Квантовые вычисления: реальный график угрозы криптографии и рациональная оценка споров о "5 годах, 10 годах или дольше"

Мы часто слышим сенсационные новости о прорывах в квантовых вычислениях. Но действительно ли квантовые компьютеры смогут взломать современную криптографию за пять лет? Джастин Талер — исследовательский партнер компании a16z, который в ходе глубокого анализа отметил, что сроки угрозы для криптосистем со стороны квантовых вычислений часто сильно преувеличены. Это исследование выявляет важный факт: хотя квантовые вычисления действительно представляют долгосрочную угрозу, их появление откладывается гораздо дальше, чем утверждают многие. Более того, степень угрозы для различных криптографических инструментов существенно различается — этот важный нюанс зачастую игнорируется.

Угроза квантовых вычислений для криптографии — это не единичное событие, а сложная проблема, требующая детального анализа в зависимости от конкретных сценариев применения. В этой статье мы систематически разберем реальные сроки появления угроз, их фактическую опасность и то, как разные отрасли должны на них реагировать.

Реальный прогресс в квантовых вычислениях: технологическая реальность vs маркетинговая пропаганда

Когда мы говорим о “квантовых вычислениях”, большинство представляет универсальный квантовый компьютер, способный взломать такие современные криптосистемы, как RSA-2048 или secp256k1 (кривые Эль-Гамаля, используемые в биткоине). Такой компьютер должен отвечать строгим требованиям: быть устойчивым к ошибкам, обладать коррекцией ошибок, уметь запускать алгоритм Шора и иметь масштаб, достаточный для взлома за разумное время — например, в течение месяца.

По открытым техническим отчетам и оценкам ресурсов, мы далеки от создания таких систем. Хотя некоторые компании заявляют, что смогут достичь этого к 2030 или 2035 годам, текущий прогресс не подтверждает таких оптимистичных прогнозов. На сегодняшний день ни системы ионных ловушек, ни сверхпроводниковых квантовых битов, ни платформ на основе нейтральных атомов не приближаются к необходимому масштабу для взлома RSA-2048. Для этого потребуется десятки тысяч, а возможно, миллионы физических квантовых битов — точное число зависит от уровня ошибок и методов их коррекции.

Ключевые ограничения — не только количество квантовых битов, но и точность операций, связность между ними и глубина коррекционных цепей, необходимых для выполнения сложных алгоритмов. Хотя некоторые системы уже имеют более тысячи физических квантовых битов, это число вводит в заблуждение: у них отсутствует необходимая связность и точность для проведения криптоаналитических расчетов. Несмотря на приближение к порогам для коррекции ошибок, пока никто не способен стабильно удерживать даже несколько логических квантовых битов, не говоря уже о создании тысяч логических битов, глубоких цепей и исправленных вычислений. Между концептуальным подтверждением и практической реализацией взлома — огромная пропасть.

Почему новости так запутывают общественность?

Коммерческие пресс-релизы и СМИ часто создают путаницу. Основные источники заблуждений — это:

Обманчивое демонстрирование “квантового преимущества”: текущие демонстрации решают специально подобранные задачи, которые не представляют реальной практической ценности, а лишь случайно могут выполняться на существующем оборудовании и казаться “быстрыми”. Этот важный нюанс зачастую игнорируется в пропаганде.

Обманчивое утверждение о “тысячах физических квантовых битов”: обычно речь идет о системах типа аддитивной квантовой вычислительной модели (например, системы на основе охлажденных атомов или симуляторов), а не о универсальных квантовых компьютерах, способных запускать алгоритм Шора для взлома криптографических ключей.

Злоупотребление термином “логические квантовые биты”: физические квантовые биты подвержены шумам и ошибкам, а для практических целей их необходимо исправлять с помощью кодов коррекции ошибок, создавая “логические биты”. Для запуска алгоритма Шора требуется тысячи таких логических битов, каждый из которых обычно строится из сотен или тысяч физических битов. Некоторые компании преувеличивают возможности, заявляя, что используют код исправления ошибок уровня “дистанция -2” (только обнаружение ошибок, без исправления), достигающий 48 логических битов, при этом утверждая, что каждый логический бит — всего 2 физических. Это — полная фантастика.

Ложные обещания в дорожных картах: многие проекты заявляют, что достигнут “тысяч логических битов”, способных выполнять только операции типа Clifford, которые легко моделируются на классических компьютерах и не позволяют реализовать алгоритм Шора, требующий множество “не-Клиффордных” ворот (например, T-ворот). Поэтому даже если в планах указано, что в определенный год появятся “тысячи логических битов”, это не означает, что компания сможет взломать криптографию в тот же срок.

Эти практики искажают восприятие прогресса (даже среди информированных специалистов), вызывая неправильное понимание текущего состояния квантовых вычислений.

Даже признанные ученые преувеличивают сроки угрозы

Даже известный исследователь квантовых вычислений Скотт Ааронсон недавно заявил, что, учитывая “поразительную скорость развития аппаратного обеспечения”, существует “реальная вероятность” появления исправного квантового компьютера, способного запустить алгоритм Шора, уже до следующего президентского срока в США. Он сразу уточнил, что речь идет не о взломе криптосистем, а о демонстрации, например, факторизации числа 15=3×5 — что, по его мнению, уже оправдывает его обещание. Это — лишь маломасштабный эксперимент, нацеленный на число 15, потому что операции по модулю 15 просты, а для чуть более сложных чисел (например, 21) задача значительно усложняется.

Ключевой вывод: утверждения о том, что в течение пяти лет появится квантовый компьютер, способный взломать RSA-2048 или secp256k1 — критически важные для реальной криптографии — не подтверждаются публичными техническими достижениями. Даже при расширении горизонта до 10 лет эта цель остается очень амбициозной. Поэтому возбуждение по поводу прогресса и оценки “еще десятки лет” не противоречат друг другу.

Полностью разные уровни риска для двух типов криптографических угроз

Ключ к пониманию угрозы квантовых вычислений — это признание, что разные криптографические инструменты сталкиваются с принципиально разными уровнями риска. Этот нюанс крайне важен, но часто игнорируется.

“Текущая шифровка — будущий взлом” — только для отдельных инструментов

Модель атаки “собирай сейчас, расшифруй потом” (Harvest Now, Decrypt Later): злоумышленник собирает зашифрованные сообщения сегодня, хранит их и расшифрует, когда появится квантовый компьютер. Государственные или крупные организации уже архивируют большие объемы зашифрованных данных, чтобы в будущем их расшифровать.

Эта атака напрямую угрожает криптографическим алгоритмам. Если сегодня зашифрованы секретные данные, их ценность может сохраняться десятилетиями, и при появлении квантового компьютера они станут уязвимы. Поэтому для данных, требующих долгосрочной секретности, необходимо немедленно внедрять постквантовые схемы, несмотря на их высокую стоимость и сложности реализации. Это — неизбежно.

Однако эта модель не применима к цифровым подписям.

Угрозы цифровых подписей — совершенно иной уровень риска

Цифровые подписи (основа всех блокчейнов) не требуют защиты конфиденциальных данных для противодействия восстановительным атакам. Даже при появлении квантового компьютера, он сможет подделывать подписи в будущем, но не сможет “расшифровать” прошлые. Если вы можете доказать, что подпись создана до появления квантового компьютера, она не может быть подделана.

Это означает, что переход на постквантовые схемы подписи — задача менее срочная, чем обновление алгоритмов шифрования. Внедрение новых схем подписи влечет за собой увеличение размера, снижение производительности, недостаточную зрелость решений и потенциальные уязвимости, поэтому требует аккуратного планирования, а не поспешных решений.

Уникальные свойства zkSNARK

Что касается zero-knowledge proof (zkSNARK), ситуация аналогична подписи. Даже если zkSNARK использует эллиптические кривые, уязвимые к квантовым атакам, его свойство “незнания” (zero-knowledge) — по сути, квантоустойчиво. Оно гарантирует, что доказательство не раскрывает секретную информацию, и даже квантовый компьютер не сможет извлечь из него секрет. Поэтому такие доказательства не подвержены угрозам “сейчас — взломать, потом — расшифровать”.

Оценка угрозы квантовых вычислений для блокчейн-экосистемы

Большинство публичных цепочек — по сути, иммунны

Bitcoin, Ethereum и другие публичные цепочки без приватности: в этих системах постквантовая криптография применяется в основном для цифровых подписей, а не для шифрования данных. Эти подписи не подвержены угрозе “собирай сейчас — расшифруй потом”. В случае биткоина, уязвимость — в возможности подделки подписи (краже средств), а не в расшифровке опубликованных транзакций. Это устраняет необходимость немедленного перехода на постквантовые схемы.

К сожалению, даже такие авторитетные организации, как Федеральная резервная система США, ошибочно утверждают, что биткоин легко поддается квантовым атакам, что раздувает необходимость срочного перехода.

Конечно, это не означает, что биткоин можно оставить без внимания. Он сталкивается с другими временными ограничениями, главным образом — с необходимостью согласования изменений протокола и масштабами социальной координации.

Реальные риски для приватных монет

Исключение — цепочки с приватностью: многие такие системы шифруют или скрывают получателя и сумму транзакции. Эти секретные данные могут быть украдены сегодня и в будущем раскрыты с помощью квантового компьютера, взломав эллиптические кривые. Степень угрозы зависит от архитектуры: например, в Monero использование кольцевых подписей и ключевых зеркал может позволить восстановить всю графику транзакций. Поэтому, если пользователи опасаются, что их транзакции могут стать уязвимыми в будущем, такие цепочки должны как можно скорее перейти на постквантовые примитивы или гибридные схемы, либо изменить архитектуру так, чтобы секреты не хранились на цепочке в расшифровываемом виде.

Уникальные вызовы биткоина: управленческие барьеры и “зомби-коины”

Для биткоина есть два фактора, вызывающих необходимость срочного планирования постквантового перехода, хотя они не связаны напрямую с квантовыми технологиями:

Медленная управляемость: развитие биткоина происходит медленно, любые разногласия могут привести к разрушительным форкам.

Пассивная миграция невозможна: владельцы должны самостоятельно инициировать переход своих средств. Это означает, что “зомби” — устаревшие, не мигрировавшие и уязвимые к квантовым атакам — останутся в системе. По оценкам, таких “зомби” может быть миллионы, а их совокупная стоимость — триллионы долларов по текущим ценам.

Однако, угроза квантовых атак на биткоин — не неминуемый апокалипсис, а постепенный, выборочный процесс. Первые атаки будут очень дорогими и медленными, и злоумышленники выберут для атаки только высокоценные кошельки. Также, избегая повторного использования адресов и не использовав Taproot (который раскрывает публичный ключ в блокчейне), пользователи остаются относительно безопасными — их публичные ключи скрыты за хэшами до момента транзакции. Только при отправке транзакции публичный ключ раскрывается, и тогда начинается короткий “гонка”: честные пользователи стремятся подтвердить транзакцию как можно быстрее, а квантовые злоумышленники — вычислить приватный ключ и украсть средства до этого.

Наиболее уязвимы — публичные ключи, использованные ранее (например, P2PK-outputs), многократно использованные адреса и активы, хранящиеся в Taproot. Для “зомби”-коинов, оставленных без миграции, решение сложное: либо сообщество вводит “крайний срок”, после которого не мигрировавшие средства считаются уничтоженными, либо допускает, что будущие обладатели квантовых компьютеров смогут их украсть. Второй вариант — вызывает юридические и технические сложности.

Еще одна проблема — низкая пропускная способность транзакций. Даже при согласованной миграции, перевод всех уязвимых средств по текущим темпам займет месяцы.

Эти вызовы требуют, чтобы биткоин уже сейчас начал планировать переход в постквантовую эпоху — не потому, что квантовые компьютеры появятся в 2030 году, а потому, что управление, координация и техническая логистика требуют нескольких лет.

Дополнение: уязвимости, связанные с подписью, не влияют на экономическую безопасность системы (например, на механизм Proof-of-Work). PoW требует хеширования, и только алгоритм Гровера может дать квадратичное ускорение, но его применение — очень дорогостоящее, и ускорение маловероятно. Даже если это произойдет, это даст преимущество крупным майнерам, но не разрушит модель экономической безопасности.

Стоимость и риски постквантовых подписей

Почему не стоит торопиться внедрять постквантовые подписи в блокчейн? Нужно понять, какие из новых решений требуют дополнительных затрат по производительности и насколько они надежны, учитывая, что эти схемы всё еще находятся в стадии разработки.

Постквантовая криптография основана на пяти классах сложных математических задач: хэшах, кодах, решетках, системах квадратичных многочленов и эллиптических кривых. Разнообразие обусловлено тем, что эффективность решений зависит от “структурных” свойств задач: чем сильнее структура, тем выше эффективность, но и больше уязвимостей.

Хэш-основанные схемы: самые консервативные (наиболее надежные), но и самые медленные. Стандартизированные алгоритмы NIST требуют подписи размером 7–8 кБ, тогда как эллиптические кривые — всего 64 байта, разница в сотни раз.

Решеточные схемы: сейчас — основной фокус. Единственный выбранный NIST постквантовый алгоритм (ML-KEM) и два из трех подписных (ML-DSA, Falcon) основаны на решетках.

• ML-DSA: размер подписи — около 2,4–4,6 кБ, что в 40–70 раз больше текущих.
• Falcon: меньший размер (0,7–1,3 кБ), но очень сложен в реализации, требует постоянного времени с плавающей точкой, подвержен сторонним атакам. Создатели называют его “самым сложным реализуемым криптоалгоритмом”.

Реализация безопасных решений — сложная задача: схемы на решетках требуют больше промежуточных данных и сложных процедур выборки, чем эллиптические кривые, что усложняет защиту от сторонних каналов и ошибок.

По сравнению с угрозой появления квантовых компьютеров, эти проблемы реализации — более актуальные и срочные. Исторический опыт показывает, что преждевременная стандартизация и внедрение — рискованны: такие схемы, как Rainbow (на базе систем уравнений) и SIKE/SIDH (на базе изометрических решеток), уже были взломаны на классических компьютерах. Это свидетельство того, что слишком ранняя стандартизация и внедрение могут привести к уязвимостям.

Инфраструктура интернета и блокчейнов должна проявлять осторожность при переходе на новые схемы, поскольку сам процесс миграции занимает годы (например, переход с MD5/SHA-1 продолжается уже много лет и еще не завершен).

Общие вызовы инфраструктуры и блокчейна

Плюсы — открытая разработка и возможность быстрого обновления. Минусы — в отличие от классических систем, где ключи регулярно меняются, в блокчейнах многие ключи и средства могут оставаться уязвимыми десятилетиями.

В целом, рекомендуется следовать осторожной стратегии, аналогичной PKI-сообществу: планировать миграцию, не торопиться с внедрением, учитывать высокие издержки и риски. И в блокчейнах, и в классической сети обновление схем — сложный и длительный процесс, требующий тщательного подхода.

Особенно опасны в ранней стадии:

Требование к агрегированию подписей: блокчейны часто используют агрегированные подписи (например, BLS). Они быстры, но не постквантовы. Исследования по постквантовой агрегации с помощью zkSNARKs перспективны, но еще находятся в начальной стадии.

Будущее zkSNARK: сейчас — в основном, на базе хэш-алгоритмов, но в ближайшие месяцы и годы появятся решения на основе решеток, превосходящие по характеристикам существующие.

Самое важное — обеспечить безопасность реализации. В ближайшие годы уязвимости программного обеспечения и сторонние атаки на схемы (включая zkSNARK и постквантовые подписи) могут представлять угрозу больше, чем квантовые компьютеры. Поэтому необходимо инвестировать в аудит, тестирование, формальное верифицирование и многоуровневую защиту, чтобы не оказаться в ситуации, когда тревога по поводу квантовых угроз отвлекает от более насущных уязвимостей.

Продвижение вперед: семь стратегических рекомендаций

Исходя из реальности, я предлагаю всем заинтересованным сторонам — разработчикам, регуляторам, сообществам — следующее:

1. Немедленно внедрять гибридные схемы шифрования (постквантовое + классическое) там, где важна долгосрочная секретность и допустимы большие размеры. Многие браузеры, CDN и приложения уже начинают это делать.

2. В сценариях, где размеры не критичны (например, обновления ПО, прошивки), сразу использовать хэш-основанные подписи в гибридной форме — это даст “страховку” на случай раннего появления квантовых компьютеров.

3. В блокчейнах не нужно срочно менять подписи, но необходимо уже сейчас начать планировать переход.

4. Разработчикам стоит придерживаться осторожной политики, чтобы решения были зрелыми и безопасными.

5. В биткоине и других публичных цепочках нужно уже сейчас определить стратегию миграции и политику по “зомби”-средствам, уязвимым к квантовым атакам. Особенно важно — в связи с управленческими и социальными аспектами.

6. Необходимо выделить время для исследований и развития решений на базе решеток и zkSNARK, чтобы не зафиксировать менее эффективные схемы преждевременно.

7. В отношении аккаунтов Ethereum — использовать возможности смарт-контрактов и обновляемых кошельков для более плавного перехода. В целом, рекомендуется деконструировать идентичность аккаунтов и схемы подписи (например, через account abstraction), чтобы обеспечить гибкость и поддержку различных решений в будущем.

8. Цепочки с приватностью должны как можно скорее перейти на постквантовые схемы или гибридные решения, чтобы защитить секретные данные, которые сегодня могут быть украдены и раскрыты в будущем.

Краткосрочные и долгосрочные меры

В краткосрочной перспективе важнее обеспечить безопасность реализации криптографических схем, а не торопиться с внедрением новых алгоритмов. Реальные угрозы — это уязвимости программного обеспечения, сторонние атаки и ошибки реализации, которые могут превзойти по опасности даже появление квантовых компьютеров. Поэтому необходимо инвестировать в аудит, тестирование, формальные методы и многоуровневую защиту.

Долгосрочно — продолжать финансировать исследования в области квантовых технологий, чтобы не отставать от потенциальных противников, и сохранять критический взгляд на новости о прогрессе.

Следование этим рекомендациям поможет избежать более вероятных и непосредственных рисков — ошибок в реализации, преждевременных переходов и неправильных решений, связанных с переоценкой угрозы.