Справжня загроза квантових обчислень для блокчейну: чому алгоритм Гровера не є головною новиною, якою ви вважаєте

Наві narrative навколо квантових обчислень і блокчейну стала глибоко спотвореною. Поки великі технологічні компанії змагаються у розробці квантових можливостей, а медіа попереджають про неминучу криптографічну катастрофу, реальність є набагато більш нюансованою — і в деяких аспектах, значно менш терміновою. Алгоритм Гровера, часто цитований як квантова загроза безпеці блокчейну, насправді становить лише незначну проблему порівняно з реальними вразливостями, з якими стикається криптовалюта сьогодні. Розуміння, які загрози є негайними, а які — через десятиліття, може змінити пріоритети розробників у інвестиціях у безпеку.

Зокрема, для блокчейну квантова загроза поділяється на дві чіткі категорії: негайні вразливості шифрування, які потрібно вирішувати зараз, і ризики підробки підписів, що дозволяють більш обережне планування. Змішування цих двох створило зайву паніку та контрпродуктивний тиск на міграцію. У цій статті розглядається, що є реальним, що перебільшеним і що криптокоманди мають робити фактично у 2026 році.

Таймлайн квантових технологій, який ніхто не хоче чути: CRQC ще далеко

Незважаючи на заголовки, криптографічно релевантний квантовий комп’ютер (CRQC) — той, що здатен запускати алгоритм Шора для зламу RSA або еліптичних кривих у масштабі — залишається більш ніж через десятиліття. Це не песимізм; це базується на сучасних технічних обмеженнях.

Сучасні квантові системи, незалежно від того, чи використовують вони захоплені іони, надпровідні кубіти або нейтральні атоми, значно відстають від необхідних вимог. Поточні системи мають понад 1000 фізичних кубітів на папері, але ця цифра вводить в оману. Важливіше — з’єднання кубітів, точність гейтів і глибина корекції помилок. Щоб запустити алгоритм Шора проти RSA-2048 або secp256k1, потрібно сотні тисяч до мільйонів фізичних кубітів, і ми ще дуже далеко від цього.

Технічний розрив величезний. Останнім часом системи наблизилися до фізичних рівнів помилок, при яких починає працювати корекція квантових помилок, але демонстрація стабільної корекції навіть для кількох логічних кубітів — і тим більше для тисяч, необхідних для криптоаналізу — ще не досягнута. Кожна достовірна оцінка показує, що потрібно ще кілька порядків величини покращень у кількості та точності кубітів.

Проте корпоративні прес-релізи регулярно заявляють про швидкі прориви. Ці заяви плутають різні поняття:

Демонстрації “квантової переваги”: показують швидкість квантів на штучних задачах, спеціально створених для роботи на сучасному обладнанні, а не на реальних проблемах. Швидкість справді є, але вона мало що говорить про прогрес у криптоаналізі.

Заяви про логічні кубіти: компанії іноді оголошують про “логічні кубіти”, але цей термін був сильно розмитий. Деякі заяви стосуються кодів корекції помилок з відстанню 2, які можуть лише виявляти помилки, а не виправляти їх. Для криптоаналізу потрібні справжні безвідмовні логічні кубіти — сотні або тисячі фізичних кубітів кожен, а не два.

Плутанина з дорожніми картами: багато квантових дорожніх карт обіцяють “тисячі логічних кубітів до року X”, але вказують лише на гейти Кліффорда, які класичні комп’ютери можуть ефективно імітувати. Запуск алгоритму Шора вимагає не-Кліффордів T-гейтів, які набагато складніше реалізувати з корекцією помилок.

Навіть оптимістичні дослідники, як Скотт Ааронсон, уточнили свої заяви: коли він припустив, що квантовий комп’ютер з корекцією помилок, здатний запускати Шора, з’явиться до наступних президентських виборів у США, він чітко зазначив, що це не означає “криптографічно релевантної” реалізації. Факторинг 15 на квантовому комп’ютері — ця “досягнення” останніх років — є тривіальним за класичними мірками.

Висновок: очікувати квантових криптографічних загроз у 2030-х роках — найраніше, а більш реалістично — у 2040-х або пізніше. П’ять-десять років — це просто не підтверджується відкритими даними. Відповідно, дедлайн уряду США на міграцію до 2035 року для пост-квантової криптографії є цілком обґрунтованим для такого масштабу переходу, але він відображає політичну обережність, а не технічну реальність щодо існування CRQC.

Атаки HNDL: чому вони важливі (і чому блокчейн від них здатен захиститися)

Атаки Harvest-Now-Decrypt-Later (HNDL) — найбільш актуальні у короткостроковій перспективі квантові загрози. Суть атаки проста: зловмисники записують зашифровані повідомлення сьогодні, знаючи, що через десятиліття, коли з’являться квантові комп’ютери, вони зможуть розшифрувати все ретроспективно. Для державних структур, що архівують зашифровані урядові комунікації, це справжня загроза.

Але тут важливо розрізняти: HNDL-атаки працюють лише проти шифрування, а не проти цифрових підписів.

Шифрування приховує секрети. Урядовий секретний меморандум, зашифрований сьогодні, залишається секретом, навіть якщо зловмисники захоплять ciphertext — до появи квантових комп’ютерів, що зламають шифрування. Саме тому впровадження пост-квантового шифрування є справді нагальним для тих, кому потрібна конфіденційність понад 10 років.

Цифрові підписи, навпаки, не приховують секретів, які можна “збирати і розшифровувати пізніше”. Підпис підтверджує, що ви авторизували повідомлення; він не приховує інформацію для майбутнього вилучення. Транзакції Bitcoin і Ethereum використовують цифрові підписи для авторизації переказів — а не шифрування для приховування даних. Публічний реєстр вже відкритий. Квантова загроза тут — підробка підписів (здійснення приватних ключів), а не ретроспективне розкриття.

Це розрізнення було катастрофічно неправильно зрозуміле. Навіть авторитетні джерела, як Федеральна резервна система, неправильно стверджували, що Bitcoin стикається з HNDL-атаками — фундаментальна помилка, яка перебільшує терміновість міграції підписів. Bitcoin дійсно має квантові ризики (обговорювані нижче), але не через сценарії збору і розшифрування.

Конфіденційні блокчейни — виняток. Monero, Zcash та подібні мережі шифрують деталі транзакцій або приховують отримувачів і суми. Після зломів еліптичних кривих криптографії цю конфіденційність можна буде зламати ретроспективно. Зокрема, для Monero публічний реєстр може бути використаний для відновлення всієї графіки витрат. Ці мережі справді потребують більш ранніх пост-квантових переходів, якщо збереження історичної конфіденційності важливе.

Інтернет-інфраструктура вже врахувала цю різницю. Chrome, Cloudflare, iMessage Apple і Signal вже використовують гібридні схеми шифрування, поєднуючи класичні та пост-квантові алгоритми — для захисту даних, що потребують довгострокової секретності. Це логічно. Переходи на цифрові підписи, навпаки, відбуваються повільніше, оскільки модель загрози суттєво відрізняється.

Алгоритм Гровера і Proof-of-Work: незначна проблема у вовчій шкурі

Алгоритм Гровера заслуговує особливої уваги, оскільки його часто називають квантовою загрозою консенсусу у блокчейні. Загроза перебільшена.

Proof-of-Work базується на хеш-функціях, і Гровер може прискорити їх квадратично — приблизно в 2 рази. Це тривіально порівняно з експоненційним прискоренням Шора проти публічних ключів. Квантовий майнер із швидкістю Гровера може вирішувати блоки трохи швидше за класичних майнерів, створюючи перевагу. Але ця перевага:

1. Не руйнує систему експоненційно (на відміну від Шора проти RSA)
2. Не підриває економічну безпеку (більші квантові майнери матимуть переваги, але й більші класичні майнінгові операції сьогодні)
3. Залишається надзвичайно дорогою для реалізації у масштабах, що дозволять суттєво конкурувати

Практичні накладні витрати на реалізацію Гровера у масштабі, що має значення, роблять малоймовірним досягнення квантовими комп’ютерами навіть скромного прискорення у Bitcoin’s PoW. Загроза суттєво відрізняється від підробки підписів — це не екзистенційна загроза, а конкуренційний зсув. Саме тому алгоритм Гровера рідко з’являється у серйозних дискусіях про квантову безпеку блокчейну: ризик тут — не існування, а конкуренція.

Реальна квантова проблема Bitcoin — не технологія, а управління

Квантова вразливість Bitcoin швидше пов’язана з внутрішньою структурою, ніж з квантовими комп’ютерами. Bitcoin не може пасивно мігрувати свої вразливі монети; користувачі мають активно переміщати свої кошти на квантобезпечні адреси. Це створює складну проблему координації без технічного рішення.

Перші транзакції Bitcoin використовували pay-to-public-key (P2PK), що розміщували публічний ключ безпосередньо в мережі. У поєднанні з повторним використанням адрес і гаманцями Taproot (які також відкривають ключі), це залишає потенційно величезну поверхню вразливості для Bitcoin — оцінки говорять про мільйони BTC вартістю десятки мільярдів доларів, які, ймовірно, залишаться невикористаними через неактивних власників.

Коли з’являться квантові комп’ютери, атаки не будуть одночасними. Зловмисники вибірково цілитимуться у високовартісні, відкриті адреси. Користувачі, що уникають повторного використання адрес і не використовують Taproot, мають додатковий захист: їхні публічні ключі залишаються прихованими за хеш-функціями до моменту витрат. Це створює реальний час гонки між легітимною витратою і квантовим зломщиком. Але справді застарілі монети з відкритими ключами не мають такого захисту.

Управлінська проблема переважає технічну. Bitcoin змінюється повільно. Реалізація скоординованої міграції, здобуття консенсусу спільноти і обробка транзакцій на мільярди доларів через мережу з обмеженою пропускною здатністю потребують років планування. Деякі пропозиції передбачають “маркування і знищення” — коли невідмірковані вразливі монети стають власністю спільноти. Інші ставлять питання, чи зломщики з квантовими можливостями, що проникають у гаманці без легітимних ключів, можуть нести юридичну відповідальність.

Це не проблеми квантових обчислень; це соціальні, правові та логістичні виклики, які потрібно вирішувати зараз, хоча квантові комп’ютери ще десятиліття у майбутньому. Вікно для планування і реалізації рішень у Bitcoin закривається набагато швидше, ніж розповсюджені терміни загрози квантових технологій.

Пост-квантові підписи: потужні, але ще не готові

Якщо потрібно впроваджувати пост-квантові підписи, чому не зробити це швидко? Тому що сучасні схеми пост-квантових підписів ще незрілі, складні і мають ризики реалізації, що значно перевищують віддалену квантову загрозу.

NIST нещодавно стандартизував п’ять основних категорій пост-квантових схем: на основі хеш-функцій, кодування, решіткові, багатоваріантні квадратичні та ізогенії. Це фрагментація відображає реальну проблему безпеки: структуровані математичні задачі забезпечують кращу продуктивність, але створюють більшу поверхню для атак. Обережний, неструктурований підхід (хеш-основні підписи) є найнадійнішим, але працює погано. Решіткові схеми пропонують компроміс — вони є пріоритетом NIST — але з серйозними компромісами.

Вартість продуктивності є суттєвою:

• Хеш-основні підписи (стандарт NIST): 7-8 КБ на підпис (проти 64 байт для ECDSA) — приблизно у 100 разів більше
• Решіткові ML-DSA (вибір NIST): 2.4-4.6 КБ на підпис — у 40-70 разів більше за ECDSA
• Falcon: трохи менше (666 байт до 1.3 КБ), але з постійним часом плаваючих точок, що його автор, Томас Порнин, назвав “найскладнішим криптографічним алгоритмом, який я коли-небудь реалізовував”

Складність реалізації створює негайні ризики. ML-DSA вимагає обережної обробки чутливих проміжних даних і складної логіки відхилення. Falcon з його операціями з плаваючою точкою важко реалізувати безпечно; кілька реалізацій Falcon зазнали атак через витік інформації.

Історія дає гіркі уроки. Провідні кандидати у пост-квантові схеми, як Rainbow (на основі MQ) і SIKE/SIDH (на основі ізогенії), були зламані класично — за допомогою сучасних комп’ютерів — дуже пізно у процесі стандартизації NIST. Це коректна наука, але вона показує, що передчасне впровадження незрілих схем створює негайні, конкретні ризики.

Підхід інтернет-інфраструктури до міграції підписів відображає цю обережність. Перехід від застарілих MD5 і SHA-1 тривав багато років, навіть попри їхню повну зломаність. Впровадження нових, складних, пост-квантових схем у критичну інфраструктуру потребує часу з хороших причин.

Блокчейни мають додаткову складність. Ethereum і подібні мережі можуть мігрувати швидше, ніж традиційна інфраструктура, але обмеження Bitcoin і необхідність активної міграції користувачів ускладнюють ситуацію. Крім того, специфічні вимоги до підписів у блокчейнах — особливо швидка агрегація підписів для масштабування — ще не мають зрілих пост-квантових рішень. BLS-підписи дозволяють швидку агрегацію сьогодні, але жодної готової до виробництва пост-квантової альтернативи наразі немає.

Більша, ближча загроза: помилки реалізації перемагають квантові комп’ютери

Поки криптоспільнота обговорює терміни появи пост-квантових технологій, більш нагальною є проблема — помилки реалізації і атаки через побічні канали.

Для складних криптографічних примітивів, таких як zkSNARKs (для приватності і масштабування), баги у програмах — величезна вразливість. zkSNARKs у сотні разів складніші за підписи; вони фактично намагаються довести обчислювальні твердження. Помилки тут можуть повністю зламати безпеку. Індустрія витратить роки на виявлення і виправлення тонких недоліків реалізації.

Пост-квантові підписи несуть ризики побічних каналів і інжекції збоїв: атаки за часом, аналіз потужності, електромагнітні витоки і фізичне введення збоїв, що успішно витягують секретні ключі з розгорнутих систем. Ці атаки добре зрозумілі і практичні — не теоретичні, як криптоаналіз із застосуванням квантових технологій.

Це створює жорстоку іронію: поспішне впровадження пост-квантових підписів раніше часу вводить негайні вразливості у реалізацію, водночас захищаючись від загроз, що з’являться через десятиліття. Поточні пріоритети безпеки мають зосередитися на аудитах, fuzzing, формальній верифікації і багаторівневих захистах для зменшення ризиків реалізаційних помилок.

Сім практичних рекомендацій до 2026 року

1. Вже зараз впроваджуйте гібридне шифрування (якщо важлива довгострокова секретність). Поєднуйте класичне (X25519) і пост-квантове (ML-KEM) шифрування. Це захищає від HNDL, зберігаючи резервний захист. Браузери, CDN і месенджери вже це роблять; блокчейни з довгостроковою конфіденційністю мають наслідувати.

2. Використовуйте хеш-основні підписи для оновлень з низькою частотою. Оновлення програмного забезпечення і прошивок, що допускають більші розміри підписів, мають негайно перейти на гібридні хеш-основні підписи. Це забезпечує консервативний рівень безпеки і практичний “рятувальний круг” у разі несподівано слабких схем.

3. Блокчейни мають планувати, але не поспішати з впровадженням пост-квантових підписів. Починайте архітектурне переосмислення вже зараз для обробки більших підписів і розробки кращих методів агрегації. Не впроваджуйте незрілі схеми раніше часу; дозвольте стандартам пост-квантових схем дозріти і виявити ризики реалізації.

4. Bitcoin потребує негайного управлінського планування (не впровадження). Визначте шляхи міграції, політики спільноти щодо залишених вразливих квантових коштів і реалістичні терміни. Управління Bitcoin і обмежена пропускна здатність мережі вимагають багаторічного планування перед загрозою квантових комп’ютерів.

5. Конфіденційні мережі мають пріоритетно готуватися до більш ранніх пост-квантових переходів. Monero, Zcash і подібні проекти справді стикаються з HNDL-експозицією. Якщо збереження історичної приватності важливе, перехід на пост-квантові примітиви або архітектурні зміни має бути вищим пріоритетом, ніж для мереж без приватності.

6. Інвестуйте у безпечну криптографію вже зараз, а не у квантову пізніше. Аудит zkSNARKs, виправлення багів, формальна верифікація і захист від атак через побічні канали — це набагато більш актуальні ризики, ніж квантові комп’ютери.

7. Фінансуйте дослідження квантових обчислень і залишайтеся критично поінформованими. Національна безпека США залежить від лідерства у квантових технологіях. Коли з’являться новини про квантові прориви — і вони з’являться, — сприймайте їх як звіти про прогрес, що потребують оцінки, а не як привід для негайних дій.

Шлях уперед: терміновість у відповідності до реальності

Загроза квантів для блокчейну реальна, але спотворені терміни породили контрпродуктивну паніку. HNDL-атаки виправдовують термінове впровадження пост-квантового шифрування для довгострокової конфіденційності. Ризики підробки підписів вимагають серйозного планування, але не поспішати з незрілими рішеннями.

Алгоритм Гровера, попри свою квантову швидкість, не становить екзистенційної загрози Proof-of-Work. Випробування Bitcoin зумовлені управлінням і координацією, а не зломом квантовими комп’ютерами. Помилки реалізації і атаки через побічні канали створюють набагато більші негайні ризики, ніж криптоаналіз через десятиліття.

Стратегія має бути тонкою: вже зараз впроваджуйте гібридне шифрування, дозвольте пост-квантовим підписам дозріти через обережне планування, пріоритетно переходьте на приватні мережі і активно інвестуйте у безпекові заходи. Такий підхід враховує невизначеність: якщо прориви у квантових технологіях прискоряться, ці заходи забезпечать захист; якщо терміни відсунуться — команди уникнуть закріплення за субоптимальними рішеннями.

Квантові обчислення змінять криптографію. Питання у тому, чи blockchain реагуватиме з терміновістю, що відповідає реальним загрозам, чи з панікою, яка створить гірші вразливості, ніж сама загроза.