Угрозы квантовых вычислений для блокчейна: отделение реальных рисков от хайпа

Обсуждение квантовых вычислений в контексте безопасности блокчейна стало все более искаженным. Хотя угроза реальна, временные рамки значительно неправильно понимаются, а настоящая срочность обусловлена не развитием квантовых машин, а ограничениями в управлении блокчейном и инженерной сложности. Тщательный анализ показывает, что большинство блокчейнов сталкиваются с принципиально разными рисками в зависимости от их криптографической архитектуры, и поспешные решения в области постквантовых технологий могут привести к более немедленным опасностям, чем отдаленная квантовая угроза.

Реальность временных рамок: почему криптографически релевантные квантовые компьютеры остаются за десятилетия

Несмотря на широко распространенные опасения, криптографически релевантный квантовый компьютер (CRQC)—тот, который способен масштабировать алгоритм Шора для взлома RSA или эллиптических кривых—крайне маловероятно появится до 2030 года. Современные платформы квантовых вычислений, будь то на основе захваченных ионов, сверхпроводящих кубитов или нейтральных атомов, пока далеки от сотен тысяч или миллионов физических кубитов, необходимых для таких атак, не говоря уже о тысячах высококачественных, отказоустойчивых логических кубитов, необходимых для криптоанализа.

Ограничения выходят далеко за рамки количества кубитов. Точность гейтов, связность кубитов и глубина ошибок-коррекции — все это остаются серьезными узкими местами. Хотя некоторые системы уже превышают 1000 физических кубитов, большинство из них не обладают необходимой связностью и точностью гейтов для значимых криптографических вычислений. Ни одна система пока не продемонстрировала ошибко-корректирующие цепи с более чем несколькими логическими кубитами — что значительно меньше тысяч, необходимых для полноценного выполнения криптоанализа.

Публичные заявления часто искажают реальность. Утверждения о «квантовом преимуществе» обычно связаны с искусственными бенчмарками, специально подобранными для работы на существующем оборудовании и создающими впечатление высокой скорости. Термин «логический кубит» был растянут до неузнаваемости: некоторые компании утверждают, что реализовали логические кубиты всего на двух физических кубитах с помощью кодов исправления ошибок расстояния 2. Это научно необоснованно — коды расстояния 2 могут только обнаруживать ошибки, но не исправлять их. Алгоритм Шора требует сотни или тысячи физических кубитов на один логический кубит.

Даже амбициозные оптимисты в области признают разрыв. Когда пионер квантовых вычислений Скотт Ааронсон предположил, что отказоустойчивый квантовый компьютер, выполняющий алгоритм Шора, может появиться до следующего президентского выборов в США, он явно уточнил, что это не будет криптографическим прорывом — даже факторизация числа 15 считается значительным достижением, что в разы проще, чем взлом реальной криптографии.

Пока квантовые системы не достигнут нескольких порядков улучшений как по количеству кубитов, так и по точности, квантовые вычисления, релевантные для шифрования, останутся перспективой на десятилетия. Дедлайн правительства США на 2035 год для перехода к постквантовым технологиям отражает разумные сроки для масштабных переходов, а не предсказание, что квантовые угрозы появятся к тому времени.

Понимание дифференциальной угрозы: атаки HNDL против подделки подписей

Ландшафт квантовой угрозы значительно различается в зависимости от того, связаны ли криптографические функции с шифрованием или с цифровыми подписями — это различие часто искажается в популярной дискуссии.

Атаки Harvest-Now-Decrypt-Later (HNDL) представляют собой реальную угрозу для зашифрованных данных. Агенты с ресурсами государственных структур уже архивируют зашифрованные коммуникации, надеясь на возможность расшифровки, когда квантовые компьютеры достигнут зрелости. Эта угроза оправдывает немедленное внедрение постквантового шифрования: чувствительные данные, зашифрованные сегодня, могут оставаться ценными десятилетия. Крупные технологические платформы уже это осознали: Chrome, Cloudflare, iMessage от Apple и Signal используют гибридные схемы шифрования, сочетающие постквантовые алгоритмы (например, ML-KEM) с классической криптографией (например, X25519).

Цифровые подписи, однако, представляют принципиственно иной профиль риска. Блокчейны используют подписи для авторизации транзакций, а не для сокрытия секретов. Подпись, созданная сегодня, даже если она опубликована в публичном блокчейне, не может быть ретроспективно подделана после появления квантовых компьютеров — она уже была проверена сетью. В отличие от зашифрованных сообщений, которые могут быть расшифрованы через годы, подписи не скрывают секреты, которые можно извлечь в будущем.

Это объясняет, почему утверждение Федеральной резервной системы о том, что Bitcoin подвержен уязвимости HNDL, является фактически неверным. Блокчейн Bitcoin публичен; угроза квантовой подделки подписей позволяет злоумышленникам извлекать приватные ключи и красть средства. Это принципиственно иной риск, требующий иной срочности.

Блокчейны, ориентированные на приватность, — исключение. Такие цепочки, как Monero, шифруют детали транзакций или скрывают информацию о получателях. После взлома эллиптических кривых криптографий, эта историческая приватность исчезнет. В частности, злоумышленники смогут ретроспективно восстановить всю структуру расходов из публичного реестра. Эти цепочки должны приоритетно переходить к постквантовым схемам или переосмысливать архитектуру, чтобы не размещать на цепи секреты, подлежащие расшифровке.

Bitcoin и настоящая срочность: управление, а не временные рамки квантов

Уязвимость Bitcoin к квантам обусловлена технологическим наследием, а не неминуемыми квантовыми угрозами. В ранних транзакциях Bitcoin использовались выходы pay-to-public-key (P2PK), что прямо раскрывает публичные ключи в цепи. В сочетании с повторным использованием адресов и использованием Taproot (который также раскрывает публичные ключи), значительная часть циркулирующих Bitcoin — это цели для квантовых злоумышленников, по оценкам аналитиков, миллионы монет на сотни миллиардов долларов.

Однако эта уязвимость развивается постепенно, а не катастрофически. Алгоритм Шора не может одновременно взломать все подписи; злоумышленники должны целенаправленно атаковать отдельные публичные ключи по одному. Ранние квантовые атаки будут чрезвычайно дорогими, нацеливаясь только на крупные кошельки. Пользователи, избегающие повторного использования адресов и не раскрывающие публичные ключи через Taproot — скрывая их за хэшами до расходования — сохраняют значительную защиту даже без обновлений протокола.

Настоящая квантовая проблема Bitcoin связана с управлением и логистикой координации. В отличие от быстро обновляемых платформ с активной командой разработчиков, Bitcoin меняется медленно и с разногласиями. Более того, миграция на постквантовые подписи не может быть пассивной: владельцы должны активно переводить свои монеты на новые квантобезопасные адреса. Это создает проблему начальной загрузки — те же ограничения пропускной способности сети, которые делают Bitcoin ценным для расчетов, также затрудняют миграцию миллиардов уязвимых средств.

При текущей пропускной способности транзакций даже при согласии сообщества на пути миграции завтра, перемещение всех уязвимых средств займет месяцы непрерывной работы. Решения второго уровня и другие инновации могут со временем улучшить ситуацию, но именно управление и архитектура определяют срочность в вопросе квантовых угроз, а не развитие квантовых технологий.

Стоимость производительности и безопасности постквантовых подписей

Современные схемы постквантовых подписей вводят серьезные компромиссы, оправдывающие осторожность при раннем внедрении. Пять основных подходов — хэш-основанные, решетчатые, мультвариантные квадратичные, изогонные и кодовые — отражают фундаментальные торговые отношения между предположениями о безопасности и практической производительностью.

Хэш-основанные подписи — наиболее консервативный подход к безопасности. Исследователи имеют наибольшую уверенность, что квантовые компьютеры не смогут эффективно их взломать. Однако стандартизированные схемы на основе хэшей очень велики: даже с минимальными параметрами они достигают 7-8 килобайт. Современные эллиптические кривые подписи — всего 64 байта, что примерно в 100 раз меньше.

Решетчатые схемы доминируют в текущих дискуссиях о стандартизации, поскольку NIST выбрал их для стандартизации. ML-DSA (ранее Dilithium) создает подписи от 2.4 КБ при 128-битной безопасности до 4.6 КБ при 256-битной — примерно в 40–70 раз больше, чем современные эллиптические подписи. Falcon предлагает чуть меньшие подписи (от 666 байт до 1.3 КБ), но включает сложные операции с плавающей точкой, что NIST отмечает как проблему реализации. Создатель Falcon назвал его «самым сложным криптографическим алгоритмом, который я когда-либо реализовывал».

Риски реализации усугубляют эти показатели. ML-DSA требует сложных мер защиты от сторонних каналов и ошибок, из-за чувствительных промежуточных данных и логики отклонения. Falcon, с его требованиями к постоянному времени выполнения операций с плавающей точкой, оказалась особенно сложной: многочисленные атаки на реализации Falcon успешно извлекали секретные ключи из развернутых систем. Эти немедленные уязвимости представляют больший риск, чем отдаленные квантовые компьютеры.

История дает уроки. Известные кандидаты в постквантовые схемы, такие как Rainbow и SIKE/SIDH, были взломаны классическими компьютерами — не квантовыми — очень поздно в процессе стандартизации NIST. Раннее стандартизация и внедрение оказались контрпродуктивными. В качестве сравнения, инфраструктуре интернета потребовались годы для миграции с устаревших алгоритмов MD5 и SHA-1, несмотря на их очевидную уязвимость. Спешка с внедрением постквантовых подписей может привести к аналогичным неудачам.

Почему майнинг Bitcoin противостоит квантовому ускорению: ограничение Гровера

Ключевое недоразумение — путать квантовые угрозы криптографической безопасности Bitcoin с угрозами его экономической безопасности через Proof-of-Work. Это совершенно разные векторы атаки с кардинально разной реализуемостью.

Механизм консенсуса PoW в Bitcoin основан на хэш-функциях, а не на криптографических примитивах, уязвимых к алгоритму Шора. Квантовые компьютеры дают ускорение только через алгоритм Гровера, который обеспечивает квадратичное, а не экспоненциальное, ускорение. Хотя алгоритм Гровера теоретически удваивает стоимость перебора, практические накладные расходы делают маловероятным, что любой квантовый компьютер сможет добиться даже скромных ускорений в системе PoW Bitcoin.

Даже если квантовые майнеры достигнут значительных ускорений за счет Гровера, это даст им преимущество над меньшими классическими майнерами, но не подорвет фундаментально экономическую безопасность Bitcoin. Механизм консенсуса остается защищенным теми же принципами, что и при классической оптимизации: распределенная вычислительная сложность масштабируется с мощностью сети независимо от ее источника. Квантовый злоумышленник просто станет еще одним участником майнинга, пусть и более эффективным, но не сможет односторонне контролировать сеть без большинства хэшрейта.

Это различие имеет огромное значение. Уязвимость подписи Bitcoin в принципе могла бы позволить выборочно похищать средства с определенных адресов высокой стоимости. Безопасность майнинга Bitcoin, напротив, просто не может быть взломана квантовыми компьютерами в значимой степени.

Специфические для блокчейна проблемы реализации

Блокчейны сталкиваются с уникальными задачами миграции, отличными от традиционной интернет-инфраструктуры. В то время как Ethereum и Solana могут обновляться быстрее, чем устаревшие сети, они лишены преимуществ регулярной ротации ключей, которые защищают традиционные системы. В интернете ключи меняются часто, что создает динамическую мишень, которую ранние квантовые атаки не смогут быстро отследить. В блокчейнах адреса и ключи могут сохраняться бесконечно, создавая статические цели.

Кроме того, блокчейны предъявляют особые криптографические требования. Многие современные системы используют подписи BLS для быстрого агрегирования, что позволяет эффективные протоколы консенсуса. Пока ни одна постквантовая схема не обеспечивает такую же эффективность агрегирования. Исследователи изучают подходы на базе SNARK, но эти работы находятся на ранней стадии. Для приватных нулевых знаний (SNARKs) хэш-структуры сейчас лидируют как постквантовые варианты, хотя решения на основе решеток могут стать конкурентоспособными.

Переход на ранних стадиях рискует зафиксировать систему на субоптимальных решениях. Если после внедрения появится более эффективная постквантовая схема или обнаружатся критические уязвимости, потребуется дорогостоящая повторная миграция. Аналогичные процессы происходили при миграции стандартов криптографии, и повторение этого сценария возможно и в случае постквантовых примитивов.

Ближайшие угрозы безопасности важнее, чем квантовые опасения

Наиболее актуальные риски для безопасности блокчейнов в ближайшие годы связаны не с квантовыми компьютерами, а с ошибками реализации и процедурными ошибками. Атаки через сторонние каналы, ошибки при внедрении и тонкие баги в сложных криптографических кодах представляют более немедленную и вероятную угрозу, чем квантовые компьютеры.

Для сложных примитивов, таких как SNARK, уязвимость чаще всего связана с ошибками в реализации. Сравнение цифровой подписи и SNARK подчеркивает разницу в сложности: подписи — простые доказательства контроля ключа и авторизации действия, а SNARKи должны доказывать произвольные вычисления, что увеличивает поверхность атак. Криптографическое сообщество будет годами выявлять и исправлять тонкие уязвимости в производственных реализациях SNARK.

Аналогично, постквантовые подписи требуют строгой реализации. Атаки через сторонние каналы, позволяющие извлекать секретные ключи из развернутых систем, хорошо задокументированы и активно исследуются. Эти векторы атак — доказанные угрозы, тогда как квантовые компьютеры пока остаются теоретическими.

Соответственно, приоритетами безопасности должны стать аудит, формальная проверка, fuzzing и многоуровневая защита. Инвестиции в поиск и устранение ошибок дают более быстрый эффект, чем преждевременная миграция на постквантовые схемы.

Рекомендации для заинтересованных сторон: семь конкретных действий

Учитывая сложность рисков, разные участники должны принимать сбалансированные меры, сочетающие подготовку к квантовым угрозам с текущими задачами безопасности:

Немедленно внедряйте гибридное шифрование для долгосрочной конфиденциальности. Системам, требующим конфиденциальности на десятилетия, следует реализовать гибридные схемы, сочетающие постквантовые и классические алгоритмы. Это защитит от атак HNDL и сохранит безопасность, если постквантовые схемы окажутся слабее ожидаемого. Многие платформы уже продемонстрировали техническую реализуемость.

Используйте хэш-основанные подписи для сценариев с низкой частотой и без учета размера. Обновления программного обеспечения, прошивки и другие редкие операции должны сразу внедрять гибридные хэш-основанные подписи. Такой консервативный подход обеспечивает надежную защиту в случае более раннего появления квантовых компьютеров. Также он решает проблему начальной загрузки: после квантового кризиса нужны надежные каналы распространения постквантовых исправлений.

Начинайте планировать миграцию блокчейна уже сейчас, но избегайте спешки. Разработчики блокчейнов должны следовать взвешенному подходу, аналогичному традиционной интернет-инфраструктуре, давая постквантовым схемам время для развития и повышения безопасности. Это позволит переосмыслить архитектуру для поддержки больших подписей и разработать более эффективные методы агрегирования.

Для Bitcoin — определить политику миграции для заброшенных уязвимых к квантам средств. Управление и координация в Bitcoin требуют немедленного планирования. Сообщество должно решить, будут ли заброшенные уязвимые к квантам монеты объявлены уничтоженными, изъяты или обработаны иным образом. Неясности в правовом статусе «устаревших» адресов требуют ясности.

Приоритетно переходите на постквантовые схемы в цепочках с повышенной приватностью, где позволяют показатели производительности. Цепочки, ориентированные на приватность, сталкиваются с реальными рисками HNDL и должны ускорить миграцию на постквантовые или гибридные схемы, если это возможно по производительности.

Инвестируйте сейчас в аудит, формальную проверку и защиту реализации. Направляйте ресурсы на поиск ошибок, предотвращение атак через сторонние каналы и внедрение многоуровневых мер безопасности. Эти усилия дают более быстрый эффект, чем ранняя миграция на постквантовые схемы.

Поддерживайте исследования квантовых вычислений и критически оценивайте анонсы. Продолжайте финансировать развитие квантовых технологий, чтобы не допустить, чтобы злоумышленники опередили в области криптоанализа. В то же время относитесь к пресс-релизам о квантовых вычислениях как к отчетам о прогрессе, требующим критической оценки, а не к сигналам для срочных действий. Каждый такой анонс — лишь одна из многих «мостов» к криптоанализу; гораздо больше прогресса еще предстоит.

Угрозы квантовых вычислений для блокчейна реальны, но далеки. Срочные задачи — это управление, безопасность реализации и долгосрочное планирование, а не преждевременный переход к незрелым постквантовым схемам. Осознавая эту разницу, участники смогут строить действительно безопасные системы и избегать паники и неэффективных решений.