Розуміння реального впливу квантових обчислень на безпеку блокчейну

Загроза квантових обчислень для систем блокчейн стала повторюваним нарративом у технічних та політичних дискусіях, проте реальність набагато більш нюансована, ніж це здається у популярних оглядах. Термін для створення криптографічно релевантних квантових комп’ютерів (CRQC) залишається десятиліттями, а не у найближчому майбутньому, як це зображують деякі прихильники. Однак це не означає, що слід бути байдужими — навпаки, потрібен стратегічний, диференційований підхід, заснований на реальних профілях ризику, а не на паніці без винятків.

Термінологія квантового розвитку: чому десятиліття, а не роки

Незважаючи на корпоративні прес-релізи та заголовки у медіа, реальний шлях до квантових комп’ютерів, здатних зламати сучасне шифрування, залишається набагато далеким, ніж зазвичай вважають. Криптографічно релевантний квантовий комп’ютер повинен запускати алгоритм Шора у достатньому масштабі для компрометації RSA-2048 або secp256k1-еліптичної кривої у розумний термін. Поточні системи значно відстають від цієї межі.

Сучасні квантові комп’ютери працюють у принципово іншій лізі. Хоча деякі системи вже перевищили 1000 фізичних кубітів, ця цифра маскує критичні обмеження: зв’язність кубітів і точність гейтів залишаються недостатніми для криптографічних обчислень. Розрив між демонстрацією квантової корекції помилок у теорії та масштабуванням до тисяч високоточних, збоєстійких логічних кубітів, необхідних для виконання алгоритму Шора, є величезним. Якщо кількість кубітів і точність не зростатимуть одночасно у кілька порядків, квантовий криптоаналіз залишатиметься довгостроковою перспективою.

Плутанина виникає здебільшого через навмисне або випадкове спотворення прогресу у квантових технологіях. Демонстрації “квантової переваги” орієнтовані на штучно створені задачі, розроблені для існуючого обладнання, а не на практично корисні обчислення. Термін “логічний кубіт” у деяких дорожніх картах настільки розмито, що компанії заявляють про успіх із кодами помилок другого рівня та двома фізичними кубітами — хоча коди другого рівня лише виявляють помилки, а не виправляють їх. Навіть дорожні карти, здатні виконати алгоритм Шора, часто плутають загальні системи з відмовостійкими та криптоаналітичними системами, що має велике значення.

Навіть коли експерти висловлюють оптимізм, точність важлива: нещодавні коментарі Скотта Ааронсона щодо потенційних демонстрацій алгоритму Шора перед наступними президентськими виборами у США виключають криптографічно релевантні застосування — факторинг тривіальних чисел, таких як 15, залишається тривіальним незалежно від обчислень класичним чи квантовим. Очікування, що CRQC з’явиться протягом наступних п’яти років, не мають підтвердження у публічних даних. Десять років — ще амбітна ціль.

Важливе розрізнення: шифрування під атакою, підписи — безпечні (Поки)

Тут критично важливою стає квантова грамотність для формування обґрунтованої політики. Атаки Harvest-Now-Decrypt-Later (HNDL) — реальна загроза у найближчій перспективі, але лише для зашифрованих даних. Зловмисник із високотехнологічними засобами спостереження може архівувати зашифровані комунікації сьогодні і розшифрувати їх, коли з’являться квантові комп’ютери через десятиліття. Для будь-якої організації, яка обробляє секрети, що потребують конфіденційності 10-50+ років, це справжній профіль ризику.

Цифрові підписи — основа автентифікації у всіх основних блокчейнах — стикаються з принципово іншим типом загрози. Ось чому: підписи не приховують секрети, які можна розшифрувати пізніше. Після підтвердження підпису його вже неможливо підробити ретроактивно, незалежно від майбутніх квантових можливостей. Ризик підробки підписів (виведення приватних ключів із публічних) виникає лише тоді, коли з’являться квантові комп’ютери, і не стимулює зловмисників архівувати підписи заздалегідь.

Це розрізнення повністю змінює терміни реагування. У той час як шифрування вимагає негайного переходу на пост-квантові алгоритми для зменшення ризику HNDL, підписи можна переносити більш обдумано, за планом. Важливі інтернет-оператори розуміють цю різницю: Chrome і Cloudflare вже застосували гібридне шифрування X25519+ML-KEM, тоді як перехід на підписи залишається навмисно відкладеним до зрілості пост-квантових схем. Apple iMessage і Signal застосували подібні стратегії з пріоритетом на шифрування.

Щодо блокчейнів, Bitcoin і Ethereum здебільшого використовують підписи (через ECDSA на secp256k1), а не шифрування. Їхні транзакційні дані публічно доступні — немає чого розшифровувати пізніше. Загроза квантових атак полягає у підробці підписів і витяганні приватних ключів, а не у HNDL-атаках. Це усуває криптографічну термінологічну паніку, яку деякі аналітики, включно з Федеральним резервом, помилково приписували.

Блокчейни мають різні профілі ризику

Не всі блокчейни однаково вразливі до квантових атак. Конфіденційні мережі, такі як Monero і Zcash, шифрують або приховують інформацію про отримувача та суми транзакцій. Після зломів еліптичної кривої ці історичні дані стануть розкриваними, що потенційно дозволить ретроспективну деанонімізацію. Зокрема, у Monero зловмисники з квантовими можливостями зможуть відновити цілі графи витрат із публічного реєстру. Архітектура Zcash має менше вразливостей, але ризик залишається.

Для Bitcoin і Ethereum найбільш актуальна криптографічна загроза — цілеспрямовані атаки на відкриті ключі, що стануть можливими з появою квантових комп’ютерів. Не весь Bitcoin однаково вразливий. Ранні транзакції pay-to-public-key (P2PK) розміщували відкриті ключі безпосередньо у мережі; повторне використання адрес відкриває ключі при першій витраті; у Taproot-адресах ключі також відкриваються у мережі. Монети, що ніколи не повторювали адреси і мали ретельне управління ключами, залишаються захищеними за хеш-функціями, і їхня реальна вразливість виникає лише під час витрат — короткий період між власником і квантовим зловмисником.

Однак справжня термінова проблема для Bitcoin — не криптографічні обмеження, а управлінські та логістичні. Bitcoin змінюється повільно; суперечливі оновлення можуть спричинити руйнівні розгалуження. Ще важливіше, що міграція до квантової безпеки не може бути пасивною — користувачі мають активно переносити монети на адреси з пост-квантовим захистом. За оцінками, мільйони Bitcoin можуть залишатися у вразливих адресах безстроково, що становить десятки мільярдів у цінності. Тиск на міграцію виникає через внутрішні обмеження Bitcoin, а не через наближення квантових машин.

Реальні витрати пост-квантового шифрування: чому поспіх створює негайний ризик

Поточні схеми підписів на основі пост-квантових алгоритмів мають суттєві недоліки у продуктивності, що вимагає обережності щодо передчасного впровадження. Стандарти NIST із схем на основі решіток ілюструють компроміси: ML-DSA створює підписи розміром 2.4-4.6 KB — у 40-70 разів більші за сучасні 64-байтові ECDSA. Falcon має трохи менший розмір (666 байт до 1.3 KB), але вимагає складних алгоритмів з плаваючою точкою у режимі “constant-time”, що один із його творців, криптограф Тома Порнін, описав як “найскладніший криптографічний алгоритм, який я коли-небудь реалізовував”.

Хеш-орієнтовані схеми підписів пропонують найконсервативніші припущення щодо безпеки, але за ціну жахливих показників продуктивності: стандартизовані NIST-версії досягають 7-8 KB навіть за мінімальних параметрів безпеки — приблизно у 100 разів більше за сучасні.

Складність реалізації сама по собі створює негайний ризик. ML-DSA вимагає складних захистів від витоків через побічні канали і помилки, оскільки використовує чутливі проміжні дані і складну логіку відхилення. Falcon має уразливі до побічних каналів операції з плаваючою точкою, що дозволили відновити секретні ключі з уже розгорнутих систем. Ці ризики реалізації є більш нагальними, ніж віддалені квантові комп’ютери.

Історичний досвід підсилює обережність: SIKE (Supersingular Isogeny Key Encapsulation) та його попередник SIDH були провідними кандидатами у стандартизації NIST, поки обидва не були зламані за допомогою класичних комп’ютерів — не квантових. Це не було академічним відкриттям у закритих лабораторіях; це сталося дуже пізно у процесі стандартизації, змусивши переглянути підходи. Аналогічно Rainbow (мультиваріантна квадратична підписна схема) зазнав поразки від класичного криптоаналізу, незважаючи на роки досліджень.

Ці невдачі демонструють, що чим більш структуроване математичне завдання, тим краще його продуктивність — але структура одночасно створює більше поверхонь для атак. Ця фундаментальна напруга означає, що схеми на основі пост-квантових алгоритмів із високими обіцянками продуктивності мають і вищий ризик бути визнаними небезпечними. Передчасне впровадження може закріпити системи у потенційно підмінених або зламаних рішеннях, що вимагатиме дорогих повторних міграцій.

Пріоритетність приватних мереж; інші — плануйте обережно

Для мереж, орієнтованих на конфіденційність, де транзакційна таємниця — головна цінність, рання міграція до пост-квантового шифрування (або гібридних схем, що поєднують класичні та пост-квантові алгоритми), виправдана, якщо продуктивність дозволяє. Загроза HNDL є суттєвою для цих систем.

Для мереж без особливих вимог до приватності ситуація кардинально інша. Терміновість зумовлена управлінською складністю і логістикою, а не криптографічною неминучістю. Bitcoin і Ethereum мають почати планувати міграцію негайно, але реалізація має слідувати обережному підходу спільноти PKI. Це дасть час для зрілості пост-квантових схем, поглиблення розуміння їхньої безпеки і закріплення кращих практик реалізації. Такий обдуманий підхід зменшує ризик застрягти у підоптимізованих рішеннях, що вимагатимуть повторних міграцій.

Щодо Bitcoin, потрібно визначити політику щодо залишених уразливих до квантових атак коштів. Через повільність управління, велику кількість адрес, що вразливі, і пасивність міграції, потрібно розробити чіткі правила для обробки таких монет. Зволікання збільшує ймовірність, що значна частина цінності потрапить до рук зловмисників, якщо квантові машини з’являться раптово.

Реальні витрати пост-квантового шифрування: чому поспіх створює негайний ризик

Поточні схеми підписів на основі пост-квантових алгоритмів мають суттєві недоліки у продуктивності, що вимагає обережності щодо передчасного впровадження. Стандарти NIST із схем на основі решіток ілюструють компроміси: ML-DSA створює підписи розміром 2.4-4.6 KB — у 40-70 разів більші за сучасні 64-байтові ECDSA. Falcon має трохи менший розмір (666 байт до 1.3 KB), але вимагає складних алгоритмів з плаваючою точкою у режимі “constant-time”, що один із його творців, криптограф Тома Порнін, описав як “найскладніший криптографічний алгоритм, який я коли-небудь реалізовував”.

Хеш-орієнтовані схеми підписів пропонують найконсервативніші припущення щодо безпеки, але за ціну жахливих показників продуктивності: стандартизовані NIST-версії досягають 7-8 KB навіть за мінімальних параметрів безпеки — приблизно у 100 разів більше за сучасні.

Реалізаційна складність сама по собі створює негайний ризик. ML-DSA вимагає складних захистів від витоків через побічні канали і помилки, оскільки використовує чутливі проміжні дані і складну логіку відхилення. Falcon має уразливі до побічних каналів операції з плаваючою точкою, що дозволили відновити секретні ключі з уже розгорнутих систем. Ці ризики реалізації є більш нагальними, ніж віддалені квантові комп’ютери.

Історичний досвід підсилює обережність: SIKE (Supersingular Isogeny Key Encapsulation) та його попередник SIDH були провідними кандидатами у стандартизації NIST, поки обидва не були зламані за допомогою класичних комп’ютерів — не квантових. Це не було академічним відкриттям у закритих лабораторіях; це сталося дуже пізно у процесі стандартизації, змусивши переглянути підходи. Аналогічно Rainbow (мультиваріантна квадратична підписна схема) зазнав поразки від класичного криптоаналізу, незважаючи на роки досліджень.

Ці невдачі демонструють, що чим більш структуроване математичне завдання, тим краще його продуктивність — але структура одночасно створює більше поверхонь для атак. Ця фундаментальна напруга означає, що схеми на основі пост-квантових алгоритмів із високими обіцянками продуктивності мають і вищий ризик бути визнаними небезпечними. Передчасне впровадження може закріпити системи у потенційно підмінених або зламаних рішеннях, що вимагатиме дорогих повторних міграцій.

Пріоритетність приватних мереж; інші — плануйте обережно

Для мереж, орієнтованих на конфіденційність, де транзакційна таємниця — головна цінність, рання міграція до пост-квантового шифрування або гібридних схем, що поєднують класичні та пост-квантові алгоритми, виправдана, якщо продуктивність дозволяє. Загроза HNDL є суттєвою для цих систем.

Для мереж без особливих вимог до приватності ситуація кардинально інша. Терміновість зумовлена управлінською складністю і логістикою, а не криптографічною неминучістю. Bitcoin і Ethereum мають почати планувати міграцію негайно, але реалізація має слідувати обережному підходу спільноти PKI. Це дасть час для зрілості пост-квантових схем, поглиблення розуміння їхньої безпеки і закріплення кращих практик реалізації. Такий обдуманий підхід зменшує ризик застрягти у підоптимізованих рішеннях, що вимагатимуть повторних міграцій.

Щодо Bitcoin, потрібно визначити політику щодо залишених уразливих до квантових атак коштів. Через повільність управління, велику кількість адрес, що вразливі, і пасивність міграції, потрібно розробити чіткі правила для обробки таких монет. Зволікання збільшує ймовірність, що значна частина цінності потрапить до рук зловмисників, якщо квантові машини з’являться раптово.

Реальні витрати пост-квантового шифрування: чому поспіх створює негайний ризик

Поточні схеми підписів на основі пост-квантових алгоритмів мають суттєві недоліки у продуктивності, що вимагає обережності щодо передчасного впровадження. Стандарти NIST із схем на основі решіток ілюструють компроміси: ML-DSA створює підписи розміром 2.4-4.6 KB — у 40-70 разів більші за сучасні 64-байтові ECDSA. Falcon має трохи менший розмір 666 байт до 1.3 KB, але вимагає складних алгоритмів з плаваючою точкою у режимі “constant-time”, що один із його творців, криптограф Тома Порнін, описав як “найскладніший криптографічний алгоритм, який я коли-небудь реалізовував”.

Хеш-орієнтовані схеми підписів пропонують найконсервативніші припущення щодо безпеки, але за ціну жахливих показників продуктивності: стандартизовані NIST-версії досягають 7-8 KB навіть за мінімальних параметрів безпеки — приблизно у 100 разів більше за сучасні.

Реалізаційна складність сама по собі створює негайний ризик. ML-DSA вимагає складних захистів від витоків через побічні канали і помилки, оскільки використовує чутливі проміжні дані і складну логіку відхилення. Falcon має уразливі до побічних каналів операції з плаваючою точкою, що дозволили відновити секретні ключі з уже розгорнутих систем. Ці ризики реалізації є більш нагальними, ніж віддалені квантові комп’ютери.

Історичний досвід підсилює обережність: SIKE Supersingular Isogeny Key Encapsulation та його попередник SIDH були провідними кандидатами у стандартизації NIST, поки обидва не були зламані за допомогою класичних комп’ютерів — не квантових. Це не було академічним відкриттям у закритих лабораторіях; це сталося дуже пізно у процесі стандартизації, змусивши переглянути підходи. Аналогічно Rainbow мультиваріантна квадратична підписна схема зазнав поразки від класичного криптоаналізу, незважаючи на роки досліджень.

Ці невдачі демонструють, що чим більш структуроване математичне завдання, тим краще його продуктивність — але структура одночасно створює більше поверхонь для атак. Ця фундаментальна напруга означає, що схеми на основі пост-квантових алгоритмів із високими обіцянками продуктивності мають і вищий ризик бути визнаними небезпечними. Передчасне впровадження може закріпити системи у потенційно підмінених або зламаних рішеннях, що вимагатиме дорогих повторних міграцій.

Пріоритетність приватних мереж; інші — плануйте обережно

Для мереж, орієнтованих на конфіденційність, де транзакційна таємниця — головна цінність, рання міграція до пост-квантового шифрування або гібридних схем, що поєднують класичні та пост-квантові алгоритми, виправдана, якщо продуктивність дозволяє. Загроза HNDL є суттєвою для цих систем.

Для мереж без особливих вимог до приватності ситуація кардинально інша. Терміновість зумовлена управлінською складністю і логістикою, а не криптографічною неминучістю. Bitcoin і Ethereum мають почати планувати міграцію негайно, але реалізація має слідувати обережному підходу спільноти PKI. Це дасть час для зрілості пост-квантових схем, поглиблення розуміння їхньої безпеки і закріплення кращих практик реалізації. Такий обдуманий підхід зменшує ризик застрягти у підоптимізованих рішеннях, що вимагатимуть повторних міграцій.

Щодо Bitcoin, потрібно визначити політику щодо залишених уразливих до квантових атак коштів. Через повільність управління, велику кількість адрес, що вразливі, і пасивність міграції, потрібно розробити чіткі правила для обробки таких монет. Зволікання збільшує ймовірність, що значна частина цінності потрапить до рук зловмисників, якщо квантові машини з’являться раптово.

Реальні витрати пост-квантового шифрування: чому поспіх створює негайний ризик

Поточні схеми підписів на основі пост-квантових алгоритмів мають суттєві недоліки у продуктивності, що вимагає обережності щодо передчасного впровадження. Стандарти NIST із схем на основі решіток ілюструють компроміси: ML-DSA створює підписи розміром 2.4-4.6 KB — у 40-70 разів більші за сучасні 64-байтові ECDSA. Falcon має трохи менший розмір 666 байт до 1.3 KB, але вимагає складних алгоритмів з плаваючою точкою у режимі “constant-time”, що один із його творців, криптограф Тома Порнін, описав як “найскладніший криптографічний алгоритм, який я коли-небудь реалізовував”.

Хеш-орієнтовані схеми підписів пропонують найконсервативніші припущення щодо безпеки, але за ціну жахливих показників продуктивності: стандартизовані NIST-версії досягають 7-8 KB навіть за мінімальних параметрів безпеки — приблизно у 100 разів більше за сучасні.

Реалізаційна складність сама по собі створює негайний ризик. ML-DSA вимагає складних захистів від витоків через побічні канали і помилки, оскільки використовує чутливі проміжні дані і складну логіку відхилення. Falcon має уразливі до побічних каналів операції з плаваючою точкою, що дозволили відновити секретні ключі з уже розгорнутих систем. Ці ризики реалізації є більш нагальними, ніж віддалені квантові комп’ютери.

Історичний досвід підсилює обережність: SIKE Supersingular Isogeny Key Encapsulation та його попередник SIDH були провідними кандидатами у стандартизації NIST, поки обидва не були зламані за допомогою класичних комп’ютерів — не квантових. Це не було академічним відкриттям у закритих лабораторіях; це сталося дуже пізно у процесі стандартизації, змусивши переглянути підходи. Аналогічно Rainbow мультиваріантна квадратична підписна схема зазнав поразки від класичного криптоаналізу, незважаючи на роки досліджень.

Ці невдачі демонструють, що чим більш структуроване математичне завдання, тим краще його продуктивність — але структура одночасно створює більше поверхонь для атак. Ця фундаментальна напруга означає, що схеми на основі пост-квантових алгоритмів із високими обіцянками продуктивності мають і вищий ризик бути визнаними небезпечними. Передчасне впровадження може закріпити системи у потенційно підмінених або зламаних рішеннях, що вимагатиме дорогих повторних міграцій.

Пріоритетність приватних мереж; інші — плануйте обережно

Для мереж, орієнтованих на конфіденційність, де транзакційна таємниця — головна цінність, рання міграція до пост-квантового шифрування або гібридних схем, що поєднують класичні та пост-квантові алгоритми, виправдана, якщо продуктивність дозволяє. Загроза HNDL є суттєвою для цих систем.

Для мереж без особливих вимог до приватності ситуація кардинально інша. Терміновість зумовлена управлінською складністю і логістикою, а не криптографічною неминучістю. Bitcoin і Ethereum мають почати планувати міграцію негайно, але реалізація має слідувати обережному підходу спільноти PKI. Це дасть час для зрілості пост-квантових схем, поглиблення розуміння їхньої безпеки і закріплення кращих практик реалізації. Такий обдуманий підхід зменшує ризик застрягти у підоптимізованих рішеннях, що вимагатимуть повторних міграцій.

Щодо Bitcoin, потрібно визначити політику щодо залишених уразливих до квантових атак коштів. Через повільність управління, велику кількість адрес, що вразливі, і пасивність міграції, потрібно розробити чіткі правила для обробки таких монет. Зволікання збільшує ймовірність, що значна частина цінності потрапить до рук зловмисників, якщо квантові машини з’являться раптово.

Реальні витрати пост-квантового шифрування: чому поспіх створює негайний ризик

Поточні схеми підписів на основі пост-квантових алгоритмів мають суттєві недоліки у продуктивності, що вимагає обережності щодо передчасного впровадження. Стандарти NIST із схем на основі решіток ілюструють компроміси: ML-DSA створює підписи розміром 2.4-4.6 KB — у 40-70 разів більші за сучасні 64-байтові ECDSA. Falcon має трохи менший розмір 666 байт до 1.3 KB, але вимагає складних алгоритмів з плаваючою точкою у режимі “constant-time”, що один із його творців, криптограф Тома Порнін, описав як “найскладніший криптографічний алгоритм, який я коли-небудь реалізовував”.

Хеш-орієнтовані схеми підписів пропонують найконсервативніші припущення щодо безпеки, але за ціну жахливих показників продуктивності: стандартизовані NIST-версії досягають 7-8 KB навіть за мінімальних параметрів безпеки — приблизно у 100 разів більше за сучасні.

Реалізаційна складність сама по собі створює негайний ризик. ML-DSA вимагає складних захистів від витоків через побічні канали і помилки, оскільки використовує чутливі проміжні дані і складну логіку відхилення. Falcon має уразливі до побічних каналів операції з плаваючою точкою, що дозволили відновити секретні ключі з уже розгорнутих систем. Ці ризики реалізації є більш нагальними, ніж віддалені квантові комп’ютери.

Історичний досвід підсилює обережність: SIKE Supersingular Isogeny Key Encapsulation та його попередник SIDH були провідними кандидатами у стандартизації NIST, поки обидва не були зламані за допомогою класичних комп’ютерів — не квантових. Це не було академічним відкриттям у закритих лабораторіях; це сталося дуже пізно у процесі стандартизації, змусивши переглянути підходи. Аналогічно Rainbow мультиваріантна квадратична підписна схема зазнав поразки від класичного криптоаналізу, незважаючи на роки досліджень.

Ці невдачі демонструють, що чим більш структуроване математичне завдання, тим краще його продуктивність — але структура одночасно створює більше поверхонь для атак. Ця фундаментальна напруга означає, що схеми на основі пост-квантових алгоритмів із високими обіцянками продуктивності мають і вищий ризик бути визнаними небезпечними. Передчасне впровадження може закріпити системи у потенційно підмінених або зламаних рішеннях, що вимагатиме дорогих повторних міграцій.

Пріоритетність приватних мереж; інші — плануйте обережно

Для мереж, орієнтованих на конфіденційність, де транзакційна таємниця — головна цінність, рання міграція до пост-квантового шифрування або гібридних схем, що поєднують класичні та пост-квантові алгоритми, виправдана, якщо продуктивність дозволяє. Загроза HNDL є суттєвою для цих систем.

Для мереж без особливих вимог до приватності ситуація кардинально інша. Терміновість зумовлена управлінською складністю і логістикою, а не криптографічною неминучістю. Bitcoin і Ethereum мають почати планувати міграцію негайно, але реалізація має слідувати обережному підходу спільноти PKI. Це дасть час для зрілості пост-квантових схем, поглиблення розуміння їхньої безпеки і закріплення кращих практик реалізації. Такий обдуманий підхід зменшує ризик застрягти у підоптимізованих рішеннях, що вимагатимуть повторних міграцій.

Щодо Bitcoin, потрібно визначити політику щодо залишених уразливих до квантових атак коштів. Через повільність управління, велику кількість адрес, що вразливі, і пасивність міграції, потрібно розробити чіткі правила для обробки таких монет. Зволікання збільшує ймовірність, що значна частина цінності потрапить до рук зловмисників, якщо квантові машини з’являться раптово.