量子 комп’ютери коли зможуть зламати існуючі криптографічні технології? a16z глибоко аналізує реальні часові рамки загрози квантових обчислень, роз’яснює різні ризики для шифрування та підписів, а також пропонує сім рекомендацій для блокчейн-індустрії. Стаття базується на дослідницькому звіті Justin Thaler / a16z, перекладений і відредагований ДвижКвант.
(Попередній огляд: фізик: ще п’ять років — і квантовий комп’ютер зможе зламати приватний ключ Біткоїна, потрібно повністю зупинити мережу для оновлення BTC?)
(Додатковий контекст: злом Біткоїна до 2030? Google Willow «Квантовий відлуння» викликає суперечки серед експертів: більшість публічних ключів вже розкриті)

Зміст статті

• Часова шкала: наскільки далеко квантовий комп’ютер від здатності зламати сучасне шифрування?
• Атака «зараз викрасти — у майбутньому розшифрувати»: кому підходить? кому ні?
• Що це означає для блокчейну?
• Особливі проблеми Біткоїна: глухий кут управління та «сплячі монети»
• Вартість і ризики постквантових підписів
• Унікальні виклики для блокчейну порівняно з інтернет-інфраструктурою
• Як нам реагувати? Сім рекомендацій

Наскільки далеко ми від появи квантового комп’ютера, здатного зламати сучасне шифрування?

Коли з’являться квантові комп’ютери, здатні зламати сучасну криптографію? Часова шкала цього питання часто перебільшена, що викликає заклики до «термінового та всеосяжного переходу на постквантове шифрування».

Проте ці заклики ігнорують витрати та ризики передчасного переходу, а також не враховують суттєві відмінності між різними криптографічними інструментами:

• Постквантове шифрування потрібно впроваджувати негайно, незалежно від вартості. Адже атаки «зараз викрасти — у майбутньому розшифрувати» (HNDL) вже існують. Чутливі дані, зашифровані сьогодні, зберігаючи цінність навіть через десятиліття, залишаться цінними. Хоча постквантове шифрування може знизити продуктивність і несе ризики впровадження, для довгострокової секретності інших даних воно — єдине рішення.
• Постквантові цифрові підписи — це інша справа. Вони менш вразливі до згаданої «захопити — зберегти — розшифрувати» атаки, і їхні витрати та ризики (збільшення розміру, зниження продуктивності, недосконалість схем, потенційні вразливості) вимагають обережного планування, а не негайних дій.

Розрізнення цих аспектів є критично важливим. Помилки у розумінні можуть спотворити аналіз витрат і вигод, змусивши команди ігнорувати більш нагальні безпекові ризики, наприклад, вразливості у коді.

Успішний перехід до постквантового шифрування залежить від того, наскільки швидко та адекватно співвідносяться дії з реальною загрозою. Нижче роз’яснюються поширені міфи щодо квантових загроз криптографії, зокрема щодо шифрування, підписів і нульових знань, з особливим акцентом на їхній вплив на блокчейн.

Часова шкала: наскільки далеко квантовий комп’ютер від здатності зламати сучасне шифрування?

Незважаючи на численні перебільшення, ймовірність появи «криптографічних квантових комп’ютерів» у 20-х роках цього століття дуже низька.

Під «криптографічним квантовим комп’ютером» розуміється квантова машина з помилковою корекцією та здатністю виконувати алгоритм Шора, достатню для зломів, наприклад, еліптичних кривих (secp256k1) або RSA (RSA-2048) за розумний час (наприклад, менше місяця безперервних обчислень).

За оцінками технічних досягнень і ресурсів, ми дуже далекі від створення такої машини. Хоча деякі компанії заявляють про можливість до 2030 або 2035 років, поточний прогрес не підтверджує цих прогнозів.

Зараз жодна платформа — ні іонні пастки, ні надпровідні квантові біти, ні нейтральні атоми — не наблизилася до здатності зламати RSA-2048 або secp256k1, що вимагає сотень тисяч або мільйонів фізичних квантових біти.

Обмеження полягає не лише у кількості біти, а й у точності гейтів, зв’язності між бітами та глибині виконання алгоритмів із постійною корекцією помилок. Хоча деякі системи вже мають понад 1000 фізичних біти, ця цифра оманлива: їм бракує необхідної зв’язності та точності для криптографічних обчислень.

Нещодавні системи поступово наближаються до порогів фізичних помилок для квантової корекції, але досі ніхто не може стабільно виконати понад кілька логічних біти, не кажучи вже про тисячі, необхідні для алгоритму Шора. Від теоретичних досліджень до практичної реалізації — величезна різниця.

Коротко: поки кількість і точність біти не зростуть у кілька порядків, квантові комп’ютери, здатні зламати криптографію, залишаються недосяжними.

Однак медіа та прес-релізи часто вводять в оману. Основні плутанини:

2. «Квантова перевага»: нинішні демонстрації — це здебільшого штучно сконструйовані задачі, які не мають практичного застосування, бо їх можна швидко виконати на існуючому обладнанні. Це часто приховують у рекламі.
3. «Тисячі фізичних квантових біти»: зазвичай мається на увазі квантова аджевина, а не універсальні квантові комп’ютери для алгоритму Шора.
4. Неправильне вживання «логічних біти»: фізичні біти мають шум, а для практичних алгоритмів потрібні логічні біти, побудовані через кодекси з корекцією. Для алгоритму Шора потрібно тисячі таких логічних біти, кожен з яких складається з сотень або тисяч фізичних. Деякі компанії перебільшують: наприклад, стверджують, що з кодом помилок «-2» (тільки для виявлення помилок, а не корекції) можна отримати 48 логічних біт із лише 2 фізичних — це безглуздо.
5. Помилкові дорожні карти: багато з них обмежуються «логічними біти», що підтримують лише «кліффордські операції», які легко імітуються класичними комп’ютерами і не здатні виконати алгоритм Шора, що вимагає багато «некліффордських» (наприклад, T-операцій). Тому навіть якщо дорожня карта обіцяє «через X років — тисячі логічних біти», це не означає, що тоді зможуть зламати сучасний криптоінструмент.

Ці практики суттєво спотворюють уявлення громадськості (і досвідчених аналітиків) про прогрес у квантових обчисленнях.

Звісно, прогрес захоплює. Наприклад, нещодавній коментар Скотта Ааронсона: враховуючи «надзвичайно швидкий розвиток апаратного забезпечення», він вважає, що «до наступних президентських виборів у США» можливо мати квантовий комп’ютер з алгоритмом Шора. Але він уточнює, що це не стосується криптографічних застосувань — навіть просте розкладання 15=3×5 (яке швидше зробити ручкою) — вже досяжне. Це все ще малі демонстрації, орієнтовані на число 15, бо обчислення за модулем 15 — просте, а для більших чисел (наприклад, 21) — набагато складніше.

Ключовий висновок: відсутність ознак появи квантового комп’ютера, здатного зламати RSA-2048 або secp256k1 у найближчі 5 років, підтверджується відсутністю відкритих прогресів. Навіть через 10 років — це амбіційно.

Тому радість від прогресу і оцінка «ще років десять» цілком узгоджуються.

А як щодо визначення кінцевого терміну — 2035 року — для повного переходу урядових систем на постквантове шифрування? Це цілком логічний план, але не передбачає, що до того часу з’явиться квантовий комп’ютер для криптографії.

«Зараз викрасти — у майбутньому розшифрувати»: кому це підходить? кому ні?

«Зараз викрасти — у майбутньому розшифрувати» означає: зловмисник зберігає зашифровані дані сьогодні і розкриє їх, коли з’явиться квантовий комп’ютер, здатний зламати їх. Національні конкуренти вже архівують багато зашифрованих повідомлень урядових структур США для майбутнього розкриття.

Тому шифрування потрібно оновлювати негайно, особливо для даних із терміном секретності понад 10-50 років.

Але цифрові підписи (основа всіх блокчейнів) — це інше. Вони не мають секретності, яку потрібно зберігати в таємниці для майбутнього. Навіть якщо з’явиться квантовий комп’ютер, він зможе підробляти підписи лише з того моменту, коли вони були створені. Якщо ви можете довести, що підпис зроблений до появи квантового комп’ютера, він — незмінний.

Це робить перехід на постквантові цифрові підписи менш нагальним, ніж оновлення шифрування.

Головні платформи вже так роблять:

• Chrome і Cloudflare впровадили гібридний протокол X25519+ML-KEM для TLS. «Гібрид» означає одночасне використання постквантової схеми (ML-KEM) і класичної (X25519), що забезпечує безпеку обох. Це захищає від HNDL і зберігає безпеку у разі проблем із постквантовими схемами.
• Apple iMessage (PQ3) і Signal (PQXDH і SPQR) також використовують гібридне постквантове шифрування.

На відміну від цього, впровадження постквантових підписів у критичній інфраструктурі відкладено до появи квантового комп’ютера, здатного зламати схеми, через зниження продуктивності та складність реалізації.

Захист нульових знань (zkSNARKs) схожий. Навіть ті zkSNARK, що не є постквантовими (з використанням еліптичних кривих), мають «нульове знання», яке є постквантово безпечним. Це гарантує, що доказ не розкриває секретної інформації (навіть квантовий комп’ютер не допоможе). Тому zkSNARKs не піддаються HNDL. Докази, створені до появи квантового комп’ютера, залишаються довіреними; з’явившись, зловмисник зможе підробляти фальшиві.

Що це означає для блокчейну?

Більшість блокчейнів не так легко піддаються HNDL.

Як і сучасні Bitcoin і Ethereum — не приватні мережі, їхнє криптографічне захистення базується переважно на підписах, а не на шифруванні. Ці підписи не становлять ризику HNDL. У Bitcoin, наприклад, мережа публічна, і квантова загроза — це підробка підписів (крадіжка коштів), а не розкриття вже опублікованих транзакцій. Це зменшує нагальність переходу.

На жаль, навіть авторитетні аналітики, наприклад ФРС, помилково стверджували, що Bitcoin легко піддається HNDL, що перебільшує необхідність швидкого переходу.

Звісно, зменшення нагальності не означає, що Bitcoin безпечний від усіх ризиків. Він стикається з іншими викликами — наприклад, з великими зусиллями для зміни протоколу, що вимагає широкого консенсусу (далі буде).

Поточний виняток — приватні мережі. Багато з них шифрують або приховують отримувача і суму. Такі секретні дані можна викрасти зараз і, зламавши еліптичні криві квантовим комп’ютером у майбутньому, — розкривати. Важливість залежить від дизайну (наприклад, монерівські підписи та ключові відбитки можуть дозволити повністю відновити історію транзакцій). Тому, якщо користувачі цінують конфіденційність, приватні мережі мають швидко перейти на постквантові схеми або використовувати архітектури без можливості розкриття секретів.

Особливі труднощі Біткоїна: глухий кут управління і «сплячі монети»

Для Bitcoin існують два реальні фактори, що прискорюють необхідність планування постквантових підписів, і вони не пов’язані безпосередньо з квантовими технологіями:

• Повільне управління: процес змін у Bitcoin дуже повільний, будь-які суперечки можуть призвести до руйнівних форків.
• Неможливість пасивного оновлення: власники мають активно оновлювати свої активи. Це означає, що «сплячі» і вразливі до квантових атак монети — не захищені. За оцінками, таких «сплячих» BTC може бути мільйони, вартістю у сотні мільярдів доларів.

Проте, квантова загроза — не «раптовий кінець», а поступовий процес цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого. Спершу атаки будуть дорогими і повільними, і зловмисники цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано цілеспрямовано. Тому, справжня загроза для Bitcoin — це не раптовий кінець, а поступове накопичення ризиків, що вимагає активного планування та швидкої реакції.

Особливий виклик — низька пропускна здатність транзакцій. Навіть при вже затверджених планах, повний перехід може зайняти місяці.

Ці виклики вимагають початку планування постквантового переходу вже сьогодні — не через те, що квантові комп’ютери з’являться раптово до 2030, а через необхідність управління, координації та технічної логістики, що потребують років.

Загроза квантових комп’ютерів для Bitcoin — реальна, але часова динаміка визначається внутрішніми обмеженнями мережі, а не швидкістю технологічного прориву.

Примітка: вищезгадані вразливості підписів не впливають на економічну безпеку Bitcoin (Proof-of-Work). PoW базується на хеш-обчисленнях, які лише частково прискорює алгоритм Гровера, і цей ефект — дуже обмежений. Навіть якщо і можливий, він лише посилить переваги великих майнерів і не зруйнує економічну безпеку.

Вартість і ризики постквантових підписів

Чому не слід поспішати з впровадженням постквантових підписів у блокчейні? Потрібно розуміти їхню ефективність і ступінь розвитку нових схем.

Постквантова криптографія базується на п’яти основних математичних труднощах: хешах, кодуванні, решетах, багатовимірних квадратичних рівняннях і еліптичних кривих. Вибір зумовлений балансом між ефективністю та структурою задачі: чим більше структур, тим швидше, але й більше потенційних вразливостей.

• Найконсервативніші — схеми на основі хеш-функцій, але вони найменш ефективні. Наприклад, стандарти NIST для підписів на основі хешів мають розмір 7-8 кБ, тоді як сучасні еліптичні криві — лише 64 байти.
• Зараз у фокусі — решеткові схеми. NIST обрав ML-KEM і дві з трьох підписних схем (ML-DSA, Falcon), що базуються на решетках.
• ML-DSA — підпис розміром 2.4–4.6 кБ, у 40–70 разів більший за сучасний.
• Falcon — менший (0.7–1.3 кБ), але дуже складний у реалізації, з постійним часом обчислень і можливими атаками через побічні канали. Один із засновників називає його «найскладнішим криптоалгоритмом, який я реалізовував».
• Впровадження безпечних схем — виклик для реалізації: решеткові підписи мають більше чутливих проміжних значень і складні алгоритми відмови, що вимагає додаткових заходів захисту від атак через побічні канали і помилки.

Ці проблеми — набагато більш актуальні, ніж віддалена можливість появи квантових комп’ютерів.

Історичний досвід показує, що раніше стандартизація може бути ризикованою: схеми Rainbow (на основі MQ) і SIKE/SIDH (на основі гомоморфних шифрів) вже були зламані класичними алгоритмами. Це свідчить про ризики передчасної стандартизації і впровадження.

Інтернет-інфраструктура вимагає обережності при переході на нові підписи, оскільки цей процес — довгий і складний (наприклад, перехід від MD5/SHA-1 тривав роками і ще не завершений).

Унікальні виклики для блокчейну

З одного боку, відкритий код і можливість швидкого оновлення (наприклад, у Ethereum, Solana) дозволяють швидше впроваджувати нові схеми. З іншого — у класичних мережах можна частіше оновлювати ключі, зменшуючи ризик. У блокчейнах ж довгий період «сплячості» і збереження ключів підвищують ризики.

Проте, слід дотримуватися обережності:

• Потреба у агрегації підписів: у блокчейнах часто потрібно швидко зібрати багато підписів (наприклад, BLS). Хоча BLS швидкий, він не є постквантовим. Дослідження SNARK-агрегації постквантових підписів — на початковій стадії.
• Майбутнє SNARK: наразі переважає ідея використання гомоморфних хешів для постквантових доказів, але найближчими місяцями й роками з’являться рішення на основі решеток, що матимуть кращі характеристики (довжина доказу, швидкість).

Головна проблема — безпека реалізації.

У найближчі роки вразливості у реалізації будуть більшою загрозою, ніж квантові комп’ютери. Для SNARKs головний ризик — програмні помилки. У цифрових підписах і шифруванні вже є виклики, але SNARKs — складніші. Власне, цифровий підпис — це мінімальний приклад zkSNARK.

Для постквантових підписів — особливо актуальні атаки через побічні канали і помилки реалізації. Потрібно роки для їхнього закріплення.

Передчасний перехід — ризик закріпити неідеальні схеми або змусити повторно оновлювати мережу для виправлення вразливостей.

Як нам реагувати? Сім рекомендацій

З урахуванням реальності, пропоную такі поради для всіх учасників — від розробників до регуляторів. Основний принцип: серйозно ставитися до квантових загроз, але не вірити у появу криптографічних квантових комп’ютерів до 2030 року (поточний прогрес не підтверджує). Водночас — діяти вже зараз:

2. Впроваджуйте гібридне шифрування: хоча б там, де потрібна довгострокова секретність і допустимі витрати. Браузери, CDN, месенджери (iMessage, Signal) вже почали. Гібрид — це поєднання постквантової і класичної схем, що захищає від HNDL і зберігає безпеку у разі проблем із постквантовими схемами.
3. Там, де можливо, вже зараз застосовуйте хеш-основні підписи: для оновлень ПЗ, прошивок і інших низькочастотних сценаріїв. Це — консервативний «рятувальний круг», що захищає від передчасної появи квантових атак.
4. Не поспішайте з впровадженням постквантових підписів у блокчейнах, але починайте планувати:
5. Розробники мають слідувати обережній політиці PKI, щоб схеми були більш зрілими.
6. Bitcoin і подібні мережі мають визначити план міграції і політику щодо «сплячих» вразливих активів. Особливо важливо вже зараз почати, оскільки головні виклики — не технічні, а управлінські і координаційні.
7. Відкладіть дослідження SNARK і підписів, що можна агрегувати, на кілька років, щоб не закріплювати неідеальні рішення.
8. Щодо Ethereum — смарт-контракти і оновлювані гаманці можуть забезпечити більш плавний перехід, але різниця не суттєва. Головне — продовжувати дослідження постквантових схем і планувати аварійні сценарії. Важливою ідеєю є роз’єднання ідентичності користувача і підписної схеми (наприклад, через account abstraction), що підвищує гнучкість і зменшує ризики.
9. Пріоритет — швидкий перехід приватних мереж і приватних блокчейнів, якщо продуктивність дозволяє. Вони мають більший контроль і можуть швидше оновлюватися.
10. У короткостроковій перспективі — зосередьтеся на безпеці реалізації, а не на передчасних очікуваннях щодо квантових комп’ютерів. Атаки через помилки і уразливості у реалізації — більш ймовірні і небезпечні, ніж теоретична загроза зломів квантовими машинами.
11. Постійно фінансуйте дослідження квантових технологій і підготовку кадрів. Це — стратегічна необхідність для безпеки.
12. Розглядайте новини про квантові прориви критично: кожен «мілестон» — це нагадування, що ми ще далекі від цілі. Не поспішайте з діями, поки не буде переконливих доказів.

Звісно, технічний прогрес може прискоритися або затриматися. Я не стверджую, що через п’ять років — неминуче, але ймовірність дуже низька. Дотримуючись цих рекомендацій, ми зменшимо ризики, пов’язані з помилками у впровадженні, передчасним розгортанням і неправильним плануванням переходу.