Não tenho certeza se a maioria das pessoas no espaço de privacidade está totalmente ciente do ataque de colheita agora-decifrar-depois. Continuamos dizendo que ainda temos n anos até que o primeiro computador quântico maduro execute o algoritmo de Shor em um caso real. A segurança pós-quântica não é um luxo futuro, especialmente para sistemas de privacidade. O modelo de ameaça já mudou: adversários não precisam de um computador quântico hoje para quebrar seus dados amanhã. Eles só precisam coletá-lo. Toda transação, mensagem ou prova criptografada que chega ao mempool ou chain público pode ser arquivada indefinidamente. No momento em que uma máquina quântica suficientemente poderosa chega, qualquer coisa criptografada sob as suposições clássicas de curvas elípticas torna-se texto simples. Esse é o problema de colher agora, criptografar, depois, e silenciosamente mata a garantia de que "criptografado hoje significa privado para sempre." Os protocolos de privacidade precisam tratar isso como uma restrição de design de primeira classe. Se seu sistema depende de ECDH, assinaturas secp256k1 para derivar chaves ou qualquer criptografia baseada em curvas elípticas dentro da sua camada de privacidade, você já está expondo seus usuários a uma violação atrasada. Gostamos de pensar que a privacidade é uma propriedade instantânea, mas na realidade é duradoura: ela deve sobreviver ao tempo, avanços em hardware e adversários com memória longa e armazenamento barato. É por isso que a segurança pós-quântica importa muito mais para a privacidade do que para a autenticação ou consenso geral. Uma assinatura pode ser rotacionada. Uma chave validadora pode ser migrada. Mas os textos cifrados, uma vez publicados, são permanentes. E "descriptografia" não é um erro que você possa reparar. (Visual: Peter Shor)