Дорожная карта квантовых технологий Circle: как заранее сменить замки для «квантового взлома»?

作者：KarenZ，Foresight News

Если однажды квантовые компьютеры станут достаточно мощными, первыми проблемами блокчейна, с которыми придется столкнуться, могут стать два более фундаментальных предположения о безопасности: сможет ли подпись по-прежнему доказать «я — это я», и будет ли зашифрованная сегодня информация раскрыта в будущем.

Последняя опубликованная Circle статья — «Дорожная карта постквантовой безопасности Circle» — обсуждает именно этот вопрос. Ее основное суждение очень прямо: сегодня широко используемая эллиптическая криптография, включая ECDSA, Ed25519, BLS, при столкновении с достаточно мощным квантовым компьютером станет недействительной. Еще более проблематично то, что в цепочках на базе EVM при первом распространении транзакции обычно раскрывается публичный ключ; в таких цепочках, как Биткойн, адреса, уже потраченные, использованные повторно или раскрытые в виде определенного скрипта, также попадают в зону риска.

Авторы статьи показывают, что это не обычная популяризационная статья. В числе авторов — главный инженер Circle Mira Belenkiy, инженер-исследователь Circle Duc V. Le, главный экономист Circle Gordon Liao, главный специалист по безопасности продуктов Circle Vipin Singh Sehrawat, инженер-исследователь Dragos Rotaru, а также соучредитель Interop Labs, изначально разрабатывавших сеть Axelar, ныне входящий в Circle Sergey Gorbunov и другие инженеры Circle; также в署名 участвовал известный ученый в области прикладной криптографии из Стэнфорда Dan Boneh.

Самое важное в этой статье — не паническая идея «квантовые компьютеры уничтожат криптовалюту», а то, что она разбивает проблему на реальную инженерную задачу миграции. Circle считает, что переход на постквантовую безопасность — это не простая апгрейд-кнопка, а «долгосрочный переезд» между кошельками, смарт-контрактами, хранением, облачными сервисами, валидаторами и регуляторными правилами.

Статья перечисляет несколько типов рисков, с которыми сталкивается блокчейн при квантовых атаках.

Первый — подделка аккаунтов. Как только публичный ключ адреса станет раскрыт, будущий квантовый злоумышленник сможет восстановить приватный ключ и напрямую подделать транзакцию. В статье цитируется проект Project Eleven и его Bitcoin RisQ Metrics, согласно которым миллионы адресов с балансами уже под угрозой квантового риска, включая примерно 14 миллионов биткойн-адресов.

Второй — риск «сначала собираем, потом расшифровываем»: злоумышленник сегодня сохраняет зашифрованные данные, а в будущем, когда квантовые компьютеры станут достаточно мощными, расшифровывает их.

Третий — риск на уровне консенсуса: если ключи валидаторов будут восстановлены, возможны двойные подписи, цензура или даже переписывание истории. Четвертый — сетевой риск: P2P коммуникации, RPC через TLS и другие части, зависящие от традиционного обмена ключами, также требуют обновления.

Три этапа миграции Circle

План Circle — не просто замена одного алгоритма подписи на другой, а деление на три шага: «подготовка сейчас», «гибридная миграция» и «финальный переход». Каждый этап предполагает разный приоритет рисков: приватные данные нужно защищать в первую очередь, аккаунты и смарт-контракты — постепенно мигрировать, а консенсус и инфраструктура — после того, как экосистема, оборудование и стандарты станут более зрелыми.

Типы атак и этапы реагирования в дорожной карте Arc, источник: статья «Дорожная карта постквантовой безопасности Circle»

Первый этап — «подготовка сейчас». Его цель — не сразу отказаться от ECDSA, а оставить разработчикам и пользователям возможность миграции. Arc будет поддерживать в основной сети проверку постквантовых подписей SLH-DSA-SHA2-128s, позволяя смарт-аккаунтам подтверждать постквантовые подписи прямо в цепочке. Проще говоря, Arc сначала установит в смарт-контракты систему распознавания новых замков, но нативные подписи транзакций в краткосрочной перспективе останутся ECDSA, поскольку постквантовые подписи занимают больше места и требуют больше времени на проверку, что влияет на пропускную способность и пользовательский опыт.

Одновременно Arc будет поддерживать шифрование транзакционных мемо с помощью X-Wing HPKE, а также защищать содержимое транзакций, состояние контрактов и следы выполнения с помощью среды приватности. Circle делает упор на этот этап, потому что «сегодня записанное, завтра расшифрованное» — это необратимый риск приватности. Подписи можно обновлять позже, а утекшие данные — уже нельзя вернуть в приватный режим.

На уровне аккаунтов Circle предлагает несколько инструментов для перехода. Например, через EIP-4337 — абстракцию аккаунтов — подтверждать постквантовые подписи. Или через схему hash-and-rotate — хранить в цепочке только хэш публичного ключа, минимизируя окно раскрытия. Или через реестр постквантовых публичных ключей — заранее связывать адреса с постквантовыми ключами. Все эти решения направлены на то, чтобы пользователи могли подготовиться к миграции, не дожидаясь полной переработки протокола.

Второй этап — «гибридная миграция». Самый реалистичный и сложный. В течение некоторого времени смарт-контракты USDC будут поддерживать одновременно классические и постквантовые подписи, а после подготовки экосистемы — отключать классические. Circle планирует также переносить средства с холодных хранилищ на мультиподписные смарт-контракты, чтобы обеспечить совместимость с разными цепочками и алгоритмами. Поскольку USDC развернут на более чем 30 цепочках, проблема — не только обновление одной цепи, а фрагментация из-за выбора алгоритмов и сроков.

Особое внимание уделяется проблеме ecrecover. Многие EVM-контракты используют ecrecover для проверки ECDSA, но эти контракты зачастую невозможно обновить. Простое отключение ecrecover разрушит множество существующих приложений; продолжение работы — оставит риск подделки. Circle предлагает перспективное решение — через форк протокола изменить поведение ecrecover так, чтобы оно поддерживало постквантовые подписи, сохраняя старый ABI. Это важно, потому что не только для новых контрактов, но и для уже развернутых, трудно изменяемых — оставить путь миграции.

Миграция также включает обновление инфраструктуры. Circle должен провести инвентаризацию криптографической системы, оценить готовность облачных сервисов, HSM, KMS, TEE, libp2p, TLS и других зависимостей к постквантовой безопасности, и по порядку менять ключи. Важный момент — если ключ A защищает ключ B, а ключ B — ключ C, то сначала меняют A, потом B, и только потом C. Иначе даже с постквантовыми алгоритмами прошлые зашифрованные материалы могут стать уязвимыми.

Третий этап — «финальный переход». Когда экосистема, регуляции, аппаратные кошельки, облачные сервисы и инфраструктура будут готовы, Circle выполнит окончательный жесткий переход. Тогда Arc и смарт-контракты USDC могут отказаться от ECDSA, а подписи валидаторов — перейти на постквантовые схемы; если некоторые цепочки с USDC не смогут обеспечить достаточную постквантовую безопасность, Circle может приостановить работу части контрактов или даже отозвать поддержку, чтобы защитить активы пользователей от риска подделки.

Что делать со старыми аккаунтами — самая сложная проблема

Но финальный переход породит и самые сложные вопросы: что делать с активами на не мигрированных аккаунтах? Circle считает, что заморозка небезопасных аккаунтов — это защита от краж, а не конфискация активов. Иными словами, «остановка контроля по старым подписям» и «отказ в признании прав владельца» должны решаться отдельно. Поэтому восстановление аккаунтов — важная часть стратегии, включая миграцию на Arc, восстановление через мнемоники и zk-подтверждения, через TEE, а также — в ограниченных случаях — через оффчейн-юридические документы, доверенных лиц, биржи или наследственные документы.

Это поднимает важный политический вопрос — восстановление аккаунтов. После появления квантовых компьютеров традиционные подписи уже не смогут доказать право собственности, а KYC — не обязательно подтвердит, кому принадлежит анонимный адрес. Circle считает, что регуляторы должны заранее определить: как уведомлять пользователей о миграции, какие доказательства достаточны для подтверждения владения активами, сколько времени должно пройти до признания активов без владельца, и как применять правила наследства, санкций, борьбы с отмыванием и судебных решений. Время для разработки таких правил, по оценкам, — еще 5–10 лет.

В статье есть и спокойное замечание: слишком поспешная миграция может принести больше рисков. Например, если компании используют HSM для защиты ключей, и ради быстрого перехода на постквантовые схемы вынуждены экспортировать ключи на обычный CPU, это увеличит риск кражи. Circle подчеркивает, что подготовка к миграции должна быть заблаговременной, но не стоит снижать текущий уровень безопасности ради иллюзии «безопасности».

Проще говоря, Circle не говорит «квантовые компьютеры завтра взломают блокчейн», а — что инфраструктура не должна ждать, пока замки перестанут работать, чтобы их менять. Особенно это важно для USDC — стабильной монеты, работающей на более чем 30 цепочках. Главная сложность — не только выбрать новый алгоритм, а обеспечить совместную миграцию кошельков, контрактов, хранения, валидаторов, облачных сервисов, регуляторов и пользователей.

Пока квантовые атаки еще не реализованы, но затраты на миграцию уже очевидны.