量子 компьютеры когда смогут взломать существующие методы шифрования? a16z — соучредитель исследовательского партнерства, глубоко анализирующий реальные временные рамки угрозы квантовых компьютеров, разъясняющий различные риски для криптографии и подписей, а также предлагающий семь ключевых рекомендаций для индустрии блокчейн. Эта статья основана на исследовательском отчёте Justin Thaler / a16z, подготовленном и отредактированном Движением блокчейн.
(Предыстория: физик: ещё пять лет — и квантовые компьютеры смогут взломать приватные ключи биткоина, нужно ли полностью останавливать BTC для обновления?)
(Дополнение: взлом биткоина до 2030 года? Google Willow «квантовый эхо» вызывает споры среди экспертов: большинство публичных ключей уже раскрыты)

Содержание статьи

• Таймлайн: насколько далеко квантовые компьютеры, способные взломать шифрование?
• Атака «захватить сейчас, расшифровать в будущем»: кому подходит? кому — нет?
• Что это значит для блокчейна?
• Особая проблема биткоина: застой в управлении и «спящие монеты»
• Стоимость и риски пост-квантовых подписей
• Уникальные вызовы блокчейна по сравнению с инфраструктурой интернета
• Как нам реагировать? Семь ключевых рекомендаций

Насколько далеко квантовые компьютеры, способные взломать биткоин, от их появления?

Когда появятся квантовые компьютеры, способные взломать существующую криптографию? Этот вопрос часто преувеличивают, вызывая призывы к «срочной и полной миграции на пост-квантовую криптографию».

Однако такие призывы игнорируют издержки и риски преждевременного перехода, а также не учитывают принципиальные различия в угрозах для различных криптографических инструментов:

• Пост-квантовая криптография должна внедряться немедленно, независимо от стоимости. Потому что атаки «захватить сейчас — расшифровать в будущем» (HNDL) уже существуют. Чувствительные данные, зашифрованные сегодня, сохранят свою ценность даже через десятилетия, если их не обновить. Хотя пост-квантовая криптография может снизить производительность и ввести риски внедрения, для долгосрочной секретности это — единственный выбор.
• Пост-квантовые цифровые подписи — это другое. Они менее уязвимы к атакам «захватить сейчас — расшифровать в будущем», поскольку их стоимость и риски (увеличение размера, снижение эффективности, недоработанность решений, потенциальные уязвимости) требуют аккуратного планирования, а не немедленных действий.

Разграничение этих аспектов крайне важно. Неправильное понимание искажают анализ затрат и выгод, заставляя команды игнорировать более насущные угрозы, такие как уязвимости в коде.

Истинная сложность успешного перехода к пост-квантовой криптографии — в согласовании срочности действий с реальной угрозой. В статье разъясняются распространённые заблуждения о угрозе квантовых вычислений для криптографии, охватываются шифрование, подписи и нулевые знания, а также их влияние на блокчейн.

Таймлайн: насколько далеко квантовые компьютеры, способные взломать шифрование?

Несмотря на многочисленные преувеличения, вероятность появления «квантовых компьютеров, связанных с криптографией» в 20-х годах этого века крайне низка.

Под «квантовым компьютером, связанным с криптографией», понимается квантовая машина с ошибкоустойчивостью и коррекцией ошибок, способная выполнить алгоритм Шора и иметь масштаб, достаточный для взлома эллиптических кривых (например, secp256k1) или RSA (например, RSA-2048) за разумное время (например, менее месяца непрерывных вычислений).

Исходя из публичных технологических вех и оценки ресурсов, мы далеки от такой машины. Хотя некоторые компании заявляют о возможной реализации к 2030 или 2035 годам, текущие достижения не подтверждают эти ожидания.

На сегодняшний день ни одна платформа — ни ионные ловушки, ни сверхпроводящие квантовые биты, ни системы на нейтральных атомах — не приблизилась к необходимости иметь сотни тысяч или миллионы физических квантовых битов для взлома RSA-2048 или secp256k1.

Проблема не только в количестве квантовых битов, но и в точности гейтов, связности между ними и глубине коррекции ошибок, необходимой для выполнения сложных алгоритмов. Некоторые системы уже имеют более 1000 физических квантовых бит, но это вводит в заблуждение: они не обладают нужной связностью и точностью для криптографических вычислений.

Недавние системы приближаются к порогам коррекции ошибок, но пока никто не способен стабильно выполнять более нескольких логических квантовых битов, не говоря уже о тысячах, необходимых для алгоритма Шора. Разрыв между теоретическими возможностями и практической реализацией — огромен.

Кратко: до тех пор, пока не увеличится число квантовых битов и их точность на несколько порядков, квантовые компьютеры, способные взломать криптографию, остаются недосягаемыми.

Однако в СМИ и корпоративных пресс-релизах часто присутствует путаница. Основные заблуждения включают:

2. Демонстрации «квантового преимущества»: большинство из них — специально подготовленные задачи, не имеющие практического значения, просто потому, что их можно выполнить на существующем оборудовании и они выглядят быстрыми. Это часто умалчивается.
3. Продвижение «тысяч физических квантовых битов»: обычно речь идёт о квантовых отжиговых машинах, а не о квантовых компьютерах, способных выполнять алгоритм Шора.
4. Неправильное использование термина «логические квантовые биты»: физические биты подвержены шумам, а для практических алгоритмов нужны логические биты, сформированные через коррекцию ошибок. Для выполнения алгоритма Шора требуется тысячи таких логических битов, каждый из которых состоит из сотен или тысяч физических. Некоторые компании преувеличивают возможности, например, заявляя, что реализовали 48 логических битов, используя «код исправления ошибок» с ошибкоустойчивостью -2 (только для обнаружения ошибок, а не исправления), что — бессмысленно.
5. Вводящие в заблуждение дорожные карты: многие графики показывают «логические биты», поддерживающие только «клиффордовые операции», которые легко моделируются классическими компьютерами и не позволяют выполнять алгоритмы, требующие много «не-клиффордовых» ворот (например, T-ворот). Поэтому даже если график обещает «через X лет — тысячи логических битов», это не означает, что тогда смогут взломать классические системы.

Эти практики серьёзно искажают восприятие прогресса в области квантовых вычислений, даже среди экспертов.

Конечно, прогресс впечатляет. Например, недавно Scott Aaronson писал, что, учитывая «поразительно быстрый рост аппаратных возможностей», есть вероятность, что «до следующих президентских выборов у нас будет квантовый компьютер с ошибкоустойчивостью, способный выполнить алгоритм Шора». Но он уточнил, что речь идёт не о криптографических квантовых компьютерах — даже простое разложение 15=3×5 (которое можно сделать быстрее на бумаге) — уже считается выполненным. Это — маломасштабные демонстрации, обычно нацеленные на число 15, потому что деление по модулю 15 — простая задача, а более крупные числа (например, 21) — значительно сложнее.

Ключевой вывод: отсутствие публичных достижений по созданию квантового компьютера, способного взломать RSA-2048 или secp256k1 в течение ближайших 5 лет, — серьёзное ограничение. Даже на 10 лет вперед — это амбициозная цель.

Поэтому оптимизм относительно прогресса и временные рамки «ещё десять лет» не противоречат друг другу.

А как насчёт того, что правительство США установило 2035 год как крайний срок для полного перехода государственных систем на пост-квантовые алгоритмы? Я считаю, что это разумный план для масштабной миграции, но не предсказание, что к тому времени обязательно появится квантовая машина для криптографии.

«Захватить сейчас — расшифровать в будущем»: кому это подходит? кому — нет?

«Захватить сейчас — расшифровать в будущем» означает: злоумышленник сохраняет зашифрованный трафик сегодня и расшифровывает его, когда появится квантовая машина, способная взломать шифрование. Государственные акторы уже архивируют коммуникации американских ведомств, чтобы в будущем их расшифровать.

Поэтому шифрование нужно обновлять немедленно, по крайней мере для данных с долгосрочным сроком секретности — 10-50 лет и более.

Что касается цифровых подписей (краеугольного камня всех блокчейнов), то они не требуют секретности, которая могла бы быть раскрыта в будущем. Даже если появится квантовая машина, она сможет только подделывать подписи с того момента, как она появится, но не сможет «расшифровать» прошлые подписи. Если вы можете доказать, что подпись создана до появления квантового компьютера, она — неподдельна.

Это делает переход на пост-квантовые цифровые подписи менее срочным, чем обновление шифрования.

Современные платформы уже реализуют такие меры:

• Chrome и Cloudflare внедрили гибридные схемы X25519 + ML-KEM для TLS. «Гибрид» означает использование одновременно пост-квантовой схемы (ML-KEM) и классической (X25519), что обеспечивает безопасность обеих и защищает от HNDL, а также сохраняет классическую безопасность, если пост-квантовая схема окажется уязвимой.
• Apple с iMessage (PQ3 протокол) и Signal (PQXDH и SPQR протоколы) также используют подобные гибридные схемы.

В то же время, внедрение пост-квантовых подписей в критическую инфраструктуру откладывается до тех пор, пока не появится реально работающая квантовая машина для криптографии, поскольку текущие схемы вызывают снижение эффективности (подробнее ниже).

Ситуация с zkSNARKs схожа. Даже те zkSNARK, что основаны на эллиптических кривых и не являются пост-квантовыми, по своей сути — нулевые знания, и их свойства остаются безопасными даже при появлении квантовых компьютеров. Они не раскрывают секретную информацию, и злоумышленник не сможет их подделать после появления квантовых машин. Все zkSNARK, созданные до появления квантовых компьютеров, считаются доверенными, а после — их можно подделывать.

Что это значит для блокчейна?

Большинство блокчейнов не так уязвимы к HNDL.

Например, публичные цепочки вроде биткоина и эфириума используют не-скрытую криптографию, где основная опасность — подделка подписей (краже средств), а не расшифровка публичных данных. В случае биткоина, поскольку блокчейн открыт, угрозы — в подделке подписей, а не в раскрытии данных. Это снижает срочность перехода.

К сожалению, даже такие авторитетные организации, как ФРС, ошибочно утверждали, что биткоин легко подвержен HNDL, что преувеличивает необходимость быстрого перехода.

Конечно, это не означает, что биткоин безопасен навсегда. Он сталкивается с другими вызовами, связанными с необходимостью согласования изменений протокола, что требует времени (подробнее ниже).

Исключение — цепочки с повышенной приватностью. Многие из них шифруют получателя и сумму, что позволяет злоумышленнику в текущих условиях «захватить» транзакцию и, после появления квантовых компьютеров, «рассекретить» её. В зависимости от архитектуры, это может быть очень опасно (например, монеро с кольцевыми подписями и скрытыми ключами). Поэтому, если пользователь хочет сохранить анонимность, такие цепочки должны как можно скорее перейти на пост-квантовые схемы или гибридные решения, или использовать архитектуры, не раскрывающие секреты на цепи.

Особая сложность биткоина: застой в управлении и «спящие монеты»

Для биткоина есть два фактора, которые делают срочным планирование пост-квантовых подписей, хотя они не связаны напрямую с квантовыми технологиями:

• Медленное управление: изменения в протоколе требуют долгого согласования, и любые споры могут привести к опасным форкам.
• Невозможность пассивного перехода: владельцы должны самостоятельно обновлять свои средства. Это означает, что «спящие» и уязвимые к квантовым атакам монеты — миллионы, на сумму сотни миллиардов долларов, — могут остаться без защиты.

Тем не менее, угроза квантовых компьютеров — не немедленная катастрофа, а постепенный процесс. Первые атаки будут дорогими и медленными, злоумышленники будут выбирать наиболее ценные кошельки.

Кроме того, избегая повторного использования адресов и не использовав Taproot (который раскрывает публичный ключ при расходовании), пользователь остаётся относительно защищённым — его публичный ключ скрыт за хешем до момента расхода. После транзакции публичный ключ становится видимым, и тогда начинается короткая гонка: честные пользователи должны подтвердить транзакцию как можно быстрее, а квантовые злоумышленники — попытаться вычислить приватный ключ раньше.

Таким образом, наиболее уязвимы те монеты, у которых публичный ключ уже раскрыт: ранние P2PK-выходы, повторно использованные адреса и активы, хранящиеся через Taproot.

Для «спящих» и уязвимых монет решение сложное: можно установить «крайний срок» для миграции, после которого монеты считаются уничтоженными, или оставить их под угрозой захвата квантовым компьютером. Второй вариант — серьёзные юридические и безопасность риски.

Особая проблема — низкая пропускная способность транзакций. Даже при наличии плана миграции, перевод всех уязвимых средств займёт месяцы.

Эти вызовы требуют, чтобы биткоин уже сейчас начал планировать пост-квантовый переход — не потому, что квантовые компьютеры обязательно появятся к 2030 году, а потому что управление, координация и техническая подготовка требуют времени и ресурсов.

Угрозы квантовых компьютеров для биткоина — реальны, но временные рамки обусловлены внутренними ограничениями, а не скорым появлением квантовых машин.

Примечание: уязвимости в подписи не влияют на экономическую безопасность биткоина (Proof of Work). Хеширование — основа консенсуса, и его ускорение с помощью алгоритма Гровера — теоретически возможно, но практически очень дорого и маловероятно, чтобы существенно изменить баланс сил.

Стоимость и риски пост-квантовых подписей

Почему не стоит торопиться с внедрением пост-квантовых подписей в блокчейн? Нужно понять их эффективность и текущий уровень развития решений.

Пост-квантовая криптография базируется на пяти классах математических задач: хеши, кодирование, решетки, системы уравнений и эллиптические кривые. Их разнообразие обусловлено компромиссом между эффективностью и структурой задач: чем больше структура, тем выше эффективность, но и больше уязвимых точек для атак.

• Самые консервативные — хеш-основанные схемы (наиболее безопасные), но и самые медленные. Например, стандартные подписи на базе хеш-функций требуют 7-8 КБ, тогда как эллиптические кривые — всего 64 байта, разница в сотни раз.
• Наиболее активно развиваемые — схемы на основе решёток. В рамках стандартизации NIST уже выбраны ML-KEM и две из трёх пост-квантовых подписей (ML-DSA, Falcon), основанные на решётках.
• Размер подписи ML-DSA — около 2.4–4.6 КБ, что в 40–70 раз больше современных.
• Falcon — меньшие подписи (0.7–1.3 КБ), но очень сложная реализация, включает постоянное время вычислений с плавающей точкой, что делает её уязвимой к побочным атакам. Один из создателей назвал это «самым сложным криптографическим алгоритмом, который я реализовал».
• Реализация безопасных схем — сложнее: подписи на основе решёток требуют больше чувствительных промежуточных значений и сложных процедур отказа от выборки, что увеличивает уязвимость к побочным каналам и сбоям.

Эти проблемы создают гораздо большие риски, чем потенциальные возможности квантовых компьютеров в ближайшие годы.

Исторический опыт показывает, что преждевременная стандартизация — риск. Например, алгоритмы Rainbow (на базе MQ) и SIKE/SIDH (на основе изогнутых кривых) были взломаны классическими компьютерами, что подчеркивает опасность преждевременных решений.

Интернет-инфраструктура придерживается осторожного подхода к переходу на новые схемы, поскольку сама криптографическая миграция — длительный процесс (например, переход с MD5/SHA-1 занял годы и всё ещё не завершён).

Уникальные вызовы блокчейна

Плюс в том, что блокчейны с открытым исходным кодом (например, Ethereum, Solana) могут обновляться быстрее, чем традиционная инфраструктура. Минус — в том, что в классической сети ключи регулярно меняются, а в блокчейне — многие активы и ключи могут оставаться долгие годы уязвимыми.

В целом, блокчейн должен следовать примеру интернета и аккуратно планировать миграцию подписей. Важное отличие — HNDL-атаки на подписи в большинстве случаев не актуальны, потому что преждевременный переход влечет за собой высокие издержки и риски.

Особая сложность — необходимость агрегирования подписей (например, BLS). Хотя BLS быстры, они не пост-квантовые. Исследования по пост-квантовой агрегации на базе zkSNARKs находятся на ранней стадии, и в ближайшие годы появятся более эффективные решения на основе решёток.

Главная проблема — безопасность реализации. Внедрение уязвимых схем или ошибок в коде — гораздо более серьёзная угроза, чем квантовые компьютеры. В случае с zkSNARKs, уязвимости — в реализации, а не в самой схеме.

Поэтому, торопиться с переходом на пост-квантовые подписи — риск, что можно застрять в неэффективных решениях или столкнуться с необходимостью повторных миграций.

Как нам реагировать? Семь рекомендаций

Исходя из реальности, я предлагаю следующие советы для участников индустрии (от разработчиков до регуляторов). Основной принцип — серьёзно относиться к угрозе квантовых компьютеров, но не считать, что они обязательно появятся к 2030 году (текущие достижения не подтверждают такую вероятность). И одновременно — предпринимать конкретные шаги уже сейчас:

2. Немедленно внедрять гибридные схемы шифрования: по крайней мере, там, где важна долгосрочная секретность и допустимы большие размеры данных. Многие браузеры, CDN и мессенджеры (например, iMessage, Signal) уже используют такие схемы. Гибрид — это сочетание пост-квантовой и классической схемы, что обеспечивает защиту от HNDL и сохраняет безопасность, если одна из схем окажется уязвимой.
3. В сценариях с низкими требованиями к размеру — сразу использовать хеш-основанные подписи: например, для обновлений программного обеспечения или прошивок, где важна только частота обновлений, а размер не критичен. Это — консервативный «спасательный круг» на случай раннего появления квантовых компьютеров.
4. Блокчейны не должны торопиться с внедрением пост-квантовых подписей, но должны уже сейчас начать планировать:
5. Разработчики должны следовать осторожной практике интернет-публичных ключей (PKI), чтобы решения были более зрелыми.
6. Биткоин и другие публичные цепочки должны определить план миграции и политику по «спящим» уязвимым активам. Особенно важно уже сейчас начать подготовку, поскольку вызовы — не только технические, но и управленческие (медленное управление, крупные «спящие» адреса).
7. Исследовать и развивать пост-квантовые zkSNARK и агрегируемые подписи, чтобы избежать преждевременного выбора неэффективных решений (это может занять годы).
8. Что касается аккаунтов Ethereum: смарт-контрактные кошельки (обновляемые) могут обеспечить более плавный переход, но разница не принципиальна. Важнее — продолжать исследования и планирование пост-квантовых решений, а также разрабатывать архитектурные подходы, позволяющие отделить идентичность аккаунта от конкретных схем подписи (например, через account abstraction), что повысит гибкость и упростит переход.
9. Приватные цепочки должны приоритетно перейти (если производительность позволяет): их секретность уязвима к HNDL. Можно рассмотреть гибридные схемы или архитектурные изменения, чтобы не раскрывать секреты на цепи.
10. В краткосрочной перспективе — сосредоточиться на обеспечении безопасности реализации, а не на гипотетической угрозе квантовых компьютеров: уязвимости и атаки на схемы zkSNARKs и пост-квантовые подписи — более актуальны, чем гипотетические квантовые атаки. Сейчас важно инвестировать в аудит, fuzz-тестирование, формальное верифицирование и многоуровневую защиту, чтобы не позволить квантовой панике отвлечь от более насущных угроз.
11. Постоянно финансировать исследования квантовых вычислений: для национальной безопасности важно продолжать инвестиции и подготовку кадров. Если противники первыми получат доступ к криптографическим квантовым возможностям, это создаст серьёзные риски.
12. Реалистично оценивать новости о квантовых вычислениях: появятся новые достижения, но каждое — подтверждение того, что мы ещё далеки от цели. Следует воспринимать новости критически, а не как сигналы к немедленным действиям.

Конечно, прогресс может ускориться, а ограничения — затянуться. Я не утверждаю, что через пять лет невозможно, лишь что вероятность этого — очень мала. Следование этим рекомендациям поможет избежать более вероятных рисков — ошибок в реализации, поспешных решений и неправильных переходов в криптографии.