Квантові обчислення та блокчейн: чому загроза є реальною, але часові рамки — ні

Страх, що квантові комп’ютери раптово зроблять технологію блокчейн застарілою, став поширеним явищем. Заголовки попереджають про неминучу криптографічну катастрофу, викликаючи заклики до термінової міграції на алгоритми пост-квантової криптографії. Однак це поширене занепокоєння плутає різні загрози з значно різними термінами реалізації. Розуміння реальності—відокремлення справжніх ризиків від спекулятивних страхів—є необхідним для кожного, хто створює або захищає системи блокчейн. Чесна оцінка: так, квантові комп’ютери справді становлять реальну загрозу криптографії блокчейну, але не є екзистенційною, короткостроковою загрозою, яку багато хто уявляє.

Квантові комп’ютери ще десятиліттями не зможуть зламати шифрування

Найстійкіший міф навколо квантових обчислень—це терміновість їхньої загрози. Криптографічно релевантний квантовий комп’ютер (CRQC)—той, що здатен запускати алгоритм Шора для зламу RSA або еліптичних кривих—не з’явиться у найближчі 5-10 років, незалежно від недавніх заголовків, що стверджують інакше.

Сучасні квантові системи стикаються з величезними інженерними труднощами. Поточні платформи, такі як іонні traps, надпровідні кубіти та системи нейтральних атомів, зазвичай працюють з 1000-3000 фізичних кубітів, але ці цифри оманливі. Ці системи позбавлені необхідної зв’язності кубітів і точності гейтів для криптоаналізу. Найголовніше—вони ще не продемонстрували масштабне коригування помилок: жодна система не показала стабільних схем з корекцією помилок з більш ніж кількома логічними кубітами, не кажучи вже про тисячі високоточних, відмовостійких логічних кубітів, необхідних для запуску алгоритму Шора. Різниця між поточними можливостями і практичним криптоаналізом залишається величезною— кілька порядків у кількості кубітів і точності.

Змішання виникає частково через оманливий маркетинг у квантових анонсах. Коли компанії заявляють про досягнення «тисяч логічних кубітів», вони зазвичай мають на увазі кубіти, що можуть виконувати лише операції Кліффорда—операції, які ефективно імітуються на класичних комп’ютерах. Це не може запускати алгоритм Шора. Аналогічно, демонстрації «квантової переваги» на штучних задачах не перетворюються у криптографічну загрозу. Число 15 постійно з’являється у експериментах факторизації на квантових комп’ютерах не тому, що дослідники роблять прогрес, а тому, що факторизація 15 за модулем 15 арифметично тривіальна; навіть факторизація 21 вимагає скорочень, яких більшість демонстрацій не визнає.

Навіть Скотт Ааронсон, провідний дослідник у галузі квантових обчислень, визнав цю різницю, коли припустив, що квантовий комп’ютер з корекцією помилок може запустити алгоритм Шора ще до наступних президентських виборів у США—однак одразу уточнив, що такий системний факторинг 15 був би досягненням, а не криптографічною загрозою.

Висновок залишається ясним: якщо не станеться проривів у квантових обчисленнях, що фундаментально перевищать усі сучасні дорожні карти, криптографічно релевантні квантові комп’ютери не з’являться ще багато років. Навіть дата 2035 року для завершення переходу на пост-квантову криптографію, яку озвучує уряд США, не є прогнозом, що квантові комп’ютери загрожуватимуть криптографії до того часу—це просто розумний термін для завершення масштабної інфраструктурної міграції.

Атаки HNDL: асиметрія між шифруванням і цифровими підписами

Де квантова загроза справді вимагає уваги—це у моделях атак «Harvest-Now-Decrypt-Later» (HNDL). Ця модель загрози досить проста: зловмисник (як державний актор) перехоплює та зберігає зашифровані комунікації сьогодні, а потім розшифровує їх через 20 або 30 років, коли з’являться квантові комп’ютери. Дані з довгостроковою конфіденційністю—урядові комунікації, медичні записи, фінансові дані—не можна відновити, якщо їх зламати ретроспективно.

Однак ця терміновість стосується майже виключно шифрування, а не цифрових підписів, на яких фактично базуються блокчейни. Тут криється важлива різниця, яку більшість аналізів неправильно розуміє.

Цифрові підписи не приховують секрети, які можна згодом розкодувати. Коли ви підписуєте транзакцію своїм приватним ключем, підпис не містить зашифрованої інформації, яку можна розшифрувати у майбутньому; це криптографічне підтвердження, що ви авторизували транзакцію. Попередні підписи не можна фальсифікувати ретроспективно, оскільки у них немає прихованої конфіденційної інформації для вилучення. Підпис, створений до появи квантового комп’ютера, залишається дійсним— він просто підтверджує, що ви підписали повідомлення, коли володіли приватним ключем.

Це пояснює, чому компанії, такі як Chrome і Cloudflare, одразу впровадили гібридне шифрування X25519+ML-KEM для TLS, тоді як впровадження пост-квантових цифрових підписів залишається обережним і зваженим. Так само Apple iMessage і Signal пріоритетно використовують гібридне шифрування через протоколи PQ3 і PQXDH. Терміновість щодо шифрування справжня; щодо підписів—ні.

Більшість аналізів блокчейнів—навіть від авторитетних джерел, таких як Федеральна резервна система—хибно стверджували, що Bitcoin вразливий до атак HNDL. Це неправда. Транзакції Bitcoin публічно доступні у блокчейні; квантова загроза до підписів—це здобути приватний ключ для крадіжки монет (, а не розшифрувати публічно доступні дані транзакцій. Загроза HNDL просто не застосовується до блокчейнів без приватності.

Як різні блокчейни стикаються з різними квантовими ризиками

Профіль квантової загрози значно варіює залежно від дизайну та цілей конкретного блокчейну.

Блокчейни без приватності )Bitcoin, Ethereum(: ці системи покладаються на цифрові підписи для авторизації транзакцій, а не на шифрування. Вони не вразливі до атак HNDL. Основний квантовий ризик—це майбутня підробка підписів, коли з’явиться CRQC. Це реальний ризик—але він з’явиться через десятиліття, і при правильному плануванні можна буде провести протоколі міграції.

Блокчейни з орієнтацією на приватність )Monero, Zcash(: ці системи шифрують або приховують отримувачів і суми транзакцій. Коли квантові комп’ютери зламають еліптичну криву, ця конфіденційність може бути ретроспективно зламаною. Зловмисник з квантовою здатністю зможе деанонімізувати всю історію транзакцій. Для Monero особливо—зашифрована графіка транзакцій сама по собі дозволить ретроспективно відновити схеми витрат. Ця вразливість виправдовує раннє впровадження пост-квантових алгоритмів для приватних ланцюгів—це один із небагатьох класів блокчейнів, де атаки HNDL мають справжню короткострокову актуальність.

Системи з нульовими знаннями: дивно, але zkSNARKs )zero-knowledge concise non-interactive arguments( здебільшого захищені від квантових атак. Їх властивість нульового знання гарантує, що докази не розкривають інформацію про секретний свідок, навіть для квантових зловмисників. Будь-який zkSNARK, створений до появи квантових комп’ютерів, залишається криптографічно коректним— доведена заява є абсолютно істинною. Майбутні квантові комп’ютери не зможуть підробити zkSNARK, створені раніше, оскільки у самих доказах не закодовано конфіденційної інформації для вилучення.

Ця асиметрія означає, що блокчейни, що базуються на авторизації за підписами, мають принципово інші профілі квантових ризиків, ніж ті, що шифрують дані. Їх однакове трактування створює хибну терміновість.

Практичні витрати і ризики алгоритмів пост-квантових підписів

Якщо пост-квантові підписи не є терміновою необхідністю, чому їх не впровадити одразу? Відповідь у реальних витратах і незрілості сучасних алгоритмів пост-квантової криптографії.

Пост-квантові підходи базуються на різних математичних припущеннях: решіткових схемах, хеш-орієнтованих схемах, багатоваріантних квадратичних системах і системах на основі ізогенії. Основна проблема—додаткова математична структура дозволяє кращу продуктивність, але й створює більше можливостей для криптоаналізу. Це породжує внутрішній конфлікт: сильніші припущення безпеки забезпечують кращу швидкодію, але й більший ризик, що припущення з часом будуть зламані.

Хеш-орієнтовані підписи пропонують максимальну консервативну безпеку—ми дуже впевнені, що квантові комп’ютери їх не зломають. Але вони найгірші за продуктивністю: стандартні схеми NIST-стандартизації хеш-орієнтованих підписів перевищують 7-8 КБ на підпис, що приблизно у 100 разів більше за сучасні 64 байти еліптичних кривих.

Решіткові схеми типу ML-DSA )(раніше Dilithium)—зараз основний фокус для реального застосування. Підписи коливаються від 2.4 до 4.6 КБ—у 40-70 разів більше за сучасні. Вартість Falcon—близько 666 байт для Falcon-512(, але вона включає складні операції з плаваючою точкою, які Тома Порнин, один із творців Falcon, назвав «найскладнішим криптографічним алгоритмом, який я коли-небудь реалізовував». Багато атак на сторонні канали успішно витягли секретні ключі з реалізацій Falcon.

Реалізація решіткових алгоритмів додає додаткову поверхню безпеки. Реалізації ML-DSA вимагають обережного захисту від атак сторонніх каналів і інжекції помилок. Постійна часова арифметика з плаваючою точкою у Falcon—надзвичайно складна для захисту. Ці ризики реалізації—а не квантові комп’ютери—створюють негайну загрозу системам, що раніше впроваджують пост-квантові підписи.

Історія дає гіркий урок: Rainbow )—мультиваріантна квадратична схема підпису( і SIKE/SIDH )—ізогенна шифрація(—обидві вважалися провідними кандидатами у пост-квантовій стандартизації NIST. Обидві були зламані класично—з використанням сучасних комп’ютерів, а не квантових—заперечуючи роки досліджень і планування впровадження.

Ця історія ілюструє важливий принцип: поспішне впровадження незрілих алгоритмів пост-квантової криптографії створює більше негайних ризиків безпеки, ніж далекі квантові комп’ютери. Інтернет-інфраструктура рухалася обережно—перехід від MD5 і SHA-1, які цілком зламані, зайняв роки, навіть попри активне зломлення. Блокчейни, хоча й здатні швидше оновлюватися, ніж традиційна інфраструктура, все одно стикаються з великими ризиками через передчасну міграцію.

Унікальна проблема Bitcoin: управління, а не квантова фізика

Хоча більшість блокчейнів стикаються з квантовими ризиками у десятиліттях, Bitcoin має особливу проблему, яка настане значно раніше. Але ця терміновість не зумовлена квантовими обчисленнями—а структурою управління Bitcoin і історичним дизайном.

Перші транзакції Bitcoin використовували pay-to-public-key, що безпосередньо відкривали публічні ключі у мережі. Ці відкриті ключі не можна приховати за хеш-функціями до їх витрат. Для власників Bitcoin, що використовують повторне використання адрес або Taproot )які також відкривають публічні ключі(, квантовий комп’ютер, здатний здобути приватний ключ, стане реальною загрозою, коли такий комп’ютер з’явиться. За оцінками, мільйони Bitcoin—можливо, на сотні мільярдів доларів за поточними цінами—потрапляють у цю вразливу категорію.

Головна проблема—пасивна неможливість: Bitcoin не може автоматично мігрувати вразливі монети на квантово-стійкі адреси. Користувачі повинні активно переміщати свої кошти, а багато ранніх власників Bitcoin неактивні, відсутні або померли. За оцінками, значна кількість ранніх Bitcoin фактично залишена.

Це створює два управлінські кошмари. По-перше, спільнота Bitcoin має досягти консенсусу щодо змін протоколу—це дуже складне узгодження. По-друге, навіть після впровадження інструментів міграції, фактичний переказ вразливих монет на пост-квантово-захищені адреси цілком залежить від дій окремих користувачів. На відміну від програмованих смарт-контрактних гаманців Ethereum )які можуть автоматично оновлювати свою логіку автентифікації(, зовнішні облікові записи Bitcoin не можуть пасивно перейти на пост-квантову безпеку. Монети просто залишаться, квантово-вразливі, безстроково.

Крім того, обмеження пропускної здатності транзакцій Bitcoin створює логістичний тиск. Навіть якщо інструменти міграції будуть завершені і всі користувачі співпрацюватимуть ідеально, переміщення мільярдів доларів у вразливі адреси за поточним швидкістю транзакцій займе місяці або роки. Помножте це на мільйони вразливих адрес—і операційний виклик стане надзвичайним.

Реальна квантова загроза Bitcoin—це соціальні та організаційні проблеми, а не криптографічні. Bitcoin потрібно починати планувати міграцію вже зараз—не тому, що квантові комп’ютери з’являться у 2026 або 2030 роках, а тому, що управління, узгодження, координація і технічна логістика для успішної міграції мільярдів доларів у вразливих монетах займе роки зусиль.

Негайний пріоритет безпеки: ризики реалізації, а не квантові комп’ютери

Ось реальність, яку часто недооцінюють у аналізах квантової загрози: помилки реалізації становлять набагато більш актуальну і термінову загрозу, ніж квантові комп’ютери у найближчі роки.

Що стосується пост-квантових підписів, атаки сторонніх каналів і атаки інжекції помилок добре задокументовані. Вони витягують секретні ключі з систем у реальному часі—не через роки, а сьогодні. Криптографічна спільнота витратить роки на ідентифікацію і виправлення процедурних помилок у реалізаціях zkSNARK і посилення захисту пост-квантових підписів від цих атак.

Для систем приватності, що використовують пост-квантову криптографію, головний ризик—це програмні помилки—баги у складних криптографічних реалізаціях. Добре реалізована, ретельно перевірена класична схема підпису залишається набагато безпечнішою, ніж поспішно впроваджена пост-квантова з багами або вразливостями.

Це формує чіткий порядок пріоритетів: команди блокчейнів мають зосередитися на аудиті, фуззінгу, формальній верифікації і багаторівневих заходах безпеки, перш ніж поспішати з впровадженням пост-квантових криптографічних примітивів. Загроза квантових обчислень—реальна, але далека; помилки реалізації—реальні і негайні.

Практична стратегія: сім кроків уперед

З урахуванням цих реальностей, що мають робити команди блокчейнів, політики та оператори інфраструктури?

Негайно впроваджуйте гібридне шифрування. Для будь-якої системи, що потребує довгострокової конфіденційності даних, поєднуйте пост-квантові схеми )як ML-KEM( з існуючими схемами )як X25519( одночасно. Це захищає від атак HNDL і одночасно хеджує проти потенційних слабкостей у незрілих пост-квантових рішеннях. Гібридні підходи вже застосовуються основними браузерами, CDN і месенджерами.

Використовуйте хеш-орієнтовані підписи для рідкісних оновлень. Оновлення прошивки, патчі та інші рідкісні операції підпису слід одразу переходити на гібридні хеш-орієнтовані підписи. Розмір підпису при цьому є прийнятним для рідкісних операцій, і це забезпечує консервативний резервний механізм у разі, якщо квантові комп’ютери з’являться раніше очікуваного.

Плануйте, але не поспішайте з впровадженням пост-квантових підписів у блокчейнах. Дотримуйтесь обережного підходу інфраструктури Інтернету—дати час для зрілості схемам пост-квантових підписів. Дозвольте дослідникам виявляти вразливості, покращувати продуктивність і розробляти кращі методи агрегації. Для Bitcoin це означає визначити політики міграції і планувати, як обробляти залишені вразливі кошти. Для інших L1-блокчейнів—почати архітектурну роботу над підтримкою більших підписів без передчасного впровадження.

Пріоритетно для систем приватності—рання міграція. Блокчейни, що шифрують або приховують деталі транзакцій, справді стикаються з загрозою HNDL. Якщо продуктивність дозволяє, вони мають перейти на пост-квантову криптографію раніше, ніж системи без приватності, або застосовувати гібридні схеми, поєднуючи класичні та пост-квантові алгоритми.

Приймайте account abstraction і гнучкість підписів. Архітектурний висновок із аналізу квантової загрози—це те, що тісне поєднання ідентичності облікового запису з конкретними криптографічними примітивами створює труднощі з міграцією. Блокчейни мають роз’єднати ідентичність облікового запису від конкретних схем підпису, щоб користувачі могли оновлювати логіку автентифікації без втрати історії. Перехід Ethereum до смарт-облікових гаманців і подібні абстракції на інших ланцюгах відображають цей принцип.

Інвестуйте зараз у основи безпеки. Аудитуйте реалізації смарт-контрактів і zkSNARK. Впроваджуйте формальну верифікацію. Використовуйте фуззінг і тестування сторонніх каналів. Ці короткострокові заходи безпеки принесуть набагато більше, ніж передчасне впровадження пост-квантових алгоритмів.

Залишайтеся критично обізнаними про прогрес у квантових обчисленнях. Наступні роки принесуть багато анонсів і досягнень у галузі квантових комп’ютерів. Сприймайте їх як звіти про прогрес, що вимагають скептичної оцінки, а не як привід для негайних дій. Кожен новий рубіж—це один із багатьох залишкових мостів до криптографічно релевантних квантових комп’ютерів. Можливі несподівані прориви, але й існують фундаментальні обмеження масштабування. Рекомендації, засновані на поточних термінах, залишаються актуальними у цих умовах.

Висновок: узгодженість, а не паніка

Квантова загроза криптографії блокчейну реальна і вимагає серйозного планування. Але вона вимагає чогось іншого, ніж заклики до термінової, всеохоплюючої міграції. Вона вимагає узгодження між реальними термінами загрози і справжньою терміновістю—відрізняючи теоретичні ризики, що з’являться через десятиліття, і негайні вразливості безпеки, що вимагають уваги сьогодні.

Блокчейни, побудовані на ретельному плануванні, зрілій пост-квантовій криптографії та зміцненні короткострокових заходів безпеки, успішно пройдуть квантовий перехід. Ті, хто поспішить впровадити незрілі алгоритми на основі перебільшених термінів загрози, ризикують створити більш негайні вразливості, ніж ті, яких бояться. Шлях вперед— це не паніка, а терпіння, планування і пріоритетизація.