a16z Crypto зазначив, що загроза квантових обчислень перебільшена, а ймовірність появи CRQC (квантового комп’ютера, пов’язаного з криптографією) до 2030 року надзвичайно низька. Цифрові підписи та zkSNARK не піддаються атакам «спочатку збирай, потім зламай», а надто ранній перехід несе ризики. Поточні загрози — це вразливості коду та труднощі з управлінням, тому рекомендується віддавати пріоритет аудиту, а не поспішним оновленням.
a16z спростовує наратив CRQC до 2030 року
a16z Crypto опублікувала аналітичну статтю на своєму офіційному акаунті, в якій зазначила, що оцінка ринку щодо «квантових обчислень загрози криптовалютам» часто перебільшена, а ймовірність появи квантових комп’ютерів із реальною руйнівною силою до 2030 року надзвичайно низька. Так званий «криптографічно значущий квантовий комп’ютер» означає відмовностійкі, виправляючі помилки квантові комп’ютери, які можуть працювати, а алгоритм Шора достатньо великий, щоб атакувати криптографію з еліптичними кривими або RSA у розумний час.
Виходячи з розумної інтерпретації публічних етапів і оцінок ресурсів, ми ще далеко від створення квантового комп’ютера такого рівня. Усі сучасні архітектури — ув’язнені іони, надпровідні кубіти та нейтральні атомні системи — не можуть наблизитися до масштабу сотень тисяч або навіть мільйонів твердих кубітів. Обмежувальними факторами є не лише кількість кубітів, а й точність затвора, зв’язність кубітів і глибина безперервної корекційної схеми помилок, необхідної для роботи глибокого квантового алгоритму.
Деякі системи наразі мають понад 1000 фізичних кубітів, але ця цифра є дуже оманливою. Ці системи не мають достатньої зв’язності кубітів і точності елементів, необхідних для обчислень, пов’язаних із криптографією. Досі існує величезний розрив між доведення доцільності принципів квантової корекції помилок і масштабом, необхідним для досягнення криптоаналізу. Коротко кажучи: якщо кількість кубітів і точність не збільшені на кілька порядків, криптографічно значущі квантові комп’ютери все ще залишаються недосяжними.
Три поширені хибні уявлення про квантову паніку
Квантова перевага заплутана: Демонстрації, що стверджують «квантову перевагу», спрямовані на завдання, створені людиною, а не на справжнє зламування паролів
Квантові аналітери вводять в оману: заявляючи тисячі кубітів, але маючи на увазі аннеалери, а не машини з моделью затворів, які працюють на алгоритмі Шора
Зловживання логічним кубітом: Деякі компанії стверджують, що вони «логічні кубіти», але використовують кодування відстані 2 для виявлення помилок, але не виправляють їх
Атаки HNDL не застосовуються до підписів і zkSNARK
У статті зазначалося, що основні рішення цифрового підпису та системи нульового знання, такі як zkSNARK, не піддаються квантовій атаці «спочатку збирай, потім зламай». Атаки Harvest Now, Decryption Later (HNDL) стосуються того, що ворожі сили тепер зберігають зашифрований трафік, а потім розшифровують його після появи криптографічно значущого квантового комп’ютера. Ця атака становить реальну загрозу для криптографії, тому криптографія має трансформуватися сьогодні — принаймні для тих, хто потребує конфіденційності понад 10-50 років.
Однак цифровий підпис, на який покладаються всі блокчейни, відрізняється від шифрування: він не має таємничості, як відстежувана атака. Іншими словами, якщо з’явилися квантові операції, пов’язані з криптографією, то можна було підробити підписи, але в минулому підписи не «приховували» секрети, як зашифровані повідомлення. Поки ви знаєте, що цифровий підпис був створений до появи CRQC, його не можна підробити. Це робить перехід до постквантових цифрових підписів менш нагальним, ніж перехід до постквантової криптографії.
zkSNARK (нульові лаконічні неінтерактивні аргументи знань) є ключовими для довгострокової масштабованості та конфіденційності блокчейнів, і вони перебувають у схожій ситуації з підписами. Хоча zkSNARK використовують криптографію з еліптичними кривими, їхні властивості нульового розкриття є постквантово безпечними. Атрибут нульового знання гарантує, що під час процесу доказування не буде розкрито жодної інформації про таємних свідків — навіть квантовим супротивникам — тому немає конфіденційної інформації, яку можна було б «зібрати зараз» для подальшого розшифрування.
Відповідно, zkSNARK не піддаються атакам «спочатку захоплення і розшифрування». Так само, як не-постквантові підписи, створені сьогодні, є безпечними, будь-який доказ zkSNARK, створений до появи криптографічно значущих квантових комп’ютерів, заслуговує на довіру. Лише після появи криптографічно значущих квантових комп’ютерів зловмисники можуть знаходити переконливі докази неправдивих тверджень. Ця технічна деталь є ключовою для розуміння автентичності квантових загроз.
Три основні витрати та ризики передчасної міграції
Надто ранній перехід блокчейну до квантово-стійких рішень може призвести до таких проблем, як погіршення продуктивності, інженерна незрілість і потенційні недоліки безпеки. Витрати на продуктивність постквантових підписів надзвичайно значні. Хеш-підписи мають розмір 7-8 КБ, тоді як сучасні цифрові підписи на основі еліптичних кривих мають лише 64 байти, що становить приблизно 100-кратну різницю в розмірі. Сіткове рішення трохи краще, з підписами ML-DSA від 2,4 КБ до 4,6 КБ, що все одно у 40–70 разів більше за поточне рішення.
Що означає це збільшення розміру для блокчейну? Більші підписи означають вищі транзакційні комісії, повільніше поширення блоків і вищі витрати на зберігання вузлів. Для блокчейнів, таких як Bitcoin, які вже стикаються з проблемами масштабованості, перехід на постквантові підписи може погіршити ситуацію в десятки разів. Крім того, схеми постквантового підпису є складнішими для реалізації безпеки, ніж сигнатури на основі еліптичних кривих, а ML-DSA має більші ризики безпеки та складну логіку відхиляючої вибірки, що вимагає захисту побічних каналів.
Уроки історії — ще більше попереджень. Rainbow (схема підпису на основі MQ) та SIKE/SIDH (схема шифрування на основі гомології) є провідними кандидатами, які пізніше були зламані традиційними комп’ютерами в процесі стандартизації NIST. Це демонструє нормальне функціонування науки, але також свідчить про те, що передчасна стандартизація та впровадження можуть мати зворотний ефект. Виклики, пов’язані з блокчейном, також роблять передчасну міграцію особливо небезпечною, наприклад, унікальні вимоги блокчейну до схем підписів, зокрема здатність швидко агрегувати велику кількість підписів.
a16z Сім порад: Обережно впоратися з квантовими загрозами
a16z також підкреслив, що порівняно з ризиками квантових обчислень, які ще не набули формування, більш реалістичні виклики, з якими стикаються основні публічні ланцюги, такі як Bitcoin та Ethereum, пов’язані зі складністю спільних оновлень, складністю управління та вразливостями коду рівня реалізації. Вона рекомендує розробникам заздалегідь планувати шляхи, стійкі до квантів, на основі розумного часового вікна оцінки, а не поспішати з міграціями. Водночас зазначається, що в найближчому майбутньому традиційні питання безпеки, такі як дефекти коду, атаки на побічні канали та ін’єкція несправностей, все ще заслуговують на пріоритетні інвестиції, ніж квантові обчислення, і мають зосереджуватися на посиленні аудиту, фаззингу та формальної верифікації.
a16z Резюме семи основних рекомендацій
Впровадити гібридне шифрування вже сьогодні: Принаймні в ситуаціях, де довгострокова конфіденційність є критичною
Використовуйте хеш-підписи: У низькочастотних сценаріях прийнятного розміру, таких як оновлення програмного забезпечення
Блокчейн ретельно спланований: Не поспішай з міграцією, а починай планувати свій шлях вже зараз
Спочатку ланцюг конфіденційності: Якщо продуктивність прийнятна, перехід слід здійснити якомога швидше
Пріоритет безпеки: Аудит і тестування є більш нагальними, ніж антиквантові
Фінансування квантових досліджень і розробок: Запобігти тому, щоб суперники першими отримували здібності
Подивіться на оголошення раціонально: Сприймайте звіти про прогрес як віхи, а не як тригери дій
Розробникам блокчейну слід наслідувати приклад спільноти Web PKI, обираючи обачний підхід до розгортання постквантових підписів. Це допомагає схемам постквантового підпису продовжувати покращуватися з точки зору продуктивності та безпеки. Особливо важливо, щоб спільнота Bitcoin починала планувати вже зараз, оскільки повільне управління та велика кількість високоцінних, потенційно покинутих і квантово вразливих адрес створюють особливі виклики.
