{"id":136,"date":"2026-06-18T13:02:05","date_gmt":"2026-06-18T13:02:05","guid":{"rendered":"https:\/\/shattered.io\/pt\/2026\/06\/18\/aes-256-vs-chacha20\/"},"modified":"2026-06-18T13:03:31","modified_gmt":"2026-06-18T13:03:31","slug":"aes-256-vs-chacha20","status":"publish","type":"post","link":"https:\/\/shattered.io\/pt\/2026\/06\/18\/aes-256-vs-chacha20\/","title":{"rendered":"AES-256 vs ChaCha20: 3x Mais R\u00e1pido em Servidores, Qual Escolher [2026]"},"content":{"rendered":"\n

Quando se trata de escolher uma cifra de encripta\u00e7\u00e3o sim\u00e9trica em 2026, AES-256-GCM<\/strong> e ChaCha20-Poly1305<\/strong> dominam as discuss\u00f5es t\u00e9cnicas em todo o mundo. Ambas oferecem seguran\u00e7a de 256 bits, autentica\u00e7\u00e3o integrada e resist\u00eancia a ataques conhecidos, mas o desempenho, o comportamento em hardware e os casos de uso ideal divergem de forma significativa. Em servidores modernos com acelera\u00e7\u00e3o por hardware, o AES-256-GCM supera o ChaCha20-Poly1305 at\u00e9 3 vezes. Em dispositivos IoT sem instru\u00e7\u00f5es AES, a equa\u00e7\u00e3o inverte-se completamente. Este artigo analisa dados reais de benchmarks, opini\u00f5es de especialistas e cen\u00e1rios pr\u00e1ticos para que a decis\u00e3o seja baseada em factos, n\u00e3o em mitos.<\/p>\n\n\n\n

O que \u00e9 AES-256-GCM<\/h2>\n\n\n\n

O Advanced Encryption Standard (AES)<\/strong> foi padronizado pelo NIST em 2001 atrav\u00e9s da publica\u00e7\u00e3o FIPS 197, substituindo o DES e o Triple DES como padr\u00e3o de encripta\u00e7\u00e3o sim\u00e9trica para uso governamental e comercial. A variante com chave de 256 bits \u00e9 a mais robusta da fam\u00edlia, utilizando 14 rondas de substitui\u00e7\u00e3o, permuta\u00e7\u00e3o e mistura de colunas para transformar blocos de 128 bits de dados em texto cifrado aparentemente aleat\u00f3rio.<\/p>\n\n\n\n

O modo GCM (Galois\/Counter Mode)<\/strong> transforma o AES num AEAD<\/strong> (Authenticated Encryption with Associated Data), ou seja, a cifra n\u00e3o s\u00f3 encripta os dados como tamb\u00e9m garante a sua integridade atrav\u00e9s de uma tag de autentica\u00e7\u00e3o de 128 bits. Isto elimina a necessidade de combinar o AES com um HMAC separado, reduzindo a complexidade do c\u00f3digo e o risco de erros de implementa\u00e7\u00e3o.<\/p>\n\n\n\n

A grande vantagem do AES-256-GCM em 2026 \u00e9 a ubiquidade das instru\u00e7\u00f5es AES-NI<\/strong> nos processadores modernos. Desde Intel Sandy Bridge (2011) e AMD Bulldozer (2012), praticamente todos os processadores para desktop, servidor e a maioria dos SoCs ARM de gama m\u00e9dia-alta incluem instru\u00e7\u00f5es dedicadas que aceleram as opera\u00e7\u00f5es AES por hardware. Numa pipeline AES-NI, o processador executa uma ronda completa de AES num \u00fanico ciclo de rel\u00f3gio, em vez dos dezenas de ciclos necess\u00e1rios numa implementa\u00e7\u00e3o puramente em software.<\/p>\n\n\n\n

O AES-256-GCM \u00e9 obrigat\u00f3rio no TLS 1.3<\/strong> como uma das duas cipher suites padr\u00e3o, aparece no HTTPS<\/strong>, no SSH<\/strong>, na encripta\u00e7\u00e3o de disco (FileVault, BitLocker, LUKS), em bases de dados e em sistemas de ficheiros encriptados. Segundo o NIST, mant\u00e9m uma margem de seguran\u00e7a de 128 bits contra ataques qu\u00e2nticos atrav\u00e9s do algoritmo de Grover, tornando-o adequado para dados com classifica\u00e7\u00e3o TOP SECRET.<\/p>\n\n\n\n

Um ponto frequentemente esquecido: o AES-256-GCM \u00e9 a \u00fanica op\u00e7\u00e3o certificada pelo FIPS 140-3<\/strong> entre os dois algoritmos. Para organiza\u00e7\u00f5es em Portugal que operam em sectores regulados como banca, sa\u00fade ou servi\u00e7os de administra\u00e7\u00e3o p\u00fablica, esta certifica\u00e7\u00e3o pode ser um requisito obrigat\u00f3rio ao abrigo do Regulamento DORA ou da directiva NIS2, com coimas que chegam a 10 milh\u00f5es de euros por incumprimento.<\/p>\n\n\n\n

O que \u00e9 ChaCha20-Poly1305<\/h2>\n\n\n\n

O ChaCha20<\/strong> foi criado por Daniel J. Bernstein, um dos cript\u00f3grafos mais influentes das \u00faltimas d\u00e9cadas, como uma variante do Salsa20 optimizada para velocidade e resist\u00eancia a ataques de temporiza\u00e7\u00e3o. O algoritmo baseia-se em opera\u00e7\u00f5es aritm\u00e9ticas simples, conhecidas como ARX (adi\u00e7\u00e3o, rota\u00e7\u00e3o de bits e XOR), que correm em tempo constante em qualquer processador, sem necessidade de tabelas de lookup ou instru\u00e7\u00f5es especializadas.<\/p>\n\n\n\n

O Poly1305<\/strong> \u00e9 um autenticador de mensagens criado tamb\u00e9m por Bernstein, que complementa o ChaCha20 para formar o AEAD ChaCha20-Poly1305<\/strong>, formalizado na RFC 8439 da IETF<\/a>. A combina\u00e7\u00e3o usa uma chave de 256 bits, um nonce de 96 bits e produz uma tag de autentica\u00e7\u00e3o de 128 bits, exatamente como o AES-256-GCM em termos de par\u00e2metros AEAD.<\/p>\n\n\n\n

O XChaCha20-Poly1305<\/strong> \u00e9 uma extens\u00e3o com nonce alargado de 192 bits, em vez de 96 bits, o que reduz drasticamente o risco de colis\u00e3o de nonces em sistemas distribu\u00eddos ou aplica\u00e7\u00f5es que geram nonces aleatoriamente. O NordPass e outros gestores de palavras-passe modernos adoptaram o XChaCha20 precisamente por este motivo: com um espa\u00e7o de nonce 2^96 vezes maior, a probabilidade de reutiliza\u00e7\u00e3o acidental de nonces aproxima-se do zero mesmo em infraestruturas de grande escala.<\/p>\n\n\n\n

A adop\u00e7\u00e3o do ChaCha20-Poly1305 por gigantes tecnol\u00f3gicos como o Google e a Cloudflare foi motivada pela sua excelente performance em dispositivos m\u00f3veis Android sem AES-NI e pela sua resist\u00eancia natural a ataques de temporiza\u00e7\u00e3o em implementa\u00e7\u00f5es de software, tal como a Cloudflare documentou no seu blog oficial<\/a>. A equipa da Cloudflare foi pioneira na adop\u00e7\u00e3o em larga escala, publicando dados que mostravam performance 3 vezes superior ao RC4 em dispositivos Android sem AES-NI.<\/p>\n\n\n\n

O protocolo WireGuard<\/a> usa exclusivamente ChaCha20-Poly1305, sem negocia\u00e7\u00e3o de cipher suite. Os criadores do WireGuard optaram por esta abordagem deliberada: eliminar a negocia\u00e7\u00e3o remove superf\u00edcie de ataque (downgrade attacks) e o ChaCha20 funciona bem em qualquer hardware onde o WireGuard seja instalado. O protocolo Double Ratchet do Signal<\/a> usa AES-256-CBC com HMAC-SHA256, demonstrando que mesmo aplica\u00e7\u00f5es focadas em privacidade adoptam AES em contextos espec\u00edficos.<\/p>\n\n\n\n

Tabela de Especifica\u00e7\u00f5es T\u00e9cnicas: AES-256-GCM vs ChaCha20-Poly1305<\/h2>\n\n\n\n
Caracter\u00edstica<\/th>AES-256-GCM<\/th>ChaCha20-Poly1305<\/th><\/tr><\/thead>
Tamanho da chave<\/td>256 bits<\/td>256 bits<\/td><\/tr>
Tamanho do bloco \/ stream<\/td>Bloco 128 bits<\/td>Stream (sem bloco fixo)<\/td><\/tr>
Nonce \/ IV<\/td>96 bits (padr\u00e3o GCM)<\/td>96 bits (RFC 8439) \/ 192 bits (XChaCha20)<\/td><\/tr>
Tag de autentica\u00e7\u00e3o<\/td>128 bits (GHASH)<\/td>128 bits (Poly1305)<\/td><\/tr>
N\u00famero de rondas<\/td>14 rondas<\/td>20 rondas<\/td><\/tr>
Tipo de cifra<\/td>Bloco (modo CTR + GHASH)<\/td>Stream (ARX: add-rotate-xor)<\/td><\/tr>
Padroniza\u00e7\u00e3o<\/td>NIST FIPS 197 (2001)<\/td>RFC 8439 IETF (2018)<\/td><\/tr>
Acelera\u00e7\u00e3o hardware<\/td>AES-NI em Intel\/AMD\/ARM<\/td>Software puro (sem instru\u00e7\u00f5es dedicadas)<\/td><\/tr>
Resist\u00eancia a timing attacks<\/td>Depende da implementa\u00e7\u00e3o<\/td>Nativa (opera\u00e7\u00f5es em tempo constante)<\/td><\/tr>
Seguran\u00e7a p\u00f3s-qu\u00e2ntica<\/td>128 bits (Grover, chave 256 bits)<\/td>128 bits (Grover, chave 256 bits)<\/td><\/tr>
Licen\u00e7a<\/td>Dom\u00ednio p\u00fablico \/ NIST<\/td>Dom\u00ednio p\u00fablico<\/td><\/tr>
FIPS 140-3 certificado<\/td>Sim (via OpenSSL, BoringSSL)<\/td>N\u00e3o<\/td><\/tr>
Usado em TLS 1.3<\/td>Sim (cipher suite padr\u00e3o)<\/td>Sim (cipher suite padr\u00e3o)<\/td><\/tr>
Risco de nonce reuse<\/td>Catastr\u00f3fico (exp\u00f5e chave GHASH)<\/td>Grave (exp\u00f5e rela\u00e7\u00f5es entre plaintexts)<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Benchmarks de Desempenho: 3 Fontes Independentes<\/h2>\n\n\n\n

Os benchmarks de 2025 mostram uma imagem clara: em hardware com acelera\u00e7\u00e3o AES, o AES-256-GCM vence com margem significativa. Em hardware sem essa acelera\u00e7\u00e3o, o ChaCha20-Poly1305 mant\u00e9m-se competitivo ou superior. Os n\u00fameros que se seguem prov\u00eam de tr\u00eas fontes independentes publicadas em 2025.<\/p>\n\n\n\n

Fonte 1: Benchmark de Ash Vardanian (AWS Graviton 2, 2025)<\/h3>\n\n\n\n

Ash Vardanian publicou em 2025 um benchmark multi-CPU que compara AES-256-GCM e ChaCha20-Poly1305 em payloads de 100 bytes a 1 KB. Os resultados num AWS Graviton 2<\/strong> (ARM com acelera\u00e7\u00e3o AES activa) mostram uma vantagem consistente do AES acelerado:<\/p>\n\n\n\n

Opera\u00e7\u00e3o<\/th>ChaCha20-Poly1305<\/th>AES-256-GCM<\/th>Vantagem AES<\/th><\/tr><\/thead>
Encripta\u00e7\u00e3o (100B a 1KB)<\/td>168 a 503 MB\/s<\/td>292 a 1.065 MB\/s<\/td>+91% a +118%<\/td><\/tr>
Desencripta\u00e7\u00e3o (100B a 1KB)<\/td>197 a 491 MB\/s<\/td>412 a 1.104 MB\/s<\/td>+109% a +125%<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

A conclus\u00e3o de Vardanian \u00e9 directa: “Em 2025, o AES-256-GCM supera o ChaCha20-Poly1305 at\u00e9 3 vezes em todos os CPUs modernos com acelera\u00e7\u00e3o por hardware.” O investigador acrescenta que o argumento “os dispositivos m\u00f3veis precisam de ChaCha20”, que circulou desde 2015, j\u00e1 n\u00e3o se aplica a chips modernos<\/strong>. O texto refere ainda o artigo acad\u00e9mico “Too Much Crypto” de 2019, que sugere que ambos os algoritmos s\u00e3o sobre-provisionados em rondas: o AES-256 usa 14 rondas mas precisaria apenas de cerca de 11; o ChaCha20 usa 20 rondas mas cerca de 8 seriam suficientes para seguran\u00e7a pr\u00e1tica.<\/p>\n\n\n\n

Fonte 2: Benchmark Vitalvas no Apple M3 Pro (blocos de 1 MB, 2025)<\/h3>\n\n\n\n

O benchmark Vitalvas para blocos de 1 MB no Apple M3 Pro<\/strong>, com a Apple Cryptographic Engine activa, mostra a dimens\u00e3o real da diferen\u00e7a entre hardware acelerado e software puro:<\/p>\n\n\n\n

Algoritmo<\/th>Throughput<\/th>Condi\u00e7\u00e3o<\/th><\/tr><\/thead>
AES-256-GCM<\/td>6,4 GB\/s<\/td>Com hardware acceleration<\/td><\/tr>
XChaCha20-Poly1305<\/td>4,2 GB\/s<\/td>Software puro<\/td><\/tr>
AES-256-GCM<\/td>1,8 GB\/s<\/td>Sem hardware acceleration<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

O dado cr\u00edtico \u00e9 o AES sem hardware: 1,8 GB\/s contra 4,2 GB\/s do XChaCha20<\/strong>. Sem acelera\u00e7\u00e3o, o ChaCha20 \u00e9 133% mais r\u00e1pido. Com a Apple Cryptographic Engine, o AES-256-GCM atinge 6,4 GB\/s, superando o XChaCha20 por 52%. Este benchmark ilustra porque \u00e9 que a escolha depende do hardware e n\u00e3o de uma prefer\u00eancia abstracta.<\/p>\n\n\n\n

Fonte 3: RustCrypto AEAD em Intel Xeon Platinum 8272CL<\/h3>\n\n\n\n

O benchmark do reposit\u00f3rio RustCrypto AEAD, executado num Intel Xeon Platinum 8272CL<\/strong> com suporte AVX512, regista:<\/p>\n\n\n\n