«Ожидаемый приход квантовых компьютеров, представляющих реальную угрозу криптографии» — когда он наступит? В каком сценарии применимы атаки HNDL? Какие уникальные вызовы стоят перед биткоином? a16z подробно анализирует реальные последствия квантовой угрозы для блокчейна и стратегии противодействия. Эта статья основана на материале a16z, подготовлена, переведена и написана Wu Blockchain.
（Предыстория: Глубокий анализ: слишком ли мы боимся угрозы криптографической безопасности со стороны квантовых компьютеров? ）
（Дополнительный фон: a16z: Прогноз 17 ключевых трендов в сфере криптографии до 2026 года ）

Содержание статьи

• На каком этапе мы сейчас находимся?
• В каких сценариях применимы атаки HNDL (и в каких — нет)?
• Что это значит для блокчейна
• Особые сложности биткоина: механизмы управления + заброшенные монеты
• Стоимость и риски пост-квантовых подписей
• Уникальные вызовы блокчейна перед инфраструктурой сети
• Более серьезные текущие проблемы: безопасность реализации
• Как нам поступить? Семь рекомендаций
  • 1. Немедленно внедрять гибридное шифрование
  • 2. В сценариях, допускающих большие размеры подписей, немедленно использовать хешированные подписи
  • 3. Блокчейн не нуждается в поспешном внедрении пост-квантовых подписей — необходимо начать планировать уже сейчас
  • 4. Для приватных цепочек при условии достаточной производительности, приоритет — переход
  • 5. В ближайшее время сосредоточиться на безопасности реализации — а не на снижении квантовой угрозы
  • 6. Поддерживать развитие квантовых вычислений
  • 7. Правильно воспринимать объявления, связанные с квантовыми вычислениями

Когда речь идет о «приходе квантовых компьютеров, способных реально угрожать существующим системам криптографии», люди часто выдвигают завышенные временные ожидания — что вызывает требования к немедленной и масштабной миграции на пост-квантовые криптографические системы.

Однако такие требования часто игнорируют издержки и риски преждевременных миграций, а также полностью недооценивают различия в рисках для разных криптографических оригиналов:

Даже дорогостоящие пост-квантовые схемы требуют немедленных внедрений: «сбор данных сейчас, расшифровка позже» (Harvest-now-decrypt-later, HNDL) — атаки уже происходят, потому что когда квантовые компьютеры действительно появятся, даже спустя десятилетия, чувствительные данные, защищенные сегодня, сохранят свою ценность. Несмотря на то, что пост-квантовые схемы могут иметь низкую эффективность и сложности реализации, для данных, требующих долгосрочной секретности, HNDL — единственный выбор.

Что касается пост-квантовых подписей, ситуация иная. Они не подвержены HNDL-атакам, а их стоимость и риски (увеличенный размер, снижение эффективности, сложность реализации и потенциальные уязвимости) требуют осторожного подхода к миграции, а не немедленных действий.

Эти различия очень важны. Неправильное понимание может искажать анализ затрат и выгод, отвлекая внимание от более важных угроз — например, уязвимостей в самих схемах.

Настоящий вызов успешного перехода к пост-квантовой криптографии — обеспечить соотношение «срочности» и «реальной угрозы». Ниже я проясню распространенные заблуждения о квантовой угрозе и ее воздействии на криптографию — включая шифрование, подписи и нулевые знания — и особенно их влияние на блокчейн.

Мы сейчас на каком этапе?

Вероятность появления «квантовых компьютеров, способных реально угрожать криптографическим системам (CRQC)», в 2020-х очень низка, несмотря на громкие заявления.

ps: В дальнейшем все упоминания «квантовых компьютеров, способных реально угрожать криптографии» / cryptographically relevant quantum computer — сокращенно CRQC.

Под этим подразумевается квантовый компьютер с допускаемой ошибкой, способный на достаточно масштабных ресурсах запустить алгоритм Шора для атаки на эллиптические кривые или RSA (например, взломать secp256k1 или RSA-2048 за месяц непрерывных вычислений).

По открытым оценкам, мы далеки от достижения таких машин. Несмотря на заявления некоторых компаний о возможном появлении CRQC до 2030 или даже 2035 годов, публичные данные не подтверждают такие прогнозы.

Из текущего состояния: ни одна из существующих архитектур — ионные ловушки, сверхпроводниковые кубиты, нейтральные атомы — не приближается к требуемому количеству физических кубитов (от сотен тысяч до миллионов) для запуска алгоритма Шора против RSA-2048 или secp256k1, учитывая ошибки и схемы исправления.

Ограничения не только в количестве кубитов, но и в точности гейтов, связности кубитов и глубине реализуемых исправленных алгоритмов. Хотя уже есть системы с более чем 1000 физическими кубитами, их число вводит в заблуждение — они неспособны выполнять криптографические вычисления, требующие высокой связности и точности.

Недавние достижения приближают физические параметры к порогу, необходимому для начала исправления ошибок, однако пока никто не демонстрировал логические кубиты с исправленными схемами глубиной в несколько сотен, а тем более — тысячи для запуска алгоритма Шора.

В теории, существует огромный разрыв между возможностью исправления ошибок и масштабом, достаточным для криптографической атаки.

Проще говоря: без значительного увеличения числа кубитов и их точности в одно и то же время, «квантовый компьютер, реально угрожающий криптографии», останется недосягаемым.

Однако, публикации компаний и СМИ легко вводят в заблуждение. Распространенные заблуждения включают:

заявления о демонстрациях «квантового преимущества», зачастую ориентированных на специально сконструированные задачи, не представляющие практической ценности. Эти задачи выбираются потому, что их можно решить на существующем оборудовании с видимым ускорением, что зачастую преподносится как квантовое превосходство, хотя на деле это — маркетинговый эффект.

заявления о реализации тысяч кубитов. Обычно речь идет о системах квантовой оптимизации, а не о вычислительных моделях, способных запустить алгоритм Шора.

случайное использование термина «логические кубиты» для физических кубитов. Физические кубиты очень шумные, а алгоритмы требуют логических кубитов; как упоминалось, алгоритм Шора нуждается в тысячах логических кубитов. Использование квантовой коррекции — это сотни или тысячи физических кубитов на логический кубит (зависит от ошибок). Некоторые компании злоупотребляют этим термином, например: недавно одна заявила, что с помощью кода расстояния 2, использующего всего два физических кубита на логический, реализовала 48 логических кубитов — что невозможно, так как код с расстоянием 2 лишь обнаруживает ошибки, а не исправляет их. Для криптоанализа требуются исправленные логические кубиты, требующие сотни и тысячи физических.

еще более распространена практика использования термина «логические кубиты» для обозначения кубитов, поддерживающих только операции клиффорда (Clifford), которые классическими симуляциями легко поддаются и не позволяют запустить алгоритм Шора. Для запуска Шора нужны тысячи исправленных кубитов, включая T-гейты и другие нелегкие операции.

Поэтому, даже если кто-то заявляет, что «на каком-то этапе X достигнут тысячи логических кубитов», это не означает, что в этот же год планируется запустить алгоритм Шора для взлома классической криптографии.

Такие подходы серьезно искажают восприятие общественности (и даже профессионалов) относительно реальной близости к CRQC.

Тем не менее, некоторые эксперты радуются прогрессу. Например, Scott Aaronson недавно написал, что, учитывая «поразительно быстрый прогресс аппаратных средств», он считает возможным появление исправленного квантового компьютера на базе алгоритма Шора до следующих президентских выборов в США.

Но он уточнил, что речь идет лишь об исполнении очень маленьких алгоритмов — например, разложить число 15=3×5, что любой школьник сможет сделать быстрее вручную. Это — не масштаб, необходимый для криптографических целей. Весь смысл — в выполнении очень коротких алгоритмов, а не в полном разложении больших чисел. Ранее для числа 15 использовались упрощенные схемы, не исправленные. Чем больше число (например, 21), тем сложнее его разложить, и эксперименты по разложению 21 часто опираются на подсказки или обходные пути.

Кратко: на сегодняшний день нет никаких публичных данных, подтверждающих возможность появления в ближайшие 5 лет квантового компьютера, способного взломать RSA-2048 или secp256k1, — что и представляет интерес для криптографии.

Даже 10 лет — это очень оптимистичная оценка. Учитывая, как далеко мы от достижения таких масштабов, реалистично рассматривать прогресс в течение более чем десяти лет.

Что означает установка правительства США на 2035 год как целевое время для массовой миграции всей инфраструктуры на пост-квантовые схемы? Я считаю, что это разумный срок для такой масштабной миграции, однако это не подразумевает, что CRQC обязательно появится к тому времени.

В каких сценариях применимы атаки HNDL (и в каких — нет)?

«Сбор данных сейчас, расшифровка позже» (Harvest now, decrypt later, HNDL) — атака, при которой злоумышленник сохраняет все зашифрованные коммуникации, ожидая появления «квантового компьютера, реально угрожающего криптографии», чтобы расшифровать их. Можно однозначно сказать, что государственные агенты уже архивируют американскую государственную переписку для последующего взлома, когда появятся квантовые компьютеры. Поэтому системы шифрования должны мигрировать уже сегодня — по крайней мере, для тех, кому важна секретность более 10–50 лет.

Но цифровые подписи — технология, используемая во всех блокчейнах — отличаются: у них отсутствует «секретность», которая могла бы быть скомпрометирована задним числом.

Другими словами, когда появятся квантовые компьютеры, взлом подписей станет возможен, но прошлые подписи не станут «секретными» — их нельзя подделать, если они были созданы до появления CRQC.

Поэтому переход на пост-квантовые подписи менее срочен, чем на шифрование.

Главные платформы уже делают шаги в этом направлении: Chrome и Cloudflare внедрили гибридные схемы X25519 + ML-KEM для TLS.[Для удобства я называю эти схемы «криптографическими», хотя строго говоря, протоколы TLS используют ключевой обмен и механизмы шифрования, а не публичные ключи.]

Гибридность означает одновременное использование пост-квантовой схемы ML-KEM и классической схемы X25519, что обеспечивает безопасность обоих подходов. Такой подход призван защитить от HNDL, пока ML-KEM не будет доказана надежной, а X25519 сохранит безопасность в случае уязвимости ML-KEM.

Apple внедрила подобную гибридную схему в протокол PQ3 для iMessage, а Signal реализовал аналогичные механизмы в PQXDH и SPQR.

Для критически важных инфраструктурных сайтов переход к пост-квантовым цифровым подписям, как ожидается, начнется только тогда, когда CRQC станет реальностью — поскольку текущие схемы приводят к заметному снижению эффективности (подробнее ниже).

zkSNARKs — нулевые знания, компактные и неинтерактивные доказательства — важнейшее направление для масштабируемости и приватности блокчейна в будущем, и в контексте квантовой угрозы схожи с цифровыми подписями. Причина в том, что даже если отдельные zkSNARK не обладают пост-квантовой стойкостью (используя эллиптические кривые, такие как сейчас), их «нулевые знания» остаются безопасными — доказательство не раскрывает секретных данных и можно считать его доверенным, если оно создано до появления CRQC. То есть, при условии, что доказательство было сформировано до появления квантовых компьютеров, оно — надежное. Только после CRQC злоумышленники смогут подделывать «фальшивые» доказательства.

Что это значит для блокчейна

Большинство блокчейнов не подвергнутся прямой угрозе HNDL: например, публичные цепочки вроде биткоина и Ethereum используют в основном неподдерживаемые пост-квантовые схемы для подписей, а не для шифрования.

Еще раз подчеркну: цифровые подписи не подвержены HNDL-атакам: «сбор данных сейчас, расшифровка позже» — актуально только для зашифрованных данных. Например, блокчейн биткоина — публичен; угроза — в подделке подписей (взломе приватных ключей), а не в расшифровке уже опубликованных транзакций. Это означает, что HNDL не создает немедленных криптографических рисков для существующих блокчейнов.

К сожалению, некоторые уважаемые организации (включая Федеральный резерв США) ошибочно утверждают, что биткоин уязвим для HNDL, что преувеличивает срочность миграции на пост-квантовые системы.

Однако «срочность снижается» — это не значит, что биткоин можно ждать вечно: из-за сложности изменения протоколов, масштабных согласований и перевода значительных объемов активов, связанных с уязвимыми адресами, потребуется много времени. Ниже подробнее о уникальных проблемах биткоина.

Один из исключений — цепочки с приватностью, где часть информации (адреса, суммы) скрыта шифрованием или другими средствами. Эти цепочки потенциально могут раскрыться, если квантовые компьютеры взломают эллиптическую криптографию. Например, в Monero, основанном на эллиптических кривых, публичные транзакции могут в будущем помочь восстановить всю структуру транзакционного графа. В других цепочках урон может быть меньшим — подробнее см. исследования Sean Bowe по Zcash.

Если для вас критично, что транзакции не станут раскрытыми после появления CRQC, — цепочку нужно срочно мигрировать к пост-квантовым схемам или использовать гибридные подходы. Или полностью отказаться от размещения секретных данных на цепочке.

Особая сложность биткоина: механизмы управления + заброшенные монеты

Важные факторы: медленная эволюция протокола и наличие заброшенных монет, уязвимых к квантовым атакам. Первая — из-за медленной реакции сообщества и сложности согласования изменений. Вторая — потому что активы, хранящиеся на давно заброшенных адресах, могут стать мишенью для злоумышленников с квантовыми компьютерами. Оценки указывают, что миллионы биткоинов могут находиться на устаревших, уязвимых к квантовым атакам адресах, что при нынешней цене — сотни миллиардов долларов.

Это не означает, что биткоин внезапно рухнет. Скорее, угрозы реализуются поэтапно: сначала один или несколько целей с высокими активами, затем — более мелкие. Чем дольше активы остаются на уязвимых адресах, тем выше риск.

Если использовать адреса, не повторяя их и не использовав адреса типа Taproot (которые скрывают публичный ключ до расходования), то риск минимален: публичный ключ скрыт за хэшом до момента расхода. Но при транзакции публичный ключ раскрывается, и в этот момент появляется короткое окно, когда злоумышленник с квантовым компьютером может попытаться взломать приватный ключ.

Решения по «спасению» заброшенных, уязвимых монет включают:

Создание «дня флага» (flag day), после которого все оставшиеся на уязвимых адресах монеты считаются уничтоженными.

Разрешение всем заброшенным монетам, подвергшимся риску, быть захваченными любым, у кого есть CRQC. Это приведет к серьезным юридическим и безопасностным проблемам, так как использование квантовых компьютеров для присвоения чужих средств без приватных ключей — преступление.

«Заброшенность» — гипотеза, основанная на неактивности, но никто не знает точно, есть ли у владельцев еще активные ключи. Даже если кто-то докажет владение активами, это не дает права их «восстановить» без взлома криптографии. Такие юридические неясности могут привести к тому, что уязвимые монеты окажутся в руках злоумышленников.

Еще одна особенность — очень низкая пропускная способность транзакций в биткоине. Даже при планировании миграции, перевод всех уязвимых активов на пост-квантовые адреса займет месяцы.

Это требует начинать подготовку уже сейчас, а не ждать появления CRQC. Время на выполнение миграции — годы, а не месяцы.

Реальное время угрозы — не от квантовых компьютеров, а от внутренних ограничений протокола и сложности согласования изменений. Биткоин особенно уязвим, поскольку его первые транзакции использовали pay-to-public-key (P2PK), что прямо раскрывает публичный ключ и делает его уязвимым для квантовых атак. Это создает значительную часть уязвимых аккаунтов — долгий цепной эффект.

Техническая безопасность биткоина в целом не зависит от криптографической стойкости подписи: она защищена механизмом proof-of-work (PoW). PoW использует хеш-функции, поэтому максимум, что можно получить — это квадратичное ускорение благодаря алгоритму Гровера, а не экспоненциальное, как при атаках Шора. В реальности, затраты на реализацию Гровера так велики, что даже самый мощный квантовый компьютер не даст существенного преимущества.

Даже при успешной реализации квантового ускорения, эффект будет только в том, что крупные майнеры с квантовым оборудованием получат преимущество, а не разрушат экономическую безопасность системы.

( Стоимость и риски пост-квантовых подписей

Чтобы понять, почему не стоит торопиться с внедрением пост-квантовых подписей в блокчейн, нужно учитывать и эффективность, и уровень доверия к текущим исследованиям.

Большинство пост-квантовых схем основаны на пяти классах методов: хеширование, кодирование (кодовые схемы), решетки (lattice-based), многочленные уравнения MQ и изогении (isogenies).

Почему их пять? Потому что безопасность любой схемы зависит от гипотезы: квантовые компьютеры не смогут эффективно решить определенную задачу. Чем сильнее структура задачи, тем эффективнее можно построить схему.

Но это — двойной нож: больше структуры — больше уязвимостей. Чем более «структурирована» схема, тем легче ее взломать. Это приводит к противоречию: более сильные гипотезы — лучшее качество схем, но потенциально — больший риск.

В целом, наиболее консервативными считаются схемы на базе хешей, так как их безопасность наиболее очевидна — мы уверены, что квантовые компьютеры не смогут их взломать эффективно. Но их эффективность гораздо хуже: например, стандартизованные NIST схемы с хешированием создают подписи размером 7–8 КБ, тогда как эллиптические кривые — около 64 байт, то есть примерно в 100 раз меньше.

Наиболее активно развиваемые сейчас схемы — на решетках. NIST выбрал две: Dilithium и Falcon. В 128-битном режиме Dilithium создает подпись около 2.4 КБ, в 256-битном — около 4.6 КБ — что в 40–70 раз больше эллиптических подписей. Falcon — меньший размер, но требует сложных вычислений и считается трудным для реализации.

В части безопасности: схемы на решетках сложнее реализовать безопасно — требуют защиты от побочных каналов. Например, ML-DSA (Dilithium) содержит множество чувствительных промежуточных данных, а Falcon требует постоянного времени вычислений, что затрудняет защиту.

Эти проблемы — реальные и требуют немедленных решений, в отличие от гипотетической угрозы CRQC. В ближайшие годы риск реализации уязвимостей и ошибок в схемах будет гораздо выше, чем риск появления квантового компьютера, способного взломать их.

Исторически, схемы Rainbow и SIKE были одними из лидеров, но позже были взломаны классическими методами, что показывает, что раннее стандартизация и внедрение могут быть рискованными.

Общая тенденция — осторожность при переходе на новые схемы: сети, такие как интернет, уже десятилетиями переходят от устаревших алгоритмов (MD5, SHA-1), и этот процесс продолжается.

) Уникальные вызовы блокчейна в сравнении с инфраструктурой сети

Блокчейны легче обновлять благодаря открытому исходному коду и сообществу. Но у них есть свои особенности: например, необходимость быстрого агрегирования подписи, что сложно делать с пост-квантовыми схемами. Например, схема BLS предпочтительна за счет высокой эффективности, но она — не пост-квантовая. Ведутся исследования по пост-квантовым схемам агрегации, например, на базе SNARK. Пока эти подходы находятся в ранней стадии.

Также важен аспект обновляемости аккаунтов: Ethereum поддерживает два типа аккаунтов — внешние (EOA) и смарт-контракты. В будущем, при переходе на пост-квантовые подписи, можно модернизировать смарт-контракты через апгрейды, а с EOAs — переводом активов на новые адреса с пост-квантовыми схемами. В экстремальных сценариях — через хард-форк, при котором заблокированные уязвимые аккаунты могут быть заморожены или переведены в безопасное состояние. Это — не простая задача, и требует согласия сообщества.

Еще одна идея — отделить идентификацию аккаунтов от конкретных криптографических схем — например, использовать абстрактные интерфейсы, позволяющие в будущем менять алгоритмы без потери истории. Это повысит гибкость и уменьшит риски при переходе.

Что делать с реализационной безопасностью?

В ближайшие годы уязвимости реализации — гораздо более актуальны, чем потенциальные атаки квантовых компьютеров. Особенно в случае сложных схем типа zkSNARK: их сложность ведет к большему количеству ошибок. Важна тщательная проверка кода, формальные методы, защита от побочных каналов и тестирование.

Это — ключевой момент: переоценка угрозы не должна затмить необходимость в повышении качества реализации. В противном случае, даже самая надежная схема может быть скомпрометирована из-за ошибок в коде.

Что делать? Семь рекомендаций

Исходя из изложенного, я предлагаю следующую стратегию для участников — разработчиков, регуляторов, сообществ:

1. Немедленно внедрять гибридное шифрование — в сценариях, где важна долгосрочная безопасность, и допустимы большие размеры данных. Многие браузеры и приложения уже используют такие схемы.

2. В сценариях с низкой частотой обновлений и допустимым увеличением размера подписей — сразу использовать гибридные хешированные подписи. Это создаст «спасательный круг» на случай раннего появления CRQC.

3. В блокчейнах — не торопиться с внедрением пост-квантовых подписей, а начать планировать. Время для подготовки — годы, а не месяцы. Необходимо разработать дорожные карты, определить механизмы миграции и политики для заброшенных активов.

4. Для приватных цепочек — при достаточной производительности — сразу переходить или внедрять гибридные схемы. В противном случае, следует планировать миграцию, чтобы избежать уязвимостей.

5. В ближайшее время — сосредоточиться на безопасности реализации: аудит, тестирование, защита от побочных атак. Важнее устранения ошибок — ожидания появления квантовых компьютеров.

6. Продолжать развитие квантовых вычислений: инвестиции, кадры, инфраструктура. Это важно для национальной безопасности и стратегических интересов.

7. Правильно воспринимать новости о квантовых вычислениях: они свидетельствуют о прогрессе, но не о приближении CRQC. Каждая веха — часть пути, а не финальный этап. Необходимо критически оценивать информацию и избегать паники.

Эти рекомендации помогают балансировать между опасениями и реальными возможностями, избегая ошибок ранней миграции, ошибок реализации и неправильных ожиданий.

!动区官网tg banner-1116 | 动区动趋-最具影响力的区块链新闻媒体

📍Связанные статьи📍

Не боитесь квантовых атак? Производитель криптокошельков Trezor анонсировал новинку Safe 7 с «квантоустойчивой» архитектурой ###Quantum-Ready###

Сальвадор разделил 6285 биткоинов на 14 кошельков: противодействие квантовой угрозе

Что делать с 1,09 млн биткоинов Сатоши перед лицом квантовых атак?

Теги: криптовалюта блокчейн безопасность пост-квантовая криптография биткоин квантовые вычисления