Понимание реального влияния квантовых вычислений на безопасность блокчейна

Угрозы квантовых вычислений для систем блокчейн стали повторяющейся темой как в технических, так и в политических дискуссиях, однако реальность гораздо более сложна, чем это предполагает большинство популярных обзоров. Время появления криптографически релевантных квантовых компьютеров (CRQC) остается десятилетиями вперед, а не в ближайшей перспективе, как изображают некоторые сторонники. Однако это не означает, что можно расслабляться — напротив, необходим стратегический, дифференцированный подход, основанный на реальных профилях рисков, а не на панике без разбора.

Таймлайн квантовых технологий: почему десятилетия, а не годы

Несмотря на корпоративные пресс-релизы и заголовки СМИ, реальный путь к созданию квантовых компьютеров, способных взломать текущие системы шифрования, гораздо более далек, чем принято считать. Криптографически релевантный квантовый компьютер должен уметь запускать алгоритм Шора в достаточных масштабах, чтобы взломать RSA-2048 или эллиптическую криптографию secp256k1 за разумное время. Современные системы значительно уступают этому порогу.

Сегодняшние квантовые компьютеры работают в принципиально иной лиге. Хотя некоторые системы превысили 1000 физических кубитов, этот показатель скрывает критические ограничения: связность кубитов и точность гейтов остаются недостаточными для криптографических вычислений. Разрыв между демонстрацией квантовой коррекции ошибок в теории и масштабированием до тысяч высокоточных, отказоустойчивых логических кубитов, необходимых для выполнения алгоритма Шора, огромен. Пока количество кубитов и их качество не увеличится одновременно на несколько порядков, квантовая криптоанализ остается долгосрочной перспективой.

Путаница во многом возникает из-за преднамеренного или непреднамеренного искажения прогресса в области квантовых технологий. Демонстрации «квантового преимущества» ориентированы на специально подготовленные задачи, созданные под существующее оборудование, а не на практически полезные вычисления. Термин «логический кубит» настолько размыли в некоторых дорожных картах, что компании заявляют успех даже при использовании кодов ошибок расстояния 2 и двух физических кубитов — несмотря на то, что коды расстояния 2 лишь обнаруживают ошибки, но не исправляют их. Даже дорожные карты, предполагающие возможность выполнения алгоритма Шора, часто смешивают системы с общей отказоустойчивостью и системы, релевантные для криптоанализа, что имеет огромное значение.

Даже когда эксперты выражают оптимизм, важна точность: недавние комментарии Скотта Ааронсона о возможных демонстрациях алгоритма Шора до следующих президентских выборов в США специально исключают криптографически релевантные применения — факторинг тривиальных чисел вроде 15 остается тривиальным как при классическом, так и при квантовом вычислении. Ожидание, что CRQC появится в течение следующих пяти лет, не подкреплено публичными доказательствами. Десять лет — все еще амбициозная цель.

Ключевое различие: шифрование под атакой, подписи пока в безопасности (Пока)

Здесь критически важна грамотность в области квантовых технологий для формирования правильной политики. Атаки типа Harvest-Now-Decrypt-Later (HNDL) представляют реальную угрозу в ближайшем будущем, но только для зашифрованных данных. Злоумышленник с продвинутыми средствами слежки может архивировать зашифрованные коммуникации сегодня и расшифровать их, когда появятся квантовые компьютеры — через десятилетия. Для организаций, обрабатывающих секреты, требующие конфиденциальности 10-50+ лет, это реальный профиль угроз.

Цифровые подписи — основа аутентификации всех крупных блокчейнов — сталкиваются с принципиально иной моделью угроз. Вот почему: подписи не скрывают секреты, которые можно будет расшифровать позднее. Прошедшие проверку подписи, как только они подтверждены, не могут быть подделаны ретроспективно, независимо от будущих возможностей квантовых компьютеров. Риск подделки подписи (вывод приватных ключей из публичных) проявляется только при наличии квантовых компьютеров, что не создает стимулов для архивирования подписей заранее.

Это полностью меняет срочность ситуации. Пока шифрование требует немедленного перехода на постквантовые алгоритмы для снижения риска HNDL, подписи могут переноситься более осмотрительно и планомерно. Крупные операторы интернет-инфраструктуры понимают эту разницу: Chrome и Cloudflare внедрили гибридное шифрование X25519+ML-KEM, тогда как переходы на новые подписи откладываются до зрелости постквантовых схем. Apple iMessage и Signal реализовали аналогичные стратегии с приоритетом на шифрование.

Что касается блокчейнов, Bitcoin и Ethereum используют подписи (через ECDSA на secp256k1), а не шифрование. Их транзакционные данные публичны — расшифровывать их позднее нечего. Угрозы квантовых компьютеров — это подделка подписей и извлечение приватных ключей, а не атаки HNDL. Это исключает криптографическую срочность, которую некоторые аналитики, включая, казалось бы, авторитетные источники вроде Федеральной резервной системы, ошибочно приписывали.

Блокчейны сталкиваются с совершенно разными профилями рисков

Не все блокчейны одинаково уязвимы к квантовым атакам. Например, системы с повышенной приватностью, такие как Monero и Zcash, шифруют или маскируют информацию о получателе и суммах транзакций. После взлома эллиптической криптографии эти данные станут расшифровываемыми, что потенциально позволит ретроспективную деанонимизацию. В случае Monero, квантовые злоумышленники смогут восстановить всю структуру расходов, исходя только из публичного реестра. Архитектура Zcash более ограничена по экспозиции, но риск остается.

Для Bitcoin и Ethereum непосредственная криптографическая угроза — целенаправленные атаки на открытые ключи после появления квантовых компьютеров. Не все Bitcoin одинаково уязвимы. Ранние транзакции pay-to-public-key (P2PK) размещали публичные ключи прямо в блокчейне; повторное использование адресов раскрывает ключи при первом расходе; подобным образом, в Taproot-адресах ключи также раскрываются при расходе. Монеты, владельцы которых никогда не повторяли адреса и использовали аккуратное управление ключами, остаются защищенными за хеш-функциями, а реальная уязвимость возникает только в момент расхода — короткий промежуток между владельцем и квантовым злоумышленником.

Однако настоящая срочная проблема для Bitcoin — не криптографические ограничения, а вопросы управления и логистики. Bitcoin меняется медленно; спорные обновления могут привести к разрушительным форкам. Более того, миграция к постквантовым адресам не может быть пассивной — пользователи должны активно переводить монеты. По оценкам, миллионы Bitcoin могут оставаться в уязвимых адресах бесконечно долго, что составляет десятки миллиардов долларов. Давление на миграцию исходит не от появления квантовых машин, а от внутренних ограничений самой системы.

Реальные издержки постквантовой криптографии: почему спешка создает немедленные риски

Современные схемы постквантовых подписей вводят значительные показатели производительности, что вызывает осторожность в их раннем внедрении. Стандартизация NIST на базе решетчатых схем показывает компромиссы: ML-DSA создает подписи размером 2.4–4.6 КБ — в 40–70 раз больше современных 64-байтовых ECDSA. Falcon достигает чуть меньших размеров (666 байт до 1.3 КБ), но требует сложных алгоритмов с постоянным временем выполнения, что один из создателей, криптограф Томас Порнин, назвал «самым сложным криптографическим алгоритмом, который я когда-либо реализовывал».

Хэш-основанные схемы — наиболее консервативные с точки зрения безопасности, но требуют колоссальных ресурсов: стандартные подписи достигают 7–8 КБ даже при минимальных параметрах безопасности — примерно в 100 раз больше текущих решений.

Сложность реализации также создает немедленные риски. ML-DSA требует защиты от атак через побочные каналы и инжекции ошибок из-за чувствительных промежуточных данных и сложной логики отклонения. Операции с плавающей точкой в Falcon оказались уязвимы для атак через побочные каналы, позволяющих восстановить секретные ключи из внедренных реализаций. Эти риски важнее, чем отдаленные угрозы квантовых компьютеров.

Исторический опыт показывает, что нужно быть осторожными: SIKE (Суперсингулярные изогенные ключевые схемы) и его предшественник SIDH долгое время считались кандидатами в стандарты NIST, пока не были взломаны классическими компьютерами — не квантовыми. Это произошло очень поздно в процессе стандартизации, что вынудило пересмотреть подход. Аналогично, Rainbow (многовариантная квадратичная подпись), несмотря на годы анализа, оказалась уязвимой к классическому криптоанализу.

Эти случаи показывают, что чем более структурирована математическая задача, тем лучше показатели производительности, но и тем больше уязвимостей. Стремление к высокой эффективности зачастую увеличивает риск неустойчивости схемы. Раннее внедрение таких решений может привести к необходимости повторных миграций и дорогостоящим переделкам.

Приватные цепочки требуют срочных мер, остальные — планировать осмотрительно

Для систем с повышенной приватностью, таких как Monero и Zcash, ранний переход на постквантовое шифрование (или гибридные схемы, сочетающие классические и постквантовые алгоритмы), оправдан, если позволяют показатели производительности. Угрозы HNDL для них существенны, поскольку ретроспективная деанонимизация — необратимый ущерб.

Для систем без повышенной приватности ситуация иная. Срочность связана с управленческими и логистическими аспектами, а не с криптографической угрозой. Bitcoin и Ethereum должны начать планировать миграцию немедленно, но реализация должна следовать принципам осмотрительного подхода, принятым сообществом PKI. Это даст время для совершенствования схем, углубления понимания их безопасности и разработки лучших методов объединения подписей.

Например, BLS-подписи, широко используемые в консенсусных механизмах блокчейнов благодаря быстрой агрегации, не являются постквантовыми. Исследования в области постквантовых SNARK-агрегаций показывают перспективы, но работы на ранней стадии. В настоящее время ведутся разработки хэш-структур для постквантовых SNARK, а также решений на базе решеток, которые могут обеспечить лучшую производительность в будущем, но требуют доработки.

Различие Ethereum между внешне управляемыми аккаунтами (EOAs), управляемыми приватными ключами secp256k1, и смарт-контрактами с программируемой логикой создает разные сценарии миграции. Обновляемые смарт-контракты могут перейти на постквантовую проверку через апгрейды, а владельцы EOAs — активным переводом средств на новые адреса. Исследователи Ethereum предложили механизмы аварийных форков, позволяющие владельцам уязвимых EOAs восстанавливать средства с помощью постквантовых SNARK, если угрозы реализуются неожиданно.

Недооцененная приоритетность: текущие риски реализации важнее будущих квантовых угроз

Хотя таймлайны квантовых технологий привлекают внимание, более актуальной проблемой являются ошибки программирования и уязвимости реализации. Для сложных криптографических примитивов, таких как SNARK и постквантовые подписи, баги и уязвимости через побочные каналы представляют гораздо большую немедленную угрозу, чем квантовые компьютеры через десятилетия.

Сообщество блокчейн должно сосредоточиться на тщательном аудите, fuzzing, формальной верификации и многоуровневой защите, а не на ускорении перехода к постквантовым схемам. Аналогично, при внедрении постквантовых подписей важно сразу бороться с уязвимостями реализации — атаками через побочные каналы и инжекциями ошибок, которые уже доказали свою эффективность в извлечении секретных ключей из внедренных систем. Эти угрозы — не теоретические, а реальные и актуальные.

Стратегический план действий: семь конкретных рекомендаций

Немедленно внедрять гибридное шифрование. Для систем, обрабатывающих данные с долгосрочной конфиденциальностью, реализуйте гибридные схемы, сочетающие классические (X25519) и постквантовые (ML-KEM) одновременно. Это защитит от HNDL и снизит риски слабых сторон постквантовых схем. Производительность при этом — незначительная по сравнению с уровнем безопасности.

Используйте хэш-основанные подписи для низкочастотных обновлений сейчас. Обновления программного обеспечения, прошивки и подобные сценарии с редкими изменениями должны сразу переходить на гибридные хэш-подписи. Это обеспечит консервативную безопасность и создаст инфраструктуру для быстрого распространения криптографических обновлений, если квантовые компьютеры появятся раньше ожидаемого.

Планируйте миграции блокчейнов аккуратно; не торопитесь с внедрением. Разработчики блокчейнов должны следовать лучшим практикам сообщества PKI, а не спешить с внедрением постквантовых подписей. Нужно дать время для зрелости схем, углубления понимания их безопасности и закрепления лучших практик реализации. Такой осмотрительный подход снижает риск застревания в неэффективных решениях, требующих повторных миграций.

Для Bitcoin: определить политику по заброшенным уязвимым к квантовым атакам средствам. Уникальные сложности Bitcoin — медленное управление, большое число уязвимых адресов и невозможность пассивной миграции — требуют срочного планирования. Необходимо четко определить правила обращения с навсегда недоступными квантово-уязвимыми монетами. Задержка в этом вопросе увеличивает риск, что значительная часть стоимости попадет в руки злоумышленников, если квантовые компьютеры появятся.

Приоритетно для систем с повышенной приватностью — более ранний переход. Такие блокчейны должны мигрировать на постквантовое шифрование или гибридные схемы раньше, чем системы без приватности, при условии, что показатели производительности позволяют. Угрозы HNDL для них существенно отличаются — ретроспективная деанонимизация — необратимый ущерб, в отличие от постмиграции авторизации транзакций.

Критически оценивайте объявления о квантовых вычислениях, а не реагируйте на заголовки. Каждое объявление о новом квантовом достижении будет порождать ажиотаж и нарративы срочности. Рассматривайте их как отчеты о прогрессе, требующие критического анализа, а не как поводы для поспешных решений. Частота таких объявлений показывает, насколько мы далеки от криптографической релевантности; каждое — лишь один из многих барьеров.

Инвестируйте в краткосрочную безопасность наряду с развитием квантовых технологий. Вместо того чтобы позволять опасения по поводу квантовых угроз затмевать более насущные задачи, увеличивайте вложения в аудит, тестирование, формальную верификацию и защиту от побочных каналов. Одновременно финансируйте исследования в области квантовых вычислений — национальная безопасность требует постоянных усилий, поскольку любой крупный противник, достигший криптографической квантовой способности раньше Запада, представляет угрозу.

Общий урок проектирования: отделяйте идентичность от криптографических примитивов

Многие блокчейны сегодня жестко связывают идентичность аккаунта с конкретными схемами подписи: Bitcoin и Ethereum — с ECDSA на secp256k1, другие цепочки — с EdDSA или альтернативами. Такой архитектурный выбор создает сложности при миграции именно в тот момент, когда переходы на квантовые схемы становятся необходимыми.

Лучший долгосрочный дизайн — отделить идентичность аккаунта от конкретных схем подписи. Например, Ethereum активно работает над абстракциями аккаунтов в смарт-контрактах: аккаунты могут обновлять логику аутентификации без потери истории и состояния. Такая архитектурная гибкость обеспечивает не только более плавные переходы к постквантовым схемам, но и расширяет возможности, такие как спонсируемые транзакции, социальное восстановление и мультиподписи.

Заключение: серьезно относиться к угрозам квантовых технологий, не создавая ложной срочности

Угрозы квантовых вычислений для криптографии блокчейнов реальны — но их временные рамки и профиль рисков гораздо более сложны, чем это принято считать. Реальные криптографически релевантные квантовые компьютеры останутся десятилетиями вперед, а не в ближайшие 5-10 лет, несмотря на некоторые корпоративные заявления.

Тем не менее, действия необходимы — и именно в соответствии с реальными профилями угроз. Шифрование требует немедленного внедрения гибридных постквантовых схем для долгосрочной конфиденциальности. Подписи требуют осмотрительной, продуманной миграции по зрелым стандартам и лучшим практикам. Безопасность реализации и устранение багов — приоритеты, важнее отдаленных угроз квантовых компьютеров. Для систем с повышенной приватностью переходы должны быть более ранними, чем для систем без приватности. Bitcoin сталкивается с уникальными управленческими и координационными вызовами, не связанными с криптографической срочностью.

Главный принцип: относитесь к угрозам квантовых технологий серьезно, но не действуйте на основе неподтвержденных предположений. Следуйте приведенным рекомендациям — они остаются актуальными даже при ускорении развития технологий, и помогут избежать более немедленных рисков ошибок реализации, поспешных внедрений и неудачных криптографических переходов.