Ф'ючерси
Сотні безстрокових контрактів
TradFi
Золото
Одна платформа для світових активів
Опціони
Hot
Торгівля ванільними опціонами європейського зразка
Єдиний рахунок
Максимізуйте ефективність вашого капіталу
Демо торгівля
Вступ до ф'ючерсної торгівлі
Підготуйтеся до ф’ючерсної торгівлі
Ф'ючерсні події
Заробляйте, беручи участь в подіях
Демо торгівля
Використовуйте віртуальні кошти для безризикової торгівлі
Запуск
CandyDrop
Збирайте цукерки, щоб заробити аірдропи
Launchpool
Швидкий стейкінг, заробляйте нові токени
HODLer Airdrop
Утримуйте GT і отримуйте масові аірдропи безкоштовно
Launchpad
Будьте першими в наступному великому проекту токенів
Alpha Поінти
Ончейн-торгівля та аірдропи
Ф'ючерсні бали
Заробляйте фʼючерсні бали та отримуйте аірдроп-винагороди
Інвестиції
Simple Earn
Заробляйте відсотки за допомогою неактивних токенів
Автоінвестування
Автоматичне інвестування на регулярній основі
Подвійні інвестиції
Прибуток від волатильності ринку
Soft Staking
Earn rewards with flexible staking
Криптопозика
0 Fees
Заставте одну криптовалюту, щоб позичити іншу
Центр кредитування
Єдиний центр кредитування
Центр багатства VIP
Преміальні плани зростання капіталу
Управління приватним капіталом
Розподіл преміальних активів
Квантовий фонд
Квантові стратегії найвищого рівня
Стейкінг
Стейкайте криптовалюту, щоб заробляти на продуктах PoS
Розумне кредитне плече
Кредитне плече без ліквідації
Випуск GUSD
Мінтинг GUSD для прибутку RWA
Більше
Квантові обчислення та загроза криптографії: реалістичні часові рамки - дебати про "5 років, 10 років чи довше"
Ми часто чуємо сенсаційні новини про прориви у квантових обчисленнях. Але чи справді квантові комп’ютери зможуть за п’ять років зламати сучасну криптографію? Justin Thaler, дослідник з a16z, у глибокому аналізі зазначає, що терміни, які називають щодо загрози квантових обчислень для криптосистем, часто перебільшені. Це дослідження відкриває ключовий факт: хоча квантові обчислення дійсно становлять довгострокову загрозу, їхній прихід настає набагато пізніше, ніж багато хто стверджує. Що важливо, різні криптографічні інструменти стикаються з різним рівнем загрози — цей важливий нюанс часто ігнорується.
Загроза квантових обчислень для криптографії — це не одне подія, а складна проблема, яку потрібно аналізувати залежно від конкретних застосувань. У цій статті систематично розглянемо реальні терміни, ризики та способи реагування у різних галузях.
Реальний прогрес у квантових обчисленнях: технологічна реальність vs маркетинг
Коли ми говоримо “квантові обчислення”, зазвичай уявляємо універсальні квантові комп’ютери, здатні зламати RSA-2048 або secp256k1 (еліптичні криві, що використовуються у біткойні). Такі системи мають відповідати суворим вимогам: бути зразком з корекцією помилок, мати здатність виконувати алгоритм Шора і бути достатньо масштабними, щоб за розумний час (наприклад, місяць) зламати криптосистему.
За відкритими технічними звітами та оцінками ресурсів, ми ще дуже далекі від таких систем. Хоча деякі компанії стверджують, що до 2030 або 2035 років зможуть їх створити, сучасний прогрес не підтверджує ці оптимістичні прогнози. Наразі жодна з існуючих платформ — іонні пастки, надпровідні квантові біти чи нейтральні атоми — не наблизилася до масштабів, необхідних для зламу RSA-2048. Для цього потрібно десятки тисяч, а можливо й мільйони фізичних квантових біти — залежно від рівня помилок і схем корекції.
Ключовий бар’єр — не лише кількість біти, а й точність логічних операцій, зв’язність між бітами та глибина схем корекції помилок, необхідних для виконання складних алгоритмів. Хоча сучасні системи мають понад тисячу фізичних біти, ця цифра оманлива: їй не вистачає необхідної зв’язності та точності для криптоаналізу. Навіть наближаючись до порогів корекції помилок, ніхто не може стабільно підтримувати кілька логічних біти, не кажучи вже про тисячі високоточних логічних біти, глибокі схеми та корекцію помилок. Від концептуального підтвердження до практичного зламу — ще дуже великий розрив.
Чому новини вводять в оману?
Комерційні прес-релізи та медіа часто створюють плутанину. Основні джерела дезінформації:
“Демонстрація квантової переваги” — зазвичай показують задачі, які ретельно підготовлені і не мають практичного застосування, але їх можна виконати на існуючому обладнанні і вони здаються “швидкими”. Цей важливий нюанс часто ігнорується.
“Тисячі фізичних біти” — зазвичай стосується іонних пасток (симуляція системи з низькою енергією), а не квантових комп’ютерів, здатних виконувати алгоритм Шора для зламу криптографії.
“Логічні біти” — фізичні біти легко піддаються шуму, а для застосувань потрібно створювати “логічні біти” через схеми корекції помилок. Для виконання алгоритму Шора потрібно тисячі таких логічних біти, кожен з яких складається з сотень або тисяч фізичних біти. Деякі компанії перебільшують, стверджуючи, що використовують “код корекції помилок рівня -2” (який лише виявляє помилки, але не виправляє їх) і досягають 48 логічних біти, кожен з яких складається лише з 2 фізичних — це повна нісенітниця.
Фальшиві дорожні карти — багато проектів обіцяють “тисячі логічних біти” у визначені терміни, але ці “біти” здатні виконувати лише “Clifford-операції”, які легко імітуються на класичних комп’ютерах і не здатні виконати алгоритм Шора, що вимагає багато “некліффордних” операцій (наприклад, T-операцій). Тому навіть якщо у планах — “зробити тисячу логічних біти”, це не означає, що зможуть зламати криптографію.
Ці практики спотворюють уявлення громадськості (у тому числі й досвідчених спостерігачів), породжуючи хибне розуміння прогресу у квантових обчисленнях.
Навіть експерти перебільшують терміни загрози
Навіть відомий дослідник у галузі квантових обчислень Scott Aaronson нещодавно зазначив, що враховуючи “вражаючу швидкість розвитку апаратного забезпечення”, він вважає цілком можливою появу “корекційного квантового комп’ютера, здатного виконувати алгоритм Шора” до наступних президентських виборів США. Але він одразу уточнив, що мова йде не про злом криптографії — навіть простий факторизаційний приклад 15=3×5, який легко зробити вручну, вже задовольняє його обіцянку. Це лише невеликий демонстраційний рівень, і подібні експерименти зазвичай зосереджені на числах 15 або близьких, оскільки обчислення модулю 15 дуже прості, а для більших чисел (наприклад, 21) — значно складніше.
Ключовий висновок: твердження, що за п’ять років з’явиться квантовий комп’ютер, здатний зламати RSA-2048 або secp256k1 — основні криптографічні стандарти — не підтверджуються публічною технічною інформацією. Навіть за десять років це дуже амбіційна ціль. Тому емоції щодо прогресу і оцінки у “десятки років” цілком узгоджуються.
Два рівні ризику для криптографічних інструментів
Розуміння загрози квантових обчислень вимагає усвідомлення, що різні криптографічні засоби мають різний рівень вразливості. Це дуже важливо, але часто ігнорується.
“Зараз шифруємо, потім розкриємо” — атаки для окремих інструментів
“Зараз шифруємо, потім розкриємо” (Harvest Now, Decrypt Later) — зловмисник збирає зашифровані повідомлення сьогодні і зберігає їх, щоб розшифрувати, коли з’явиться квантовий комп’ютер. Це особливо актуально для державних акторів, які вже архівують секретну інформацію (наприклад, урядову), щоб згодом її розкрити.
Ця атака безпосередньо загрожує криптографічним алгоритмам. Якщо сьогодні зашифрувати дані, їх цінність зберігатиметься десятки років, і у майбутньому, коли з’явиться квантовий комп’ютер, їх можна буде зламати. Тому для даних, що мають довгострокову цінність, потрібно вже зараз впроваджувати постквантову криптографію, хоча це і дорого, і з ризиками.
Але ця атака не стосується цифрових підписів.
Підписи — зовсім інша справа
Цифрові підписи (основа всіх блокчейнів) не мають секретної інформації, яку потрібно захищати від відновлення. Навіть якщо з’явиться квантовий комп’ютер, він зможе лише підробляти підписи в майбутньому, але не зможе “зламати” минулі підписи. Якщо довести, що підпис був створений до появи квантового комп’ютера, його підробити вже не можна.
Тому перехід на постквантові підписи — менш нагальний, ніж перехід на постквантове шифрування. Вартість нових схем (збільшення розміру, зниження продуктивності, недосконалість, потенційні вразливості) вимагає ретельного планування, а не поспіху.
Унікальні властивості zkSNARK
Щодо zkSNARK — ситуація схожа з підписами. Навіть якщо вони використовують не постквантові еліптичні криві, їх “нульове знання” властивість сама по собі є квантово-стійкою. Це гарантує, що доказ не розкриває секретної інформації і навіть квантовий комп’ютер не зможе її зламати. Тому zkSNARK не піддається такій атаці.
Оцінка квантової загрози для блокчейнів
Більшість публічних ланцюгів — природньо захищені
Bitcoin, Ethereum та інші публічні мережі без приватності: у цих системах постквантові схеми використовуються для підписів транзакцій, а не для шифрування. Це означає, що загроза — не “зламати” вже опубліковані дані, а підробити підписи. Bitcoin — відкритий, і квантова загроза полягає у можливості підробки підписів (крадіжка коштів), а не у розкритті зашифрованих повідомлень. Це зменшує нагальність швидкої міграції.
На жаль, навіть такі авторитети, як Федеральний резерв США, неправильно стверджують, що Bitcoin легко піддається цій атаці, що перебільшує необхідність швидкої міграції.
Звісно, Bitcoin не ідеальний — він має свої часові обмеження, зокрема через необхідність узгодження змін протоколу.
Реальні ризики для приватних криптовалют
Винятки — приватні ланцюги. Багато з них шифрують або приховують отримувача і суму. Такі секретні дані можуть бути викрадені сьогодні і згодом зламані за допомогою квантового комп’ютера, що зможе зламати еліптичні криві. Важливий фактор — дизайн системи (наприклад, Monero з кільцевими підписами і ключовими дзеркалами може дозволити відновити всю транзакційну мережу). Тому, якщо користувачі бояться, що їхні транзакції будуть розкриті у майбутньому, приватні ланцюги потрібно швидко переводити на постквантові схеми або використовувати гібридні рішення.
Унікальні виклики Bitcoin: управління та “зомбі-коіни”
Для Bitcoin існує два фактори, що роблять терміни реагування на квантову загрозу актуальними, але не через технічні обмеження квантових комп’ютерів:
Повільне управління — процеси прийняття змін у протоколі дуже повільні, і будь-які розбіжності можуть призвести до руйнівних форків.
Неможливість пасивної міграції — власники мають самі активувати перехід своїх коштів. Це означає, що “зомбі-коіни” — забуті або неактивні — залишаться вразливими. За оцінками, може бути мільйони таких “зомбі” з вартістю у трильйони доларів.
Загроза для Bitcoin — не раптовий апокаліпсис, а поступовий процес. На початкових етапах атаки будуть дуже дорогими і повільними, і зловмисники будуть цілеспрямовано атакувати високовартісні гаманці. Важливо уникати повторного використання адрес і не використовувати Taproot (який відкриває публічний ключ), щоб зменшити ризик. Адреси з відкритими ключами — найбільш уразливі.
Розв’язання — або встановити “крайній термін” для міграції, після якого невиконані перекази вважаються знищеними, або дозволити майбутнім квантовим комп’ютерам красти кошти. Другий варіант викликає юридичні та технічні проблеми.
Ще один виклик — низька пропускна здатність транзакцій Bitcoin. Навіть за згодою щодо плану міграції, перехід усіх уразливих коштів може зайняти місяці.
Тому Bitcoin вже зараз має почати планувати перехід у постквантову епоху — не через те, що квантові комп’ютери з’являться у 2030, а через необхідність управління, координації та технічних логістичних процесів для перенесення сотень мільярдів доларів.
Додатково: вразливості, пов’язані з підписами, не впливають на економічну безпеку (Proof-of-Work). Алгоритм Гровера може прискорити хешування у двічі, але це вимагає величезних затрат і не зруйнує модель безпеки.
Вартість і ризики постквантових підписів
Чому не слід поспішати з впровадженням постквантових підписів у блокчейнах? Потрібно враховувати їхню продуктивність і рівень довіри до нових схем.
Постквантова криптографія базується на п’яти основних математичних проблемах: хешах, кодуванні, решетах, системах квадратичних рівнянь і еліптичних кривих. Вибір зумовлений балансом між безпекою та ефективністю: чим сильніше структура, тим швидше і менше розмір, але й більше потенційних вразливостей.
Хешові схеми — найконсервативніші і найнадійніші, але мають найгіршу продуктивність. Стандартні підписи на основі хеш-функцій мають розмір 7-8 кБ, тоді як сучасні еліптичні криві — лише 64 байти.
Решетні схеми — наразі найактуальніші. Вони представлені у стандартах NIST (ML-KEM, ML-DSA, Falcon).
Реалізація безпекових заходів — складна і вимагає додаткових захистів від сторонніх атак і помилок. Враховуючи досвід, де стандартні схеми (Rainbow, SIKE) були зламані на класичних комп’ютерах, раніше стандартизація не гарантує безпеки.
Специфіка інфраструктури і блокчейнів
Більшість публічних ланцюгів — природньо захищені
Bitcoin, Ethereum — не використовують постквантові схеми для зберігання секретів, а лише для підписів. Це означає, що загроза — не “зламати” вже опубліковані дані, а підробити підписи. Вони не мають прямої загрози розкриття історії транзакцій, тому не потрібно швидко переходити.
Звісно, деякі дослідження неправильно стверджують, що Bitcoin легко зламати, що перебільшує необхідність швидкої міграції.
Ризики приватних ланцюгів
Багато приватних або напівприватних ланцюгів шифрують або приховують отримувача і суму. Такі дані можуть бути викрадені сьогодні і зламані у майбутньому за допомогою квантового зламу еліптичних кривих. Це особливо актуально для систем із складними схемами (наприклад, Monero). Тому, якщо користувачі бояться, що їхні транзакції стануть відкритими у майбутньому, потрібно швидко переходити на постквантові схеми або використовувати гібридні рішення.
Унікальні виклики для Bitcoin: управління і “зомбі-коіни”
Для Bitcoin існують два фактори, що роблять терміни реагування актуальними, але не через технічні обмеження квантових комп’ютерів:
Повільне управління — процеси прийняття змін у протоколі дуже повільні, і будь-які розбіжності можуть призвести до руйнівних форків.
Пасивна міграція — власники мають самі активувати перехід своїх коштів. Це означає, що “зомбі-коіни” — забуті або неактивні — залишаться вразливими. За оцінками, може бути мільйони таких “зомбі” з вартістю у трильйони доларів.
Загроза — не раптовий крах, а поступовий процес. На початкових етапах атаки вони будуть дорогими і повільними, зловмисники цілеспрямовано атакуватимуть високовартісні гаманці. Важливо уникати повторного використання адрес і не використовувати Taproot (який відкриває публічний ключ), щоб зменшити ризик. Адреси з відкритими ключами — найбільш уразливі.
Розв’язання — або встановити “крайній термін” для міграції, після якого невиконані перекази вважаються знищеними, або дозволити майбутнім квантовим комп’ютерам красти кошти. Другий варіант викликає юридичні та технічні проблеми.
Ще один виклик — низька пропускна здатність транзакцій Bitcoin. Навіть за згодою щодо плану міграції, перехід усіх уразливих коштів може зайняти місяці.
Тому Bitcoin вже зараз має почати планувати перехід у постквантову епоху — не через те, що квантові комп’ютери з’являться у 2030, а через необхідність управління, координації та технічних логістичних процесів для перенесення сотень мільярдів доларів.
Додатково: вразливості, пов’язані з підписами, не впливають на економічну безпеку (Proof-of-Work). Алгоритм Гровера може прискорити хешування у двічі, але це вимагає величезних затрат і не руйнує модель безпеки.
Вартість і ризики постквантових підписів
Чому не слід поспішати з впровадженням постквантових підписів у блокчейнах? Потрібно враховувати їхню продуктивність і рівень довіри до нових схем.
Постквантова криптографія базується на п’яти основних математичних проблемах: хешах, кодуванні, решетах, системах квадратичних рівнянь і еліптичних кривих. Вибір зумовлений балансом між безпекою та ефективністю: чим сильніше структура, тим швидше і менше розмір, але й більше потенційних вразливостей.
Хешові схеми — найнадійніші, але мають найгіршу продуктивність. Стандартні підписи на основі хеш-функцій мають розмір 7-8 кБ, тоді як сучасні еліптичні криві — лише 64 байти.
Решетні схеми — наразі найактуальніші. Вони представлені у стандартах NIST (ML-KEM, ML-DSA, Falcon).
Реалізація безпекових заходів — складна і вимагає додаткових захистів від сторонніх атак і помилок. Враховуючи досвід, де стандартні схеми (Rainbow, SIKE) були зламані на класичних комп’ютерах, раніше стандартизація не гарантує безпеки.
Специфіка інфраструктури і блокчейнів
Більшість публічних ланцюгів — природньо захищені
Bitcoin, Ethereum — не використовують постквантові схеми для зберігання секретів, а лише для підписів. Це означає, що загроза — не “зламати” вже опубліковані дані, а підробити підписи. Вони не мають прямої загрози розкриття історії транзакцій, тому не потрібно швидко переходити.
Звісно, деякі дослідження неправильно стверджують, що Bitcoin легко зламати, що перебільшує необхідність швидкої міграції.
Ризики приватних ланцюгів
Багато приватних або напівприватних ланцюгів шифрують або приховують отримувача і суму. Такі дані можуть бути викрадені сьогодні і зламані у майбутньому за допомогою квантового зламу еліптичних кривих. Це особливо актуально для систем із складними схемами (наприклад, Monero з кільцевими підписами і ключовими дзеркалами). Тому, якщо користувачі бояться, що їхні транзакції стануть відкритими у майбутньому, потрібно швидко переходити на постквантові схеми або використовувати гібридні рішення.
Унікальні виклики для Bitcoin: управління і “зомбі-коіни”
Для Bitcoin існують два фактори, що роблять терміни реагування на квантову загрозу актуальними, але не через технічні обмеження квантових комп’ютерів:
Повільне управління — процеси прийняття змін у протоколі дуже повільні, і будь-які розбіжності можуть призвести до руйнівних форків.
Пасивна міграція — власники мають самі активувати перехід своїх коштів. Це означає, що “зомбі-коіни” — забуті або неактивні — залишаться вразливими. За оцінками, може бути мільйони таких “зомбі” з вартістю у трильйони доларів.
Загроза — не раптовий крах, а поступовий процес. На початкових етапах атаки вони будуть дорогими і повільними, зловмисники цілеспрямовано атакуватимуть високовартісні гаманці. Важливо уникати повторного використання адрес і не використовувати Taproot (який відкриває публічний ключ), щоб зменшити ризик. Адреси з відкритими ключами — найбільш уразливі.
Розв’язання — або встановити “крайній термін” для міграції, після якого невиконані перекази вважаються знищеними, або дозволити майбутнім квантовим комп’ютерам красти кошти. Другий варіант викликає юридичні та технічні проблеми.
Ще один виклик — низька пропускна здатність транзакцій Bitcoin. Навіть за згодою щодо плану міграції, перехід усіх уразливих коштів може зайняти місяці.
Тому Bitcoin вже зараз має почати планувати перехід у постквантову епоху — не через те, що квантові комп’ютери з’являться у 2030, а через необхідність управління, координації та технічних логістичних процесів для перенесення сотень мільярдів доларів.
Додатково: вразливості, пов’язані з підписами, не впливають на економічну безпеку (Proof-of-Work). Алгоритм Гровера може прискорити хешування у двічі, але це вимагає величезних затрат і не руйнує модель безпеки.
Вартість і ризики постквантових підписів
Чому не слід поспішати з впровадженням постквантових підписів у блокчейнах? Потрібно враховувати їхню продуктивність і рівень довіри до нових схем.
Постквантова криптографія базується на п’яти основних математичних проблемах: хешах, кодуванні, решетах, системах квадратичних рівнянь і еліптичних кривих. Вибір зумовлений балансом між безпекою та ефективністю: чим сильніше структура, тим швидше і менше розмір, але й більше потенційних вразливостей.
Хешові схеми — найнадійніші, але мають найгіршу продуктивність. Стандартні підписи на основі хеш-функцій мають розмір 7-8 кБ, тоді як сучасні еліптичні криві — лише 64 байти.
Решетні схеми — наразі найактуальніші. Вони представлені у стандартах NIST (ML-KEM, ML-DSA, Falcon).
Реалізація безпекових заходів — складна і вимагає додаткових захистів від сторонніх атак і помилок. Враховуючи досвід, де стандартні схеми (Rainbow, SIKE) були зламані на класичних комп’ютерах, раніше стандартизація не гарантує безпеки.
Специфіка інфраструктури і блокчейнів
Більшість публічних ланцюгів — природньо захищені
Bitcoin, Ethereum — не використовують постквантові схеми для зберігання секретів, а лише для підписів. Це означає, що загроза — не “зламати” вже опубліковані дані, а підробити підписи. Вони не мають прямої загрози розкриття історії транзакцій, тому не потрібно швидко переходити.
Звісно, деякі дослідження неправильно стверджують, що Bitcoin легко зламати, що перебільшує необхідність швидкої міграції.
Ризики приватних ланцюгів
Багато приватних або напівприватних ланцюгів шифрують або приховують отримувача і суму. Такі дані можуть бути викрадені сьогодні і зламані у майбутньому за допомогою квантового зламу еліптичних кривих. Це особливо актуально для систем із складними схемами (наприклад, Monero з кільцевими підписами і ключовими дзеркалами). Тому, якщо користувачі бояться, що їхні транзакції стануть відкритими у майбутньому, потрібно швидко переходити на постквантові схеми або використовувати гібридні рішення.
Унікальні виклики для Bitcoin: управління і “зомбі-коіни”
Для Bitcoin існують два фактори, що роблять терміни реагування на квантову загрозу актуальними, але не через технічні обмеження квантових комп’ютерів:
Повільне управління — процеси прийняття змін у протоколі дуже повільні, і будь-які розбіжності можуть призвести до руйнівних форків.
Пасивна міграція — власники мають самі активувати перехід своїх коштів. Це означає, що “зомбі-коіни” — забуті або неактивні — залишаться вразливими. За оцінками, може бути мільйони таких “зомбі” з вартістю у трильйони доларів.
Загроза — не раптовий крах, а поступовий процес. На початкових етапах атаки вони будуть дорогими і повільними, зловмисники цілеспрямовано атакуватимуть високовартісні гаманці. Важливо уникати повторного використання адрес і не використовувати Taproot (який відкриває публічний ключ), щоб зменшити ризик. Адреси з відкритими ключами — найбільш уразливі.
Розв’язання — або встановити “крайній термін” для міграції, після якого невиконані перекази вважаються знищеними, або дозволити майбутнім квантовим комп’ютерам красти кошти. Другий варіант викликає юридичні та технічні проблеми.
Ще один виклик — низька пропускна здатність транзакцій Bitcoin. Навіть за згодою щодо плану міграції, перехід усіх уразливих коштів може зайняти місяці.
Тому Bitcoin вже зараз має почати планувати перехід у постквантову епоху — не через те, що квантові комп’ютери з’являться у 2030, а через необхідність управління, координації та технічних логістичних процесів для перенесення сотень мільярдів доларів.
Додатково: вразливості, пов’язані з підписами, не впливають на економічну безпеку (Proof-of-Work). Алгоритм Гровера може прискорити хешування у двічі, але це вимагає величезних затрат і не руйнує модель безпеки.
Вартість і ризики постквантових підписів
Чому не слід поспішати з впровадженням постквантових підписів у блокчейнах? Потрібно враховувати їхню продуктивність і рівень довіри до нових схем.
Постквантова криптографія базується на п’яти основних математичних проблемах: хешах, кодуванні, решетах, системах квадратичних рівнянь і еліптичних кривих. Вибір зумовлений балансом між безпекою та ефективністю: чим сильніше структура, тим швидше і менше розмір, але й більше потенційних вразливостей.
Хешові схеми — найнадійніші, але мають найгіршу продуктивність. Стандартні підписи на основі хеш-функцій мають розмір 7-8 кБ, тоді як сучасні еліптичні криві — лише 64 байти.
Решетні схеми — наразі найактуальніші. Вони представлені у стандартах NIST (ML-KEM, ML-DSA, Falcon).
Реалізація безпекових заходів — складна і вимагає додаткових захистів від сторонніх атак і помилок. Враховуючи досвід, де стандартні схеми (Rainbow, SIKE) були зламані на класичних комп’ютерах, раніше стандартизація не гарантує безпеки.
Специфіка інфраструктури і блокчейнів
Більшість публічних ланцюгів — природньо захищені
Bitcoin, Ethereum — не використовують постквантові схеми для зберігання секретів, а лише для підписів. Це означає, що загроза — не “зламати” вже опубліковані дані, а підробити підписи. Вони не мають прямої загрози розкриття історії транзакцій, тому не потрібно швидко переходити.
Звісно, деякі дослідження неправильно стверджують, що Bitcoin легко зламати, що перебільшує необхідність швидкої