a16z Довгий пост: які ризики для криптовалют спричиняє квантове обчислення?

Автор | Джастін Талер, дослідний партнер a16z

Редактор | GaryMa 吴说区块链

Щодо того, коли настане «квантовий комп’ютер, здатний становити реальну загрозу існуючій криптосистемі», люди часто роблять перебільшені часові прогнози — — що викликає заклики до негайної та масштабної міграції на постквантові криптографічні системи.

Але ці заклики часто ігнорують витрати та ризики ранньої міграції, а також те, що ризикові профілі різних криптографічних примітивів істотно відрізняються:

Постквантове шифрування, навіть із високими затратами, має бути впроваджене негайно: «Збирати — — розшифровувати пізніше» (Harvest-now-decrypt-later, HNDL) атаки вже відбуваються, оскільки коли справжній квантовий комп’ютер з’явиться, навіть через десятки років, чутливі дані, захищені сьогоднішніми методами шифрування, все ще матимуть цінність. Хоча постквантове шифрування може бути повільнішим і має ризики реалізації, для даних із довгостроковою конфіденційністю, HNDL-атаки є єдиним вибором.

Розгляд підписів у постквантовій криптографії ж зовсім інший. Вони не уражаються HNDL-атаками, а їх вартість і ризики (більший розмір, зниження продуктивності, недосконала реалізація та потенційні вразливості) вимагають обережної та поступової міграції, а не негайних дій.

Ці різниці надзвичайно важливі. Помилки та неправильні уявлення можуть спотворити аналіз витрат і вигод, що призводить до ігнорування більш критичних аспектів безпеки — — наприклад, вразливостей самої системи.

Головним викликом у переході до постквантової криптосистеми є узгодження «терміновості» та «реальної загрози». Нижче я проясню поширені міфи щодо квантових загроз і їх впливу на криптографію — — включно з шифруванням, підписами та нульовими знаннями — — з особливим акцентом на їхній вплив на блокчейн.

На якій ми зараз точці розвитку?

У 2020-х роках ймовірність появи «квантового комп’ютера, що справді загрожує криптографії (CRQC)», дуже низька, хоча з’явилися кілька гучних заяв, що привернули увагу.

ps: про квантовий комп’ютер, що має практичну загрозу для криптографії / cryptographically relevant quantum computer, далі будемо використовувати скорочення CRQC.

Під цим терміном мається на увазі квантовий комп’ютер з високою стійкістю до помилок і здатністю масштабно виконувати алгоритм Шора, атакуючи еліптичну криву або RSA (наприклад, зможе за місяць безперервних обчислень зламати secp256k1 або RSA-2048).

За оцінками відкритих етапів розвитку та ресурсів, ми ще дуже далекі від такого квантового комп’ютера. Хоча деякі компанії стверджують, що CRQC може з’явитися вже до 2030 або 2035 року, публічно доступний прогрес цим твердженням не підтверджується.

З огляду на сучасний стан, жодна з архітектур — — іонно-пучкова, надпровідна або нейтральних атомів — — не наблизилася до необхідної кількості фізичних кубітів (десятки тисяч або мільйони), щоб виконати алгоритм Шора для атак RSA-2048 або secp256k1 (залежно від рівня помилок і схем корекції).

Обмежуючими факторами є не лише кількість кубітів, а й їхня якість: точність гейтів, зв’язність кубітів і довжина корекційних схем для виконання глибоких квантових алгоритмів. Хоча деякі системи вже мають понад 1000 фізичних кубітів, кількість самих по собі оманлива — — їм бракує потрібної зв’язності та точності гейтів для криптографічних обчислень.

Нещодавні системи наближаються до фізичного рівня помилок, при яких починається можливість корекції, але ще ніхто не показав понад кілька логічних кубітів із тривалим коригуванням, не кажучи вже про тисячі високоточних, глибоких, коректних логічних кубітів, необхідних для виконання алгоритму Шора. Теоретична можливість корекції квантових помилок ще далека від масштабів, достатніх для криптографічних зломів.

Коротко кажучи: поки кількість і якість кубітів не зростуть у кілька порядків, «квантовий комп’ютер, що реально загрожує криптографії», залишається недосяжним.

Однак медіа та прес-релізи часто породжують хибне уявлення. Популярні міфи включають:

• Демонстрації «квантової переваги», які зазвичай орієнтовані на штучно створені задачі, обрані не через їхню практичність, а через можливість запуску на існуючому обладнанні та ілюзію значного квантового прискорення — — це часто навмисно приховують у промо-матеріалах.

• Компанії заявляють про досягнення кількох тисяч фізичних кубітів, але зазвичай мається на увазі квантова відбивна або аналогічні системи, а не багатокубітові гейт-моделі для алгоритму Шора.

• Неправильне використання терміну «логічний кубіт»: фізичні кубіти дуже шумні, і для виконання алгоритму Шора потрібні логічні кубіти. Як зазначено вище, для атаки RSA потрібно тисячі логічних кубітів. З використанням корекції помилок один логічний кубіт зазвичай складається з сотень або тисяч фізичних кубітів (залежно від рівня помилок). Деякі компанії жартівливо стверджують, що з кодом дистанції 2 і по 2 фізичних кубіти на логічний вони отримали 48 логічних кубітів — — це абсурд, оскільки код з дистанцією 2 лише може виявляти помилки, але не виправляти їх. Для коректної атаки потрібні сотні або тисячі фізичних кубітів на логічний.

• Ще поширеніше використання терміну «логічний кубіт» у деяких дорожніх картах, коли йдеться лише про кубіти, що підтримують лише клінфідну (Clifford) частину операцій, які можна ефективно симулювати класичними алгоритмами і тому не здатні виконати алгоритм Шора, що вимагає тисяч логічних T-кубітів (або більш загалом, нелінійних, неклінфідних операцій).

Навіть якщо якась дорожня карта заявляє про «тисячі логічних кубітів у X році», це не означає, що ця компанія планує вже в цей же час виконати алгоритм Шора для зломів RSA.

Ці практики сильно спотворюють уявлення громадськості (і навіть фахівців) про те, наскільки близько ми до справжнього CRQC.

Однак є і позитивні сигнали: наприклад, останні слова Скотта Ааронсона, який зазначив, що «з урахуванням неймовірної швидкості розвитку сучасного обладнання», він вважає можливою появу у найближчі роки, перед наступними виборами в США, системи з довершеним алгоритмом Шора, здатної працювати з криптографічною здатністю.

Але він уточнив, що його слова не означають, що з’явиться квантовий комп’ютер, здатний виконувати криптографічні задачі: навіть якщо зможе, наприклад, зламати число 15 = 3×5, що можна швидко зробити вручну, він все одно вважає, що це достатньо для виконання його пункту. Йдеться лише про малі масштаби алгоритму Шора, що не мають відношення до криптографичних розладів. Попередні експерименти з розкладання числа 15 використовували спрощені схеми, а не повноцінний коректний алгоритм Шора. Крім того, розкладання числа 15 — це вибірковий тест, оскільки арифметика по модулю 15 дуже проста, тоді як розкладання більших чисел (наприклад, 21) — значно складніше. Відповідно, експерименти з розкладання 21 часто спираються на підказки або обхідні шляхи.

Коротко кажучи, прогнозувати появу квантового комп’ютера, здатного зламати RSA-2048 або secp256k1, у найближчі 5 років без будь-яких публічних доказів — нереально.

10 років — — теж дуже оптимістично. Ми й досі дуже далеко від справжнього криптографічного квантового комп’ютера, тому навіть при збереженні ентузіазму, цю перспективу можна поєднувати з десятирічним плануванням.

Що означає для США встановлення 2035 року як цільового терміну для повної міграції урядових систем на постквантові системи? Це цілком реалістичний час для масштабної міграції. Але це не означає, що CRQC з’явиться саме тоді.

HNDL-атаки застосовуються до яких сценаріїв (і до яких — — ні)?

«Збір — — розшифрування» (Harvest now, decrypt later, HNDL) — — атака, коли зловмисник зберігає всі зашифровані дані сьогоднішнього дня і чекає появи «практично загрозливого квантового комп’ютера» для їх розгадки. Це вже відбувається у масштабах державних структур: архівування американських урядових зашифрованих комунікацій для можливого розкриття у майбутньому. Тому система шифрування має починати мігрувати вже сьогодні — — щонайменше для тих, хто зберігає секрети понад 10–50 років.

Але цифрові підписи — — — всі технології, на яких базується блокчейн — — — відрізняються: у них немає «конфіденційності» для атак із минулого.

Інакше кажучи, коли з’явиться квантовий комп’ютер, він зможе підробляти підписи, але підписані раніше дані не приховували секретів і не є вразливими самі по собі. Якщо можна підтвердити, що підпис був створений до появи CRQC, він не може бути підробленим.

Отже, у порівнянні з шифруванням, міграція на постквантові підписи не є такою нагальною.

Головні платформи вже реагують: Chrome і Cloudflare впровадили гібридні протоколи X25519 + ML-KEM для захисту TLS. [Тут і далі в тексті я називаю їх «криптографічними схемами», хоча технічно TLS використовує механізми обміну ключами або упаковки ключів, а не публічне шифрування.]

«Гібридність» означає одночасне використання постквантової схеми (ML-KEM) і існуючої (X25519), щоб отримати обидві переваги. Це дозволяє запобігти HNDL-атакам, а у разі, якщо ML-KEM виявиться не безпечним для сучасних обчислень, — — забезпечує традиційний захист через X25519.

Apple iMessage також використовує схожу гібридну схему у своєму протоколі PQ3, а Signal — — у протоколах PQXDH і SPQR.

На відміну від цього, перехід ключової інфраструктури вебу на постквантові підписи, ймовірно, почнеться тоді, коли CRQC стане реально близьким — — оскільки поточні схеми постквантових підписів мають явні проблеми з продуктивністю (про це пізніше).

zkSNARKs — — нульові знання, короткі, неінтерактивні докази — — є ключовою технологією для майбутнього масштабування і приватності блокчейну і мають схожі на підписи ризики щодо квантових атак. Це пов’язано з тим, що навіть якщо деякі zkSNARK не мають постквантової безпеки (бо використовують ті ж еліптичні криві, що й сучасні підписи), їх «нульове знання» залишається постквантовим.

Властивість нульових знань гарантує, що доказ не розкриває жодної інформації про секретний свідок — — навіть за наявності квантових зловмисників — — тому не існує ризику «збірки» та подальшого розкриття в майбутньому.

Отже, zkSNARKs не уражаються HNDL-атаками. Як і сучасні неквантові підписи, вони є безпечними, якщо створені до появи CRQC. Вони залишаються довіреними, оскільки доказ створено раніше, ніж з’явився квантовий комп’ютер (навіть якщо вони базуються на еліптичних кривих). Лише після появи CRQC з’являться можливості для створення фальшивих, здавалося б, дійсних доказів.

Що це означає для блокчейну?

Більшість блокчейнів не піддаються HNDL-атакам: більшість нефінансових ланцюгів — — наприклад, Bitcoin і Ethereum — — використовують неквантові підписи для авторизації транзакцій.

Знову наголошую: підписи не піддаються HNDL-атакам, оскільки «збір — — розшифровка» — — застосовується лише до зашифрованих даних. Наприклад, блокчейн Bitcoin є публічним; квантова загроза — — підробка підписів (злам приватного ключа для крадіжки коштів), а не розкриття вже опублікованих транзакцій. Це означає, що HNDL не створює негайної криптографічної загрози для поточних блокчейнів.

На жаль, деякі довірені організації (включаючи Федеральний резерв США) у своїх аналізах неправильно стверджують, що Bitcoin легко уразливий до HNDL, що істотно перебільшує терміни переходу до постквантових схем.

Однак «зменшення термінів», — — це не означає, що Bitcoin можна чекати безмежно. Через складність узгодження та масштабності оновлень протоколу, існує різний часовий тиск щодо їхнього впровадження (подробиці нижче).

Єдиний виняток — — приватні ланцюги, що використовують шифрування або інші методи для приховування отримувача та суми. Такі секретні дані можуть бути зібрані заздалегідь, і при зломі еліптичної кривої криптографії з’явиться можливість їхньої подальшої анонімізації.

Для таких приватних ланцюгів ступінь загрози залежить від їхньої архітектури: наприклад, у Monero, що базується на еліптичних кривих і використовує підписування з кількома підписами та ключовим зображенням (для запобігання подвійним витратам), публічний блокчейн дозволяє у майбутньому відтворити весь транзакційний шлях. В інших приватних ланцюгах вплив може бути меншим — — дивіться дискусії Сіана Боу.

Якщо для користувача важливо, щоб транзакції не розкривалися у майбутньому через злом еліптичної кривої, потрібно швидко перейти на постквантові схеми (або гібридні). Або ж використовувати архітектуру без секретних даних на ланцюгу.

Особливі проблеми Bitcoin: управління + відмовлені монети

Для Bitcoin є два важливих чинники, що роблять термінову міграцію до постквантових підписів актуальною — — і вони не залежать від квантових технологій: перше — — повільність розвитку системи. Будь-яке суперечливе питання, що не має консенсусу в спільноті, може викликати руйнівний хард-форк.

Друге — — перехід Bitcoin на постквантові підписи не може відбутися пасивно: власники монет мають активізувати свої кошти. Це означає, що монети, що залишилися «забутими» і ще під загрозою, не будуть захищені. За оцінками, кількість таких «уразливих» BTC може сягати мільйонів монет, що за поточним курсом (станом на грудень 2025) становить сотні мільярдів доларів.

Проте, загроза квантового комп’ютера не спричинить «раптового» колапсу Bitcoin… — — швидше, вона проявиться у вигляді вибіркового або поступового процесу атаки: алгоритм Шора змушений атакувати кожен відкритий ключ окремо, і ранні атаки матимуть дуже високі витрати та низьку швидкість. Тому, якщо квантовий комп’ютер зможе зламати один ключ, нападники почнуть із найбільш цінних гаманців.

Крім того, уникання повторного використання адрес або використання адрес Taproot (які безпосередньо відкривають публічний ключ у ланцюгу) забезпечує додатковий рівень захисту: до моменту підтвердження транзакції публічний ключ залишається прихованим за хешем. Лише під час витрат публічний ключ стає відкритим, і тоді з’являється коротке «вікно боротьби»: чесні користувачі прагнуть підтвердити транзакцію якомога швидше, тоді як квантові зловмисники — — намагаються знайти приватний ключ і витратити кошти раніше. Тому найбільш уразливі — — це монети з відкритими ключами багато років тому: старі P2PK-адреси, повторно використовувані адреси та Taproot.

Для вже забутих уразливих монет наразі немає простих рішень. Можливі варіанти:

• Досягти консенсусу в спільноті щодо встановлення «дня прапора» (flag day), після якого всі невідповідно мігровані монети вважаються зруйнованими.

• Дозволити будь-кому з CRQC заволодіти забутими та під загрозою монетами.

Другий варіант викликає серйозні правові й безпекові проблеми: використання квантового комп’ютера для отримання контролю над коштами без приватного ключа — — навіть за умови легітимності власності — — може порушити закони крадіжки або шахрайства у багатьох юрисдикціях.

Крім того, «забуття» — — це припущення активності, яке не можна перевірити напевне. Навіть якщо хтось доведе, що він колись володів цими монетами, це не дає йому легальних підстав їх зламати і «повернути» їх. Юридична невизначеність робить ці збанкрутілі, під загрозою, та відкриті для квантових атак монети дуже вразливими до зловмисників без дотримання законності.

Ще одна особливість Bitcoin — — дуже низька пропускна здатність транзакцій. Навіть якщо перехід буде затверджений, міграція всіх уразливих коштів у постквантові адреси займе місяці через обмеження швидкості транзакцій.

Ці виклики вимагають початку планування міграції вже зараз — — не тому, що CRQC з’явиться до 2030 року, а тому, що узгодження, управління та технічна реалізація переказу сотень мільярдів доларів триватимуть роки.

Загроза квантового комп’ютера для Bitcoin є реальною, але часовий тиск спричинений структурними особливостями самої системи, а не швидким наближенням квантових технологій. Інші блокчейни також мають проблеми з уразливими активами, але Bitcoin є особливим: перші транзакції використовували pay-to-public-key (P2PK) — — що відкриває публічний ключ на ланцюгу і робить більшу частину BTC уразливою перед квантовими зломами. Його технічна історія, довга історія, висока концентрація цінності, низька пропускна здатність і жорстка управлінська структура ускладнюють цю проблему.

Важливо зазначити, що наведена уразливість стосується лише криптографічної безпеки підписів і не торкається економічної безпеки Bitcoin. Економічна безпека базується на механізмі доказу роботи (PoW), і він менш уразливий до квантових атак з трьох причин:

• PoW залежить від хеш-функцій, тому максимум, що може отримати квантовий комп’ютер — — це квадратичне прискорення (згідно з алгоритмом Гровера), але не експоненційне, як у Шора.

• Реальні витрати на реалізацію Гровера для атаки PoW дуже високі, і будь-який квантовий комп’ютер, що отримує навіть невелике прискорення, залишиться у нерівності.

• Навіть якщо квантовий комп’ютер зможе значно прискорити обчислення, це дасть перевагу великим майнерам з квантовою потужністю, але не руйнує цінність системи.

Чому не слід поспішати з постквантовим підписом?

Щоб зрозуміти, чому не слід швидко реалізовувати постквантові підписи у блокчейнах, потрібно врахувати не лише продуктивність, а й рівень довіри до постквантової безпеки, що все ще перебуває в процесі розвитку.

Більшість постквантових схем базуються на п’яти основних підходах: хеші, коди, решітки, багатоваріантні системи та ізогенії.

Чому існує п’ять підходів? Тому що безпека будь-якого постквантового криптопримітиву залежить від гіпотези: що квантовий комп’ютер не зможе ефективно розв’язати конкретну математичну задачу. Чим сильніша структура задачі, тим ефективніше можна побудувати криптографічний протокол.

Але це — — меч із двома гострими краями: більше структури означає й більший ризик вразливостей, а алгоритми — — легше зламати. Це створює фундаментальний конфлікт: сильніша гіпотеза дає кращу продуктивність, але з більшою ймовірністю виявиться хибною.

Загалом, з точки зору безпеки, найконсервативнішими є хеш-методи, оскільки ми найбільше впевнені, що квантовий комп’ютер не зможе їх ефективно зламати. Проте їхня продуктивність найгірша: наприклад, стандартизовані NIST схеми підписів на основі хеш-функцій мають розмір підпису 7–8 KB навіть за мінімальних параметрів, тоді як сучасні еліптичні підписи — — лише 64 байти, що у 100 разів менше.

Решіткові схеми — — нині найактивніше впроваджуються. Вибрані NIST варіанти та два з трьох підписних алгоритмів базуються на решітках. Один з них — — ML-DSA (раніше Dilithium) — — має розмір підпису 2.4 KB при рівні безпеки 128 біт і 4.6 KB при 256 біт — — у 40–70 разів більший за підпис еліптичних кривих. Інша — — Falcon — — має ще менший розмір (Falcon-512 — — 666 байт, Falcon-1024 — — 1.3 KB), але вимагає складних обчислень з плаваючою точкою, і сама команда NIST назвала її «найскладнішою з реалізованих криптографічних схем».

Що стосується безпеки реалізації, то підписні схеми на решітках набагато складніші для реалізації — — ML-DSA має багато чутливих проміжних значень і складних механізмів відхилення зразків, що потрібно захищати від каналів витоку і збоїв. Falcon додатково ускладнює обчислення з плаваючою точкою, і вже були успішні атаки на її реалізації, що зумовили відновлення приватних ключів.

Ці ризики — — не у далекому майбутньому, а вже сьогодні, і значно вищі за потенційний ризик появи CRQC.

Обережність щодо більш продуктивних схем обґрунтована: історія знає випадки, коли «передові» схеми, такі як Rainbow (на основі MQ) і SIKE/SIDH (на основі ізогенії), були «класично» зламані — — тобто, зломані сучасними комп’ютерами, а не квантовими машинами.

Це сталося вже після глибокого просування в стандартизації NIST. Це — — ознака здорового наукового процесу, але водночас показує, що передчасне стандартизація і впровадження можуть мати негативні наслідки.

Як вже згадувалося, інтернет-інфраструктура рухається обережно: перехід на нові схеми підписів займає роки, навіть після офіційного відмовлення від MD5 і SHA-1. Ці алгоритми вже давно вважаються зламаними, але їхнє замінення триває роками і досі не завершене у багатьох сферах.

Особливості блокчейну і виклики у порівнянні з мережею

На щастя, відкрита спільнота, що підтримує блокчейни (Ethereum, Solana), може швидше оновлюватися, ніж традиційна інфраструктура. З іншого боку, у зв’язку з частою зміною ключів, атаки з’являються швидше, ніж квантові системи здатні їх зупинити. Блокчейни ж мають ризик залишитися з відкритими ключами назавжди, що ускладнює захист.

Загалом, для переходу слід застосовувати обережний підхід, навчаючись досвіду інтернету і не поспішати з раннім впровадженням неперевірених схем. Це стосується і підписів, і архітектурних рішень — — вони мають враховувати довгострокові ризики та можливі проблеми.

Крім того, у блокчейнів є особливий виклик: потрібно швидко агрегувати підписи (наприклад, BLS), але ці схеми не забезпечують постквантову безпеку. Зараз досліджуються альтернативи на основі zkSNARK, але вони ще недостатньо зрілі.

Очікується, що найближчими роками рішення на основі решіток стануть більш привабливими — — вони забезпечать кращу продуктивність і безпеку.

Проблеми безпеки у реалізації

У майбутньому головним ризиком стануть не лише криптографічні схеми, а й їхні вразливості через помилки і недосконалість реалізації. Зокрема, zkSNARK — — дуже складний інструмент, і він потребує ретельного аудиту та захисту від атак на рівні реалізації.

Ризики включають:

• Помилки у коді, уразливості каналів витоку, атаки на апаратне забезпечення.

• Неврахування потенційних уразливостей у складних схемах, що може призвести до втрати приватних ключів.

Спільнота буде ще багато років працювати над виявленням і виправленням вразливостей в zkSNARK і постквантових підписах, щоб уникнути ризиків «застрягнути» у слабких або уразливих схемах. Надмірна поспішність може призвести до залежності від неперевірених або вразливих рішень, що створює додаткові ризики.

Що робити? — — сім рекомендацій

З урахуванням сучасної ситуації я пропоную різним учасникам — — від розробників до регуляторів — — наступні поради. Головний принцип: серйозно ставитися до квантових загроз, але не діяти на основі ілюзії, що CRQC з’явиться до 2030 року. Технічний прогрес цього ще не підтверджує, і зараз у нас є багато можливостей і обов’язків для підготовки:

1. Впроваджуйте гібридне шифрування вже зараз

Щонайменше у сценаріях із довгостроковою конфіденційністю і прийнятними витратами. Браузери, CDN, месенджери (iMessage, Signal) вже використовують гібридні схеми. Гібридність — — поєднання постквантової і класичної криптографії — — дозволяє захиститися і від HNDL-атак, і від потенційних слабкостей постквантових схем.

2. Вже зараз використовуйте хеш-підписи у сценаріях з великим розміром підписів

Оновлення софту або прошивки — — низькочастотні сценарії, де розмір підпису не критичний, слід виконувати з використанням гібридних схем на основі хеш-функцій. Це консервативний і безпечний підхід, що створює «рятувальний човен» на випадок раннього появи CRQC. Без вже впроваджених механізмів оновлення постквантових підписів важко буде безпечно їх розповсюджувати після появи CRQC.

3. Блокчейни не потребують термінового переходу на постквантові підписи, але мають почати планування вже зараз

Розробники мають досліджувати досвід PKI і обережно просуватися до впровадження постквантових підписів. Це дасть час для подальшого вдосконалення схем і розробки методів агрегування. Для Bitcoin і інших ланцюгів важливо розробити план міграції і політику щодо заблокованих і потенційно уразливих активів. Пассивний перехід неможливий, тому планування критично важливе. Внутрішньо, спільнота має працювати над цим уже зараз.

Зокрема, потрібно підтримувати дослідження zkSNARK і підписів, що можуть агрегуватися, — — це займе роки. Надання переваги передчасної міграції може закріпити систему на слабкому ступені або змусити повторну міграцію при виявленні вразливостей.

Щодо Ethereum: підтримка двох типів аккаунтів — — зовнішніх (EOA) і смарт-контрактів — — дозволяє гнучко управляти переходом. У разі нагальної ситуації можна використовувати хард-форки для блокування уразливих аккаунтів і підтвердження контролю за допомогою постквантових zkSNARK.

4. Для приватних ланцюгів — — переваги мають бути очевидними: швидкий перехід або архітектурні зміни, що не зберігають секрети на ланцюгу, щоб уникнути ризиків.

5. Зосередьтеся на безпеці реалізації

Зараз важливіше забезпечити безпеку реалізації, ніж чекати появи CRQC. Помилки і атаки на рівні реалізації (канали витоку, збої, уразливості апаратного забезпечення) — — головна загроза найближчими роками.

6. Підтримуйте розвиток квантової технології

Це важливо для національної безпеки. Інвестиції у дослідження і кадри сприятимуть підготовці та зменшать ризик, що інші країни випередять і США у цій