Загрози квантових обчислень для блокчейну: відрізняємо реальні ризики від хайпу

Наратив навколо квантових обчислень у контексті безпеки блокчейну стає все більш спотвореним. Хоча загроза є реальною, часові рамки значно неправильно зрозумілі, а справжня терміновість походить не від розвитку квантових машин, а від обмежень у управлінні блокчейном та інженерної складності. Уважний аналіз показує, що більшість блокчейнів стикається з принципово різними ризиками залежно від їх криптографічної архітектури, і поспішне впровадження пост-квантових рішень може створити більш негайні загрози, ніж віддалена квантова загроза.

Реальність часових рамок: чому криптографічно релевантні квантові комп’ютери залишаються за десятки років

Незважаючи на поширену тривогу, криптографічно релевантний квантовий комп’ютер (CRQC)—той, що здатен масштабно запускати алгоритм Шора для зламу RSA або криптографії на еліптичних кривих—залишається надзвичайно малоймовірним до 2030 року. Поточні платформи квантових обчислень, незалежно від того, чи базуються вони на захоплених іонах, надпровідних кубітах або нейтральних атомах, не наближаються до сотень тисяч або мільйонів фізичних кубітів, необхідних для таких атак, не кажучи вже про тисячі високоточних, відмовостійких логічних кубітів, потрібних для криптоаналізу.

Обмежуючі фактори виходять далеко за межі кількості кубітів. Точність гейтів, зв’язність кубітів і глибина схем корекції помилок залишаються суттєвими вузькими місцями. Хоча деякі системи вже перевищують 1000 фізичних кубітів, більшість із них не мають достатньої зв’язності та точності гейтів для значущих криптографічних обчислень. Жодна система ще не продемонструвала схем корекції помилок з більш ніж кількома логічними кубітами—далеко від тисяч, необхідних для криптоаналізу.

Публічні оголошення часто спотворюють реальність. Заяви про «квантову перевагу» зазвичай стосуються штучних бенчмарків, обраних спеціально для роботи на існуючому обладнанні і для створення враження значних швидкостей. Термін «логічний кубіт» був розтягнутий понад міру: деякі компанії стверджують, що реалізували логічні кубіти всього з двох фізичних кубітів за допомогою кодів корекції помилок з відстанню 2. Це науково необґрунтовано—коди з відстанню 2 можуть лише виявляти помилки, але не виправляти їх. Алгоритм Шора вимагає сотні або тисячі фізичних кубітів на один логічний.

Навіть амбітні оптимісти у галузі визнають цю різницю. Коли піонер квантових обчислень Скотт Ааронсон припустив, що квантовий комп’ютер з корекцією помилок, що виконує алгоритм Шора, може з’явитися до наступних президентських виборів у США, він чітко підкреслив, що це не буде криптографічним проривом—навіть факторизація числа 15 вважається значним досягненням, що є тривіально простим порівняно з розбиттям реальної криптографії.

Якщо системи квантових обчислень не досягнуть кількох порядків покращення у кількості кубітів і точності, криптографічно релевантні квантові обчислення залишатимуться перспективою на кілька десятиліть. Дедлайн уряду США 2035 року для переходу на пост-квантові алгоритми відображає розумний часовий графік для масштабних переходів, а не передбачення, що квантові загрози з’являться раніше.

Розуміння диференційованої загрози: атаки HNDL проти підробки підписів

Ландшафт квантових загроз суттєво відрізняється залежно від того, чи криптографічні функції включають шифрування чи цифрові підписи—цей різновид часто плутають у популярних дискусіях.

Атаки Harvest-Now-Decrypt-Later (HNDL) є справжньою загрозою для зашифованих даних. Ворожі держави вже архівують зашифровані комунікації, розраховуючи на можливість розшифрувати їх, коли квантові комп’ютери стануть достатньо потужними. Ця загроза виправдовує негайне впровадження пост-квантового шифрування: чутливі дані, зашифровані сьогодні, можуть залишатися цінними десятиліттями. Великі технологічні платформи вже це врахували: Chrome, Cloudflare, iMessage від Apple і Signal використовують гібридні схеми шифрування, поєднуючи пост-квантові алгоритми (наприклад, ML-KEM) із класичною криптографією (наприклад, X25519).

Цифрові підписи, однак, мають принципово інший профіль ризиків. Блокчейни використовують підписи для авторизації транзакцій, а не для приховування секретів. Підпис, створений сьогодні, навіть якщо він оприлюднений у публічному блокчейні, не може бути ретроспективно підроблений, коли з’являться квантові комп’ютери—адже він уже був підтверджений мережею. На відміну від зашифрованих повідомлень, які можна розшифрувати через роки, підписи не приховують секретів, які можна витягти за допомогою майбутніх обчислень.

Це пояснює, чому заява Федерального резерву про те, що Bitcoin стикається з уразливістю HNDL, є хибною. Блокчейн Bitcoin є публічним; квантова загроза полягає у підробці підписів, що дозволяє зловмисникам отримати приватні ключі і красти кошти. Це принципово інший ризик, що вимагає принципово іншої терміновості.

Блокчейни, орієнтовані на приватність, є винятком. Такі, як Monero, шифрують деталі транзакцій або приховують інформацію про отримувача. Після зломів еліптичної кривої криптографії ця історична приватність зникне. Зокрема, у Monero зловмисники зможуть ретроспективно відновити весь графік витрат із публічного реєстру. Ці ланцюги мають пріоритетно переходити на пост-квантову криптографію або перепроектувати архітектуру, щоб уникнути зберігання розкриваючих секретів у мережі.

Bitcoin і справжня терміновість: управління, а не часові рамки квантів

Уразливість Bitcoin до квантових обчислень виникає через технологічну спадщину, а не через невідкладні квантові загрози. Перші транзакції Bitcoin використовували pay-to-public-key (P2PK) виходи, що безпосередньо розкривали публічні ключі в мережі. У поєднанні з повторним використанням адрес і використанням Taproot (який також відкриває публічні ключі), значна частина циркулюючих Bitcoin становить ціль для квантових зловмисників—за оцінками, мільйони монет вартістю десятки мільярдів доларів.

Однак ця уразливість розвивається поступово, а не катастрофічно. Алгоритм Шора не може одночасно зламати всі підписи; зловмисники повинні цілеспрямовано атакувати окремі публічні ключі по одному. Перші квантові атаки будуть надто дорогими і торкнуться лише високовартісних гаманців. Користувачі, що уникають повторного використання адрес і не розкривають публічні ключі через Taproot—зберігаючи їх прихованими за хеш-функціями до моменту витрат—зберігають значний рівень захисту навіть без оновлень протоколу.

Реальна квантова проблема Bitcoin полягає у управлінні та логістиці координації. На відміну від швидко оновлюваних платформ із активною командою розробників, зміни у Bitcoin відбуваються повільно і суперечливо. Більш того, міграція підписів на пост-квантові не може бути пасивною: власники повинні активно переносити свої монети на нові адреси, захищені від квантів. Це створює проблему запуску—ті ж обмеження пропускної здатності мережі, що роблять Bitcoin цінним для розрахунків, також ускладнюють міграцію мільярдів уразливих коштів.

За поточної пропускної здатності транзакцій навіть за умови, що спільнота погодиться на міграційні шляхи завтра, переміщення всіх уразливих коштів займе місяці безперервної обробки. Мережеві рішення другого рівня та інновації потенційно покращать цю ситуацію, але саме це підкреслює, що терміновість у квантовій безпеці Bitcoin походить від управління і архітектури, а не від розвитку квантових технологій.

Вартість продуктивності та безпеки пост-квантових підписів

Поточні схеми пост-квантових підписів вводять серйозні компроміси, що виправдовують обережність щодо їх раннього впровадження. П’ять основних підходів—хеш-орієнтовані, решіткові, багатоваріантні квадратичні, ізогонні та кодові—відображають фундаментальні балансування між припущеннями щодо безпеки та практичною продуктивністю.

Хеш-орієнтовані підписи є найконсервативнішим підходом до безпеки. Дослідники мають найвищу впевненість, що квантові комп’ютери не зможуть ефективно їх зламати. Однак стандартизовані схеми на основі хеш-функцій дуже великі: навіть із мінімальними параметрами вони досягають 7-8 кілобайтів. Сучасні підписи на еліптичних кривих мають лише 64 байти—приблизно у 100 разів менше.

Решіткові схеми домінують у дискусіях щодо впровадження, оскільки NIST обрав їх для стандартизації. ML-DSA (раніше Dilithium) дає підписи від 2.4 кБ при 128-бітній безпеці до 4.6 кБ при 256-бітній—приблизно у 40-70 разів більші за сучасні підписи на еліптичних кривих. Falcon пропонує трохи менші підписи (666 байт до 1.3 кБ), але включає складні операції з плаваючою точкою, які NIST позначає як виклики для реалізації. Створювач Falcon назвав його «найскладнішим криптографічним алгоритмом, який я коли-небудь реалізовував».

Ризики реалізації посилюють ці проблеми з продуктивністю. ML-DSA вимагає складних захистів від сторонніх каналів і помилок через чутливі проміжні дані та логіку відхилення. Falcon із постійним часом виконання операцій з плаваючою точкою виявився особливо складним: кілька атак через сторонні канали вдалося успішно застосувати для вилучення секретних ключів із систем, що вже працюють. Ці вразливості створюють більший ризик, ніж віддалені квантові комп’ютери.

Історія дає застереження. Відомі пост-квантові кандидати, такі як Rainbow і SIKE/SIDH, були зламані за допомогою класичних комп’ютерів—не квантових—дуже пізно у процесі стандартизації NIST. Передчасне стандартизація і впровадження виявилися контрпродуктивними. Інтернет-інфраструктура, наприклад, потребувала багато років для міграції з зламаних алгоритмів, таких як MD5 і SHA-1, незважаючи на їхню відомість і вразливість сучасним комп’ютерам. Поспішна впровадження пост-квантових підписів може спричинити подібні невдачі.

Чому майнінг Bitcoin протистоїть квантовому прискоренню: обмеження Гровера

Ключове непорозуміння полягає у тому, що квантові загрози криптографічній безпеці Bitcoin і загрози його економічній безпеці через Proof-of-Work (PoW) є різними векторами атак із кардинально різною реалізовністю.

Механізм консенсусу PoW Bitcoin базується на хеш-функціях, а не на криптографічних примітивах, вразливих до алгоритму Шора. Квантові комп’ютери дають прискорення лише через алгоритм Гровера, який забезпечує квадратичне, а не експоненційне, прискорення. Хоча теоретично Гровер подвоює вартість брутфорс-атак, практичні накладні витрати на його реалізацію роблять малоймовірним досягнення навіть скромних прискорень у системі PoW Bitcoin.

Навіть якщо квантові майнери отримають значне прискорення за допомогою Гровера, це дасть їм перевагу над меншими класичними майнерами, але не підриватиме фундаментально економічну безпеку Bitcoin. Механізм консенсусу залишається захищеним тими ж принципами, що й у класичних умовах: розподілена обчислювальна складність зростає з потужністю мережі незалежно від її джерела. Квантовий зловмисник стане ще одним учасником мережі майнінгу, але більш ефективним, і не зможе односторонньо контролювати мережу без переважної частки хешрейту.

Ця різниця має глибоке значення. Уразливість підписів Bitcoin могла б, теоретично, дозволити цілеспрямоване викрадення коштів із високовартісних адрес. Безпека майнінгу Bitcoin, навпаки, просто не може бути зламаною квантовими комп’ютерами у будь-якому значущому масштабі.

Специфічні виклики реалізації у блокчейнах

Блокчейни стикаються з унікальними викликами міграції, що відрізняються від традиційної інтернет-інфраструктури. Хоча Ethereum і Solana можуть оновлюватися швидше, ніж застарілі мережеві системи, вони позбавлені переваг ключової ротації, які захищають традиційні системи. Інтернет-інфраструктура регулярно оновлює ключі, швидше за цільові атаки, що ускладнює їхню перехоплюваність. Блокчейни, навпаки, можуть зберігати адреси і ключі безстроково, створюючи статичні цілі.

Крім того, блокчейни мають унікальні криптографічні вимоги. Багато сучасних систем використовують BLS-підписи для швидкої агрегації, що дозволяє ефективні протоколи консенсусу. Жодна пост-квантова схема наразі не забезпечує таку ж ефективність агрегації. Досліджуються підходи на основі SNARK, але вони ще на ранніх стадіях. Для приватних нуль-знань (SNARKs) наразі переважають хеш-структури, хоча решіткові альтернативи можуть стати конкурентоспроможними.

Перехід у ранніх стадіях ризикує зафіксувати мережу на субоптимальних рішеннях. Якщо з’явиться краща пост-квантова схема після впровадження або будуть виявлені критичні вразливості, довгострокові витрати на повторні міграції зростуть. Це вже траплялося з міграцією криптографічних стандартів і може повторитися з пост-квантовими примітивами.

Негайна безпека у майбутньому: більше терміновості, ніж квантові загрози

Найбільші ризики безпеки блокчейнів у найближчі роки походять не від квантових комп’ютерів, а від помилок у реалізації та процедурних недоліків. Атаки через сторонні канали, помилки у криптографічному коді і тонкі баги є більш ймовірними і негайними загрозами, ніж квантові обчислення.

Для складних примітивів, таких як SNARK, головною вразливістю є помилки у реалізації. Порівняння цифрового підпису з SNARK підкреслює різницю у складності: підпис—це простий доказ контролю ключа і авторизації дії, тоді як SNARK має довільні обчислення, що створює набагато більшу площу для атак. Криптоспільнота витратить роки на виявлення і виправлення тонких вразливостей у виробничих реалізаціях SNARK.

Пост-квантові підписи також вимагають суворої реалізації. Атаки через сторонні канали, здатні вилучити секретні ключі з систем, добре задокументовані і активно досліджуються. Ці вектори атак є більш реальними, ніж теоретична можливість зламу квантовими комп’ютерами.

Тому пріоритетами безпеки мають бути аудит, формальна верифікація, fuzzing і багатошаровий захист. Інвестиції у пошук і виправлення помилок дають більший рівень безпеки, ніж ранній перехід на пост-квантові схеми.

Рекомендації для зацікавлених сторін: сім конкретних пріоритетів

З урахуванням складної картини ризиків, різні учасники повинні застосовувати збалансований підхід, що поєднує підготовку до квантових загроз із поточними питаннями безпеки:

Негайно впроваджуйте гібридне шифрування для довгострокової конфіденційності. Системи, що потребують десятиліттєвої конфіденційності, мають застосовувати гібридні схеми, поєднуючи пост-квантові і класичні алгоритми. Це захищає від HNDL-атак і зберігає безпеку, якщо пост-квантові схеми виявляться слабшими за очікуванням. Багато платформ вже продемонстрували технічну можливість.

Використовуйте хеш-орієнтовані підписи для сценаріїв з низькою частотою і без урахування розміру. Оновлення програмного забезпечення, прошивки та інші рідкісні операції слід негайно підписувати гібридними хеш-орієнтованими підписами. Це дає надійний запасний варіант у разі несподіваного швидкого зростання квантових обчислень. Також це вирішує проблему запуску: після квантової надзвичайної ситуації потрібно безпечні канали розповсюдження пост-квантових оновлень.

Розпочинайте планування міграції блокчейнів вже зараз, але утримуйтеся від поспішних дій. Розробники блокчейнів мають слідувати обережному підходу, що дозволяє пост-квантовим схемам дозріти у плані продуктивності і безпеки. Це дає можливість перепроектувати системи для підтримки більших підписів і розробити кращі методи агрегації.

Зокрема для Bitcoin, визначте політики міграції для вразливих до квантів активів. Управління і координація у Bitcoin вимагають негайного планування. Спільнота має визначити, чи будуть втрачені, конфісковані або оброблені іншим чином квантово уразливі монети. Юридична невизначеність щодо «застарілих» адрес потребує ясності.

Пріоритетно переходьте на пост-квантові схеми для приватних блокчейнів, де дозволяє продуктивність. Блокчейни, орієнтовані на приватність, мають справжні HNDL-риски і мають пріоритетно переходити на пост-квантові або гібридні схеми, якщо продуктивність дозволяє.

Інвестуйте вже зараз у аудит, формальну верифікацію і захист реалізації. Відводьте ресурси на пошук помилок, запобігання атакам через сторонні канали і багатошаровий захист. Це дає більш швидкий і надійний рівень безпеки, ніж ранній перехід на пост-квантові схеми.

Підтримуйте дослідження квантових обчислень і критично оцінюйте анонси. Продовжуйте фінансувати розвиток квантових технологій, щоб запобігти зловмисникам досягти релевантних можливостей раніше. Одночасно ставте під сумнів прес-релізи і новини як звіти про прогрес, а не як привід для термінових дій. Кожне таке повідомлення—один із багатьох мостів до криптоаналізу; значно більше прогресу ще попереду.

Загроза квантів для блокчейну є реальною, але віддаленою. Термінова робота полягає у управлінні, безпеці реалізації і довгостроковому плануванні—а не у передчасному переході на незрілі пост-квантові схеми. Усвідомлення цієї різниці дозволяє учасникам створювати справді безпечні системи і уникати панічних, субоптимальних рішень.