Квантовая безопасность блокчейна: обзорный анализ угроз квантовых вычислений, текущего состояния квантовой безопасности, рекомендаций по подготовке и временных сценариев

Оригинальный текстАвтор**：**Боб，исследователь Web3Caff Research

В начале 2026 года крупнейшая в США публичная блокчейн-компания Coinbase объявила о создании консультативного совета по квантовым вопросам, Фонд Ethereum повысил квантовую безопасность до наивысшего уровня стратегического приоритета и сформировал команду по квантовой безопасности. Также NIST (Национальный институт стандартов и технологий США) обозначил временные точки миграции квантовой безопасности; все эти признаки указывают на то, что блокчейн-индустрию в ближайшее время ждут крупные вызовы в сфере безопасности.

Если перенестись к 30 марта 2026 года, вышедшая недавно статья, опубликованная руководителем отдела Quantum AI компании Google Райаном Бабббушем (Ryan Babbush) и связанными исследователями, включая Фонд Ethereum и Стэнфордский университет, окончательно прозвучала как звон «часов конца света» квантовой эпохи. В этом материале под названием 《Защита криптовалют на основе эллиптических кривых от атак с использованием квантовых уязвимостей: оценки ресурсов и меры по смягчению последствий》 говорится, что при актуальных оценках квантовых ресурсов для проведения квантовой атаки достаточно менее 500 000 квантовых битов (qubits), что позволяет завершить атаку за считаные минуты — в 20 раз меньше, чем оценивалось ранее в отрасли. По сравнению с этим, ранее Google официально перенесла график постквантовой миграции на 2029 год и публично предупредила всю отрасль с формулировкой “последнее” сообщение.

Мы знаем, что основой блокчейна является публичная ключевая криптография (Public-key Cryptography). В последние годы вычислительные мощности квантовых компьютеров демонстрируют экспоненциальную тенденцию роста, из-за чего традиционная публичная ключевая криптография все чаще оказывается под угрозой. СМИ обычно приводят крайне «срочные» даты квантовой угрозы, создавая впечатление, что квантовые вычисления за мгновение уничтожат старый цифровой мир, но на самом деле это не так. Перед потенциальными вызовами со стороны квантовых технологий блокчейн-отрасль активно разрабатывает решения по квантовой безопасности — например, новый в биткоин-сообществе анти-квантовый (antiquantum) BIP-360 (Pay to Merkle Root) — Pay to Merkle Root; предстоящий анти-квантовый апгрейд EIP-8141 в Ethereum; а также будущая маршрутная карта по анти-квантовым мерам на 10 лет, предложенная сетью L2 Optimism в Ethereum. По сравнению с усложнением апгрейдов блокчейн-сетей, разработческие сообщества также строят более «простую» анти-квантовую инфраструктуру — например, инструменты «антиквантум» для пользователей биткоина (YellowPages) и др., чтобы обеспечить квантовую безопасность их приватных ключей.

Конечно, по мере роста масштабов квантовых битов (Qubit) квантовые компьютеры действительно все сильнее повышают риск взлома традиционной криптографии блокчейна. Тогда насколько велика эта угроза на самом деле? Как отрасль Web3 реагирует? Как далеко еще нужно, чтобы реализовать квантовую устойчивость? Без «скользких» физических концепций в этом аналитическом отчете мы расширим самые базовые представления о «квантовом» — чтобы проанализировать текущую ситуацию с квантовой безопасностью в блокчейне и дать временной сценарий для «часов конца света», чтобы всесторонне разобрать системные риски, которые это несет для блокчейн-индустрии, и текущие подходы к реагированию.

Оглавление

• Теоретическое введение в квантовые вычисления
• Принципы квантовых вычислений (суперпозиция, запутывание, интерференция)
• История развития квантовых компьютеров
• Применения квантовых вычислений
• Угрозы квантовых вычислений
• Квантовые алгоритмы SHOR Шор
• Квантовые алгоритмы Grover Гровер
• Анализ влияния квантовых вычислений на блокчейн
• Влияние квантовых вычислений на цифровые финансы
• Текущее состояние квантовой безопасности
• Развитие постквантовой криптографии
• Прогресс анти-квантовых мер в блокчейн-индустрии
• Рекомендации по подготовке к анти-квантовым мерам и временная линия в блокчейн-индустрии
• План миграции на уровне государства
• Фактическое развертывание на уровне компаний
• Временная линия подготовки блокчейн-индустрии к квантовой безопасности
• Заключение
• Структурная диаграмма ключевых моментов
• Список литературы

Теоретическое введение в квантовые вычисления

Квантовая механика (Quantum mechanics) — теоретическая основа квантовых вычислений. Эта научная теория зародилась в начале XX века и является важной частью современной физики. Термин «квантовая механика» изначально был немецким: “_Quantenmechanik” _, его создали группа физиков из Германии и Австрии в Университете Гёттингена (University of Göttingen). Появление квантовой механики связано с объяснением систем, которые не могла объяснить «классическая физика». «Классическая физика» — это раннее понимание базовых законов природы, например в механике, электромагнетизме, теплоте и т. п. Однако в микромире теория классической физики столкнулась с ограничениями, поэтому появились современные физические теории, включая квантовую механику. В отличие от классической механики, квантовая механика описывает поведение материи с помощью «вероятности», тем самым предоставляя совершенно новую теоретическую рамку для микромира.

Описывать традиционную и квантовую физику словами о том, бросает ли Бог кости, — очень уместно. Более ста лет назад большинство ведущих ученых той эпохи считали, что все, что правит Богом, существует с «определенностью». Легендарный физик Альберт Эйнштейн (далее — Эйнштейн) ставил под сомнение случайность квантовых явлений фразой «Бог не играет в кости». Квантовая школа возразила: Бог бросает не только кости, но иногда еще и бросает их туда, где мы их не видим. Как сторонник того, что квантовая механика неполна, Эйнштейн считал, что Вселенная существует объективно и поддерживал «физический детерминизм» — то есть все явления по своей сути неизбежно под контролем и не имеют «истинной случайности». А датский физик Нильс Хенрик Давид Бор (Niels Henrik David Bohr, далее — Бор) как представитель новой «теории вероятностей» квантовой школы полагал, что суть мира — «вероятность», и предложил «принцип дополнительности» (корпускулярность и волновые свойства дополняют друг друга; их нельзя одновременно измерить точно, и это связано с принципом неопределенности). Академический спор по поводу квантовой механики начался в 1925 году и продолжался более 10 лет. В последующие десятилетия различные эксперименты постепенно подтвердили взгляды Бора. Хотя Эйнштейн выступал критиком «теории вероятностей» в квантовой механике, он также косвенно способствовал развитию квантовой теории. Сегодня, спустя более ста лет, квантовая физика глубоко проникла во все стороны современной технологии — от полупроводниковых электронных приборов до медицинской визуализации. И общество, порой с опозданием, приняло тот факт, что основа мира — квантовая.

Спор Бор — Эйнштейн, источник изображения: wikipedia

Квантовые вычисления используют нетрадиционные правила квантовой механики. Простым языком, чтобы отличить традиционные вычисления от квантовых: традиционные вычисления решают сложные задачи так, будто это детектив, который последовательно, по одному следу за раз, действует по инструкции; а квантовые вычисления — это когда сразу направляется много детективов, они одновременно исследуют следы в нескольких измерениях, и связи между следами у разных детективов переплетены. Так можно быстрее находить ответы на поставленные задачи.

Мы все знаем, что обычные компьютеры работают с двоичными 0 или 1, а в квантовых вычислениях возможны «суперпозиции», в которых состояние одновременно является и 0, и 1, пока не будет выполнено «измерение», после чего состояние фиксируется. По-простому: в традиционном компьютере каждый бит информации может быть только 0 или 1, как выключатель лампы: выключено = 0, включено = 1. У вас есть либо свет горит, либо свет погас, третьего состояния нет. А в квантовых вычислениях эта лампа может одновременно быть наполовину яркой и наполовину погасшей (суперпозиция), пока вы не посмотрите на нее — тогда она «решит», будет ли она яркой или погасшей. Суперпозиция в квантовом мире — следствие самой природы физики: наблюдаемая природа так устроена. Например, электрон Electron (одна из базовых частиц, составляющих материю) и фотон Photon (базовая единица света и всех электромагнитных излучений) — до измерения они действительно находятся в нескольких возможных состояниях.

Хотя квантовый мир выглядит иначе, чем повседневная реальность, классические эксперименты уже подтвердили его существование — это знаменитый «эксперимент с двумя щелями» (Double-slit Experiment). В ходе эксперимента ученые пропускали электроны или фотоны через экран с двумя щелями, а затем фиксировали их положение на детекторном экране за экраном. Результат показал, что когда электрон или фотон одновременно проходит через две щели, на экране появляются интерференционные полосы, словно частица идет по двум путям одновременно и как будто «вмешивается» в себя. Более того, если попытаться наблюдать, через какую именно щель они проходят, интерференционные полосы исчезают, и на экране остаются только два отдельных пика — как будто частицы движутся только по одному пути. Этот эксперимент демонстрирует: до наблюдения квантовые частицы действительно находятся в суперпозиции — одновременно существуют несколько возможных состояний.

Чтобы понять проще, можно сравнить это с** подбрасыванием монеты**: в квантовом мире, пока монета вращается в воздухе, она не является ни «орлом», ни «решкой» отдельно — она находится в состоянии, где одновременно присутствуют оба варианта. Только когда вы ее ловите и смотрите, она «решает», что выпадет — орел или решка. Принцип квантовой суперпозиции аналогичен: до наблюдения частица может одновременно находиться в нескольких возможных состояниях. Это также явление, которое классическая физика не могла объяснить — поэтому квантовая механика считается одним из наиболее воображаемых направлений прорыва на будущее, в том числе для междисциплинарного и межотраслевого сотрудничества.

Эксперимент с двумя щелями Double Slit Experiment, источник изображения: Science Notes

Проще говоря, квантовый компьютер — это новый тип компьютера, основанный на принципах квантовой теории для выполнения вычислений. В отличие от традиционных компьютеров, которые могут хранить и обрабатывать биты (Bit: минимальная единица информации, способная представлять только 0 и 1), квантовые компьютеры используют «квантовые биты» или «кубиты» (Qubit) для хранения данных. Поскольку кубиты могут одновременно представлять несколько состояний — именно то самое «состояние суперпозиции», о котором говорилось выше, — при наличии множества кубитов вероятность комбинируется и растет экспоненциально. Говоря просто: как только число кубитов увеличивается на один, пространство вычислений расширяется вдвое. Именно поэтому в некоторых конкретных областях — взлом сложных криптосистем, оптимизация огромных комбинаторных задач, моделирование молекулярных структур — квантовый компьютер может иметь значительное потенциальное преимущество по сравнению с традиционным.

Принципы квантовых вычислений (суперпозиция, запутывание, интерференция)

Чтобы понять, как работает квантовый вычислительный процесс, в первую очередь нужно освоить новую систему терминов. В основе этих принципов лежат 3 важных понятия: суперпозиция (Superposition), запутывание (Entanglement) и декогеренция (Decoherence).

В предыдущем разделе мы упоминали, что квантовые компьютеры используют кубиты или квантовые биты (Qubit) для хранения и обработки информации. А кубит — это особая единица: он может одновременно представлять не только 0 или 1, а множество состояний. Эта особенность называется суперпозицией (Superposition).

В квантовой среде можно добавлять несколько квантовых состояний, чтобы получить другое эффективное квантовое состояние; и наоборот, отдельное квантовое состояние можно представить как совокупность из 2 или более других различных состояний. Благодаря свойству суперпозиции квантовый компьютер приобретает возможности параллельной обработки: он может одновременно выполнять миллионы вычислительных операций. Например, в обычной вычислительной среде 10 кубитов за один раз могут представлять только одно состояние (например, 0000011010), а в квантовом компьютере 10 кубитов за один раз могут одновременно представлять до 1024 возможных состояний (2 в степени 10). По сравнению с обычными компьютерами, которые за один раз представляют только одно фиксированное состояние, квантовый компьютер за один раз пробует более 1000 состояний. «Суперпозиция» кубитов — это, вероятно, самая ключевая характеристика в квантовых вычислениях.

Второе важное понятие — квантовое запутывание (Entanglement). Простыми словами: когда два кубита (Qubit) «запутываются», какими бы далекими они ни находились, если изменить состояние одного, другое тут же претерпит соответствующее изменение. В этом и есть самая удивительная часть квантовой механики — кажется, будто между ними существует невидимая таинственная связь. Такое явление встречается у микрочастиц вроде фотонов (Photon) и электронов (Electron). Когда несколько частиц взаимодействуют, они образуют единое целостное систему — как будто несколько партнеров держатся за руки и вместе вращаются. Если ты подтолкнешь одного партнера, остальные тоже начнут двигаться.

Если перевести это в более наглядный повседневный пример: представьте, что вы и ваш друг, живущий в другом городе, держите в руках по одной волшебной монете, которые «запутаны» между собой. Вы переворачиваете свою монету так, что выпадает «орел», и в тот же миг у вашего друга монета тоже становится «орлом» — независимо от того, как далеко вы друг от друга. Квантовое запутывание — это один из ключевых механизмов того, как квантовый компьютер способен реализовывать сильный параллельный вычислительный потенциал и передачу информации, и это то, чего обычные компьютеры сделать не могут.

Квантовое запутывание крайне важно для квантовых вычислений и квантовой связи: оно позволяет квантовым компьютерам быстрее решать сложные задачи. Без квантового запутывания квантовый компьютер не сможет заставить кубиты (Qubit) работать согласованно друг с другом, поэтому он теряет квантовое преимущество. Свойство «многочастичных состояний» в квантовом запутывании позволяет нескольким кубитам кооперироваться, а затем с помощью алгоритмов обеспечивает экспоненциальное ускорение работы компьютера.

Третье важное понятие — квантовая декогеренция (Decoherence). Декогеренция — это когда кубит подвергается помехам внешней среды: исходные свойства, такие как суперпозиция и запутывание, постепенно исчезают. Это похоже на монету, которая вращается в воздухе, а если кто-то слегка коснется ее, она тут же приземляется и принимает форму «орел» или «решка». Поэтому одна из главных сложностей квантовых компьютеров — как можно дольше сохранять стабильность этой «вращающейся» (т. е. суперпозиционной) стадии, чтобы вычисления могли успешно завершиться. Например, при создании суперпозиции кубита (Qubit) на аппаратной платформе шум среды заставляет кубит (Qubit) декогерировать; обычно для этого приходится создавать экстремальные условия, такие как крайне низкие температуры, вакуум и т. п.

Первый шаг квантовых вычислений — «инициализация» (initialization). Цель инициализации — перевести состояние кубита (Qubit) из случайного состояния в базовое (то есть в состояние с минимальной энергией), чтобы квантовый алгоритм работал в требуемых состояниях. Затем с помощью серии операций «квантовых вентилей» (похоже на логические вентили компьютера) система эволюционирует, и в итоге получаются результаты измерения. Однако квантовые состояния очень хрупкие: любые малейшие воздействия внешней среды разрушают суперпозицию и квантовое запутывание. Поэтому квантовым компьютерам нужна крайне строгая поддержка внешней среды.

Именно поэтому квантовые вычисления имеют большой потенциал во многих областях: криптография (взлом криптосистем), материаловедение (моделирование и анализ структуры материалов), искусственный интеллект и прогноз погоды и т. д. По мере развития квантовых вычислений будущий мир может претерпеть крупные изменения, вызванные квантовыми вычислениями.

История развития квантовых компьютеров

После того как мы разобрались с базовыми понятиями квантовых вычислений, перейдем к истории квантовых компьютеров.

Квантовые компьютеры всегда загадочно всплывают в новостях, потому что квантовое превосходство — это одна из вершин научного соперничества между странами. Производство квантовых компьютеров имеет всего около 20 лет истории, но с развитием эпохи использование квантовых компьютеров постепенно открылось для широкой публики. Идея квантовых вычислительных устройств впервые была предложена в 1969 году американско-израильским физиком Стивеном Визнером (Stephen J. Wiesner), а в 1981 году Ричард Фейнман (Richard Phillips Feynman) предложил идею универсальных вычислений с использованием квантовых принципов, что заложило теоретическую основу для ранних прототипов квантовых компьютеров. В 1994 году Питер Шор (Peter Shor) предложил знаменитый алгоритм Шора, после чего стало понятно, насколько велик потенциал квантовых вычислений в деле взлома традиционных методов шифрования. С 2000-х годов и по сей день крупные технологические компании, такие как Google и Microsoft, развивают продукты и сервисы, связанные с квантовыми вычислениями.

Квантовый компьютер, как и обычный компьютер, при проектировании и производстве делится на две основные части: аппаратное обеспечение и программное обеспечение. В аппаратной части есть три ключевых компонента: панель данных, панель управления и измерения и процессор. Панель квантовых данных — это «сердце» квантового компьютера. Она хранит кубиты (квантовые компьютеры используют их как базовую единицу для хранения и обработки информации) и фиксирует их. В качестве основных подходов в настоящее время распространены сверхпроводящие кубиты, топологические кубиты и т. п. IBM и Google выбрали технологический маршрут, основанный на сверхпроводящих кубитах: его преимущество — простота изготовления. Топологические кубиты более стабильны, но реализация сложнее; Microsoft выбрала соответствующий технологический путь.

Квантовый компьютер похож на фабрику: его «сердце» — панель квантовых данных — хранит кубиты (Qubit). Панель управления и измерений преобразует цифровые сигналы в волновые управляющие воздействия на кубиты; процессор отвечает за вычисления; а программное обеспечение запускает алгоритмы через квантовые цепи. Программист может писать квантовые программы с помощью IBM Qiskit, Google Cirq или Microsoft Q#.

Генеральный директор Google и квантовый компьютер, источник изображения: NYTimes

Применения квантовых вычислений

По мере эволюции квантовых алгоритмов и «коммерциализации» квантовых компьютеров квантовые технологии постепенно встраиваются во все сферы нашей жизни.

Под влиянием входа крупных бизнес-игроков и капитальных вложений квантовые вычисления начинают ярко проявляться в разных нишах — например, в разработке лекарств, в проектировании моделей контроля рисков в финансовой отрасли и т. д. Традиционные методы разработки лекарств зависят от классических компьютеров для моделирования взаимодействия молекул, но квантовый компьютер может моделировать химические реакции точнее. Например, 11 января 2021 года Google сотрудничала с немецкой фармацевтической компанией Boehringer Ingelheim: с помощью квантовых алгоритмов моделировали структуру молекул, чтобы помочь проектировать препараты для сердечно-сосудистых заболеваний, что значительно сократило цикл испытаний. В финансовой сфере квантовые вычисления оптимизируют управление рисками и инвестиционные портфели. JPMorgan Chase — один из первых финансовых институтов в мире, который начал изучать квантовые вычисления с помощью IBM Q System One (первого коммерческого квантового компьютера на основе цепей). Он использует квантовый компьютер IBM Q System One для моделирования метода Монте-Карло, применяемого для оценки рыночных рисков и ценообразования деривативов, помогая банку принимать более точные решения на рынке. Несмотря на то что квантовые вычисления по-прежнему сталкиваются с сомнениями и проблемами коммерческого масштаба, эти кейсы показывают: переход квантовых вычислений от лабораторий к реальным применениям ускоряется.

Угрозы квантовых вычислений

Уникальные преимущества квантового компьютера позволяют в определенных условиях выполнять вычисления с экспоненциальным ускорением, то есть обгонять скорость обработки классических компьютеров на высоких размерностях. Поэтому квантовые взломы (quantum hacking) алгоритмов создают огромную потенциальную угрозу для блокчейн-технологий, построенных на криптографии. В настоящее время наиболее распространенные архитектуры блокчейна (например, Биткоин, Ethereum и т. д.) в основном опираются на системы публичного ключевого шифрования (например, алгоритм цифровых подписей ECDSA на эллиптических кривых) и хеш-функции (например, SHA-256) для безопасного шифрования, но в обозримом будущем квантовые вычисления преодолеют эту защитную стену. Текущая угроза квантовых вычислений безопасности блокчейна в основном исходит из двух наиболее узнаваемых квантовых алгоритмов: алгоритма Shor, предложенного Питером Шором (Peter Shor) в 1994 году, и алгоритма Grover, предложенного Ловом Гровером (Lov Grover) в 1996 году.

Квантовые алгоритмы SHOR Шор

Алгоритм Shor (Шор) — это квантовый алгоритм, предложенный американским профессором математики Массачусетского технологического института Питером Виллистоном Шором (Peter Williston Shor). Его также называют «алгоритм квантового факторинга» (quantum integer factorization). Простыми словами, он может быстро разложить огромные целые числа — такие как те, что используются в RSA-шифровании — на произведение двух больших простых чисел. По сравнению с традиционными компьютерами, квантовые компьютеры могут выполнить эту задачу за крайне короткое время — и именно это делает алгоритм Shor особенно мощным. Его ключевая идея также «умная»: алгоритм напрямую не ищет простые множители, а сначала быстро находит числовые закономерности (период), а затем на основе закономерности вычисляет простые множители.

Если провести простую бытовую аналогию: если традиционный компьютер «разбирает» большие числа как будто ищет вещи в огромном складе — переворачивая ящики по очереди, — то квантовый компьютер похож на то, как будто у него есть множество копий самого себя, и он одновременно пробует каждый возможный путь, быстро находя ответ.

Еще в 2001 году IBM с помощью жидкостного ЯМР-квантового компьютера продемонстрировала пример работы алгоритма Shor. С этого момента алгоритм вызвал большой резонанс в криптографии, потому что он демонстрировал потенциальную мощь квантовых компьютеров: в будущем это может глубоко повлиять на традиционные методы шифрования и безопасность интернета.

Это означает, что в традиционных системах шифрования алгоритмы на основе эллиптической кривой (Elliptic Curve Cryptography) и RSA — которые обычно используются для подписей HTTPS/TSL на сайтах, SSH-ключей, подписей старых сертификатов сайтов и т. п. — будут столкнуться с прямой угрозой. Особенно это касается эллиптического шифрования: эта технология тесно связана с нашей повседневной жизнью. Например, в мобильных приложениях Apps и при аутентификации Software ID используется шифрование; это один из самых популярных методов шифрования в современном интернете. Хотя сейчас квантовый компьютер еще не может взломать 2048-битный RSA (теоретически понадобится еще большее число — возможно тысячи квантовых битов), но по мере зрелости технологий квантовых вычислений в ближайшем будущем эта защита может быть прорвана.

Квантовые алгоритмы Grover Гровер

Через 2 года после появления алгоритма Shor индийско-американский ученый Лов Кумар Гровер (Lov Kumar Grover) из Стэнфордского университета предложил и разработал новый квантовый алгоритм — алгоритм Гровера (Grover), также называемый «квантовый алгоритм поиска». В квантовых вычислениях Grover — очень практичный алгоритм для поиска и запросов в нереляционных (неструктурированных) базах данных.

Если обычный компьютер должен искать ответ в базе данных масштаба «2 в степени десятков» — то традиционный подход практически всегда заключается в последовательной проверке каждого элемента от начала до конца: как будто в библиотеке, листая книги одну за другой — это очень долго. А алгоритм Grover использует свойства «квантовой суперпозиции» и «усиления амплитуды», позволяя найти ответ примерно за √N попыток. Этот процесс называется «квадратичным ускорением» (Quadratic Speedup).

Проще говоря: если традиционному компьютеру нужно выполнить 10¹² операций (то есть один триллион), то по теории алгоритму Grover достаточно примерно 1 миллиона операций. Разница по эффективности очень заметна.

Его ключевой принцип таков: сначала «накладывают» все возможные ответы друг на друга, чтобы кубиты одновременно представляли N возможных состояний. В начале вероятность выбора каждого ответа равна 1/N. Затем алгоритм с помощью механизма, который называется « оракул » (oracle), отмечает правильный ответ, делая для него «фазовый переворот». После этого путем многократных итераций вероятность правильного ответа непрерывно усиливается, а вероятность всех остальных неверных ответов снижается.

Можно привести аналогию: представьте темную комнату, в которой множество дверей, и только за одной из них спрятано сокровище. Традиционный компьютер может только пробовать по одной двери, по очереди. Алгоритм Grover делает иначе: сначала как бы позволяет «попробовать сразу все двери», а на каждой итерации чуть-чуть повышает «яркость» двери с сокровищем, пока в темноте она не станет все более яркой, и в итоге ее будет легко распознать. Когда вероятность правильного ответа будет доведена почти до 100%, система измерения сможет с высокой вероятностью получить правильный результат.

Возможно, вы спросите: раз на старте он одновременно «пробует все двери», почему бы не сообщить нам напрямую, за какой дверью сокровище? Причина в следующем: когда вы действительно «смотрите» результат (измеряете), вы можете увидеть только одну дверь. Если в начале вы смотрите, когда вероятность одинакова для каждой двери, шанс увидеть «правильную дверь» будет как случайная лотерея — почти как угадывание. Поэтому алгоритм Grover должен итеративно сделать правильную дверь все более яркой. Когда она уже заметно ярче остальных в темноте, тогда при «взгляде» вы почти наверняка увидите правильный ответ. То есть квантовый компьютер может одновременно исследовать все возможности, но не может одновременно показать все ответы — он может только «усиливать вероятность правильного ответа», чтобы при измерении вероятность получения верного результата была высокой.

Алгоритм Grover также может применяться в криптографии для брутфорса, что представляет реальную угрозу взлому симметричных ключей. В отрасли сейчас рекомендуется использовать ключи длиной 256 бит для AES-256 (Advanced Encryption Standard — стандарт усовершенствованного шифрования), поскольку в квантовой среде ключ длиной 128 бит обеспечивает лишь 64 бита безопасности. Поэтому отрасли требуется более высокий уровень безопасности. Однако у Grover есть ограничения: он обеспечивает только квадратичное ускорение, то есть хотя квантовый компьютер существенно быстрее, но ускорение не бесконечно. Аналогия: если вам нужно пробежать 100 километров, алгоритм Grover может уменьшить дистанцию до 10 километров, но вам все равно придется «платить» человеческими усилиями. А изготовление и эксплуатация квантового компьютера очень дороги — это похоже на то, как если бы вы использовали супердорогую беговую дорожку, чтобы пробежать эти 10 километров. Поэтому на практике алгоритм Grover не способен бесконечно ломать все криптосистемы; по-прежнему необходимы более длинные ключи или другие меры безопасности, чтобы гарантировать защиту.

Анализ влияния квантовых вычислений на блокчейн

Ключевой принцип дизайна блокчейна — построение распределенного реестра на основе криптографии. Большинство протоколов блокчейна, таких как Биткоин, используют ECC (шифрование на эллиптических кривых) для генерации публичных и приватных ключей и цифровых подписей. Secp256k1 на базе ECDSA (Elliptic Curve Digital Signature Algorithm, алгоритм цифровой подписи на эллиптических кривых) — это конкретный параметрический стандарт для определенных эллиптических кривых, которые обычно используются в Биткоине и Ethereum. Его особенности — безопасность, эффективность и сравнительно короткие ключи; широко применяется для генерации ключевых пар и подписей в сети.

SHA-2 (Secure Hash Algorithm 2) из семейства криптографических хеш-функций: SHA-256 также повсеместно используется в блокчейне. Хеш-функция отображает данные произвольной длины в значение фиксированной длины (хеш), она обладает необратимостью: очень трудно вывести исходные данные обратно. Хеш-функции обычно применяются в алгоритмах доказательства выполнения работы (proof-of-work) и для валидации транзакций. По мере эволюции квантовых компьютеров, при наличии достаточного числа кубитов, компьютер может запускать «квантовые алгоритмы» и за короткое время (1 месяц) взламывать асимметричные алгоритмы шифрования, такие как эллиптическое шифрование. Тогда компоненты блокчейна столкнутся с прямой угрозой.

Влияние разных алгоритмов на криптографические компоненты, источник изображения: Web3Caff Research исследователь Боб, сделано самостоятельно

Кроме того, квантовые компьютеры могут привести к атакам «HNDL» (Harvest-Now-Decrypt-Later), то есть атакующий начинает собирать данные сейчас, а затем при наступлении «дня перехода» квантовых вычислительных возможностей инициирует дешифрование. HNDL — это стратегия наблюдения: она предполагает длительное наблюдение и хранение зашифрованных данных, которые в настоящее время невозможно взломать, а затем их расшифровка после того, как квантовые технологии созреют. Ожидаемую в будущем дату «дня перехода» отрасль называет Y2Q или Q-Day. Перед лицом угроз квантовых вычислений блокчейн-индустрия также активно отвечает: например, в январе 2026 года известная публичная компания США Coinbase создала независимый комитет по квантовым вычислениям и блокчейну для противодействия потенциальным угрозам, которые квантовые вычисления в будущем могут создать для криптографической безопасности блокчейна, и для разработки анти-квантовых решений. В том же году экосистема Ethereum L2 Optimism также начала внедрять анти-квантовые алгоритмы, чтобы подготовиться к будущим более крупным вызовам.

Объясняющая схема HNDL, источник изображения: Paloalto Networks

Влияние квантовых вычислений на цифровые финансы

Конечно, потенциальное влияние квантовых вычислений не ограничивается блокчейн-финансовой отраслью; оно затрагивает и более широко цифровую финансовую индустрию. Например, банки, напрямую связанные с повседневной жизнью людей. С точки зрения рисков безопасности первыми под угрозой окажутся криптографические защитные инфраструктуры, от которых банки сильно зависят. Алгоритм Shor быстро вскроет используемое банками RSA-шифрование и шифрование на эллиптических кривых, из-за чего информация банковских пользователей будет раскрыта. А сценарий атаки «HNDL — украсть сейчас, расшифровать позже» будет означать, что уже утекшие финансовые данные тоже сохраняют вероятность быть взломанными квантовыми компьютерами в будущем. Перед лицом «квантовых угроз» глобальные топовые финансовые компании уже вступают в «постквантовую эпоху». В 2024 году NIST (Национальный институт стандартов и технологий США) выпустил первые стандарты квантовой безопасности. Банки и финансовые институты также начинают планировать миграцию на алгоритмы постквантовой криптографии (PQC, Post-Quantum Cryptography), чтобы встретить приближение квантовой эпохи.

Но квантовые компьютеры несут финансовым институтам, включая банки, не только вызовы — у них есть и позитивная сторона: квантовые компьютеры могут преобразовать финансовую отрасль, ускоряя сложные вычисления. Квантовые вычисления помогают в моделировании рисков: они ускоряют симуляцию Монте-Карло (Monte Carlo method), позволяя банкам более точно и быстро оценивать риски. В последние годы сценарии внедрения квантовых вычислений в банках становятся все более разнообразными: например, в 2025 году HSBC совместно с IBM в рамках квантового проекта использовала квантовый процессор, чтобы повысить точность прогнозирования при торговле облигациями на 34%. Турецкий банк Yapi Kredi сотрудничал с канадской компанией квантовых вычислений D-Wave: они использовали быстрый подход в моделях риск-контроля, чтобы быстро выявлять предприятия с высоким риском.

Текущее состояние квантовой безопасности

Фактически, после того как люди осознали квантовые угрозы, в последние годы постквантовая криптография (Post-Quantum Cryptography, сокращенно PQC) получила активное развитие. Особенно после того, как в 2024 году NIST (Национальный институт стандартов и технологий США) опубликовал 3 постквантовых криптографических стандарта, индустрия, связанная с безопасностью данных, начала интенсивную подготовку к миграции на квантовую безопасность. Финансовая банковская индустрия, крупные платформы электронной связи и другие компании уже вынесли меры защиты от квантовых вычислений в повестку дня и планируют обновление квантовых алгоритмов в ближайшие годы.

Развитие постквантовой криптографии

По прогнозу Global Risk Institute (Отчет о временной шкале квантовых угроз, на основе десятков экспертов), вероятность того, что RSA-шифрование будет взломано квантовыми методами через 8 лет (2034), составляет около 19–34% (данные 2024/2025). По сравнению с предыдущими годами эта временная шкала немного ускорилась. Постквантовая криптография (Post-Quantum Cryptography) возникла как ответ на растущие опасения относительно Q Day. Сейчас она уже развилась до уровня основы исследований по устойчивости к квантовым угрозам.

Прогноз: квантовый компьютер сможет взломать RSA-2048 за 1 день, источник изображения: Global Risk Institute

Постквантовая криптография также называется «анти-квантовая криптография» или «квантобезопасная криптография». Большинство квантовых атак направлены против публично-ключевых алгоритмов. Направления исследований в постквантовой криптографии включают решетчатую криптографию (lattice-based cryptography), fault-tolerant learning (обучение с исправлением ошибок), многомерные многовариантные полиномы и т. д. Эти алгоритмы призваны обеспечивать безопасность персональных данных в будущих квантовых вычислительных средах.

Стандартизация анти-квантовых решений уже длится 10 лет: в 2016 году NIST (National Institute of Standards and Technology) запустил проект по постквантовой криптографии, и он прошел через несколько раундов оценивания. В августе 2024 года NIST официально опубликовал первые стандарты шифрования постквантовой криптографии. Их цель одна — противостоять квантовым угрозам со стороны будущих квантовых компьютеров для существующих публично-ключевых алгоритмов (RSA и шифрования на эллиптических кривых). Эти три постквантовых стандарта:

• ML-KEM: используется для инкапсуляции ключей, главным образом отвечает за «безопасный обмен ключами». В простом понимании: когда вы посещаете защищенный сайт (например, HTTPS), обе стороны должны сначала тайно договориться об «ключе шифрования», и ML-KEM — это инструмент, который позволяет безопасно передать этот ключ. Его особенности — быстрая скорость шифрования и высокая эффективность;
• ML-DSA: модульная решетчатая цифровая подпись на основе CRYSTALS-Dilithium, предназначенная для гарантии того, что данные при передаче не были изменены, а также для подтверждения личности отправителя. Можно понимать как «поставить на файл или сообщение защитную печать от подделки»: другой человек может проверить, что эта печать настоящая, и что содержимое не было изменено;
• SLH-DSA: цифровая подпись на основе хеш-функции в безсостояний (stateless), оригинальное название SPHINCS+. Ее безопасность выше, она относится к более «надежным» решениям, но ценой является то, что подписи генерируют