Истинная угроза квантовых вычислений для блокчейна: почему алгоритм Гровера — это не тот заголовок, который вы думаете

Наратив вокруг квантовых вычислений и блокчейна стал глубоко искажен. В то время как крупные технологические компании соревнуются в разработке квантовых возможностей, а СМИ предупреждают о грядущем крахе криптографической защиты, реальность гораздо более тонкая — и в некоторых аспектах, гораздо менее срочная. Алгоритм Гровера, часто цитируемый как квантовая угроза безопасности блокчейна, на самом деле представляет собой лишь незначительную проблему по сравнению с реальными уязвимостями, с которыми сталкивается криптовалюта сегодня. Понимание того, какие угрозы являются немедленными, а какие — десятилетиями, может изменить приоритеты разработчиков в инвестициях в безопасность.

Для блокчейна в частности квантовая угроза делится на две четкие категории: немедленные уязвимости шифрования, требующие действий сейчас, и риски подделки подписей, позволяющие более взвешенно планировать. Смешивание этих двух понятий создало ненужную панику и контрпродуктивное давление на миграцию. Эта статья разбирает, что реально, что преувеличено и что криптокоманды должны делать в 2026 году.

Таймлайн квантовых технологий, который никто не хочет слышать: CRQC всё еще далеко

Несмотря на заголовки, криптографически релевантный квантовый компьютер (CRQC) — способный запускать алгоритм Шора для взлома RSA или эллиптических кривых в масштабах — остается более чем через десятилетие. Это не пессимизм; это основано на текущих технических ограничениях.

Современные квантовые системы, будь то использование захваченных ионов, сверхпроводящих кубитов или нейтральных атомов, значительно уступают требованиям. На бумаге текущие системы превышают 1000 физических кубитов, но это число вводит в заблуждение. Важна связность кубитов, точность гейтов и глубина коррекции ошибок. Для запуска алгоритма Шора против RSA-2048 или secp256k1 потребуется сотни тысяч — миллионы физических кубитов, и мы пока далеко от этого.

Технический разрыв огромен. Недавние системы приближались к физическим уровням ошибок, при которых начинается работа квантовой коррекции ошибок, но демонстрация устойчивой коррекции ошибок хотя бы для нескольких логических кубитов — и тем более для тысяч, необходимых для криптоанализа — еще не достигнута. Каждая надежная оценка показывает, что нам нужно еще несколько порядков величины улучшений как по количеству кубитов, так и по их точности.

Тем не менее, корпоративные пресс-релизы регулярно заявляют о скорых прорывах. Эти заявления смешивают разные понятия:

Демонстрации “квантового преимущества”: показывают ускорение на искусственных задачах, специально созданных для текущего оборудования, а не для реальных проблем. Ускорение есть, но оно мало говорит о прогрессе в создании систем, способных взломать криптографию.

Заявления о логических кубитах: компании иногда объявляют о “логических кубитах”, но этот термин сильно искажен. Некоторые заявления касаются кодов исправления ошибок с расстоянием 2, которые могут только обнаруживать ошибки, а не исправлять их. Настоящие отказоустойчивые логические кубиты для криптоанализа требуют сотни или тысячи физических кубитов — не двух.

Путаница с дорожными картами: многие планы обещают “тысячи логических кубитов к году X”, но указывают только на клиффордовские гейты (которые классические компьютеры могут эффективно моделировать). Запуск алгоритма Шора требует не-клиффордовских T-гейтов, реализовать которые значительно сложнее.

Даже оптимистичные исследователи вроде Скотта Ааронсона уточняют свои заявления: когда он предположил, что отказоустойчивый квантовый компьютер, способный запустить Шора, может появиться до следующего президентского выборов в США, он явно отметил, что это не означает криптографически релевантную реализацию. Факторинг 15 на квантовом компьютере — тривиальная задача по классическим меркам.

Итог: ожидайте угрозы криптографии от квантовых компьютеров не раньше 2030-х годов, а более реалистично — в 2040-х или позже. Пять-десять лет — это просто не подтверждается публичными данными. Миграционный срок 2035 года, установленный правительством США для пост-квантовой криптографии, — разумный ориентир для такого масштаба перехода, но он отражает политическую осторожность, а не техническую реальность существования CRQC.

Атаки HNDL: почему они важны (и почему блокчейн от них в основном защищен)

Атаки Harvest-Now-Decrypt-Later (HNDL) — наиболее актуальная и серьезная краткосрочная квантовая угроза. Суть атаки проста: злоумышленники записывают зашифрованные коммуникации сегодня, зная, что через десятилетия, когда появятся квантовые компьютеры, смогут расшифровать все ретроспективно. Для государственных структур, архивирующих зашифрованные правительственные сообщения, это реальная угроза.

Но важное отличие: атаки HNDL работают только против шифрования, а не против цифровых подписей.

Шифрование скрывает секреты. Правительственный секретный меморандум, зашифрованный сегодня, останется секретом, даже если злоумышленники захватят ciphertext — до тех пор, пока не появится квантовый компьютер, способный взломать шифр. Поэтому внедрение постквантового шифрования — действительно срочная задача для тех, кому важна конфиденциальность на 10+ лет.

Цифровые подписи, напротив, не скрывают секретов, которые можно “собрать и расшифровать позже”. Подпись подтверждает, что вы авторизовали сообщение; она не скрывает информацию для будущего извлечения. Транзакции Bitcoin и Ethereum используют цифровые подписи для авторизации переводов — не для шифрования данных. Общий реестр уже виден. Квантовая угроза здесь — подделка подписей (получение приватных ключей), а не ретроспективное расшифрование.

Это различие было катастрофически неправильно понято. Даже такие авторитетные источники, как Федеральная резервная система, ошибочно утверждали, что Bitcoin сталкивается с атаками HNDL — фундаментальная ошибка, которая раздувает срочность миграции подписей. Bitcoin действительно сталкивается с квантовыми рисками (обсуждается ниже), но не из-за сценариев “собрать и расшифровать”.

Конфиденциальные блокчейны — исключение. Monero, Zcash и подобные цепочки шифруют детали транзакций или скрывают получателей и суммы. Как только квантовые компьютеры взломают эллиптические кривые, эта конфиденциальность станет ретроспективно скомпрометирована. В частности, для Monero публичный реестр может быть использован для восстановления всей графики расходов. Эти цепочки действительно нуждаются в более ранних переходах на постквантовые схемы, если защита исторической конфиденциальности важна.

Интернет-инфраструктура уже усвоила это различие. Chrome, Cloudflare, iMessage от Apple и Signal используют гибридные схемы шифрования, сочетающие классические и постквантовые алгоритмы — для защиты данных, требующих долгосрочной секретности. Это разумно. Переход на цифровые подписи, напротив, делается медленнее, потому что модель угроз принципиально отличается.

Алгоритм Гровера и Proof-of-Work: незначительная проблема в овечьей шкуре

Алгоритм Гровера заслуживает особого внимания, потому что его часто называют квантовой угрозой консенсусу в блокчейне. Эта угроза преувеличена.

Proof-of-Work основано на хеш-функциях, и алгоритм Гровера действительно может ускорить их квадратично — примерно в 2 раза. Это тривиально по сравнению с экспоненциальным ускорением Шора против публичных ключей. Квантовый майнер с ускорением Гровера может решать блоки чуть быстрее классических майнеров, создавая преимущество. Но это:

1. Не разрушает систему экспоненциально (в отличие от алгоритма Шора против RSA)
2. Не подрывает экономическую безопасность (большие квантовые майнеры будут иметь преимущества, как и сегодня у больших классических майнинговых операций)
3. Остается чрезвычайно дорогим для реализации на масштабах, необходимых для существенной конкуренции

Практические накладные расходы на внедрение алгоритма Гровера в значимых масштабах делают маловероятным, что квантовые компьютеры смогут добиться даже умеренного ускорения в майнинге Bitcoin. Угрозы, связанные с этим, кардинально отличаются от атак на основе подписей — это не экзистенциальная угроза, а просто конкурентное смещение. Поэтому алгоритм Гровера редко появляется в серьезных дискуссиях о квантовой безопасности блокчейна: риск не в этом.

Реальная квантовая проблема Bitcoin — не технология, а управление

Уязвимость Bitcoin к квантовым атакам менее связана с квантовыми компьютерами и больше с внутренней структурой самого Bitcoin. Bitcoin не может пассивно мигрировать свои уязвимые монеты; пользователи должны активно переводить средства на квантобезопасные адреса. Это создает сложную проблему координации без технического решения.

Ранние транзакции Bitcoin использовали pay-to-public-key (P2PK), что размещало публичный ключ прямо в блокчейне. В сочетании с повторным использованием адресов и кошельками с Taproot (которые также раскрывают ключи), это оставляет огромную поверхность уязвимых к квантовым атакам — по оценкам, миллионы BTC на десятки миллиардов долларов — вероятно, заброшены владельцами, которые не активируют их.

Когда появятся квантовые компьютеры, атаки не будут одновременными. Злоумышленники будут избирательно нацеливаться на высокоценные, уязвимые адреса. Пользователи, избегающие повторного использования адресов и не использующие Taproot, имеют дополнительную защиту: их публичные ключи остаются скрытыми за хеш-функциями до момента расходования, создавая реальную гонку между легитимными транзакциями и квантовыми злоумышленниками. Но полностью устаревшие монеты с раскрытыми ключами не имеют такой защиты.

Проблема управления значительно превосходит техническую. Bitcoin меняется медленно. Реализовать скоординированную миграцию, добиться согласия сообщества и обработать транзакции на миллиарды долларов через сеть с ограниченной пропускной способностью — это годы планирования. Некоторые предложения предполагают “маркировку и сжигание” — когда не мигрировавшие уязвимые монеты становятся собственностью сообщества. Другие задаются вопросом, могут ли злоумышленники с квантовым оборудованием, взломав кошельки без легитимных ключей, столкнуться с юридической ответственностью.

Это не задачи квантовых вычислений; это социальные, правовые и логистические проблемы, которые нужно решать сейчас, несмотря на то, что квантовые компьютеры еще десятилетия в будущем. Время для планирования и реализации решений у Bitcoin сокращается гораздо быстрее, чем развивается технология квантовых вычислений.

Постквантовые подписи: мощные, но еще не готовы

Если нужно внедрять постквантовые подписи, почему не сделать это сейчас? Потому что текущие схемы постквантовых подписей незрелы, сложны и несут риски реализации, которые значительно превосходят отдаленную квантовую угрозу.

NIST недавно стандартизировал подходы в пяти основных категориях: хеш-основанные, кодированные, на решетках, мультивариантные квадратичные и изогенные схемы. Эта фрагментация отражает реальную проблему безопасности: структурированные математические задачи обеспечивают лучшую производительность, но создают больше поверхности атаки. Консервативные, неструктурированные подходы (хеш-основанные подписи) — самые безопасные, но работают медленнее. Схемы на решетках — предпочтительный выбор NIST — но с серьезными компромиссами.

Стоимость производительности значительна:

• Хеш-основанные подписи (стандарты NIST): 7-8 КБ на подпись (против 64 байт для текущего ECDSA) — примерно в 100 раз больше
• Латграничные ML-DSA (выбор NIST): 2.4-4.6 КБ на подпись — в 40-70 раз больше, чем ECDSA
• Falcon: чуть меньше (от 666 байт до 1.3 КБ), но с постоянным временем выполнения с плавающей точкой, что его создатель, Томас Порнин, назвал “самым сложным криптографическим алгоритмом, который я когда-либо реализовывал”

Сложность реализации создает немедленные риски. ML-DSA требует аккуратной обработки чувствительных промежуточных данных и сложной логики отклонения. Операции с плавающей точкой в Falcon трудно реализовать безопасно; несколько реализаций Falcon подвергались атакам через сторонние каналы, извлекающим секретные ключи.

История дает суровые уроки. Ведущие кандидаты в постквантовые схемы, такие как Rainbow (на базе MQ) и SIKE/SIDH (на изогенных схемах), были взломаны классически — с помощью современных компьютеров — очень поздно в процессе стандартизации NIST. Это — здоровая наука, но показывает, что преждевременное внедрение незрелых схем создает немедленные, конкретные риски.

Инфраструктура интернета уже усвоила этот подход. Переход с устаревших MD5 и SHA-1 занял много лет, несмотря на их полное разрушение. Внедрение новых, сложных, постквантовых схем в критическую инфраструктуру требует времени по уважительным причинам.

Блокчейны сталкиваются с дополнительной сложностью. Ethereum и подобные цепочки могут мигрировать быстрее, чем традиционная инфраструктура, но ограничения Bitcoin и необходимость активной миграции пользователей увеличивают сложности. Более того, специфические требования блокчейна — особенно быстрая агрегация подписей для масштабируемости — пока не имеют зрелых постквантовых решений. BLS-подписи позволяют быстро агрегировать подписи сегодня, но альтернативы, устойчивые к квантовым атакам, еще не готовы к использованию в производстве.

Большее, более близкое к угрозе: ошибки реализации превосходят квантовые компьютеры

Пока криптосообщество обсуждает сроки появления постквантовых решений, более немедленная угроза — ошибки реализации и атаки через сторонние каналы.

Для сложных криптографических примитивов, таких как zkSNARKs (используемые в приватности и масштабируемости), баги — огромная уязвимость. zkSNARKs в экспоненциальной степени сложнее подписных схем; по сути, они пытаются доказать вычислительные утверждения. Ошибки здесь могут полностью разрушить безопасность. Индустрия потратит годы на выявление и исправление тонких ошибок реализации.

Постквантовые подписи несут риски сторонних каналов и инжекции ошибок: атаки по времени, анализ по мощности, электромагнитные утечки и физические инжекции ошибок успешно извлекают секретные ключи из развернутых систем. Эти атаки хорошо изучены и практичны — не теоретические, как квантовый криптоанализ.

Это создает жестокую иронию: поспешное внедрение постквантовых подписей раньше времени вводит немедленные уязвимости реализации, одновременно защищая от угроз, которые появятся через десятилетия. Текущие приоритеты безопасности — аудит, fuzzing, формальная верификация и многоуровневая защита — должны сосредоточиться на устранении ошибок реализации.

Семь практических рекомендаций на 2026 год

1. Уже сейчас внедряйте гибридное шифрование (если важна долгосрочная секретность). Комбинируйте классическое (X25519) и постквантовое (ML-KEM) шифрование. Это защищает от HNDL, сохраняя резервную безопасность. Браузеры, CDN и мессенджеры уже используют это; блокчейны с требованиями долгосрочной конфиденциальности должны последовать.

2. Используйте хеш-основанные подписи для редких обновлений. Обновления программного обеспечения и прошивок, допускающие большие размеры подписей, должны немедленно перейти на гибридные хеш-основанные подписи. Это обеспечивает консервативную безопасность и практическую “спасательную шлюпку”, если схемы постквантовой криптографии окажутся слабее ожидаемого.

3. Блокчейны должны планировать, но не торопиться с внедрением постквантовых подписей. Уже сейчас начинайте проектировать архитектуру для обработки больших подписей и разрабатывать лучшие методы агрегации. Не внедряйте незрелые схемы преждевременно; дождитесь зрелости стандартов и появления практических рисков.

4. Bitcoin нуждается в немедленном управленческом планировании (а не в внедрении). Определите пути миграции, политики сообщества по заброшенным уязвимым монетам и реалистичные сроки. Управление и пропускная способность Bitcoin требуют многолетнего планирования, прежде чем квантовые компьютеры станут угрозой.

5. Конфиденциальные цепочки должны приоритетно реализовать более ранние переходы. Monero, Zcash и подобные проекты действительно сталкиваются с угрозой HNDL. Если защита исторической приватности важна, переход на постквантовые примитивы или архитектурные изменения — приоритет выше, чем для цепочек без приватности.

6. Уже сейчас инвестируйте в криптографию с приоритетом безопасности, а не только в квантовую. Аудит zkSNARKs, исправление багов, формальная верификация и защита от сторонних каналов — эти задачи создают гораздо более немедленные риски, чем квантовые компьютеры.

7. Финансируйте исследования квантовых вычислений и оставайтесь критически информированными. Национальная безопасность США зависит от лидерства в квантовых технологиях. Когда появятся квантовые анонсы — а они будут, все чаще — воспринимайте их как отчеты о прогрессе, требующие оценки, а не как срочные сигналы к действию.

Пути вперед: срочность в соответствии с реальностью

Угрозы квантовых вычислений для блокчейна реальны, но искажения сроков породили ненужную панику. Атаки HNDL оправдывают срочное внедрение постквантового шифрования для долгосрочной секретности. Риски подделки подписей требуют серьезного планирования, но не поспешных внедрений незрелых схем.

Алгоритм Гровера, несмотря на ускорение, не представляет экзистенциальной угрозы Proof-of-Work. Проблемы Bitcoin связаны скорее с управлением и координацией, а не с приближающимися квантовыми компьютерами. Ошибки реализации и атаки через сторонние каналы создают гораздо более немедленные риски, чем криптоанализ через десятилетия.

Стратегия должна быть тонкой: уже сейчас внедрять гибридное шифрование, дать возможность постквантовым подписям созреть через аккуратное планирование, приоритетно переходить на приватностные цепочки и активно инвестировать в устранение ошибок безопасности. Такой подход учитывает неопределенность: если квантовые прорывы ускорятся, эти меры обеспечат защиту; если сроки сдвинутся — команды избегут привязки к субоптимальным решениям.

Квантовые вычисления изменят криптографию. Вопрос в том, ответит ли блокчейн с необходимой срочностью, соответствующей реальным угрозам, или с паникой, которая создаст худшие уязвимости, чем та опасность, которую он пытается предотвратить.