Пропозиція щодо квантової безпеки Aptos вводить підписи для протидії майбутнім загрозам

Зі зростанням можливостей квантових обчислень у напрямку реального застосування, стратегія постквантової безпеки Aptos стає ключовим тестовим випадком для консервативного дизайну безпеки блокчейну.

AIP-137 вводить SLH-DSA-SHA2-128s у блокчейн Aptos

Aptos представила AIP-137, пропозицію, яка вводить SLH-DSA-SHA2-128s як першу постквантову схему підпису для захисту мережі від майбутніх атак квантових обчислень. Мета ініціативи — посилити безпеку блокчейну до того, як квантові машини стануть прямою криптографічною загрозою.

Крім того, ця пропозиція з’являється у той час, коли квантові обчислення переходять від теорії до реалізації. IBM обговорює шляхи масштабування для великих квантових систем, тоді як NIST опублікував остаточні стандарти постквантової криптографії. Експерти все ще не погоджуються щодо термінів, сперечаючись, чи з’являться серйозні загрози через п’ять або п’ятдесят років, але Aptos обирає ранню, консервативну підготовку.

Чому Aptos обрала консервативну хеш-орієнтовану схему

AIP-137 надає пріоритет безпеці над продуктивністю, обравши SLH-DSA-SHA2-128s, безстанну хеш-орієнтовану схему підпису, стандартизовану NIST як FIPS 205. Вона базується виключно на SHA-256, хеш-функції, вже інтегрованій у інфраструктуру Aptos, що дозволяє уникнути введення нових криптографічних припущень.

Однак ця консервативна позиція обґрунтована минулими невдачами у постквантовій криптографії. Схема Rainbow, колись фіналіст NIST, побудована на багатоваріантній криптографії, була повністю зламаною на звичайних ноутбуках у 2022 році. Базуючись на добре зрозумілих хеш-функціях замість більш екзотичної математики, Aptos прагне зменшити ризик того, що класичні атаки зможуть зломати нібито квантово-стійкі проєкти.

У цьому контексті підхід Aptos до постквантової безпеки розглядається як базовий рівень, що віддає перевагу надійності над швидкодією, створюючи простір для більш агресивних оптимізацій лише після того, як консервативний шар доведе свою ефективність у виробництві.

Компроміси у продуктивності: розмір і швидкість проти безпеки

Основний компроміс із SLH-DSA-SHA2-128s стосується розміру підпису та швидкості перевірки. Підписи матимуть розмір 7 856 байт, що у 82 рази більше, ніж Ed25519, тоді як перевірка займе приблизно 294 мікросекунди, що у 4,8 рази повільніше. Ці накладні витрати навмисні, вони приймають витрати на ефективність у обмін на гарантії безпеки, що уникають неперевірених припущень.

Крім того, Aptos явно порівнює цей дизайн із альтернативними схемами. Варіанти, такі як ML-DSA, пропонують менші підписи та швидшу перевірку, але залежать від складності структурованих решіткових задач, що вводить нові математичні ризики. Falcon забезпечує ще кращу продуктивність із стисненими підписами близько 1,5 КБ, але залежить від плаваючої точності, що ускладнює реалізацію та перевірку.

Опціонна активація та поетапна стратегія розгортання

Пропозиція ретельно уникає будь-якої примусової міграції. Ed25519 залишається схемою за замовчуванням, тоді як SLH-DSA-SHA2-128s вводиться як опційний рівень, який може активуватися через ончейн-управління, коли квантові загрози виправдають розгортання. Ті користувачі, які потребують постквантових гарантій, можуть вибірково впроваджувати нову схему без порушення роботи ширшої мережі.

Для Aptos реалізація базується на прапорцях функцій для координації контрольованого розгортання серед валідаторів, індексаторів, гаманців і інструментів розробників. Ця поетапна стратегія дає учасникам екосистеми час на налаштування інфраструктури ще до того, як квантові комп’ютери зможуть реально зламати існуючу криптографію з відкритим ключем.

Квантові ризики у криптовалюті та терміни до збоїв

Ініціатива відображає ширше занепокоєння у секторі цифрових активів щодо термінів появи квантових загроз. Дослідники оцінюють, що близько 30% пропозиції Bitcoin, приблизно 6–7 мільйонів BTC, залишаються уразливими через застарілі формати адрес, що безпосередньо розкривають відкриті ключі. Цей пул вважається вразливим, як тільки з’являться масштабовані квантові комп’ютери.

Тим часом великі технологічні гіганти змагаються за досягнення квантових рубежів. IBM планує створити чіпи на 100 000 кубітів до кінця десятиліття, тоді як PsiQuantum орієнтується на мільйон фотонних кубітів у тому ж проміжку. Microsoft стверджує, що прогрес у квантових обчисленнях перейшов від “десятиліть” до “років”, а Google вже повідомила про квантові чіпи, що розв’язують задачі, які є неможливими для класичних систем.

Оцінки щодо зламу 256-бітних еліптичних кривих підписів продовжують зменшуватися. Деякі дослідники тепер вважають, що достатньо близько мільйона кубітів, і бачать можливе вікно для зламу 256-бітних цифрових підписів уже до середини 2030-х років. Тому менеджери активів все частіше розглядають квантові обчислення як довгостроковий криптографічний ризик, очікуючи, що більшість основних блокчейнів зрештою потребуватимуть постквантових оновлень із розвитком технології.

Підсумовуючи, AIP-137 позиціонує Aptos у захисній позиції проти атак епохи квантових технологій, приймаючи стандартизовану NIST схему на основі хешування та опційне поетапне розгортання, жертвуючи продуктивністю заради довговічності, поки широка екосистема криптовалют готується до загрози середини 2030-х років.