Коли Диффі-Хеллман зустрічається з квантовими обчисленнями: чому криптографічна основа Ethereum під загрозою

Криптографічні алгоритми, які десятиліттями забезпечували цифрову безпеку — включаючи Diffie-Hellman, RSA та ECDSA — стикаються з екзистенційною загрозою. На Devconnect у Буенос-Айресі співзасновник Ethereum Віталік Бутерін прямо висловився: потужні квантові комп’ютери, здатні зламати сучасні схеми шифрування, можуть з’явитися вже за чотири роки. За прогнозами платформи Metaculus, ймовірність того, що квантові системи зможуть зламати криптографію до 2030 року, становить 20%, і екосистема блокчейну опиняється у безпрецедентній гонитві з часом.

Що робить цю загрозу особливо гострою, так це не гіпотетичні припущення, а конкретна математична реальність. Схеми, такі як Diffie-Hellman, що лежать в основі безлічі криптографічних систем поза межами блокчейну, мають ту саму вразливість, що й алгоритми на еліптичних кривах, які захищають Bitcoin і Ethereum. Як тільки з’явиться достатньо потужний квантовий процесор, математичні задачі, що захищають приватні ключі — дискретні логарифми, факторизація — які класичні комп’ютери розв’язують тисячоліттями, можуть бути зламані за кілька годин.

Математика, якої ніхто не очікував: як алгоритм Шора змінює все

Щоб зрозуміти терміновість, потрібно зрозуміти асиметрію, яка робить класичну криптографію можливою. Bitcoin і Ethereum використовують ECDSA (Еліптична Крива Цифрового Підпису) з кривою secp256k1. Ваш приватний ключ — це велике випадкове число. Ваш публічний ключ — точка на еліптичній кривій, математично отримана з приватного ключа. На звичайних комп’ютерах цей односторонній процес простий; зворотній — отримати приватний ключ із публічного — практично неможливо обчислювально.

Ця математична односторонність поширюється й на схеми Diffie-Hellman та RSA. Головна перевага цих систем — їхня асиметрія: легко в одному напрямку, практично неможливо у зворотному. Саме ця асиметрія і є основою безпеки.

Алгоритм Шора, сформульований у 1994 році, довів щось тривожне: достатньо потужний квантовий комп’ютер може розв’язати ці «важкі» задачі — дискретні логарифми, факторизацію — за поліноміальний час, а не експоненційний. Раптом, односторонні двері мають прихований вихід, який бачать лише квантові машини. ECDSA, Diffie-Hellman і RSA руйнуються під цим напором.

Конкретика важлива. Зараз ваш приватний ключ залишається прихованим, оскільки на блокчейні видно лише хеш вашого публічного ключа. Але як тільки ви ініціюєте транзакцію, ваш публічний ключ стає відкритим. Потужний квантовий зломщик зможе взяти цей відкритий ключ і за кілька годин — або хвилин — обчислити ваш приватний ключ, тоді як класичним комп’ютерам знадобилися б тисячоліття. Кожна вже здійснена вами транзакція стає потенційною вразливістю.

Google Willow: сигнал, що прогрес у квантових обчисленнях прискорюється

У грудні 2024 року Google оголосила про Willow — квантовий процесор на 105 кубітів, який виконав обчислення менш ніж за п’ять хвилин — задачу, на яку сучасні суперкомп’ютери витратили б приблизно 10 септильйонів років. Ще важливіше, Willow продемонстрував «нижче порогу» корекцію помилок — прорив, коли додавання більшої кількості кубітів зменшує рівень помилок, а не збільшує їх. Це був крок уперед у криптографії, над яким дослідники працювали майже три десятиліття.

Проте Хартмут Невен, директор Google Quantum AI, обережно зазначив, що Willow не може зламати сучасну криптографію. Зламати 256-бітові еліптичні криві потрібно десятки або сотні мільйонів фізичних кубітів. Квантові комп’ютери, релевантні для криптографії, залишаються принаймні на десятиліття позаду — але дорожні карти IBM і Google орієнтуються на системи з високою стійкістю до помилок до 2029–2030 років, що збігається з тим часом, який Бутерін назвав як потенційний ризик.

Траєкторія очевидна: прогрес у квантових обчисленнях прискорюється швидше, ніж прогнозували багато експертів. Системи на основі Diffie-Hellman, RSA та ECDSA вже на межі.

Екстрений план Віталіка: коли немислиме стає реальністю

Ще до публічних застережень Бутерін опублікував детальну стратегію відновлення на Ethereum Research: «Як зробити хард-форк, щоб зберегти кошти більшості користувачів у квантовій надзвичайній ситуації». План передбачає, що квантові атаки порушать екосистему, незважаючи на всі запобіжні заходи:

Виявлення та відкат: Ethereum повернеться до стану перед великим крадіжкою, фактично скасувавши шкоду квантового зломщика.

Замороження застарілих акаунтів: Традиційні зовнішні акаунти (EOA) з ECDSA будуть деактивовані, щоб запобігти подальшому крадіжкам через відкриті публічні ключі.

Міграція на квантово-стійкі гаманці: Новий тип транзакцій дозволить користувачам довести (через нуль-знаннєві докази, наприклад STARKs) контроль над своїм початковим seed-фразою, а потім перейти на квантово-стійкі смарт-контрактні гаманці з пост-квантовими схемами підпису.

Цей план — страховка. Але справжня ідея Бутеріна — більш далекоглядна: необхідна інфраструктура — абстракція акаунтів, надійні системи нуль-знань, стандартизовані пост-квантові схеми підпису — має створюватися заздалегідь, а не в кризовий час.

Вже існуючі рішення

Гарна новина: альтернативи, стійкі до квантових атак, не є теоретичними. У 2024 році NIST (Національний інститут стандартів і технологій) затвердив перші три стандарти пост-квантової криптографії: ML-KEM для ключового інкапсулювання та ML-DSA і SLH-DSA для цифрових підписів. Ці алгоритми базуються на решітковій математиці або хеш-функціях — задачах, які квантові комп’ютери ще не довели здатність розв’язувати ефективно.

За оцінками NIST і Білого дому, міграція американських державних систем обійдеться у 7,1 мільярда доларів у період 2025–2035 років. Приватний сектор рухається швидше. Проекти, як Naoris Protocol, створюють децентралізовану інфраструктуру безпеки, інтегровану з пост-квантовими стандартами. Тестова мережа протоколу, запущена у січні, обробила понад 100 мільйонів транзакцій із захистом від квантових атак і зменшила 600 мільйонів загроз у реальному часі. Основна мережа, запланована на цей квартал, обіцяє «Sub-Zero Layer» — мережу, де кожен пристрій перевіряє безпеку інших у реальному часі.

Технічний розрахунок Ethereum

Міграція — це не лише про гаманці користувачів. Протокол Ethereum використовує еліптичні криві й для інших систем: підписів BLS, KZG-зобов’язань і деяких систем доказів ролапів. Повна стратегія квантової стійкості вимагає альтернатив у всіх цих шарах.

Абстракція акаунтів (ERC-4337) створює шлях: переводячи користувачів із EOA у оновлювані смарт-контракти, можна змінювати схеми підпису без необхідності мігрувати на нові адреси або запускати екстрені хард-форки. Уже є проєкти, що демонструють прототипи квантово-стійких гаманців на Ethereum із підписами типу Лампорт або XMSS.

Але повний перехід вимагає ретельної координації — занадто швидко і з’являться помилки, що створять ще більші ризики; занадто повільно — і вікно міграції закриється.

Скептики: Back і Szabo пропонують контраргументи

Не всі ветерани Bitcoin і Ethereum погоджуються з термінами Бутеріна. Адам Бек, CEO Blockstream і один із ранніх учасників Bitcoin, вважає, що квантовий ризик — «десятиліття» і виступає за «послідовні дослідження, а не поспішні або руйнівні зміни протоколу». Його занепокоєння — у тому, що паніка може спричинити помилки, більш небезпечні за саму квантову загрозу.

Нік Szabo, криптограф і піонер смарт-контрактів, погоджується, що квантова загроза — «загалом неминуча», але наголошує, що більш нагальні ризики — юридичні, управлінські й соціальні. Він використовує метафору «муха, застрягла в янтарі»: кожен новий блок, що підтверджує транзакцію, робить її дедалі важчою для скасування, навіть для потужних ворогів. За геологічні часи квантові комп’ютери можуть мати значення, але за наступний цикл юридичних і геополітичних потрясінь — менш.

Ці позиції не суперечать поглядам Бутеріна; вони відображають різні часові горизонти. Загалом, консенсус — починати міграцію вже зараз, не тому, що квантові атаки вже неминучі, а тому, що перехід децентралізованої мережі з мільярдами користувачів потребує років розвитку протоколів, інструментів і просвіти.

Що мають робити практики вже сьогодні

Для трейдерів — простий меседж: продовжуйте працювати у звичайному режимі, залишайтеся в курсі оновлень протоколів і функцій безпеки гаманців.

Для довгострокових інвесторів — головне: обирайте платформи й протоколи, що активно готуються до пост-квантового майбутнього. Декілька принципів для мінімізації ризиків:

Обирайте оновлювані сховища: віддавайте перевагу гаманцям і сховищам, які можна переналаштувати на нові схеми підпису без необхідності змінювати адреси.

Мінімізуйте повторне використання адрес: кожна транзакція з адреси відкриває ваш публічний ключ. Чим менше разів ви використовуєте одну адресу, тим менше публічних ключів залишається для майбутніх квантових зломщиків.

Слідкуйте за шляхом міграції Ethereum: стежте за дорожньою картою Ethereum щодо вибору пост-квантових схем підпису і переходьте, коли з’явиться надійний інструментарій.

80% проти 20%: оцінка ризиків

Ймовірність у 20% до 2030 року — це двосічний меч: 80% шанс, що квантові комп’ютери не становитимуть криптографічної загрози у цей період. Однак у класі активів на 3 трильйони доларів навіть цей 20% ризик катастрофічної втрати безпеки вимагає серйозних заходів.

Фінальна ідея Бутеріна — правильна: ставитися до квантового ризику так само, як інженери-структурники ставляться до землетрусів і повеней. Ймовірність руйнування будинку цього року малоймовірна, але за довгий час вона стає значущою — і розумно закладати міцний фундамент. Протоколи й гаманці, які вже сьогодні готуються до квантових викликів, — це ті, що зможуть процвітати, коли криптоаналіз на основі квантових обчислень стане не теорією, а практикою.