vê onde teu stack está hoje
Um scan de 1 repositório leva ~90 segundos e exporta um CBOM (CycloneDX 1.7) mais um PDF alinhado a DORA. Grátis pra design partners.