Офіційне повідомлення Google Quantum AI: кількість квантових бітів, необхідних для розкриття біткойн-шифрування, знизилася у 20 разів

Google також опублікував матеріали для перевірки у спосіб «доказів із нульовим розголошенням», дозволяючи третім сторонам підтвердити висновок без розкриття деталей атаки.

Автор: Ryan Babbush & Hartmut Neven, Google Quantum AI

Переклад: глибокий приплив TechFlow

Глибокий приплив: це першоджерело для сьогоднішнього обговорення квантових загроз; це не переказ медіа, а офіційний технічний блог, спільно опублікований директором з досліджень квантових технологій Google Quantum AI та VP Engineering.

Єдиний ключовий висновок такий: раніше оцінена кількість фізичних квантових бітів, необхідних для злому біткоїнської еліптичнокривої криптографії, зараз скорочена приблизно в 20 разів. Google також опублікував матеріали для перевірки у спосіб «доказів із нульовим розголошенням», дозволяючи третім сторонам підтвердити висновок без розкриття деталей атаки — і сам такий спосіб розкриття теж вартий уваги.

Повний текст такий:

31 березня 2026 року

Ryan Babbush, директор з досліджень квантових алгоритмів Google Quantum AI; Hartmut Neven, Google Quantum AI, заступник віцепрезидента з інжинірингу в Google Research

Ми досліджуємо нову модель, щоб прояснити можливості майбутніх квантових комп’ютерів щодо злому, а також описуємо, які кроки слід вжити, щоб зменшити його вплив.

Оцінка квантових ресурсів

Квантові комп’ютери обіцяють розв’язувати проблеми, які раніше неможливо було вирішити, включно із застосуваннями в хімії, відкритті ліків та енергетиці. Однак великомасштабні квантові комп’ютери з криптографічним застосуванням (CRQC) також здатні зламувати широко використовувану публічну криптографію, яка захищає конфіденційну інформацію та різні системи. У тому числі Google, уряди та організації багатьох країн роками протистоять цьому безпековому виклику. Зі сталим прогресом науки й технологій CRQC поступово стає реальністю, а це потребує переходу до постквантової криптографії (PQC — саме тому ми нещодавно запропонували графік міграції на 2029 рік).

У нашому white paper ми ділимося оновленими оцінками квантових «ресурсів» (тобто кількості квантових бітів і квантових вентилів), необхідних для задачі дискретного логарифма на 256-бітовій еліптичній кривій (ECDLP-256), на якій базується злам еліптичнокривої криптографії. Ми виражаємо оцінку ресурсів через логічні квантові біти (виправні квантові біти, складені з сотень фізичних квантових бітів) і кількість вентилів Toffoli (базових операцій із високою ціною за рахунок вартості на квантових бітах, які є основним чинником, що визначає тривалість виконання багатьох алгоритмів).

Зокрема, ми склали два квантові контури (послідовності квантових вентилів) для реалізації алгоритму Shor для ECDLP-256: один використовує менше ніж 1200 логічних квантових бітів і 90 млн Toffoli-вентилів, інший — менше ніж 1450 логічних квантових бітів і 70 млн Toffoli-вентилів. Ми оцінюємо, що за припущень стандартних можливостей апаратного забезпечення, узгоджених із частиною флагманських квантових процесорів Google, ці контури можуть виконуватися на надпровідникових CRQC із менш ніж 500 тис. фізичних квантових бітів за лічені хвилини.

Це скорочення приблизно в 20 разів щодо кількості фізичних квантових бітів, потрібних для злому ECDLP-256 — і це продовження довгого процесу оптимізації, у межах якого квантові алгоритми компілюють у відмовостійкі контури.

Захист криптовалют постквантовою криптографією

Більшість технологій блокчейну та криптовалют нині покладаються на ECDLP-256 у ключових аспектах для забезпечення безпеки. Як ми виклали в роботі, PQC є зрілим шляхом для забезпечення безпеки блокчейнів у постквантовому світі, здатним гарантувати довгострокову життєздатність криптовалют та цифрової економіки в умовах існування CRQC.

Ми наводимо приклади постквантових блокчейнів, а також випадки експериментального розгортання PQC на блокчейнах, де раніше існували квантові вразливості. Ми зазначаємо, що хоча такі варіанти, як PQC, уже існують, на їхнє впровадження потрібно час, і це робить нагальність дій ще більшою.

Ми також запропонували додаткові рекомендації для спільноти криптовалют щодо покращення безпеки й стабільності в короткостроковій та довгостроковій перспективі, зокрема: уникати розкриття або повторного використання адрес гаманців, що містять уразливості, а також потенційні варіанти політик щодо проблеми застарілих криптовалют.

Наше розкриття вразливостей

Розкриття безпекових вразливостей — це тема, що викликає суперечки. З одного боку, позиція «не розголошувати» вважає, що публічне розкриття вразливості дорівнює наданню нападникам інструкцій. З іншого боку, рух «повного розкриття» вважає, що коли суспільство дізнається про безпекові вразливості, це дає змогу їм залишатися насторожі й вживати заходів самозахисту, а також може стимулювати роботу з виправлення безпеки. У сфері комп’ютерної безпеки ця дискусія вже зійшлася до набору компромісних підходів під назвою «відповідальне розкриття» та «координоване розкриття вразливостей». Обидва підходи передбачають розкриття вразливостей із встановленням періоду «заморозки» (заборони), надаючи системам, на які це впливає, час для випуску безпекового виправлення. Провідні дослідницькі установи з безпеки, такі як CERT/CC Університету Карнегі-Меллона та Project Zero у Google, застосували варіанти відповідального розкриття із жорсткими дедлайнами, і цей підхід також було прийнято як міжнародний стандарт ISO/IEC 29147:2018.

Розкриття безпекових вразливостей у технологіях блокчейну ускладнюється ще одним специфічним чинником: криптовалюти — це не лише децентралізовані системи обробки даних. Їхня цифрова цінність походить як від цифрової безпеки мережі, так і від довіри суспільства до системи. Паралельно з тим, що на цифровому рівні безпеки на них можуть напасти за допомогою CRQC, довіра суспільства також може бути підірвана через техніки страху, невизначеності та сумнівів (FUD). Тому навіть не наукові, безпідставні оцінки квантових ресурсів для злому ECDLP-256 самі по собі можуть становити атаку на систему.

Ці міркування визначають наш обережний підхід до відповідального розкриття оцінок квантових ресурсів для квантових атак проти технологій блокчейну, що базуються на еліптичнокривій криптографії. По-перше, ми знижуємо ризики FUD, чітко визначаючи сфери, в яких блокчейни є імунними до квантових атак, і наголошуючи на прогресі, досягнутому у безпеці постквантових блокчейнів, щодо яких ми говоримо. По-друге, не ділячись базовими квантовими схемами, ми підтверджуємо наші оцінки, публікуючи сучасну криптографічну конструкцію під назвою «докази із нульовим розголошенням», яка дозволяє третім сторонам перевірити наші твердження без того, щоб ми розкривали чутливі деталі атаки.

Ми будемо раді обговорити це питання далі з квантовою, безпековою, криптовалютною та політичною спільнотами, щоб досягти спільного розуміння щодо майбутніх норм відповідального розкриття.

Завдяки цій роботі нашою метою є підтримка довгострокового здорового розвитку екосистеми криптовалют і технологій блокчейну, які дедалі більше посідають важливе місце в цифровій економіці. У майбутньому ми хочемо, щоб наш підхід до відповідального розкриття започаткував важливий діалог між дослідниками квантових обчислень і ширшою громадськістю, а також надав показовий приклад для напряму досліджень у галузі квантового криптоаналізу.