Период опасности квантовых компьютеров: когда они действительно угрожают криптографической безопасности?

Когда сможет квантовый компьютер взломать шифрование? Ответ на этот вопрос часто искажается корпоративной пропагандой и медийным освещением. От демонстраций технологических компаний до государственных стратегий — временные рамки квантовой угрозы постоянно преувеличиваются, что вызывает срочные призывы к немедленному полномасштабному переходу на постквантовые криптографические алгоритмы. Однако такие заявления зачастую игнорируют важный факт: разные криптографические инструменты сталкиваются с квантовой угрозой по-разному, и преждевременные меры могут оказаться более затратными, чем задержка.

По глубокому анализу партнера a16z Джастина Талера, необходимо трезво оценивать дискуссию о «опасных» квантовых компьютерах — не все криптографические средства находятся в одинаковой опасности.

Реальный период угрозы квантовых компьютеров: правда за разбивкой данных

В отношении временных рамок взлома шифрования квантовыми компьютерами существует множество противоречивых прогнозов. Некоторые компании обещают реализовать это к 2030 или 2035 годам, однако при более глубоком техническом анализе становится очевидным, что между этими обещаниями и реальным прогрессом существует огромная пропасть.

Так называемые «криптографические квантовые компьютеры», способные взломать шифрование, должны соответствовать нескольким строгим условиям: во-первых, они должны быть устойчивыми к ошибкам и иметь возможность исправлять их; во-вторых, они должны уметь запускать алгоритм Шора — ключевой для взлома современных алгоритмов; в-третьих, их масштаб должен позволять за разумное время (например, менее месяца) взломать стандарты эллиптических кривых или RSA-2048.

По оценкам открытых технологических вех, такие системы пока находятся далеко за горизонтом. Даже системы с более чем 1000 квантовых битов показывают лишь количественный прорыв, а не практическую возможность взлома. Эти системы в основном страдают недостатком связности и точности, необходимых для криптографических вычислений.

Ключевой барьер — не количество, а качество. Взлом современных шифров требует сотен тысяч или миллионов физических квантовых битов — это лишь предварительные оценки. Более сложной задачей является связность между кубитами, точность операций и исправление ошибок при выполнении глубоких квантовых алгоритмов. Даже самые продвинутые системы пока не способны стабильно работать с несколькими логическими квантовыми битами, а для запуска алгоритма Шора, требующего тысячи высокоточных, исправляемых логических кубитов, разрыв по масштабам — экспоненциальный.

Обоснованное суждение: до тех пор, пока количество и точность логических кубитов не увеличатся на 3–4 порядка, не стоит ожидать появления «опасных» квантовых компьютеров, способных взломать современные шифры.

Тем не менее, в корпоративных пресс-релизах и СМИ нередко создается путаница:

• Иллюзия «квантового преимущества»: большинство демонстраций — это специально подготовленные задачи, не имеющие практического применения, и лишь потому, что их можно запустить на существующем оборудовании и они кажутся быстрыми. В пропаганде это зачастую умалчивается или скрывается.

• Обман по количеству физических кубитов: заявления о «тысячах физических кубитов» обычно относятся к квантовым отжигам (аннуляции энергии), а не к универсальным квантовым компьютерам, способным запускать алгоритм Шора — это две разные вещи.

• Злоупотребление термином «логические кубиты»: некоторые компании утверждают, что реализовали 48 логических кубитов, используя всего по 2 физических кубита на логический — это технически бессмысленно, поскольку используемые коды исправления ошибок не способны исправлять ошибки, а лишь обнаруживать их.

• Обман в дорожных картах: многие планы указывают «логические кубиты», поддерживающие только операции Clifford, которые легко моделируются классическими компьютерами и не позволяют запускать алгоритм Шора, требующий множество T-операций. Поэтому даже если в планах указано достижение тысяч логических кубитов, это не означает, что тогда же появится возможность взломать шифры.

Такие практики искажают восприятие прогресса в квантовых вычислениях и вводят в заблуждение даже опытных специалистов.

«Текущие кражи — будущие взломы»: кто реально в опасности?

Чтобы понять срочность квантовой угрозы, важно различать два типа криптографических средств: шифрование и цифровые подписи.

Атака HNDL (сейчас украсть, потом расшифровать) — это ситуация, когда злоумышленник сохраняет зашифрованные данные сегодня, а после появления квантового компьютера расшифровывает их. Государственные и корпоративные разведки уже архивируют огромное количество зашифрованных коммуникаций, чтобы в будущем их расшифровать.

Поэтому шифрование действительно требует немедленного обновления, особенно для данных, которые должны оставаться секретными 10–50 лет и более. Это реальный и неизбежный риск.

Но цифровые подписи — совсем другое дело. Они не связаны с секретностью передаваемых данных. Даже если квантовые компьютеры появятся в будущем, они смогут только подделывать подписи, а не расшифровывать прошлые сообщения. Если вы можете доказать, что подпись была создана до появления квантового компьютера, она никогда не будет подделана.

Этот важный нюанс определяет приоритетность обновления различных криптографических средств.

Современные платформы уже действуют в соответствии с этим подходом:

• Chrome и Cloudflare внедрили гибридные схемы X25519 + ML-KEM для TLS. «Гибрид» — это ключевое слово: одновременно используют постквантовые и классические алгоритмы, чтобы защититься от HNDL и обеспечить безопасность при возможных уязвимостях постквантовых решений.

• Apple (PQ3) и Signal (PQXDH, SPQR) также внедрили подобные гибридные схемы.

В то же время внедрение постквантовых цифровых подписей в критическую инфраструктуру откладывается — не потому, что они не нужны, а потому, что существующие решения вызывают значительные проблемы с производительностью и сложностью реализации.

Криптовалюты и квантовая угроза: реальность или преувеличение?

Это хорошая новость для криптовалют: большинство блокчейнов не подвержены HNDL-атакам.

Например, Bitcoin и Ethereum — это публичные цепочки, где криптографические подписи (используемые для авторизации транзакций) не связаны с шифрованием. Они не представляют угрозы HNDL. Вся история транзакций открыта, и квантовая угроза — это подделка подписей (что может привести к краже средств), а не расшифровка уже опубликованных данных.

Этот факт неправильно понимают многие авторитетные организации. Например, Федеральная резервная система ошибочно заявляла, что Bitcoin уязвим для HNDL, что сильно преувеличивает срочность миграции.

Исключения — цепочки с приватностью. Многие из них используют шифрование или скрывают адреса и суммы. Эти секретные данные могут быть украдены сейчас, а после появления квантовых компьютеров — расшифрованы и связаны с конкретными пользователями. Например, механизмы кольцевых подписей Monero или зеркальные ключи могут привести к полному восстановлению транзакционных графов.

Если пользователи приватных цепочек заботятся о том, чтобы их транзакции не были раскрыты в будущем, им следует как можно скорее перейти на постквантовые схемы или гибридные решения, либо пересмотреть архитектуру, чтобы не размещать чувствительные данные на цепочке.

Проблема Bitcoin: почему нельзя просто ждать появления квантового компьютера

Для Bitcoin есть практические причины начать подготовку к постквантовой миграции уже сейчас, и они не связаны с технологическими возможностями квантовых компьютеров.

Первый фактор — скорость принятия решений и изменений. Внесение изменений в Bitcoin — очень медленный процесс, любой спор может привести к разрушительным форкам. Это обусловлено сложностью социального согласования.

Второй фактор — невозможность пассивной миграции. Владельцы должны самостоятельно переводить свои средства на новые схемы подписей, что означает, что «заснувшие» и уязвимые к квантовым атакам монеты не защищены автоматически. По оценкам, таких «спящих» уязвимых Bitcoin может быть миллионы, а их стоимость — сотни миллиардов долларов.

Но это не «конец света за одну ночь». Первые атаки на квантовых компьютерах будут очень дорогими и медленными, злоумышленники будут целенаправленно атаковать высокоценные кошельки. Пользователи, не использующие адреса с открытыми ключами (например, не использующие Taproot или не повторяющие адреса), остаются относительно безопасными, поскольку их публичные ключи скрыты до момента расходования средств. Только при отправке транзакции публичный ключ раскрывается, и в этот момент появляется короткое окно для атаки — атакующий может попытаться вычислить приватный ключ.

Наиболее уязвимы те кошельки, у которых публичный ключ уже раскрыт: это старые P2PK-адреса, адреса с повторным использованием, а также Taproot-адреса, где публичный ключ виден на цепочке.

Для «заснувших» уязвимых средств решение сложное: либо установить «крайний срок» миграции, после которого неиспользованные и не обновленные средства считаются уничтоженными, либо оставить их под угрозой захвата будущими квантовыми компьютерами. Второй вариант — рискованные с точки зрения законодательства и безопасности.

Еще одна особенность — низкая пропускная способность транзакций в Bitcoin. Даже при наличии плана миграции, перевод всех уязвимых средств займет месяцы.

Вывод: Bitcoin должен уже сейчас начинать планировать постквантовую миграцию, но причины не связаны с тем, что квантовые компьютеры появятся к 2030 году (это маловероятно), а с тем, что управление и техническая реализация требуют времени, а также — что перенос активов на сумму в сотни миллиардов долларов — сложная задача.

Стоимость и риски постквантовой миграции: почему нельзя торопиться

Постквантовая криптография основана на пяти классах математических задач: хэш-функциях, кодировании, решетках, системах уравнений и эллиптических кривых. Разнообразие решений обусловлено тем, что чем больше структур, тем выше эффективность, но и тем больше потенциальных уязвимостей.

• Хэш-алгоритмы — самые консервативные и безопасные, но и самые медленные. Например, стандартные подписи на основе хэшей требуют 7–8 КБ, тогда как современные эллиптические подписи — всего 64 байта.

• Решетки — сейчас являются основным направлением внедрения. В рамках стандартизации NIST выбраны схемы ML-KEM и два вида подписей (ML-DSA и Falcon). Размер подписей у ML-DSA — около 2,4–4,6 КБ, что в 40–70 раз больше современных.

• Falcon — более компактный (0,7–1,3 КБ), но очень сложен в реализации, требует постоянного времени и устойчивых к побочным каналам вычислений, что вызывает опасения по поводу безопасности.

Реализация безопасных решений сложнее: схемы на решетках требуют более тщательной защиты от атак через побочные каналы и ошибок.

Исторические уроки: многие кандидаты в стандартизацию, такие как Rainbow (на базе MQ) и SIKE/SIDH (на базе изогнутых кривых), были взломаны классическими компьютерами. Это показывает риски преждевременного стандартизации и внедрения.

Инфраструктура интернета относится к миграции очень осторожно, поскольку переходы по криптографическим алгоритмам — процесс долгий, как это было с переходом от MD5 и SHA-1.

Что делать сейчас

Исходя из реальности, следует придерживаться следующих принципов: серьезно относиться к квантовой угрозе, но не считать, что опасный период наступит к 2030 году, поскольку текущие достижения не подтверждают такую вероятность. В то же время, есть меры, которые можно и нужно предпринимать уже сейчас.

01. Немедленно внедрять гибридные схемы шифрования

В местах, где важна долгосрочная секретность и допустимы дополнительные издержки, следует сразу использовать гибридные схемы (постквантовое + классическое шифрование). Многие браузеры, CDN и мессенджеры уже начали это делать. Гибридные решения позволяют защититься от HNDL и снизить риски постквантовых уязвимостей.

02. Использовать хэш-подписи в сценариях с низкой частотой и большим размером

Для обновлений программного обеспечения или прошивок, где допустимы большие размеры и редкие случаи, можно применять гибридные хэш-подписи. Это — «страховка» на случай, если постквантовые алгоритмы появятся раньше ожидаемого.

03. Начать планировать миграцию в блокчейнах

Хотя срочно менять подписи в блокчейнах не обязательно, необходимо уже сейчас разрабатывать стратегии и делать предварительные оценки, чтобы подготовиться к переходу.

04. Определить путь миграции

Крупные блокчейны, такие как Bitcoin, должны четко сформулировать план перехода и политику по «заснувшим» уязвимым средствам. Это — не только техническая задача, но и вопрос управления и согласования.

05. Выделить время для исследований

Потребуется несколько лет для развития зрелых решений на базе SNARK и агрегируемых подписей. Не стоит торопиться с принятием решений, чтобы не зафиксировать менее эффективные схемы.

06. Внедрять гибкие архитектурные решения

Для Ethereum и подобных платформ — использование смарт-контрактных кошельков с возможностью обновления, а также концепции абстракции аккаунтов, что упростит миграцию и расширит функциональность (поддержка транзакций с социальным восстановлением и спонсорством).

07. Приоритет для приватных цепочек

Поскольку приватные цепочки используют шифрование или скрывают адреса, они более уязвимы. Им следует как можно быстрее перейти на постквантовые или гибридные схемы, чтобы защитить конфиденциальность.

08. В краткосрочной перспективе — безопасность важнее квантовой угрозы

На ближайшие годы важнее устранение уязвимостей, исправление ошибок и защита от сторонних атак, чем ожидание появления квантовых компьютеров.

09. Постоянное финансирование исследований

Государства должны продолжать инвестировать в развитие постквантовых технологий, чтобы не отстать от потенциальных противников, которые могут получить квантовые вычисления раньше.

10. Рационально оценивать новости о прогрессе

Каждый новый «прорыв» — это напоминание о том, насколько далеки реальные угрозы. Не стоит воспринимать новости слепо, а анализировать их критически и с учетом текущего уровня технологий.

Итог: баланс до наступления опасного периода

Технический прогресс может ускориться или затянуться, и предсказать точные сроки сложно. Мы не утверждаем, что через пять лет появится квантовый компьютер, способный взломать шифрование, — скорее, считаем вероятность этого низкой, исходя из текущих данных.

Следование приведенным рекомендациям поможет избежать более вероятных и непосредственных рисков: уязвимостей в реализации, ошибок при внедрении и неправильных решений при переходе. Эти проблемы могут возникнуть не в далеком будущем, а именно в те годы, когда опасный период еще не наступил, — до того, как квантовые компьютеры начнут реально угрожать нашим системам.