a16z Статья: Какие риски для криптовалюты несет квантовые вычисления?

Автор | Джастин Талер, исследователь-партнер a16z

Перевод | GaryMa 吴说区块链

О том, когда наступит «квантовый компьютер, способный представлять реальную угрозу существующим криптосистемам», люди часто делают чрезмерно optimisticные оценки — вызывая требования немедленно и масштабно перейти на постквантовые криптосистемы.

Но такие требования зачастую игнорируют издержки и риски ранних миграций, а также полностью недооценивают различия в рисках для разных криптографических примитивов:

Постквантовое шифрование, даже дорогостоящее, должно быть внедрено немедленно: атаки типа «сбор данных — расшифровка позже» (Harvest-now-decrypt-later, HNDL) уже происходят, поскольку когда квантовые компьютеры действительно появятся, даже через десятилетия, чувствительные данные, защищённые сегодня, всё равно сохранят свою ценность. Несмотря на то, что постквантовое шифрование влечёт за собой снижение производительности и сложности реализации, для данных, требующих долгосрочной секретности, HNDL-атаки — единственный выбор.

Что касается постквантовых цифровых подписей, ситуация иная. Они не подвержены атакам типа HNDL, а их стоимость и риски (больший размер, падение производительности, незрелость реализации и потенциальные уязвимости) требуют аккуратной, а не поспешной миграции.

Эти различия очень важны. Неправильное понимание может исказить анализ затрат и выгод, заставляя команды недооценивать более важные угрозы — например, уязвимости самой системы.

Главный вызов на пути перехода к постквантовой криптосистеме — добиться соответствия «срочности» и «реальной угрозы». Ниже я проясню распространённые заблуждения о квантовой угрозе и её влиянии на криптографию — включая шифрование, подписи и нулевые знания — и особенно их влияние на блокчейн.

На каком этапе мы сейчас?

В 2020-х годах вероятность появления «квантового компьютера, реально угрожающего криптосистемам» (CRQC) чрезвычайно мала, несмотря на громкие заявления, вызывающие интерес.

ps: под «криптографически релевантным квантовым компьютером», далее будем понимать CRQC.

Под «квантовым компьютером, представляющим реальную угрозу криптосистемам», имеется в виду исправный, с коррекцией ошибок, квантовый компьютер, способный запустить алгоритм Шора на достаточной массе кубитов, чтобы за разумное время взломать эллиптические кривые или RSA (например, взломать secp256k1 или RSA-2048 за менее чем месяц непрерывных вычислений).

Согласно公开 оценкам и достигнутым рубежам, мы далеки от такого компьютера. Хотя некоторые компании заявляют, что CRQC может появиться уже в 2030 или даже 2035 году, открытые данные не подтверждают эти ожидания.

На сегодняшний день ни одна архитектура — ионные ловушки, сверхпроводящие кубиты или нейтральные атомы — не приближается к числу физических кубитов, необходимому для запуска алгоритма Шора на RSA-2048 или secp256k1, которое достигает сотен тысяч или миллионов кубитов (зависит от уровня ошибок и схем коррекции).

Ограничения не только в количестве кубитов, но и в фидельности логических ворот, связности кубитов и глубине коррекционных цепочек, необходимых для выполнения сложных квантовых алгоритмов. Хотя некоторые системы уже превысили 1000 физических кубитов, это число вводит в заблуждение, поскольку они не обладают необходимой связностью и фидельностью для криптографических вычислений.

Недавние системы приближаются к уровню физических ошибок, при которых становится возможна коррекция ошибок, однако ещё никто не продемонстрировал создание более нескольких логических кубитов с устойчивой коррекцией ошибок — а значит, запуск алгоритма Шора для взлома криптографии всё ещё недостижим. Теоретическая возможность коррекции ошибок и практическое достижение нужных масштабов — всё ещё в разных мирах.

Короче говоря: пока число кубитов и их фидельность не увеличатся одновременно на несколько порядков, «квантовый компьютер, угрожающий криптосистемам», останется недостижимым.

Тем не менее, пресс-релизы и медийные сообщения легко порождают заблуждения. Распространённые мифы включают:

Заявления о демонстрациях «квантового превосходства», которые зачастую касаются искусственно созданных задач. Эти задачи выбираются не из практических соображений, а потому, что их можно решить на существующем оборудовании и при этом получить видимый квантовый ускоритель — что зачастую умалчивается в промо-материалах.

Компании заявляют о «тысячах кубитов», хотя на самом деле речь идёт о квантовых реликтовых системах (quantum annealers), а не о полноценных квантовых компьютерах, способных запускать алгоритм Шора.

Свободное использование термина «логические кубиты». Физические кубиты очень шумны, а для квантовых алгоритмов нужны логические кубиты; как уже упоминалось, алгоритм Шора требует тысячи логических кубитов. В коррекции ошибок один логический кубит обычно состоит из сотен или тысяч физических кубитов (зависит от уровня ошибок). Некоторые компании используют этот термин неправомерно. Например, одна недавно заявила, что с помощью кода расстояния 2 и двух физических кубитов на логический удалось получить 48 логических кубитов — что явно неправильно: код с расстоянием 2 только обнаруживает ошибки, а не исправляет их. А для взлома криптографии требуются фидельные логические кубиты, состоящие из сотен или тысяч физических.

Более широко — многие маршруты развития квантовых компьютеров используют термин «логические кубиты» для обозначения кубитов, поддерживающих только операции Клиффорда. Эти операции легко симулируются классическими алгоритмами и не подходят для запуска алгоритма Шора, который требует тысячи исправленных ошибок T-ворот (или более сложных не-Клиффордных ворот).

Поэтому, даже если дорожная карта обещает «достичь тысяч логических кубитов в X году», это не означает, что в тот же год планируется запуск алгоритма Шора для взлома классических криптосистем.

Такие искажения серьёзно искажают восприятие общественности (и даже профессионалов) о том, насколько «близки мы к CRQC».

Несмотря на это, некоторые эксперты всё же радуются развитию. Например, Скотт Ааронссон недавно написал, что «учитывая ошеломляющую скорость нынешнего развития аппаратуры», он считает возможным, что до следующих выборов в США появится исправный квантовый компьютер, способный запускать алгоритм Шора.

Однако Ааронссон уточнил, что его слова не означают наличие у такого компьютера криптографической мощности: даже если полностью исправный алгоритм Шора сможет разложить число 15 (3×5), что легко сделать вручную, он считает, что это событие уже выполнено — то есть, это не тот уровень, который важен для криптографии. Стандарт остаётся на уровне выполнения небольшого алгоритма Шора, а не масштабного, криптографически значимого. Ранее квантовая расшифровка числа 15 использовала упрощённые цепи, а не полноценную коррекцию ошибок. Кроме того, постоянный выбор разложения числа 15 связан с простотой арифметики по модулю 15, а разложение чуть больших чисел (например, 21) — намного сложнее. Поэтому эксперименты по разложению 21 часто опираются на подсказки или обходные пути.

Кратко: ожидание появления в ближайшие 5 лет квантового компьютера, способного взломать RSA-2048 или secp256k1 (что реально важно для криптосистем), не подкреплено никакими открытыми данными.

Даже через 10 лет прогноз выглядит слишком оптимистичным. Учитывая, насколько далеко мы от настоящего квантового компьютера, связанного с криптографией, даже при оптимистичных ожиданиях, это может занять более десяти лет.

Что означает для США установка 2035 года как цели для перехода государственных систем на постквантовые алгоритмы? По моему мнению, это разумный срок для завершения масштабной миграции. Но это не прогноз появления CRQC.

В каких сценариях HNDL-атаки применимы (и в каких — нет)?

«Сбор данных — расшифровка позже» (Harvest now, decrypt later, HNDL) — это атака, при которой злоумышленники собирают все зашифрованные коммуникации сегодня, надеясь в будущем, когда появится «квантовый компьютер, способный представлять реальную угрозу», расшифровать их. Государственные структуры уже архивируют американские коммуникации, чтобы при появлении CRQC иметь возможность расшифровать их. Поэтому криптосистемы должны переходить на новые, постквантовые протоколы уже сейчас — по крайней мере, для тех, кому важна секретность сроком более 10–50 лет.

Но цифровые подписи — ключевой компонент большинства блокчейнов — в отличие от шифрования, не имеют «секретных» данных, которые можно было бы украсть или расшифровать позднее.

Когда появятся квантовые компьютеры, подделка цифровых подписей станет возможной — но уже подписанные документы не будут «скрывать» секреты. Если можно подтвердить, что подпись создана до появления CRQC, то она не может быть подделкой.

Таким образом, миграция на постквантовые подписи менее срочна, чем на шифрование.

Это подтверждается действиями главных платформ: Chrome и Cloudflare уже внедрили гибридные схемы X25519+ML-KEM в протоколы TLS. [Здесь я, для ясности, называю их «криптографическими схемами», хотя строго говоря, протоколы типа TLS используют механизмы обмена ключами или шифрования ключей, а не публичное шифрование.]

«Гибридные» означают одновременное использование постквантового механизма (ML-KEM) и существующего (X25519), чтобы обеспечить оба уровня безопасности. Такой подход позволяет защититься от HNDL, а при подтверждении, что ML-KEM уязвимы, — обеспечить безопасность за счёт X25519.

Apple использует подобные гибридные схемы в своих PQ3-протоколах для iMessage, а Signal — в PQXDH и SPQR.

В то же время, миграция ключевых веб-инфраструктур к постквантовой цифровой подписи откладывается до «реальной возможности появления CRQC», так как существующие постквантовые схемы подписи заметно снижают производительность (об этом чуть позже).

zkSNARKs — — нулевые знания, компактные, неинтерактивные доказательства — — это ядро будущей масштабируемости и приватности блокчейна, и в контексте квантовых угроз они схожи с цифровыми подписями. Причина в том, что, даже если некоторые zkSNARK не обладают постквантовой безопасностью (используя те же эллиптические кривые, что и текущие схемы), их «нулевые знания» остаются постквантово безопасными.

Гарантируя, что доказательство не раскрывает никакой информации о секретном свидетеле, — — даже при квантовых атаках — — zkSNARK защищены от «предварительного сбора» и последующего расшифрования конфиденциальных данных.

Это означает, что zkSNARK не подвержены атакам типа HNDL. Как и сегодняшние цифровые подписи, не являющиеся постквантовыми, — — если доказательство создано до появления CRQC, оно считается доверенным (то есть утверждение истинно). — — даже если zkSNARK использует эллиптические кривые. Только после появления CRQC злоумышленники смогут создать «поддельные, кажущиеся действительными» доказательства.

Что это значит для блокчейна

Большинство цепочек не подвержены атакам HNDL: большинство не приватных цепочек — например, биткойн и Эфириум — используют неподдерживаемые постквантовые схемы только для аутентификации транзакций, то есть используют подписи, а не шифрование.

Повторю: цифровые подписи не подвержены атакам HNDL — «сбор данных — расшифровка позже» — применима только к зашифрованным данным. Например, блокчейн Биткойна открыт; квантовая угроза — в подделке подписи (взломе приватного ключа для кражи средств), а не в расшифровке публичных транзакций. Это значит, что атаки HNDL не создают немедленной криптографической угрозы для текущих цепочек.

К сожалению, некоторые авторитетные организации (включая Федеральную резервную систему США) ошибочно утверждают, что Биткойн уязвим для HNDL, что во многом преувеличивает срочность перехода на постквантовые схемы.

Однако «пониженная срочность» не означает, что Биткойн можно ждать вечно: из-за масштабных социальных договорённостей для обновления протокола, есть временные ограничения. (Об этом подробнее ниже.)

Исключение — цепочки с повышенной приватностью, которые шифруют или скрывают детали транзакций. Эти цепочки более уязвимы, поскольку их данные могут быть собраны заранее и использованы для деанонимизации, если квантовые компьютеры смогут взломать эллиптические кривые.

Для таких цепочек уровень угроз зависит от их дизайна. Например, в случае Monero, основанного на эллиптических кривых, кольцевых подписьх и ключе-изображении (используемом для предотвращения двойной траты), публичный реестр позволяет в будущем восстановить всю графику транзакций. В других цепочках ущерб может быть меньшим — подробнее в дискуссии Sean Bowe, инженера Zcash.

Если для пользователя критично, чтобы «транзакции не были раскрыты квантовым компьютером в будущем», — — стоит как можно скорее перейти на постквантовые схемы или гибридные решения. Или перейти на полностью невидимые цепочки.

Особая проблема Биткойна: управление + заброшенные монеты

Для Биткойна есть два обстоятельства, делающих срочным переход на постквантовые подписи, — — и они не связаны с технологией квантовых компьютеров. Первое — медленная эволюция протокола: любые спорные вопросы могут привести к опасным форкам, если сообщество не договорится.

Второе — переход на постквантовые подписи невозможен пассивной миграцией: владельцы монет должны активно переводить средства. Это значит, что заброшенные, но уязвимые к квантовой атаке монеты, не защищены. Оценки показывают, что их число достигает миллионов BTC, а стоимость — сотни миллиардов долларов по текущим ценам (на декабрь 2025 года).

Но квантовая угроза не вызовет «катастрофического ночного краха» — скорее, постепенное и выборочное нападение. Квантовые компьютеры не взломают все системы сразу: алгоритм Шора должен нацелен на конкретные ключи. Первые атаки будут очень дорогими и медленными. Поэтому, если квантовый компьютер сможет взломать отдельный приватный ключ, злоумышленник выберет самые ценные кошельки.

Кроме того, если пользователь избегает повторного использования адресов и не использует Taproot (который раскрывает публичный ключ при транзакции), то даже без обновления протокола он будет защищён: публичный ключ скрыт за хэш-функцией до момента транзакции. Когда пользователь отправляет транзакцию, публичный ключ становится открытым, и тут появляется «краткое окно» в реальном времени: честный пользователь хочет подтвердить транзакцию как можно быстрее, а квантовый злоумышленник — найти приватный ключ и опередить его. Поэтому, наиболее уязвимы — те монеты, чей публичный ключ был опубликован много лет назад: устаревшие P2PK-выходы, адреса с повторным использованием и Taproot-кошельки.

Для заброшенных и уязвимых монет пока нет простых решений. Возможные меры:

• Достигнуть консенсуса в сообществе по поводу «дня флага» (flag day), после которого все неподдерживаемые переходом монеты считать уничтоженными.

• Позволить любым злоумышленникам с CRQC захватить все заброшенные и уязвимые монеты.

Второй вариант вызывает серьёзные юридические и безопасностьные риски: использование квантового компьютера для завладения средствами без приватных ключей — даже при наличии законных оснований — может нарушать законы о краже и компьютерном мошенничестве.

Кроме того, «заброшенность» — предположение о неактивности, но никто не знает наверняка, жив ли владелец ключа. Даже если кто-то докажет, что он когда-то владел этими монетами, он не обязательно обладает правами на их уничтожение или восстановление. Такая правовая неопределённость повышает риск попадания в руки злоумышленников, не соблюдающих законы.

Ещё одна особенность Биткойна — очень низкая пропускная способность транзакций. Даже при полном соблюдении процесса миграции, перенос всех уязвимых к квантовой угрозе средств на постквантовые адреса займёт месяцы.

Эти сложности требуют начинать планирование миграции уже сейчас — не потому, что CRQC может появиться раньше 2030, а потому, что координация, согласование и техническая реализация переноса сотен миллиардов долларов займут годы.

Реальная угроза квантовых компьютеров для Биткойна — это не сиюминутная катастрофа, а структурные ограничения системы, связанные с особенностями её устройства. Другие блокчейны тоже уязвимы — например, в ранних транзакциях использовался pay-to-public-key (P2PK), что напрямую раскрывает публичный ключ и делает значительную часть BTC уязвимыми к квантовым атакам. Их специфика, долгий срок существования, высокая концентрация активов, низкая пропускная способность и жёсткое управление делают проблему особенно острой.

Важно отметить: указанные уязвимости касаются только криптографической защиты цифровых подписей, а не экономической безопасности сети. Экономическая безопасность Биткойна обеспечивается механизмом Proof-of-Work, который не так легко атаковать квантовым компьютером по сравнению с подписью, по трём причинам:

• PoW основано на хэш-функциях, и максимальное ускорение — квадратичное (через алгоритм Гровера), а не экспоненциальное, как у алгоритма Шора.

• Реальные затраты на реализацию Гровера очень высоки, и получение даже небольшой выгоды — практически невозможно.

• Даже при значительном ускорении, это только даст преимущество крупным майнерам, а не разрушит экономическую безопасность системы.

Стоимость и риски постквантовых подписей

Чтобы понять, почему блокчейн не должен торопиться с внедрением постквантовых подписей, нужно учитывать не только производительность, но и наш уровень доверия к их постквантовой стойкости, которая всё ещё развивается.

Большинство постквантовых схем основаны на пяти классах методов: хэширование, кодирование (ошибочные коды), решётки (lattices), многочлены (MQ), изогенные функции (isogenies).

Почему пять методов? Потому, что безопасность любой постквантовой схемы зависит от гипотезы: квантовый компьютер не сможет эффективно решить определённую математическую задачу. Чем сложнее структура задачи — тем более эффективные схемы можно построить.

Но это — нож с двумя лезвиями: больше структуры — больше атакующих уязвимостей, и алгоритмы легче взломать. Возникает внутренний конфликт: более сильные гипотезы дают лучшую производительность, но увеличивают риск ошибок или уязвимостей.

Из-за этого, с точки зрения безопасности, самые консервативные — основанные на хэшах, поскольку мы увереннее всего, что квантовые компьютеры не смогут их взломать. Но их производительность самая низкая. Например, стандартные схемы хэш-подписей по NIST для минимальных параметров достигают размера 7–8 КБ. В сравнении, эллиптические подписи занимают всего 64 байта, что примерно в 100 раз меньше.

Наиболее перспективные — схемы на решётках. NIST уже выбрал две: ML-DSA (ранее Dilithium) и Falcon. Размер подписи ML-DSA (на уровне безопасности 128 бит) — около 2.4 КБ, а на 256 бит — около 4.6 КБ, то есть примерно в 40–70 раз больше эллиптических. Falcon — меньший по размеру: Falcon-512 — 666 байт, Falcon-1024 — 1.3 КБ, но требует сложных операций с плавающей точкой, что делает его сложным для реализации. Один из разработчиков Falcon — Томас Порнин — называет его «самым сложным алгоритмом, который я реализовал».

Что касается безопасности реализации, схемы на решётках сложнее: ML-DSA содержит множество чувствительных промежуточных значений и сложных процедур отбрасывания образцов, требующих защиты от атак по каналам и отказам. Falcon ещё усложняет — требует постоянного времени выполнения операций с плавающей точкой, а уже есть атаки, способные восстановить приватный ключ при реализации именно этого алгоритма.

Все эти риски — реальные и уже проявляющиеся, — — в отличие от отдалённых угроз CRQC.

Осторожность в отношении более быстрых постквантовых схем оправдана. Например, ранние решения, такие как Rainbow (на основе MQ) или SIKE/SIDH (на основе изогенных функций), уже были взломаны классическими вычислительными средствами — то есть, не квантовыми.

Это стало очевидно на стадии, когда процесс стандартизации NIST уже был очень продвинут. Это — правильный научный подход, но показывает, что ранняя стандартизация и внедрение могут иметь негативные последствия.

Как и в случае с интернет-инфраструктурой, которая медленно переходит на новые схемы подписи, — — этот процесс занимает годы. Например, хотя MD5 и SHA-1 уже давно вышли из стандартов, их миграция продолжается, и сегодня эти алгоритмы всё ещё используются в некоторых случаях. Они полностью взломаны, а не только теоретически.

Уникальные вызовы блокчейна против инфраструктуры интернета

К счастью, блокчейны с открытым исходным кодом (например, Ethereum, Solana) легче обновлять быстро, чем традиционные интернет-системы. Но, с другой стороны, интернет инфраструктура использует частую смену ключей, что ускоряет изменения в области угроз, — — а у блокчейнов этого нет, поскольку монеты и ключи могут оставаться уязвимыми бесконечно. В целом, блокчейн всё же следует за осторожной политикой обновлений, как в интернете, — — чтобы не оказаться в ситуации, когда слишком рано внедрять неподтверждённые постквантовые схемы.

Особенно опасна ситуация с цепочками с повышенной приватностью — они шифруют или скрывают детали транзакций, и их данные могут быть собраны заранее. В случае появления квантовых компьютеров, способных взломать эллиптические кривые, такие цепочки могут быть подвержены деанонимизации.

Уровень угрозы зависит от архитектуры цепочки. Например, в Monero, основанном на эллиптических кривых, кольцевых подписи и ключе-изображении, публичный реестр позволяет восстановить всю историю транзакций. В других цепочках ущерб может быть меньше — подробнее в дискуссии Sean Bowe, инженера Zcash.

Если для пользователя критично, чтобы «транзакции в будущем не были раскрыты квантовым компьютером», — — стоит как можно скорее перейти на постквантовые схемы или hybrid-решения. Или использовать архитектуры, не хранящие расшифровываемую информацию на цепочке.

Проблема Биткойна: управление и заброшенные монеты

Для Биткойна есть два обстоятельства, которые делают переход на постквантовые подписи срочным, — — и они не связаны с технологией квантовых компьютеров. Первое — медленная эволюция протокола: любые разногласия могут привести к опасным форкам, если сообщество не договорится.

Второе — переход на постквантовые подписи невозможно пассивной миграцией: владельцы должны активно переводить средства. Это означает, что заброшенные, но уязвимые к квантовой атаке монеты, останутся неподдерживаемыми, и злоумышленники смогут ими завладеть. Оценки указывают на миллионы BTC — стоимость сотни миллиардов долларов по текущим ценам (на декабрь 2025).

Но квантовая угроза не вызовет «катастрофического ночного краха» — скорее, постепенное и выборочное нападение. Квантовые компьютеры не взломают всё сразу: алгоритм Шора должен нацелен на конкретные ключи. Первые атаки будут дорогими и медленными. Поэтому, если компьютер сможет взломать хотя бы один приватный ключ, он выберет самые ценные активы.

Если пользователь избегает повторного использования адресов и не использует Taproot (который раскрывает публичный ключ при транзакции), то даже без обновления протокола он защищён: публичный ключ скрыт за хэш-функцией до момента транзакции. Тогда появляется «краткое окно» — злоумышленник пытается найти приватный ключ до подтверждения транзакции. Поэтому наиболее уязвимы — устаревшие публичные ключи, использовавшиеся много лет назад, и адреса с повторным использованием.

Для заброшенных монет без надежных решений остаётся только одно: договориться о «дне флага» (flag day), после которого все неподдерживаемые переходом монеты считать уничтоженными; или позволить злоумышленникам с CRQC их захватить.

Второй сценарий опасен с юридической точки зрения: использование квантового компьютера для завладения средствами без приватных ключей — во многих юрисдикциях противоречит законам о краже и мошенничестве.

Кроме того, «заброшенность» — гипотеза о неактивности, но никто не знает наверняка, жив ли владелец ключа. Даже если кто-то докажет, что он владел этими монетами, он не обязательно имеет право их уничтожать или восстанавливать. Это создаёт правовую неопределённость, которая увеличивает риск попадания в руки злоумышленников.

Ещё одна проблема — очень низкая пропускная способность транзакций. Даже при планируемой миграции, перевод всех уязвимых к квантовой угрозе средств на постквантовые адреса может занять месяцы.

Именно поэтому необходимо начинать подготовку к миграции уже сейчас — не потому, что CRQC может появиться раньше 2030, а потому, что согласование, планирование и техническая реализация переносов займут годы.

Реальная угроза для Биткойна — не мгновенный крах, а структурные ограничения, связанные с устройством системы. Другие блокчейны также уязвимы — например, первые транзакции использовали pay-to-public-key (P2PK), что напрямую раскрывает публичный ключ и делает существенную часть BTC уязвимой. Их долгий срок существования, концентрация активов, низкая пропускная способность и жёсткое управление делают проблему особенно острой.

Важно подчеркнуть: указанные уязвимости касаются только криптографической защиты подписи, а не экономической безопасности сети. Экономическая безопасность обеспечивается механизмом Proof-of-Work, который менее подвержен квантовым атакам по трём причинам:

• PoW основано на хэш-функциях, и максимум, что может дать квантовый алгоритм — квадратичное ускорение (через Гровера), а не экспоненциальное, как у Шора.

• Реальные затраты на реализацию Гровера очень высоки, и практически невозможно получить даже небольшую выгоду.

• Даже при ускорении, это только даст преимущество крупным майнерам, а не разрушит систему.

Стоимость и риски постквантовых подписей

Чтобы понять, почему не стоит торопиться с внедрением постквантовых подписей, нужно учитывать не только производительность, но и доверие к их стойкости, которая всё ещё развивается.

Большинство схем основано на пяти классах методов: хэшах, кодах, решётках, MQ и изогенных функциях.

Почему пять? Потому, что безопасность зависит от гипотезы: квантовый компьютер не сможет эффективно решить определённую задачу. Чем труднее структура задачи — тем более эффективные схемы можно построить.

Но это — меч с двумя концами: больше структуры — больше уязвимостей, алгоритмы легче взломать. Возникает внутренний конфликт: более сильные гипотезы дают лучше производительность, но повышают риск ошибок или уязвимостей.

Из-за этого, с точки зрения безопасности, самые conservative — схемы на основе хэшей, поскольку мы увереннее всего, что они не взломаются квантовым компьютером. Но их производительность низкая. Например, стандарты NIST для хэш-подписей при минимальных параметрах дают размер около 7–8 КБ. В то время как эллиптические подписи занимают всего 64 байта, то есть в 100 раз меньше.

Наиболее перспективные — схемы на решётках. NIST выбрал две: ML-DSA (ранее Dilithium) и Falcon. Размер подписи ML-DSA (при уровне безопасности 128 бит) — около 2.4 КБ, при 256 бит — около 4.6 КБ, что в 40–70 раз больше эллиптических. Falcon — меньшего размера: Falcon-512 — 666 байт, Falcon-1024 — 1.3 КБ, но требует сложных операций с плавающей точкой, что усложняет реализацию. Один из создателей Falcon — Томас Порнин — называет его «самым сложным алгоритмом, который я реализовал».

Что касается безопасности реализации, схемы на решётках сложнее: ML-DSA содержит много чувствительных промежуточных данных и сложных процедур отбрасывания, требующих защиты от атак через каналы и отказов. Falcon — ещё более сложен, требует постоянного времени выполнения операций с плавающей точкой, и уже есть успешные атаки, восстанавливающие приватный ключ.

Все эти проблемы — реальные и проявляющиеся сегодня, в отличие от отдалённых угроз CRQC.

Осторожный подход к более быстрым схемам оправдан. Например, ранние решения, такие как Rainbow (на базе MQ) или SIKE/SIDH (на базе изогенных функций), уже взломаны классическими средствами — то есть, не квантовыми.

Это — на стадии, когда процесс стандартизации NIST уже был очень продвинут. Это — правильная наука, но показывает, что раннее стандартизация и внедрение могут иметь негативные последствия.

Также, как и с интернет-инфраструктурой, которая медленно переходит на новые схемы подписи, — — этот процесс длится годы. Например, хотя MD5 и SHA-1 давно вышли из стандартов, их миграция продолжается, и даже сегодня эти алгоритмы используются. Они взломаны полностью, а не только теоретически.

Уникальные вызовы блокчейна против инфраструктуры интернета

К счастью, блокчейны с открытым исходным кодом (например, Ethereum, Solana) проще обновлять быстро. Но, с другой стороны, интернет инфраструктура использует частую смену ключей, что ускоряет угрозы, — — а у блокчейнов этого нет, поскольку монеты и ключи могут оставаться уязвимыми бесконечно. В целом, блокчейн всё же должен следовать осторожной политике обновлений, как в интернете — — чтобы не оказаться в ситуации, когда слишком рано внедряют неподтверждённые схемы.

Особенно опасна ситуация с цепочками с повышенной приватностью — они шифруют или скрывают детали транзакций, и их данные могут быть собраны заранее. В случае появления квантовых компьютеров, способных взломать эллиптические кривые, такие цепочки могут быть подвержены деанонимизации.

Уровень угрозы зависит от архитектуры цепочки. Например, в Monero, основанном на эллиптических кривых, кольцевых подписи и ключе-изображении, публичный реестр позволяет в будущем восстановить всю графику транзакций. В других цепочках ущерб может быть меньше — подробнее в дискуссии Sean Bowe, инженера Zcash.

Если для пользователя критично, чтобы «транзакции в будущем не были раскрыты квантовым компьютером», — — стоит как можно скорее перейти на постквантовые схемы или гибридные решения. Или использовать архитектуры, не хранящие на цепочке секретов, которые можно расшифровать.

Особая проблема Биткойна: управление + заброшенные монеты

Для Биткойна есть два обстоятельства, делающих переход на постквантовые подписи срочным — — и они не связаны с технологией квантовых компьютеров. Первое — медленная эволюция протокола: любые разногласия могут привести к опасным форкам, если сообщество не договорится.

Второе — переход на постквантовые подписи невозможен пассивной миграцией: владельцы должны активно переводить средства. Это значит, что заброшенные, но уязвимые к квантовой атаке монеты, не защищены. Оценки показывают миллионы BTC, стоимостью сотни миллиардов долларов (на декабрь 2025).

Но квантовая угроза не вызовет «катастрофического ночного краха» — скорее, постепенное и выборочное нападение. Квантовые компьютеры не взломают всё сразу: алгоритм Шора должен нацелен на конкретные ключи. Первые атаки будут дорогими и медленными. Если компьютер сможет взломать хотя бы один приватный ключ, он выберет самые ценные активы.

Если пользователь избегает повторного использования адресов и не использует Taproot (который раскрывает публичный ключ при транзакции), то даже без обновления протокола он защищён: публичный ключ скрыт за хэш-функцией до момента транзакции. Тогда появляется «краткое окно» — злоумышленник пытается найти приватный ключ до подтверждения транзакции. Поэтому наиболее уязвимы — устаревшие публичные ключи, использовавшиеся много лет назад, и адреса с повторным использованием.

Для заброшенных монет без надёжных решений остаётся только одно: договориться о «дне флага» (flag day), после которого все неподдерживаемые переходом монеты считать уничтоженными; или позволить злоумышленникам с CRQC их захватить.

В