A maior migração de infraestrutura da história da internet está acontecendo agora, e quase ninguém percebeu. Segundo a Cloudflare, que enxerga uma fração significativa do tráfego mundial, mais de 60% das conexões TLS geradas por humanos que passam por sua rede já usam criptografia pós-quântica no acordo de chaves — o mecanismo que protege tudo o que trafega entre o seu navegador e um site. Há três anos, esse número era um arredondamento de zero.
O motivo da corrida tem nome e é menos futurista do que parece: "harvest now, decrypt later" — colher agora, decifrar depois. Um computador quântico capaz de quebrar a criptografia de curva elíptica que protege a web atual ainda não existe. Mas um adversário paciente pode gravar hoje o tráfego cifrado — comunicações diplomáticas, segredos industriais, prontuários — e guardá-lo até que exista uma máquina capaz de abri-lo. Para qualquer informação que precise permanecer sigilosa por dez ou vinte anos, o risco quântico não começa quando o computador quântico ficar pronto; começou quando a captura de tráfego ficou barata.
Dos padrões do NIST ao seu navegador
A resposta técnica ganhou forma em agosto de 2024, quando o NIST, o instituto de padrões dos EUA, finalizou os três primeiros padrões pós-quânticos após um concurso público de oito anos: o FIPS 203 (ML-KEM, derivado do Kyber) para acordo de chaves, e o FIPS 204 (ML-DSA, do Dilithium) e FIPS 205 (SLH-DSA) para assinaturas digitais. São esquemas baseados em reticulados e funções hash — problemas matemáticos para os quais não se conhece atalho quântico.
A implantação veio na velocidade típica das gigantes de plataforma quando decidem que algo é prioridade. O Chrome habilitou o acordo de chaves híbrido por padrão ainda em 2024 e, a partir da versão 131, adotou o ML-KEM padronizado — colocando criptografia pós-quântica no handshake de bilhões de usuários sem que nenhum site precisasse fazer nada. Firefox e Edge seguiram o mesmo caminho. Na outra ponta, a Cloudflare ativou o suporte em toda a sua borda, e em março de 2026 estendeu o ML-KEM híbrido também para túneis IPsec e sua plataforma corporativa. Signal (desde 2023) e o iMessage da Apple (desde 2024) já protegem mensagens com esquemas pós-quânticos próprios.
“É a maior troca de fechaduras da história — feita com a internet em pleno funcionamento, sem que o morador notasse a reforma.”
O copo meio vazio: servidores, assinaturas e prazos
O detalhe da palavra 'híbrido' importa: as conexões atuais combinam o esquema clássico (X25519) com o pós-quântico (ML-KEM) no mesmo handshake, de modo que a segurança só cai se ambos forem quebrados. O custo é modesto — o handshake fica maior em cerca de um kilobyte, imperceptível para o usuário — e o ganho é um seguro contra o pior cenário.
Vale calibrar também o outro lado da equação: onde está, afinal, o computador quântico? Os maiores processadores quânticos anunciados até aqui operam na casa das centenas a poucos milhares de qubits físicos, ainda ruidosos. Quebrar RSA-2048 com o algoritmo de Shor exigiria milhões de qubits físicos corrigidos de erro operando de forma estável — uma distância de engenharia estimada em pelo menos uma década, talvez mais. Ninguém sério afirma que a ameaça é iminente; o consenso é que ela é inevitável o suficiente, e o ciclo de migração lento o suficiente, para que começar tarde seja a única forma garantida de perder a corrida.
Mas a fotografia completa é menos animadora do que os números da borda sugerem. Um estudo de medição publicado em 2026 estima que cerca de metade dos domínios avaliados permanece integralmente na criptografia clássica, sem qualquer preparo pós-quântico — o lado servidor fora das grandes CDNs se move muito mais devagar que os navegadores. E o acordo de chaves é só metade do problema: a migração das assinaturas digitais, que sustentam certificados TLS, atualizações de software e boot seguro, mal começou, porque os esquemas pós-quânticos de assinatura são maiores e exigem mudanças em cadeias inteiras de confiança.
Essa assimetria tem uma razão técnica interessante: no acordo de chaves, basta que navegador e servidor concordem em usar o esquema novo — a troca é invisível para o resto do mundo. Já uma assinatura precisa ser verificável por toda a cadeia que depende dela, de autoridades certificadoras a dispositivos embarcados que nunca receberão atualização. É por isso que a indústria atacou primeiro o problema urgente (o tráfego capturável hoje) e deixou para a próxima etapa o problema estrutural (a identidade e a integridade de longo prazo).
Para quem desenvolve ou opera sistemas, a recomendação prática é começar pelo inventário criptográfico: saber onde a sua stack usa RSA e curvas elípticas, quais bibliotecas já suportam ML-KEM (OpenSSL 3.5+, BoringSSL, e as principais linguagens já têm suporte nativo ou via biblioteca) e o que depende de terceiros. Quem serve tráfego atrás de uma CDN moderna provavelmente já está coberto na borda sem ter feito nada — mas a conexão entre a CDN e a origem, os túneis VPN, as filas internas e os bancos de dados seguem no regime clássico até que alguém os inventarie.
A boa notícia deste 2026 é que, pela primeira vez numa transição criptográfica, a infraestrutura pública andou antes da ameaça se materializar — quando o SHA-1 e o MD5 caíram, a corrida foi para apagar incêndio; desta vez, os padrões, as bibliotecas e os navegadores chegaram com anos de antecedência. A má notícia é que a cauda longa — servidores, firmware, IoT, sistemas legados — é exatamente onde essas transições costumam levar décadas. O computador quântico útil pode demorar; os dados capturados hoje não expiram.
