Toda vez que você envia um prompt ao ChatGPT, suas palavras são transformadas em um código indecifrável antes de atravessar fibras ópticas e cabos submarinos rumo aos data centers da OpenAI no estado do Texas, nos Estados Unidos – ou em algum outro lugar do mundo. É assim que boa parte da informação do planeta trafega: criptografada. Mas proteger dados em trânsito não resolve tudo. Em algum momento, o servidor precisa decifrar a informação para processá-la — e é justamente aí que surgem as brechas.
Em 1995, o pioneiro da segurança digital Gene Spafford resumiu o problema dizendo que “criptografia sem um sistema íntegro equivale a investir em um carro-forte para levar dinheiro de alguém que mora em uma caixa de papelão para outra pessoa fazendo negócios em um banco de parque”. Ou seja, proteger os dados no caminho não adianta se emissor e destinatário continuam vulneráveis.
Nos últimos quinze anos, passamos a terceirizar cada vez mais funções à nuvem, do streaming ao armazenamento de arquivos e e-mails. A banda larga permite delegar nossas demandas computacionais a esses servidores remotos, mas isso exige enviar muitos dados para empresas com termos e condições de uso intermináveis.
O número do cartão de crédito é apenas a ponta de um iceberg de informações sensíveis que não devem estar na nuvem. Imagine, por exemplo, uma IA da área médica que analisa o prontuário dos pacientes e sugere diagnósticos: uma seguradora de saúde poderia usar esses dados para investigar o histórico de quem tenta contratar o plano — e, assim, negar clientes com doenças crônicas.
Por isso, um dos grandes objetivos da criptografia contemporânea é desenvolver um tipo de cifra que permita a um data center processar dados cifrados “às cegas” e dar o resultado correto sem precisar bisbilhotar o conteúdo. O nome dessa ideia é criptografia completamente homomórfica (fully homomorphic encryption, ou FHE, na sigla em inglês). Ela já é possível na prática — mas, no estágio atual de desenvolvimento, ainda é uma opção milhares a milhões de vezes mais lenta do que processar a mesma informação abertamente.
Transformar a FHE em realidade envolve dois desafios. O primeiro é que pressionar grandes empresas por avanços em segurança digital não depende apenas de legislação ou de agências reguladoras. Porém, é necessário também um grau de conscientização coletivo que ainda não existe. Quando alguém aponta uma arma para você, o perigo está na sua frente. Diferente de falar para as pessoas que empresas coletam dados da população e os usam para manipular eleições. Isso ainda soa abstrato.
O segundo é que fazer a FHE funcionar está longe de ser trivial. Do ponto de vista do computador, lidar com uma cifra completamente homomórfica equivale a resolver um cubo mágico de olhos vendados. Para entender como é possível uma máquina processar dados sem enxergá-los (e até que ponto é possível tornar esse processo mais rápido), precisamos voltar algumas casas na história da criptografia — e começar na época em que o homomorfismo ainda era entendido como uma propriedade indesejável pelos criptógrafos.
A brecha que virou solução
A criptografia moderna se apoia em operações matemáticas simples de executar, mas extremamente difíceis de desfazer — como fatorar números gigantescos gerados pela multiplicação de dois números primos (lembrar do algoritmo denominado Crivo de Eratóstenes para encontrar todos os
números primos até um limite específico). Esse é o princípio por trás do RSA, um dos métodos de criptografia mais influentes, criado em 1977. A sigla representa os sobrenomes dos criptógrafos que inventaram a técnica: Rivest, Shamir e Adleman.
Os números gigantescos da RSA são inquebráveis na prática. Mas a estrutura matemática dessa cifra é frágil de outra forma: ela permite manipular os criptogramas sem que percam seu significado no processo, ou seja, a equivalência matemática com o conteúdo que deu origem a eles.
Uma metáfora ajuda a entender. Imagine duas palavras. Uma é “pão”, a outra é “manteiga”. Em RSA, cada uma é representada por um criptograma gigante e difícil de fatorar. Porém, se um servidor multiplicar “pão” e “manteiga”, ele vai obter um criptograma que significa “pão com manteiga”. O servidor não consegue ler o conteúdo, mas a operação continua fazendo sentido. Isso é o homomorfismo: o comportamento das multiplicações realizadas em texto claro (ou plaintext, em inglês) se mantém ao ser mapeado para o conjunto de dados cifrados (ciphertext).
No caso da RSA, apenas uma operação matemática é homomórfica: a multiplicação. Por isso, a RSA é classificada como uma cifra parcialmente homomórfica. Para computar às cegas, porém, era preciso ir além e construir uma cifra completamente homomórfica — que, além das multiplicações, permitisse também fazer somas sem mudar o conteúdo.
Nas décadas seguintes à invenção da RSA, pesquisadores tentaram ampliar esse princípio para permitir múltiplas operações matemáticas sobre dados cifrados. Em 2005, o criptógrafo israelense Dan Boneh chegou perto: criou uma cifra homomórfica para as duas operações, mas que permitia apenas uma multiplicação, embora suportasse infinitas adições. O avanço decisivo veio em 2009, quando o americano Craig Gentry, então funcionário da IBM, publicou sua tese de doutorado orientada pelo próprio Boneh, apresentando a primeira cifra completamente homomórfica funcional.
Os limites físicos e teóricos da FHE
O problema é que as cifras homomórficas acumulam “ruído” matemático a cada operação realizada. Depois de muitas contas, esse ruído cresce tanto que pode corromper o resultado. É como a poluição por mercúrio nos oceanos: cada peixe pequeno tem um pouco desse elemento tóxico no organismo. Mas quando um tubarão come todos eles, acaba concentrando uma quantidade muito maior do metal (processo chamado de bioacumulação).
O que Gentry fez foi encontrar um jeito de limpar o ruído a cada ciclo de processamento de dados, técnica que batizou de bootstrapping. O nome vem da expressão inglesa “puxar a si mesmo pelas alças das próprias botas”, usada para descrever um procedimento recursivo.
Neste caso, o criptograma ruidoso é processado pelas próprias técnicas de FHE para produzir um criptograma equivalente, mas com ruído menor. “Isso abre portas para um número ilimitado de operações. Esse foi o grande problema que Gentry resolveu há pouco mais de 15 anos”, diz Diego Aranha, professor brasileiro que trabalha na Universidade de Aarhus, na Dinamarca. O bootstrapping é, ao mesmo tempo, o segredo da FHE e sua limitação: limpar o ruído das cifras é uma tarefa pesada, e é a razão desse tipo de criptografia demorar tanto.
Foi apenas em meados de 2016 que as coisas começaram a parecer “razoavelmente praticáveis”, nas palavras de Hilder Pereira, professor da Unicamp. O GPS é um exemplo ilustrativo do tipo de coisa que a FHE ainda não consegue fazer. O aplicativo precisa recalcular a rota em segundos quando você entra em uma rua errada, e realizar essa computação com uma cifra homomórfica poderia levar dias.
Ao problema computacional se soma um problema econômico. O mundo vive uma crise de disponibilidade de chips de silício causada pela construção acelerada de data centers para inteligência artificial (IA). Grande parte do poder computacional previsto para ser instalado em 2026 já está comprometida com as big techs.
“A parte infeliz é que, do ponto de vista de hardware, acelerar a FHE ou usá-la para delegação segura de computação compete pelo mesmo hardware que a IA”, diz Aranha. “Empresas de internet que operam infraestrutura de nuvem — Amazon, Google, Microsoft — têm seu ganha-pão exatamente nisso: rodar seu código nos servidores delas. Do ponto de vista do cliente, seria muito melhor ter uma garantia matemática do que assinar um papel em que a Amazon promete não bisbilhotar.”
Uma possibilidade é reaproveitar gerações antigas de GPUs (microprocessadores) descartadas pela corrida da IA. O hardware que deixa de ser competitivo para treinar modelos de fronteira pode ajudar a acelerar pesquisas em FHE. Há também startups produzindo chips dedicados à FHE — por exemplo, a KU Leuven, um dos grupos de hardware para criptografia mais respeitados do mundo, onde Pereira fez pós-doutorado, tem um projeto financiado pela União Europeia nessa direção.
Da teoria à indústria
Toda cifra é construída sobre a premissa de que um problema matemático é difícil de resolver. A RSA, por exemplo, aposta que fatorar o produto de dois números primos enormes é computacionalmente inviável. Contudo, essa dificuldade não é necessariamente eterna. “Talvez alguém encontre um novo algoritmo de fatoração muito mais eficiente e rápido, que reduza o tempo de fatoração”, explica Hilder Pereira. Um de seus objetivos no projeto apoiado pela FAPESP é justamente investigar se é possível construir FHE com menos pressupostos matemáticos. Apoiar a segurança num conjunto menor de suposições reduz a vulnerabilidade da cifra caso alguma delas se revele falsa.
Para a academia, essa é a diferença entre um prédio com fundações construídas para o grau exato de estabilidade do solo e um prédio com precauções extras, que permanece em pé mesmo que o solo se mostre menos firme do que se pensava. Os acadêmicos estão sempre se antecipando, como na criptografia pós-quântica. “Estamos nos preparando para que, se um dia existir o computador quântico, essas novas cifras pós-quânticas já sejam seguras”, explica Pereira.
A FHE é um campo de estudo bem estabelecido no mundo acadêmico. Do lado da indústria, o movimento é mais fragmentado, mas já perceptível. A startup francesa Zama, por exemplo, trabalha em aplicações de machine learning e blockchain com FHE, tentando ocultar não apenas a identidade dos usuários, mas também os próprios fluxos financeiros.
A Zama quer cifrar essas transações com FHE, de modo que nem mesmo quem opera a infraestrutura saiba quem mandou quanto para quem. Para Nigel Smart, professor da KU Leuven que também ocupa o cargo de chief academic officer da empresa, esse é um momento equivalente à passagem do protocolo HTTP para o HTTPS na internet, em 1994 — uma camada de privacidade que reconfigura o que é possível fazer online. Foi o ‘S’ de ‘seguro’ que permitiu o uso de cartões de crédito na internet.
Smart, porém, faz questão de desfazer uma ilusão comum sobre as possibilidades da FHE. Esse tipo de cifra não é “uma poeira mágica que se polvilha sobre sistemas existentes para torná-los privados. Elas devem ser vistas como tecnologias que habilitam novos modelos de negócio e novas oportunidades que antes simplesmente não existiam”, diz ele. Um exemplo concreto é o combate à lavagem de dinheiro: bancos precisam cruzar dados de clientes para identificar fluxos suspeitos, mas não querem — e muitas vezes não podem, legalmente — entregar esses dados a concorrentes. Com FHE, a colaboração se torna possível.
Já existem outras aplicações de cifras homomórficas saindo do papel. O Microsoft Edge emprega FHE para verificar se senhas foram comprometidas em vazamentos sem revelar as senhas ao servidor. Craig Gentry, criador da primeira FHE viável, hoje trabalha na startup Cornami, com foco no gargalo mais relevante para a IA: tornar a multiplicação de matrizes mais rápida sob cifra homomórfica, já que essa operação é importantíssima para Modelos de Linguagem de Grande Escala (LLMs, do inglês) como o GPT.
Não existe milagre: é pouco provável que a FHE se torne uma tecnologia amplamente disseminada ainda nas próximas décadas. Mas chegar mais perto desse grau platônico de segurança não é apenas uma questão de avanço científico-tecnológico: é algo que exige uma mudança de mentalidade que também está distante. “As pessoas não estão acostumadas a se preocupar com isso”, resume Pereira. À medida que a vida contemporânea passa a depender cada vez mais de computação delegada, é urgente que o trabalho de pesquisadores como Pereira se traduza em aplicações práticas.
