Google Quantum AI официально объявила: количество квантовых битов, необходимых для взлома криптографии биткоина, снизилось в 20 раз

Google также публиковала материалы для проверки в виде «доказательства с нулевым разглашением», позволяя третьим сторонам проверить выводы, не раскрывая деталей атаки.

Авторы: Ryan Babbush & Hartmut Neven, Google Quantum AI

Перевод: Deep Tide TechFlow

Deep Tide: предварительный обзор: это первый первоисточник обсуждения сегодняшних квантовых угроз, а не пересказ СМИ; это официальный технический блог, совместно опубликованный директором по исследованиям в Google Quantum AI и вице-президентом по инженерной деятельности.

Главный вывод только один: ранее оцененное количество физических квантовых битов, необходимых для взлома биткоинской эллиптической кривой криптографии, сокращено примерно в 20 раз. Google также публиковала материалы для проверки в виде «доказательства с нулевым разглашением», позволяя третьим сторонам проверить выводы, не раскрывая деталей атаки — и сам по себе такой способ раскрытия также заслуживает внимания.

Полный текст:

31 марта 2026 года

Ryan Babbush, директор по исследованиям квантовых алгоритмов в Google Quantum AI; Hartmut Neven, инженерный вице-президент в Google Quantum AI, Google Research

Мы изучаем новую модель, чтобы прояснить возможности взлома будущих квантовых компьютеров, и описываем шаги, которые следует предпринять, чтобы снизить их влияние.

Оценки квантовых ресурсов

Квантовые компьютеры способны решать ранее нерешаемые задачи, включая приложения в области химии, открытия лекарств и энергетики. Однако крупномасштабные квантовые компьютеры, связанные с криптографией (CRQC), также могут взламывать широко используемую сегодня криптографию с открытым ключом, которая защищает конфиденциальную информацию и различные системы. Включая Google, правительства и организации разных стран на протяжении многих лет решают эту проблему безопасности. По мере постоянного прогресса науки и технологий CRQC постепенно становится реальностью, что требует перехода к постквантовой криптографии (PQC — post-quantum cryptography); именно поэтому мы недавно предложили график миграции на 2029 год.

В нашем white paper мы делимся последними оценками квантовых «ресурсов» (то есть квантовых битов и квантовых вентилей), необходимых для задачи дискретного логарифмирования на 256-битовых эллиптических кривых (ECDLP-256), на которой основан взлом эллиптической кривой криптографии. Мы выражаем оценки ресурсов через количество логических квантовых битов (логические квантовые биты, состоящие из сотен физических квантовых битов в составе исправляющей ошибки квантовой системы) и число вентилей Toffoli (базовых операций, стоимость которых на квантовых битах высока; они являются одним из основных факторов, определяющих время выполнения многих алгоритмов).

В частности, мы скомпилировали две квантовые схемы (последовательности квантовых вентилей) для реализации алгоритма Шора для ECDLP-256: одна использует менее 1200 логических квантовых битов и 90 миллионов вентилей Toffoli, другая — менее 1450 логических квантовых битов и 70 миллионов вентилей Toffoli. Мы оцениваем, что при стандартных предположениях о возможностях аппаратного обеспечения, согласованных с частью флагманских квантовых процессоров Google, эти схемы могут быть выполнены менее чем за 500 тысяч физических квантовых битов сверхпроводящих CRQC на выполнение в течение нескольких минут.

Это снижение примерно в 20 раз по числу физических квантовых битов, необходимых для взлома ECDLP-256, и продолжение долгого процесса оптимизации, в ходе которого квантовые алгоритмы компилируются в отказоустойчивые схемы.

Шифрование криптовалют с защитой постквантовой криптографией

Большинство блокчейн-технологий и криптовалют сегодня опираются на ECDLP-256 как на ключевой аспект для обеспечения безопасности. Как мы обсуждаем в работе, PQC — зрелый путь к обеспечению безопасности постквантовой блокчейн-сети, способный гарантировать долгосрочную жизнеспособность криптовалют и цифровой экономики в мире, где есть CRQC.

Мы приводим примеры постквантовых блокчейнов и случаи экспериментального развертывания PQC в блокчейнах, где ранее существовали квантовые уязвимости. Мы отмечаем, что хотя решения вроде PQC уже существуют, на внедрение требуется время, и это усиливает срочность принятия мер.

Мы также предлагаем криптовалютному сообществу дополнительные рекомендации, чтобы улучшить безопасность и стабильность в краткосрочной и долгосрочной перспективе, включая: избегать раскрытия или повторного использования адресов кошельков, содержащих уязвимости, а также потенциальные варианты политики в отношении проблемы заброшенных криптовалют.

Наше раскрытие уязвимостей

Раскрытие уязвимостей в сфере безопасности — спорная тема. С одной стороны, позиция «не раскрывать» считает, что публикация уязвимостей равнозначна предоставлению злоумышленникам руководства к действию. С другой стороны, движение «полное раскрытие» считает, что если общественность будет знать об уязвимостях безопасности, это и удержит людей настороже и позволит принимать меры самозащиты, а также будет стимулировать работу по исправлению безопасности. В области компьютерной безопасности этот спор со временем свелся к набору компромиссных подходов, известных как «ответственное раскрытие» и «согласованное раскрытие уязвимостей». Оба подхода предполагают раскрытие уязвимостей при установлении периода запрета на публикацию, чтобы затронутым системам было время выпустить исправления безопасности. Такие варианты ответственного раскрытия с жесткими дедлайнами уже применялись ведущими исследовательскими организациями по безопасности, включая CERT/CC при Университете Карнеги — Меллона и Project Zero от Google, и этот подход был принят как международный стандарт ISO/IEC 29147:2018.

Раскрытие уязвимостей безопасности в блокчейн-технологиях также усложняется из-за особого фактора: криптовалюты — это не просто системы децентрализованной обработки данных. Ценность их цифровых активов возникает не только из цифровой безопасности сети, но и из доверия общества к системе. В то время как на цифровом уровне безопасности могут быть атаки со стороны CRQC, доверие общества может быть подорвано страхом, неопределенностью и сомнениями (FUD), которые подаются как техника. Поэтому даже нематематические, необоснованные оценки ресурсов квантового алгоритма для взлома ECDLP-256 сами по себе могут выступать как форма атаки на систему.

Эти соображения определяют наш осторожный подход к раскрытию оценок квантовых ресурсов для атак на блокчейн-технологии на основе эллиптической кривой криптографии. Во-первых, мы снижаем риск FUD, которую вызывает обсуждение, четко определяя области, в которых блокчейн устойчив к квантовым атакам, и подчеркивая прогресс, достигнутый в безопасности постквантовых блокчейнов. Во-вторых, не делясь лежащими в основе квантовыми схемами, мы подтверждаем наши оценки, публикуя передовую криптографическую конструкцию под названием «доказательство с нулевым разглашением», которая позволяет третьим сторонам проверять наши утверждения, даже если мы не раскрываем чувствительные детали атак.

Мы приветствуем дальнейшее обсуждение с сообществами в области квантов, безопасности, криптовалют и политики, чтобы прийти к общему пониманию будущих стандартов ответственного раскрытия.

Посредством этой работы наша цель — поддержать долгосрочное здоровое развитие экосистемы криптовалют и блокчейн-технологий, которые в цифровой экономике занимают все более важное место. Взгляды на будущее: мы надеемся, что наш подход к ответственному раскрытию вызовет важный диалог между исследователями квантовых вычислений и более широкой общественностью, а также предоставит воспроизводимую модель для области исследований в квантовом криптоанализе.