Квантовые вычисления и блокчейн: соответствие срочности и реальных угроз

Автор: Джастин Талер

Компиляция: Vernacular Blockchain

Хронология квантовых компьютеров, связанных с криптографией, часто преувеличена — что приводит к срочному и комплексному переходу к постквантовой криптографии.

Однако эти призывы часто игнорируют затраты и риски преждевременной миграции и кардинально различающиеся профили рисков между криптографическими примитивами:

Постквантовое шифрование требует немедленного внедрения, несмотря на свои затраты: «Атаки Harvest-Now-Decrypt-Later (HNDL) уже начались, поскольку конфиденциальные данные, зашифрованные сегодня, останутся ценными, когда квантовые компьютеры появятся, даже если это произойдёт через десятилетия. Накладные расходы производительности и риски внедрения, связанные с постквантовым шифрованием, реальны, но атаки HNDL оставляют данные, требующие долгосрочной конфиденциальности, без альтернативы.

Постквантовые сигнатуры сталкиваются с другими аспектами. Они менее уязвимы к атакам HNDL, а их стоимость и риски (больший размер, накладные расходы производительности, незрелая реализация и ошибки) требуют вдумчивого рассмотрения, а не немедленной миграции.

Эти различия имеют решающее значение. Недопонимания могут искажать анализ затрат и выгод, заставляя команды упускать из виду более серьёзные риски безопасности — такие как ошибки.

Настоящая сложность успешного перехода к постквантовой криптографии заключается в сопоставлении срочности с реальными угрозами. Ниже я пролю свет на распространённые заблуждения относительно угрозы квантовой криптографии — охватывающие криптографию, подписи и доказательства с нулевым знанием — с особым акцентом на их влияние на блокчейн.

Как идут наши сроки?

Несмотря на громкие заявления, вероятность появления квантовых компьютеров, связанных с криптографией (CRQC), в 2020-х годах крайне мала.

Под «квантовыми компьютерами, связанными с криптографией», я имею в виду отказоустойчивый, исправляющий ошибки квантовый компьютер, способный запускать алгоритмы Shor на достаточном масштабе, чтобы взломать {secp}256{k}1 или {RSA-2048} атаки на криптографию эллиптической кривой или RSA в разумные сроки (например, до месяца продолжительных вычислений).

Исходя из любой разумной интерпретации публичных этапов и оценок ресурсов, мы всё ещё далеки от криптографически связанных квантовых компьютеров. Компании иногда утверждают, что CRQC может появиться до 2030 года или задолго до 2035 года, но публично известные достижения не подтверждают эти утверждения.

Для контекста: во всех современных архитектурах — заключённых ионов, сверхпроводящих кубитах и нейтральных атомных системах — современные квантовые вычислительные платформы не приближаются к сотням тысяч или миллионам физических кубитов, необходимых для атаки алгоритма Шор {RSA-2048} или {secp}256{k}1 (в зависимости от уровня ошибок и схем коррекции ошибок).

Ограничивающими факторами являются не только количество кубитов, но и точность затворов, связность кубитов и глубина непрерывной схемы коррекции ошибок, необходимых для работы глубоких квантовых алгоритмов. Хотя некоторые системы сейчас превышают 1000 физических кубитов, само количество необработанных кубитов вводит в заблуждение: этим системам не хватает необходимой связности кубитов и точности вентиляций, необходимых для вычислений, связанных с криптографией.

Современные системы близки к физическому уровню ошибок, при котором применяется квантовая коррекция, но никто не доказал, что слишком много логических кубитов имеют непрерывную глубину цепи коррекции ошибок… Не говоря уже о тысячах кубитов логики с высокой точностью, глубокой цепью и отказостойкостью, необходимых для запуска алгоритма Шор. Разрыв между доказательством того, что квантовая коррекция ошибок осуществима в принципе, и масштабом, необходимым для достижения криптоанализа, остаётся значительным.

Короче говоря: если количество кубитов и точность не будут увеличены на несколько порядков, квантовые компьютеры, связанные с криптографией, всё ещё недоступны.

Однако корпоративные пресс-релизы и освещение в СМИ могут быть запутанными. Вот некоторые распространённые источники заблуждений и путаницы, включая:

Демонстрации, заявляющие о «квантовом преимуществе», в настоящее время направлены на задачи, созданные человеком. Эти задачи были выбраны не из-за их полезности, а потому, что они могут работать на уже существующем оборудовании, при этом при этом демонстрируя значительное квантовое ускорение — факт, который часто размывается в объявлениях.

Компания утверждает, что достигла тысяч физических кубитов. Но речь идёт о квантовых отжигателях, а не о машинах с элементами затвора, необходимых для запуска алгоритма Шора для атаки криптографии с открытым ключом.

Компания свободно использует термин «логические кубиты». Физические кубиты шумные. Как уже упоминалось, квантовые алгоритмы требуют логических кубитов; Алгоритм Шора требует тысячи. С помощью квантовой коррекции ошибок логический кубит может быть реализован с множеством физических кубитов — обычно от сотен до тысяч, в зависимости от уровня ошибки. Но некоторые компании продлили этот срок до неузнаваемости. Например, недавнее объявление утверждало, что используется расстояние 2 ярда и реализация логического кубита всего с двумя физическими кубитами. Это абсурд: расстояние в 2 ярда обнажает только ошибки, а не исправляет их. Действительно отказостойкие логические кубиты для криптоанализа требуют сотен или тысяч физических кубитов каждый вместо двух.

В более общем плане многие дорожные карты квантовых вычислений используют термин «логические кубиты» для обозначения кубитов, поддерживающих только операции Клиффорда. Эти операции можно эффективно выполнять для классического моделирования, поэтому их недостаточно для запуска алгоритма Шора, который требует тысяч Т-элементов для коррекции ошибок (или, более обще, не-Клиффордовых).

Даже если одна из дорожных карт направлена на «достижение тысяч логических кубитов в год X», это не значит, что компания рассчитывает запустить алгоритм Шора для взлома классической криптографии в тот же год X.

Эти практики серьёзно исказили общественное восприятие того, насколько мы близки к квантовым компьютерам, связанным с криптовалютой, даже среди признанных наблюдателей.

Тем не менее, некоторые эксперты очень воодушевлены прогрессом. Например, недавно Скотт Ааронсон написал, что учитывая «текущую ошеломляющую скорость разработки аппаратного обеспечения»,

Теперь я считаю, что реалистична вероятность, что до следующих президентских выборов в США у нас появится отказоустойчивый квантовый компьютер, запускающий алгоритм Шора.

Однако позже Ааронсон уточнил, что его утверждение не подразумевает квантовые компьютеры, связанные с криптографией: он утверждал, что даже полностью отказоустойчивый алгоритм Шора с факторингом 15 = 3 \ умножения на 5 считается реализацией — и что вычисления можно выполнять гораздо быстрее с помощью карандаша и бумаги. Стандартом всё ещё предстоит исполнять алгоритм Шора в малом масштабе, а не в криптографии, поскольку предыдущие эксперименты по факторизации 15 на квантовом компьютере использовали упрощённые схемы вместо полноценного, отказоустойчивого алгоритма Шора. И есть причина, почему эти эксперименты всегда учитывали число 15: арифметическое вычисление модуля 15 просто, а факторирование немного большего числа, например 21, гораздо сложнее. Поэтому квантовые эксперименты, заявляющие о разборе 21, часто опираются на дополнительные подсказки или упрощения.

Проще говоря, ожидание квантового компьютера, связанного с криптографией, способного взломать {RSA-2048} или {secp}256{k}1 в ближайшие 5 лет — что критически важно для реальной криптографии — не подтверждается общеизвестными достижениями.

Даже если 10 лет — это всё равно амбициозно. Учитывая, насколько мы далеки от квантовых компьютеров, связанных с криптовалютой, воодушевление прогрессом идеально вписывается в более чем десятилетний срок.

А что насчёт крайнего срока правительства США — 2035 года — для полномасштабной миграции государственных систем после квантового периода (PQ)? Я считаю, что это разумный срок для такого масштабного перехода. Однако не является предсказанием, что квантовые компьютеры, связанные с криптографией, будут существовать в это время.

В каких ситуациях применяются атаки HNDL (а какие — нет)?

Атаки «Acquire Now, Decrypt Later later» (HNDL) — это когда противник хранит зашифрованный трафик, а затем расшифровывает его, когда существует квантовый компьютер, связанный с шифрованием. Противники на уровне национальных государств, безусловно, уже массово архивируют зашифрованные сообщения правительства США, чтобы расшифровать их спустя годы после появления CRQC.

Вот почему криптовалюта нуждается в немедленном переходе — по крайней мере, для тех, кто нуждается в конфиденциальности более 10-50 лет.

Но цифровые подписи — на них полагаются все блокчейны — отличаются от криптографии: нет никакой секретности, чтобы отследить атаку.

Другими словами, подделка подписей действительно возможна с тех пор, если появятся квантовые компьютеры, связанные с криптографией, но ранее подписи не «скрывают» секреты, такие как зашифрованные сообщения. Пока вы знаете, что цифровая подпись была сгенерирована до появления CRQC, её нельзя подделать.

Это делает переход к постквантовым цифровым сигнатурам менее срочно, чем постквантовый переход шифрования.

Крупные платформы действуют соответственно: Chrome и Cloudflare ввели гибридное {X}25519+{ML-KEM} для шифрования на уровне сетевого транспортного слоя (TLS).

В этой статье, для удобства чтения, я использую схемы шифрования, хотя, строго говоря, безопасные протоколы связи, такие как TLS, используют механизмы обмена ключами или инкапсуляции ключей, а не шифрование с открытым ключом.

** «гибрид» здесь означает использование как ** постквантовой схемы безопасности (то есть ML-KEM), так и существующей схемы ({X}25519) для получения комбинированной гарантии безопасности обоих. Таким образом, они могут (надеемся) блокировать атаки HNDL с помощью ML-KEM, оставаясь при этом классически защищёнными с помощью {X}25519 в случаях, когда ML-KEM оказался небезопасным даже для современных компьютеров.

Apple’s iMessage также внедрил этот гибридный постквантовый шифрование через протокол PQ3, а Signal — через протоколы PQXDH и SPQR.

В отличие от этого, внедрение постквантовых цифровых сигнатур в критической сетевой инфраструктуре откладывается до тех пор, пока квантовые компьютеры, связанные с криптографией, действительно не приближаются, поскольку нынешние схемы постквантовой подписи приводят к снижению производительности (об этом позже).

zkSNARK — лаконичные и неинтерактивные аргументы знания с нулевой информацией, которые являются ключом к долгосрочной масштабируемости и конфиденциальности блокчейна — находятся в похожей ситуации с подписями. Это связано с тем, что их свойства с нулевым знанием безопасны даже для не-постквантовых безопасных {zkSNARK} (которые используют эллиптическую кривую, как и современные не-постквантовые криптографии и схемы подписи).

Атрибут нулевой информации гарантирует, что в доказательствах не раскрывается информация о секретных свидетелях — даже для квантового противника — поэтому не будет доступной конфиденциальной информации для «первого получения» для последующего расшифровки.

Таким образом, {zkSNARKи} не подвержены атакам «сначала доберись, чтобы расшифровать». Точно так же, как современные непостквантовые сигнатуры являются безопасными, любое доказательство {zkSNARK}, созданное до появления криптографически связанных квантовых компьютеров, заслуживает доверия (то есть доказанные утверждения абсолютно верны) — даже если {zkSNARK} использует криптографию с эллиптическими кривыми. Только после появления криптографически значимых квантовых компьютеров злоумышленники могут найти убедительные доказательства ложных утверждений.

Что это значит для блокчейна

Большинство блокчейнов не подвергаются атакам HNDL:

Большинство цепей, не связанных с конфиденциальностью, таких как сегодня Bitcoin и Ethereum, в основном используют не-постквантовую криптографию для авторизации транзакций — то есть используют цифровые подписи, а не шифрование.

Опять же, эти сигнатуры не являются рисками HNDL: атаки «Сначала получи, потом расшифровать» подходят для шифрования данных. Например, блокчейн Bitcoin является публичным; Квантовая угроза — это подделка подписей (получение приватных ключей для кражи средств), а не расшифровка данных транзакций, которые уже были опубликованы. Это устраняет немедленную срочность шифрования, возникающую при атаках на HNDL.

К сожалению, даже анализ надёжного источника, такого как Федеральная резервная система, ложно утверждает, что Биткоин уязвим для атак HNDL — ошибка, преувеличивающая срочность перехода к постквантовой криптографии.

Тем не менее, снижение срочности не означает, что биткоин может ждать: он сталкивается с разными временными ограничениями, связанными с огромной социальной координацией, необходимой для изменения протокола.

Единственным исключением на сегодняшний день являются цепочки конфиденциальности, многие из которых шифруют или иным образом скрывают получателя и сумму. Когда квантовые компьютеры смогут взламывать криптографию эллиптических кривых, эту конфиденциальность теперь можно получить и задним числом деанонимизировать.

Для таких цепочек конфиденциальности степень атаки варьируется в зависимости от дизайна блокчейна. Например, для кривой кольцевой подписи и изображения ключа Monero (метка связности для каждого выхода, используемая для прекращения двойного расходования), одного публичного реестра достаточно для реконструирования графика расходов ретроспективно. Но в других цепочках ущерб более ограничен — подробности см. обсуждение криптоинженера и исследователя Zcash Шона Боу.

Если важно, чтобы транзакции пользователей не были раскрыты криптографически связанными квантовыми компьютерами, то цепочки конфиденциальности должны как можно скорее перейти к постквантовым примитивам (или гибридным схемам). В качестве альтернативы им следует использовать архитектуру, которая избегает размещения расшифрованных секретов в цепочке.

Особенная головоломка биткоина: управление + заброшенные монеты

Для биткоина, в частности, существуют две реалии, которые стимулируют срочность перехода к постквантовым цифровым подписям. Ни одна из них не связана с квантовыми технологиями.

Одна из проблем — скорость управления: Bitcoin меняется медленно. Если сообщество не может найти правильное решение, любая спорная проблема может привести к вредному хардфорку.

Ещё одна проблема заключается в том, что квантовые подписи нельзя пассивно мигрировать после переключения биткоина: владельцы должны активно мигрировать свои монеты. Это означает, что заброшенные монеты с квантовой уязвимостью нельзя защитить. Некоторые оценки оценивают количество квантово-уязвимых и потенциально заброшенных BTC в миллионы, что составляет десятки миллиардов долларов по текущим ценам (по состоянию на декабрь 2025 года).

Однако квантовая угроза для биткоина не станет внезапной, мгновенной катастрофой… Это скорее избирательный, постепенный процесс таргетинга. Квантовые компьютеры не взламывают все шифрования одновременно — алгоритм Шора должен нацелиться на один публичный ключ за раз. Ранние квантовые атаки будут чрезвычайно дорогими и медленными. Поэтому, как только квантовый компьютер сможет взломать один ключ для подписи Биткоина, злоумышленники будут избирательно охотиться на высокоценные кошельки.

Кроме того, пользователи, избегающие повторного использования адресов и не использующие Taproot адреса — которые раскрывают публичные ключи напрямую в цепочке — в значительной степени защищены даже без изменений протокола: их публичные ключи скрываются за хеш-функциями до того, как их монеты будут потрачены. Когда они наконец транслируют транзакцию с расходами, публичный ключ становится видимым, и происходит короткая гонка в реальном времени между честными тратителями, которым нужно подтвердить транзакцию, и злоумышленниками, которые хотят найти приватные ключи и потратить эти монеты до того, как сделка будет окончательно оформлена настоящим владельцем. Таким образом, настоящей уязвимостью являются те, чьи публичные ключи были раскрыты: ранние пиринговые выходы K, повторно используемые адреса и активы Taproot.

Нет простого решения для уязвимых монет, которые были заброшены. Некоторые варианты включают:

Сообщество Биткоина соглашается на «день отметки», после которого все монеты, не мигрировавшие, объявляются сожжёнными.

Оставлять заброшенные квантовые уязвимые монеты может легко забрать любой, у кого есть квантовые компьютеры, связанные с криптографией.

Второй вариант создаёт серьёзные юридические и вопросы безопасности. Использование квантовых компьютеров для хранения монет без приватного ключа — даже если утверждается, что они имеют законное владение или добрые намерения — может вызвать серьёзные проблемы по законам о краже и компьютерном мошенничестве во многих юрисдикциях.

Кроме того, само «оставление» основано на презумпции бездействия. Но никто толком не знает, нет ли этим монетам живых владельцев с ключами. Доказательства того, что вы когда-то владели этими монетами, могут быть недостаточны для юридического разрешения на взлом криптозащиты и их возвращение. Эта юридическая неоднозначность увеличивает вероятность того, что заброшенные квантовые уязвимые монеты попадут в руки злоумышленников, готовых игнорировать юридические ограничения.

Последняя уникальная проблема биткоина — низкая пропускная способность транзакций. Даже если план миграции будет финализирован для перевода всех квантово-уязвимых средств на адреса после квантового перехода, это займёт несколько месяцев при текущем темпе транзакций Биткоина.

Эти трудности делают для Биткоина крайне важным начать планирование своего постквантового перехода прямо сейчас — не потому, что крипто-ориентированные квантовые компьютеры могут появиться раньше 2030 года, а потому, что управление, координация и техническая логистика, необходимые для миграции многомиллиардных монет, займут годы.

Квантовая угроза для Биткоина реальна, но давление временной линии исходит из собственных ограничений Биткоина, а не из-за надвигающегося квантового компьютера. В то время как другие блокчейны сталкиваются с собственными проблемами с квантово-уязвимым финансированием, Биткоин сталкивается с уникальной угрозой: его первые транзакции использовали выход с использованием pay-to-public key (peer-to-peer K), размещая публичные ключи непосредственно в цепочке, что делает значительную часть BTC особенно уязвимой для квантовых компьютеров, связанных с криптографией. Эта техническая разница — в сочетании с возрастом Биткоина, его концентрацией, низкой пропускной способностью и жёстким управлением — делает проблему особенно серьёзной.

Обратите внимание, что описанная выше уязвимость относится к криптографической безопасности цифровых подписей Биткоина, но не к экономической безопасности блокчейна Биткоина. Эта экономическая безопасность основана на механизме консенсуса с доказательством работы (PoW), который менее уязвим к атакам со стороны квантовых компьютеров по трём причинам:

PoW зависит от хеширования, поэтому на него влияет только квадратичное квантовое ускорение алгоритма поиска Гровера, а не экспоненциальное ускорение алгоритма Шора.

Реальные накладные расходы на реализацию поиска по Grover делают крайне маловероятным, что какой-либо квантовый компьютер сможет достичь даже умеренного реального ускорения механизма proof-of-work в Биткоине.

Даже если будут достигнуты значительные ускорения, эти ускорения дадут крупным квантовым майнерам преимущество перед мелкими, не подрывая при этом экономическую модель безопасности Биткоина.

Стоимость и риски постквантовых сигнатур

Чтобы понять, почему блокчейны не должны спешить с внедрением постквантовых подписей, нам нужно осознать стоимость производительности и нашу уверенность в том, что постквантовая безопасность всё ещё развивается.

Большинство постквантовой криптографии основано на одном из пяти следующих методов:

хэш (hashing)

Кодирование (codes)

Сетка (lattices)

(multivariate квадратичные системы, MQ)

Родственное (isogenies).

Почему существует пять различных подходов? Безопасность любых примитивов после квантового шифрования основана на предположении, что квантовые компьютеры не могут эффективно решать конкретные математические задачи. Чем более «структурирована» задача, тем эффективнее криптографический протокол мы можем построить на её основе.

Но у этого есть свои плюсы и минусы: дополнительная структура также создаёт больше пространства для использования алгоритмов атак. Это создаёт фундаментальное противоречие — более сильные предположения ведут к лучшей производительности, но ценой потенциальных уязвимостей безопасности (то есть увеличивается вероятность того, что предположения окажутся ошибочными).

В целом, хеш-ориентированные методы наиболее консервативны с точки зрения безопасности, поскольку мы наиболее уверены, что квантовые компьютеры не смогут эффективно атаковать эти протоколы. Но они также худшие результаты. Например, стандартизированные NIST схемы подписи на основе хеша имеют размер 7-8 КБ, даже с минимальными параметрами. Для сравнения, современные цифровые подписи на основе эллиптических кривых имеют всего 64 байта. Это примерно в 100 раз большая разница в размерах.

Решения для грида — это основное направление современных внедрений. NIST выбрал уникальную криптографическую схему для стандартизации, и два из трёх алгоритмов подписи основаны на решётке. Одна схема решётки (ML-DSA, ранее известная как Дилитий) создаёт сигнатуры размером от 2,4 КБ (при 128-битном уровне безопасности) до 4,6 КБ (при 256-битном уровне безопасности) — что делает её примерно в 40-70 раз больше, чем современные эллиптические сигнатуры на основе кривых. Другая схема сетки, Falcon, имеет немного меньшую сигнатуру (666 байт для Falcon-512 и 1,3 КБ для Falcon-1024), но с сложными операциями с плавающей точкой, которые сам NIST отмечает как особую сложность реализации. Томас Порнин, один из создателей Falcon, назвал это «самым сложным алгоритмом шифрования, который я когда-либо реализовывал».

Безопасность реализации сеточных цифровых подписей также сложнее, чем схемы подписи на основе эллиптических кривых: в ML-DSA более чувствительные промежуточные и нетривиальная логика отвергнутой дискретизации, требующая побочного канала и аварийного защиты. Falcon добавляет задачу с постоянной временной запятой; Фактически, несколько атак по побочным каналам на реализацию Falcon позволили восстановить секретный ключ.

Эти проблемы представляют немедленный риск, в отличие от отдалённой угрозы квантовых компьютеров, связанных с криптографией.

Есть веские причины быть осторожными при внедрении более эффективных методов постквантовой криптографии. Исторически ведущие кандидаты, такие как Rainbow (схема подписи на основе MQ) и SIKE/SIDH (криптографическая схема на основе гомологов), классически взломывались, то есть с использованием современных компьютеров, а не квантовых.

Это произошло очень поздно в процессе стандартизации NIST. Это и есть наука о здоровье, но она показывает, что преждевременная стандартизация и внедрение могут обернуться против них.

Как уже упоминалось, интернет-инфраструктура применяет осознанный подход к миграции подписей. Это особенно примечательно, учитывая, сколько времени займет переход в криптовалюту в интернете, когда он начнётся. Переход от хеш-функций MD5 и SHA-1 — технически устаревших сетевыми губернаторами несколько лет назад — занял много лет на реальную реализацию в инфраструктуре и, в некоторых случаях, всё ещё продолжается. Это происходит потому, что эти схемы полностью взломаны и не просто потенциально уязвимы для будущих технологий.

Уникальные вызовы блокчейн- и интернет-инфраструктуры

К счастью, блокчейны, такие как Ethereum или Solana, которые активно поддерживаются сообществом разработчиков с открытым исходным кодом, могут обновляться быстрее, чем традиционная сетевая инфраструктура. Традиционная сетевая инфраструктура, напротив, выигрывает от частого вращения ключей, что означает, что её поверхность атаки движется быстрее, чем могли нацелиться ранние квантовые машины — роскошь, которой не было у блокчейнов, поскольку монеты и связанные с ними ключи могут быть раскрыты бесконечно.

Но в целом блокчейны должны следовать продуманному подходу сети к миграции подписей. Ни одна из сигнатур не подвергается атакам HNDL, и стоимость и риск преждевременной миграции на незрелую постквантовую схему остаются значительными, независимо от срока действия ключа.

Существуют также специфические для блокчейна проблемы, которые делают преждевременную миграцию особенно рискованной и сложной: например, блокчейны имеют уникальные требования к схемам подписи, особенно возможность быстрого агрегирования множества подписей. Сегодня BLS-подписи часто используются за их способность достигать очень быстрой агрегации, но они не являются постквантовыми безопасными. Исследователи изучают постквантовую агрегацию подписей на основе SNARK. Работа многообещающая, но всё ещё находится на ранней стадии.

Для SNARK сообщество сейчас сосредоточено на хеш-основанных структурах как на ведущем постквантовом варианте. Но грядёт серьёзный сдвиг: я считаю, что в ближайшие месяцы и годы решёточные варианты станут привлекательными альтернативами. Эти альтернативы будут обеспечивать лучшую производительность, чем хеш-основанные {SNARK}, в различных аспектах, например, при более коротких доказательствах — аналогично решётчатым сигнатурам, которые короче хеш-подписей.

Более серьёзная проблема — это внедрение безопасности

В ближайшие годы внедрение уязвимостей будет представлять большую угрозу безопасности, чем квантовые компьютеры, связанные с криптографией. Для {SNARKs} главная проблема — это баги.

Ошибки программ уже представляют собой проблему для цифровых подписей и схем шифрования, а {SNARK} гораздо сложнее. Действительно, схему цифровой подписи можно представить как очень простую {zkSNARK} для утверждения: «Я знаю приватный ключ, соответствующий моему публичному ключу, и я санкционировал это сообщение.»

Для постквантовых сигнатур непосредственные риски также включают атаки на реализацию, такие как атаки на боковых каналах и инъекции сбоев. Такие атаки хорошо документированы и могут извлекать секретные ключи из развернутых систем. Они представляют более непосредственную угрозу, чем удалённые квантовые компьютеры.

Сообщество будет работать на протяжении многих лет над выявлением и исправлением ошибок программ в {SNARKs} и ужесточением реализации постквантовой подписи для защиты от атак с помощью побочных каналов и инъекции сбоев. С учетом того, что постквантовые {SNARK} и схемы агрегирования подписей ещё не урегулированы, блокчейны, переходящие слишком рано, рискуют оказаться запертыми в неоптимальных схемах. Возможно, им придётся снова перейти, когда появятся лучшие варианты или когда будут обнаружены уязвимости в реализации.

Что нам делать? 7 рекомендаций

Учитывая описанные выше реалии, я завершу рекомендациями для различных заинтересованных сторон — от строителей до политиков. Первый принцип: относитесь к квантовым угрозам серьёзно, но не исходите из предположения, что квантовые компьютеры, связанные с криптографией, появятся раньше 2030 года. Это предположение не подтверждается текущим прогрессом. Тем не менее, есть несколько вещей, которые мы можем и должны сделать сейчас:

Нужно немедленно внедрить гибридное шифрование.

Или, по крайней мере, в случаях, когда долгосрочная конфиденциальность важна и доступна по цене.

Многие браузеры, CDN и мессенджеры, такие как iMessage и Signal, внедряют гибридные подходы. Гибридный подход — постквантовый + классический — может защищаться от атак HNDL, одновременно исключая потенциальные слабые места в постквантовых схемах.

Используйте подписи на основе хеша, как только размер станет доступным.

Обновления программного обеспечения/прошивки — и другие подобные сценарии с низкой частотой и нечувствительностью к размеру — должны немедленно внедрять гибридные хэш-подписи. (Смешивание предназначено для защиты от ошибок реализации в новом сценарии, а не из-за сомнений в предположениях безопасности на основе хеша.) ）

Это консервативно и обеспечивает чёткую «спасательную шлюпку» для общества в маловероятном случае неожиданного раннего появления квантовых компьютеров, связанных с криптографией. Без предварительного внедрения обновлений программного обеспечения после появления CRQC мы столкнёмся с проблемами загрузки: мы не сможем безопасно распространять исправления после квантовой криптографии, необходимые для защиты от этого.

Блокчейнам не нужно спешить с внедрением постквантовых подписей — планирование должно начаться немедленно.

Разработчикам блокчейна следует следовать лидерству сообщества PKI сети и продуманно подходить к внедрению постквантовой подписи. Это позволяет схемам постквантовой подписи продолжать совершенствоваться с точки зрения производительности и нашего понимания их безопасности. Такой подход также даёт разработчикам время перестроить систему для обработки больших сигнатур и разработки лучших методов агрегирования.

Для биткоина и других L1: сообществу необходимо определить пути миграции и политику, касающиеся заброшенных квантовых уязвимых фондов. Пассивная миграция невозможна, поэтому планирование крайне важно. И поскольку Биткоин сталкивается с особыми нетехническими проблемами — медленным управлением и большим количеством ценных, потенциально заброшенных адресов — для сообщества биткоина особенно важно начать планировать уже сейчас.

В то же время необходимо позволить исследованиям постквантовых {SNARKs} и агрегируемых сигнатур созреть (что может занять несколько лет). Опять же, преждевременные миграции могут оказаться застрявшими в неоптимальном сценарии или потребовать второй миграции для исправления ошибок реализации.

Небольшое замечание о модели аккаунта Ethereum: Ethereum поддерживает два типа счетов, которые имеют разные последствия для постквантовой миграции — внешне принадлежащий аккаунт (EOAs), традиционный тип аккаунта, контролируемый приватным ключом {secp}256{k}1; и смарт-контрактные кошельки с программируемой логикой авторизации.

В неэкстренных ситуациях, если Ethereum добавит поддержку постквантовой подписи, обновляемые кошельки смарт-контрактов могут перейти на постквантовую верификацию через обновления контрактов — и EOA, возможно, придётся переводить средства на новые адреса после квантового обеспечения (хотя Ethereum, вероятно, также предоставит специальный механизм миграции для EOA).

В случае квантовой чрезвычайной ситуации исследователи Ethereum предложили план хардфорка, чтобы заморозить уязвимые аккаунты и позволить пользователям восстанавливать средства с помощью пост-квантовых Security {SNARKs} для подтверждения знания своих seed-фраз. Этот механизм восстановления будет применяться к EOA и любым смарт-контрактным кошелькам, которые ещё не были обновлены.

Реальное влияние на пользователей: хорошо аудированный, апгрейдируемый смарт-контрактный кошелёк может предложить немного более плавный путь миграции — но не сильно отличается и сопровождается компромиссами в плане доверия к поставщикам кошельков и улучшенному управлению. Что ещё важнее, сообщество Ethereum продолжает работу над постквантовыми примитивами и планами реагирования на чрезвычайные ситуации.

Общие уроки дизайна для разработчиков: многие блокчейны сегодня тесно связывают идентификацию аккаунтов с конкретными криптографическими примитивами — Bitcoin и Ethereum с подписями ECDSA на {secp}256{k}1, а также другими цепями с EdDSA. Проблемы постквантовой миграции подчёркивают ценность отделения идентичностей аккаунтов от любой конкретной схемы подписи. Переход Ethereum к умным аккаунтам и аналогичные усилия по абстракции аккаунтов в других цепочках отражают эту тенденцию: позволяет аккаунтам улучшать логику аутентификации, не раскрывая свою историю и состояние в блокчейне. Такое разделение не делает постквантовую миграцию тривиальной, но даёт больше гибкости, чем жёсткое кодирование учетных записей в одну схему подписи. (Это также поддерживает несвязанные функции, такие как спонсируемые транзакции, социальное восстановление и мультиподпись).

Для цепочек конфиденциальности они шифруют или скрывают детали транзакций, и приоритетом следует отдавать приоритет более ранним переходам, если производительность доступна.

Пользовательская конфиденциальность в этих цепочках в настоящее время подвержена атакам HNDL, хотя степень её характера зависит от конструкции. Цепочки с полной отслеживаемостью и деанонимизацией только с помощью публичных реестров, сталкиваются с самыми острыми рисками.

Рассмотрим гибридные схемы (постквантовые + классические), чтобы предотвратить небезопасные даже классические схемы после квантовых схем или внедрить архитектурные изменения, которые не размещают расшифрованные секреты в цепочке.

В ближайшем будущем отдавайте приоритет безопасности — а не квантовому снижению угроз.

Особенно для сложных криптографических примитивов, таких как {SNARKs} и постквантовые сигнатуры, ошибки программ и атаки на реализацию (сайдканалные атаки, инжекция сбоев) будут представлять гораздо большие риски безопасности в ближайшие годы, чем квантовые компьютеры, связанные с криптографией.

Инвестируйте в аудит, фаззирование, формальную верификацию и глубокие/многоуровневые подходы к безопасности — не позволяйте квантовым проблемам скрывать более насущные угрозы ошибок программ!

Финансирование развития квантовых вычислений.

Важным следствием для национальной безопасности всего вышеперечисленного является необходимость постоянного финансирования и развития талантов в квантовых вычислениях.

Крупный противник, позволяющий использовать квантовые вычисления, связанные с криптовалютой, раньше Соединённых Штатов, представляет серьёзную угрозу национальной безопасности для нас и всего мира.

Следите за анонсами квантовых вычислений.

По мере взросления квантового оборудования в ближайшие годы будет много важных этапов. Парадоксально, но частота таких объявлений сама по себе доказывает, насколько мы далеки от квантовых компьютеров, связанных с криптовалютой: каждый этап — это один из многих мостов, которые нам предстоит преодолеть, чтобы достичь этого, и каждый из которых вызовет свою волну заголовков и волнения.

Думайте о пресс-релизах как о отчётах о прогрессе, требующих критической оценки, а не как о поводе к внезапным действиям.

Конечно, могут быть неожиданные достижения или ожидаемые сроки для ускорения инноваций, так же как и серьёзные узкие места для их расширения.

Я бы не стал утверждать, что квантовые компьютеры, связанные с криптографией, абсолютно невозможны, просто крайне маловероятны. Вышеуказанные рекомендации устойчивы к этой неопределённости и позволяют избежать более непосредственных и вероятных рисков: ошибок внедрения, поспешного развертывания и обычных ошибок переходов в криптовалюту.