Квантова безпека блокчейну: всеохопний аналіз загроз квантових обчислень, сучасний стан квантової безпеки, рекомендації щодо підготовки та хронологічне прогнозування

Оригінальний автор**：**Боб, дослідник Web3Caff Research

На початку 2026 року найбільша публічна блокчейн-компанія США Coinbase оголосила про створення квантової консультативної ради, Фундація Ethereum перевела квантову безпеку на стратегічний найвищий пріоритет і створила команду з квантової безпеки. Крім того, американський NIST (Національний інститут стандартів і технологій США) також визначив часові орієнтири міграції для квантової безпеки; усі ці ознаки свідчать про те, що блокчейн-галузь незабаром зіткнеться із масштабними безпековими викликами.

Якщо перенести час до 30 березня 2026 року, нова робота, опублікована керівником квантового AI-підрозділу Google Ryan Babbush разом із фондом Ethereum, а також відповідними дослідниками зі Стенфордського університету та іншими, остаточно пробила «дзвін квантового апокаліпсису». У цьому останньому матеріалі під назвою 《Захист криптовалют з еліптичними кривими від атак на основі квантових вразливостей: оцінка ресурсів і заходи пом’якшення》 зазначено, що за актуальних оцінок квантових ресурсів, використовуючи менш ніж 500 000 квантових біту (qubit), можна виконати квантову атаку за лічені хвилини — що в 20 разів менше, ніж попередні оцінки галузі. Натомість раніше Google офіційно перенесла графік міграції на постквантову криптографію на 2029 рік і публічно надіслала всій галузі «останні» підказки.

Ми знаємо, що фундаментальним «наріжним каменем» блокчейну є публічно-ключова криптографія (Public-key Cryptography). Протягом останніх років обчислювальна потужність квантових комп’ютерів демонструвала експоненційний розвиток, через що традиційна публічно-ключова криптографія дедалі більше опиняється під загрозою. ЗМІ зазвичай наводять дуже нагальні дати квантових загроз, ніби квантові обчислення миттєво зруйнують старий цифровий світ, але насправді це не так. З огляду на потенційні виклики від квантових технологій, блокчейн-галузь активно розробляє рішення з квантової безпеки — наприклад, біткоїнова спільнота нещодавно представила антиквантову пропозицію BIP-360 (Pay to Merkle Root); Ethereum готує найближче антиквантове оновлення EIP-8141; у свою чергу, мережа другого рівня Optimism запропонувала «дорожню карту» антиквантового розвитку на майбутні 10 років. Порівняно зі складністю оновлення блокчейн-мереж, девелоперська спільнота також створює більш «просту» антиквантову інфраструктуру — зокрема інструменти «антиквантовості» для користувачів біткоїна (YellowPages) та ін., щоб гарантувати квантову безпеку їхніх приватних ключів.

Звісно, зі збільшенням масштабів зберігання квантових бітів (Qubit) зростає й ризик того, що квантові комп’ютери зможуть зламати традиційну криптографію блокчейну. Але наскільки масштабною є ця загроза насправді? Як Web3-галузь на це реагує? Скільки ще часу потрібно, щоб досягти антиквантового рівня? Без «туманних» фізичних понять цей звіт поширює від найґрунтовіших ідей «квантового» до аналізу поточного стану квантової безпеки блокчейну, а також наводить часовий прогноз для цього «дзвону квантового апокаліпсису», щоб комплексно розібрати системний ризик для блокчейн-галузі та наявні на сьогодні підходи до реагування.

Зміст

• Теоретичний вступ до квантових обчислень
• Принципи квантових обчислень (накладання, заплутування, інтерференція)
• Історія розвитку квантових комп’ютерів
• Застосування квантових обчислень
• Загрози квантових обчислень
• Квантові алгоритми: SHOR Шор
• Квантові алгоритми: Grover Гровер
• Аналіз впливу квантових обчислень на блокчейн
• Вплив квантових обчислень на цифрові фінанси
• Поточний стан квантової безпеки
• Розвиток постквантової криптографії
• Антиквантовий прогрес у блокчейн-галузі
• Рекомендації щодо готовності до антиквантових рішень у блокчейн-галузі та прогноз часової шкали
• Міграційне планування на рівні держави
• Практичне розгортання на рівні підприємств
• Часова шкала готовності блокчейн-галузі до квантової безпеки
• Висновок
• Структурна схема ключових положень
• Список джерел

Теоретичний вступ до квантових обчислень

Квантова механіка (Quantum mechanics) є теоретичною основою квантових обчислень. Ця академічна теорія бере початок на початку XX століття і є важливою складовою сучасної фізики. Термін «квантова механіка» спочатку був німецькою — «_Quantenmechanik» — і його створила група фізиків з Німеччини та Австрії у Німецькому університеті Геттінгена (University of Göttingen). Поява квантової механіки була зумовлена необхідністю пояснити «класичну фізику», яка не могла пояснити певні системи. «Класична фізика» — це раннє розуміння базових законів природи, наприклад у механіці, електромагнетизмі, теплоті тощо. Але у мікросвіті теоретичні межі класичної фізики стали очевидними, тому виникли сучасні фізичні теорії на кшталт квантової механіки. На відміну від класичної механіки, квантова механіка описує поведінку матерії за допомогою «ймовірності», створюючи тим самим абсолютно нову теоретичну рамку для мікросвіту.

Описувати традиційну фізику та квантову фізику питанням про те, чи «кидає Бог кубики», дуже доречно. Понад сто років тому в ту епоху основні вчені вважали, що все, яким править Бог, існує як «детерміноване». Легендарний фізик Альберт Ейнштейн (далі — Ейнштейн) свого часу ставив під сумнів випадковість у квантовій механіці словами «Бог не кидає кубики». Квантова школа висунула іншу позицію: Бог кидає не тільки кубики, але іноді кидає їх у місця, які нам не видно. Як прихильник тогочасної квантової механіки як «незавершеної теорії», Ейнштейн вважав, що Всесвіт існує об’єктивно і він визнає «фізичний детермінізм», тобто всі явища мають суттєво необхідний характер і за ними стоїть відсутність «справжньої випадковості». А Данський фізик Нільс Гінрік Давід Бор (Niels Henrik David Bohr, далі — Бор) як представник нової «ймовірнісної» квантової школи вважав, що сутність світу є «ймовірнісною», і запропонував «принцип доповнюваності» (корпускулярність і хвильовість доповнюють одне одного; їх не можна виміряти одночасно точно, і це пов’язано з принципом невизначеності). Ця академічна дискусія щодо квантової механіки тривала з 1925 року понад 10 років. У наступні десятиліття різноманітні експерименти поступово почали підтверджувати погляди Бора. Хоча Ейнштейн колись виступав критиком «ймовірнісної» інтерпретації в квантовій механіці, він також опосередковано сприяв розвитку квантової теорії. Сьогодні, через понад сто років, квантова фізика глибоко вбудувалася у всі сфери сучасних технологій — від напівпровідникових електронних пристроїв до медичної візуалізації, і люди нарешті, з певним запізненням, прийняли ідею, що базова «підкладка» світу є квантовою.

Спір Ейнштейн—Бор, джерело зображення: wikipedia

Квантові обчислення використовують нетрадиційні правила квантової механіки для виконання обчислень. Якщо описати традиційні та квантові обчислення словами, які розуміє кожен: традиційні обчислення вирішують складні задачі так само, як детектив, який, маючи підказки, крок за кроком послідовно розв’язує проблему; тоді як квантові обчислення одночасно залучають багато детективів, у кількох вимірах напрямів досліджують підказки, а підказки кожного детектива взаємопов’язані. Це дає змогу швидше знайти відповідь.

Усі ми знаємо, що звичайний комп’ютер працює з двійковими числами 0 або 1, тоді як у квантових обчисленнях можливі «стани накладання» (накладені стани), у яких одночасно присутні і 0, і 1, доки «вимірювання» не визначить результат. Якщо простими словами: у звичайному комп’ютері кожний біт інформації може бути лише 0 або 1, як перемикач лампи: вимкнено — це 0, увімкнено — це 1. У вас є або увімкнене світло, або вимкнене — третього стану немає. А в квантових обчисленнях ця лампа може бути напівувімкненою і напіввимкненою одночасно (стан накладання), доки ви не подивитеся на неї — і тоді вона «вирішить» бути світлою або темною. Стан накладання у квантовому світі зумовлений фізичною сутністю, адже саме так функціонує природа, яку ми спостерігаємо: електрон (Electron — одна з базових частинок, що формує матерію) і фотон (Photon — базова одиниця світла та всього електромагнітного випромінювання) до моменту вимірювання справді можуть перебувати в багатьох можливих станах.

Хоча квантовий світ виглядає дуже відмінним від реальності, яку ми відчуваємо щодня, класичні експерименти підтвердили його існування — це відомий «експеримент із подвійною щілиною» (Double-slit Experiment). У цьому експерименті вчені пропускають електрони або фотони через екран із двома щілинами, а потім на детекторному екрані фіксують їхні позиції. Результат показує, що коли електрони або фотони одночасно проходять через обидві щілини, на екрані з’являються інтерференційні смуги, ніби частинки одночасно пройшли двома шляхами і навіть «потривожили» одна одну. Ще дивовижніше: якщо ви намагаєтеся їх «розглянути», через яку саме щілину вони пройшли, інтерференційні смуги зникають, а на екрані лишаються лише два окремі піки — ніби частинка могла пройти лише одним шляхом. Цей експеримент демонструє, що квантові частинки до того, як їх спостерігають, справді перебувають у стані накладання — тобто одночасно існують кілька можливих станів.

Щоб легше зрозуміти, можна порівняти це з киданням монети: у квантовому світі монета, що обертається в повітрі, не є ні «головою», ні «решкою», натомість вона є станом, у якому одночасно існують обидва варіанти. Лише коли ви її зловите й подивитеся, вона «вирішить», буде вона головою чи решкою. Принцип квантового накладання станів якраз такий — до того, як ви їх спостерігаєте, частинка може перебувати в кількох можливих станах одночасно. Це також феномен, який класична фізика не могла пояснити, і саме через це квантова механіка вважається одним з найбільш уявних напрямів прориву для міждисциплінарних і міжгалузевих робіт у майбутньому.

Експеримент із подвійною щілиною Double Slit Experiment, джерело зображення: Science Notes

Просто кажучи, квантовий комп’ютер — це новий тип комп’ютера, який виконує обчислення на основі принципів квантової механіки. На відміну від традиційного комп’ютера, який може зберігати й обробляти біти (Bit: мінімальна одиниця інформації, яка може відображати лише 0 і 1), квантовий комп’ютер використовує «квантові біти, або квантові стани» (Qubit) для збереження даних. Оскільки квантовий біт може одночасно представляти кілька станів — тобто саме той «стан накладання», про який йшлося вище — то при наявності кількох квантових бітів вони здатні комбінувати і створювати можливості з експоненційним ростом. Простіше: коли кількість квантових бітів збільшується на один, простір для обчислень розширюється вдвічі. Саме тому у певних сферах, як-от злам складних шифрів, оптимізація величезних комбінаторних задач, симуляція молекулярних структур, квантовий комп’ютер може мати значну потенційну перевагу над традиційним.

Принципи квантових обчислень (накладання, заплутування, інтерференція)

Щоб зрозуміти принцип роботи квантових обчислень, спочатку потрібно опанувати нову систему термінів. Ці принципи включають 3 важливі концепції: накладання (Superposition), заплутування (Entanglement) і декогеренція (Decoherence).

У попередньому розділі йшлося, що квантові комп’ютери використовують квантові біти або квантові стани (Qubit) для збереження та обробки інформації. А квантовий біт — це особлива одиниця, яка може одночасно представляти не лише 0 або 1 як набір станів. Ця властивість називається станом накладання (Superposition).

У квантовій системі можна додавати кілька квантових станів, щоб створити інший корисний квантовий стан; у зворотному напрямку один квантовий стан також може бути представлений як сукупність двох або більше інших різних станів. Властивість накладання надає квантовому комп’ютеру можливість паралельної обробки, дозволяючи одночасно виконувати мільйони операцій обчислення. Наприклад, для звичайного комп’ютера в середовищі обчислень: 10 квантових бітів за один момент можуть представляти лише 1 тип стану (наприклад, 0000011010), тоді як у квантовому комп’ютері 10 квантових бітів можуть одночасно представляти до 1024 можливих станів (2 у степені 10). У порівнянні зі звичайним комп’ютером, який за раз може представляти лише один стан, квантовий комп’ютер за раз може «спробувати» понад 1000 станів. «Стан накладання» квантових бітів — це найключовіша властивість квантових обчислень.

Другий важливий концепт — це квантове заплутування (Entanglement). Якщо коротко: коли два квантові біти (Qubit) «заплутуються» між собою, неважливо, як далеко вони один від одного — зміна стану одного одразу спричиняє відповідну зміну стану іншого. Це найдивовижніша частина квантової механіки — ніби між ними є якась невидима таємнича взаємозв’язність. Таке явище існує в малих частинках — як-от фотони (Photon) та електрони (Electron). Коли кілька частинок взаємодіють, вони формують єдину цілісну систему, ніби кілька партнерів тримаються за руки й разом кружляють. Якщо ти зрушиш одного партнера, інші теж почнуть рухатися.

Як ще один інтуїтивний побутовий приклад: уявіть, що ви і ваш друг у далекому іншому місті кожен тримає по одній магічній монеті, які «заплутані» між собою. Ви перевертаєте свою монету так, що вона падає на «голову», і миттєво монета друга теж стає «головою» — незалежно від того, як далеко ви один від одного. Квантове заплутування якраз є однією з ключових властивостей, які дозволяють квантовому комп’ютеру реалізувати потенціал надпаралельних обчислень і передавання інформації, і це те, чого не може зробити традиційний комп’ютер.

Квантове заплутування вкрай важливе для квантових обчислень і квантового зв’язку. Воно дозволяє квантовим комп’ютерам швидше розв’язувати складні задачі. Якщо не використовувати квантове заплутування, квантовий комп’ютер не зможе змусити квантові біти (Qubit) працювати узгоджено, і тим самим втрачатиметься перевага квантових обчислень. Властивість «багаточастинкового стану» заплутування дозволяє кільком квантовим бітам працювати разом і, через алгоритми, дає можливість отримати «експоненційне» пришвидшення.

Третій важливий концепт — квантова декогеренція (Decoherence). Декогеренція означає, що як тільки квантовий біт зазнає впливу зовнішнього середовища, початкові властивості на кшталт накладання та заплутування поступово зникають — ніби монета, яка обертається в повітрі, яку ледь торкнули, одразу падає й стає або «головою», або «решкою». Тому одна з головних складностей квантових комп’ютерів — це якнайдовше зберегти стабільність цього «обертального стану», щоб обчислення змогли успішно завершитися. Наприклад, коли на платформі створюють стан накладання квантового біта (Qubit), шум середовища спричиняє декогеренцію квантового біта, тож часто потрібне створення екстремальних фізичних умов — як-от дуже низькі температури, вакуум тощо.

Перший крок квантових обчислень — це «ініціалізація». Мета ініціалізації — перевести стан його квантових бітів (Qubit) із випадкового стану в базовий стан (що відповідає стану з мінімальною енергією), щоб квантовий алгоритм міг запускатися в потрібних станах. Далі, через низку «квантових вентилів» (операцій) вони еволюціонують (аналогічно логічним вентилям комп’ютера) і врешті-решт отримують результат вимірювання. Проте квантові стани надзвичайно крихкі: будь-які малі заважаючі впливи зовнішнього середовища руйнують накладання й квантове заплутування. Тому квантовий комп’ютер потребує дуже суворої зовнішньої підтримки середовища.

Через це квантові обчислення мають великий потенціал у багатьох сферах, наприклад у криптографії (злам систем шифрування), матеріалознавстві (моделювання та аналіз поведінки матеріалів), штучному інтелекті та прогнозуванні погоди тощо. Із розвитком квантових обчислень майбутній світ може зазнати значних змін саме завдяки квантовим обчисленням.

Історія розвитку квантових комп’ютерів

Після того як ми розібрали базові поняття квантових обчислень, перейдемо до історії квантових комп’ютерів.

Квантові комп’ютери завжди з’являються у новинах у доволі загадковому вигляді, оскільки квантове лідерство — одна з топ-напрямків наукової конкуренції між країнами. Виробництво квантових комп’ютерів має лише понад 20 років історії, але із прогресом у часі використання квантових комп’ютерів поступово стало відкритим для широкої аудиторії. Цю ідею квантового обчислювального пристрою вперше запропонував у 1969 році американсько-ізраїльський фізик Стефен Візнер (Stephen J. Wiesner). У 1981 році Річард Фейнман (Richard Phillips Feynman) запропонував ідею універсальних обчислень на основі квантових принципів, що заклало теоретичну основу для ранніх прототипів квантових комп’ютерів. У 1994 році Пітер Шор (Peter Shor) запропонував відомий алгоритм Шора, завдяки чому світ почав розуміти величезний потенціал квантових обчислень у зламуванні традиційних методів шифрування. Починаючи з 2000 року й до сьогодні великі технологічні компанії на кшталт Google, Microsoft тощо розвивають продукти й послуги, пов’язані з квантовими обчисленнями.

Квантові комп’ютери, як і звичайні, діляться на апаратну та програмну частини при проєктуванні та виробництві. У апаратній частині є три ключові елементи: панель квантових даних, панель керування та вимірювання і процесор. Панель квантових даних є «серцем» квантового комп’ютера: вона зберігає квантові біти (базову одиницю, яка використовується квантовим комп’ютером для зберігання й обробки інформації) та фіксує їхню структуру. Серед основних поширених підходів — надпровідні квантові біти, топологічні квантові біти тощо. IBM і Google обрали технологічний шлях надпровідних квантових бітів: його перевага — відносна простота виготовлення. Топологічні квантові біти стабільніші, але складніші в реалізації, і Microsoft обрала саме їхній технологічний шлях.

Квантовий комп’ютер — це ніби фабрика. Його «серце» — панель квантових даних — зберігає квантові біти (Qubit), панель керування та вимірювання перетворює цифрові сигнали на хвильові форми для керування квантовими бітами, а процесор відповідає за виконання обчислень. Програмне забезпечення запускає алгоритми через квантові схеми, а програмісти можуть писати квантові програми за допомогою IBM Qiskit, Google Cirq або Microsoft Q#.

Гендиректор Google та квантові комп’ютери, джерело зображення: NYTimes

Застосування квантових обчислень

Із розвитком квантових алгоритмів і «комерціалізацією» квантових комп’ютерів квантові технології дедалі більше інтегруються в усі аспекти нашого життя.

Під впливом входження великих комерційних гравців і інвестицій, квантові обчислення починають «світитися» в різних нішах: у сфері розробки ліків, у фінансовій галузі — дизайні моделей контролю ризиків тощо. Традиційні методи розробки ліків залежать від класичних комп’ютерів для симуляції взаємодій молекул, але квантові комп’ютери можуть точніше симулювати хімічні реакції. Наприклад, 11 січня 2021 року Google співпрацювала з німецькою фармацевтичною компанією Boehringer Ingelheim: вони використали квантові алгоритми для моделювання структури молекул, щоб допомогти спроєктувати препарати для серцево-судинних захворювань, значно скоротивши тривалість тестових циклів. У фінансах квантові обчислення оптимізують управління ризиками та інвестиційні портфелі. JPMorgan Chase — один із перших фінансових інститутів у світі, який почав досліджувати квантові обчислення з використанням IBM Q System One (першого комерційного квантового комп’ютера на основі схем). Вони використовують IBM Q System One для моделювання методу Монте-Карло з метою оцінки ринкового ризику та ціноутворення деривативів, допомагаючи банку приймати точніші рішення на ринку. Хоч квантові обчислення все ще стикаються із сумнівами та викликами масштабу для комерційного використання, ці кейси доводять, що крок від лабораторії до практичного застосування квантових обчислень пришвидшується.

Загрози квантових обчислень

Унікальна перевага квантового комп’ютера полягає в тому, що за певних умов він може виконувати обчислення з експоненційним пришвидшенням. Через це, в доменах високої розмірності він може суттєво перевершувати швидкість обробки класичних комп’ютерів. Відповідно, квантові алгоритми для зламу криптографічних систем створюють дуже значну потенційну загрозу для блокчейн-технологій, що побудовані на криптографії. Наразі найбільш поширена архітектура блокчейну (наприклад, Bitcoin, Ethereum тощо) переважно покладається на системи публічно-ключового шифрування (наприклад, ECDSA — алгоритм цифрових підписів на еліптичних кривих) і хеш-функції (наприклад, SHA-256) для безпечного шифрування. Але у прогнозованому майбутньому квантові обчислення подолають цю захисну стіну. Поточна загроза квантових обчислень для безпеки блокчейну найбільше надходить від двох найхарактерніших квантових алгоритмів: Shor-алгоритму, запропонованого в 1994 році Пітером Шором (Peter Shor), та Grover-алгоритму, запропонованого у 1996 році Лов Гровером (Lov Grover).

Квантові алгоритми: SHOR Шор

Алгоритм Shor (Шор) — це квантовий алгоритм, запропонований американським математиком і професором MIT Пітером Шором (Peter Williston Shor), також відомий як «алгоритм квантового розкладання на прості множники». Якщо говорити простими словами, він може швидко розкласти дуже великі числа, подібні до тих, що використовуються в RSA-шифруванні, на добуток двох великих простих чисел. Порівняно зі звичайними комп’ютерами, квантовий комп’ютер може виконати цю задачу за надкороткий час — і саме це робить алгоритм Шора таким сильним. Його ключова ідея також доволі «розумна»: алгоритм не шукає прості множники напряму, а спершу швидко знаходить закономірність цифрового ряду (період), а потім за цією закономірністю обчислює прості множники.

Можна навести просту аналогію: якщо традиційний комп’ютер розбирає великі числа, ніби шукаючи речі в гігантському складі — перебираючи коробки — то квантовий комп’ютер схожий на те, що має цілу армію «копій» і одночасно намагається кожний маршрут, швидко знаходячи відповідь.

Ще у 2001 році IBM на демонстрації рідинного ядерно-магнітного резонансного квантового комп’ютера показала приклад алгоритму Shor. З того часу цей алгоритм спричинив великий резонанс у криптографії, бо демонструє потенціал квантового комп’ютера: у майбутньому він може суттєво вплинути на традиційні технології шифрування та безпеку інтернету.

Це означає, що в традиційних системах шифрування алгоритми на кшталт еліптичного шифрування (Elliptic Curve Cryptography) і RSA — які використовуються для підписів вебсайтів HTTPS/TSL, ключів SSH, підписів сертифікатів вебсайтів старих версій тощо — опиняються під прямою загрозою. Особливо це стосується еліптичної криптографії: вона тісно пов’язана з нашим повсякденним життям. Наприклад, у мобільних застосунках Apps та при авторизації ID у програмному забезпеченні для шифрування — це один із найпоширеніших типів шифрування сучасного інтернету. Хоча нині квантові комп’ютери ще не можуть зламати RSA-шифрування на 2048 біт (теоретично потрібні тисячі квантових бітів), але з розвитком квантових технологій у недалекому майбутньому може бути подоланий цей рубіж безпеки шифрування.

Квантові алгоритми: Grover Гровер

Через 2 роки після появи алгоритму Shor індійсько-американський вчений зі Стенфордського університету Lov Kumar Grover запропонував і розробив новий квантовий алгоритм — Grover’s algorithm, також відомий як алгоритм квантового пошуку. У квантових обчисленнях Grover-алгоритм є дуже практичним інструментом для пошуку й запитів у неструктурованих базах даних.

Якщо звичайному комп’ютеру потрібно знайти відповідь у базі даних розміру «величезного масштабу — десятки степенів двійки», типова стратегія — це послідовно перевіряти від початку до кінця, як гортаючи сторінку за сторінкою в бібліотеці; це дуже тривало. Grover-алгоритм використовує властивості «квантового накладання» та «підсилення амплітуди», щоб знайти відповідь приблизно за √N спроб. Цей процес називають «квадратичним пришвидшенням» (Quadratic Speedup).

Простіше кажучи: якщо традиційний комп’ютер має виконати 10¹² операцій (тобто один трильйон), то теоретично Grover-алгоритму достатньо буде приблизно 1 000 000 операцій — різниця в ефективності очевидна.

Його ключовий принцип такий: спочатку «накладають» усі можливі відповіді, щоб квантові біти одночасно представляли N можливих станів; спочатку імовірність вибору кожної відповіді становить 1/N. Далі алгоритм через механізм, який називають «оракул» (oracle), позначає правильну відповідь шляхом «перевертання фази». Після цього шляхом повторних ітерацій імовірність правильного варіанта щоразу збільшується, а імовірність інших неправильних відповідей зменшується.

Можна навести образну аналогію: уявіть кімнату, повну темряви, де є безліч дверей, і за лише одними дверима захований скарб. Звичайний комп’ютер мусить перевіряти двері одне за одним, а Grover-алгоритм працює так, ніби спочатку змушує всі двері «пробувати» одночасно, а в кожному колі трохи збільшує «яскравість» дверей зі скарбом, аж поки в темряві вони не стануть дедалі помітнішими. Врешті, коли імовірність правильної відповіді наближається до 100%, система вимірювання з високою імовірністю дасть правильний результат.

Можливе запитання: якщо спочатку перевіряються всі двері одночасно, чому б не сказати нам одразу, за якими дверима скарб? Причина — коли ви реально «дивитеся» на результат (тобто вимірюєте), ви бачите лише одну двері. Якщо в перший момент ви подивитеся, то оскільки ймовірність для кожних дверей однакова, шанс побачити двері зі скарбом буде як випадкова лотерея — майже як навмання. Тому Grover-алгоритм мусить за ітераціями робити правильні двері дедалі «яскравішими». Коли правильні двері вже значно яскравіші за інші, тоді при «перегляді» ви майже напевно отримаєте правильну відповідь. Іншими словами: квантовий комп’ютер може одночасно досліджувати всі можливості, але не може одночасно показати всі відповіді — він лише «підсилює імовірність правильної відповіді», щоб під час вимірювання ви з високою ймовірністю отримали правильний результат.

Grover-алгоритм також можна застосувати в криптографії для brute-force атак (виснажливого перебору). Він становить істотну загрозу для зламу симетричних ключів. Наразі в індустрії радять використовувати ключі довжиною для AES-256 (Advanced Encryption Standard) — оскільки в квантовому середовищі ключі на 128 біт забезпечують лише 64 біти безпеки. Тому галузі потрібна більша міра безпеки. Водночас Grover-алгоритм має обмеження: він дає лише квадратичне пришвидшення. Тобто, хоча він і швидший за традиційний комп’ютер, пришвидшення не є нескінченним. Якщо використати аналогію: якщо тобі потрібно пробігти 100 кілометрів, Grover-алгоритм може дозволити тобі пробігти лише 10 кілометрів, але тобі все одно треба докласти фізичної сили. А виробництво й робота квантового комп’ютера дуже дорогі — це як використовувати надзвичайно дорогий біговий тренажер, щоб пробігти ті самі 10 кілометрів. Тому в практичних сценаріях Grover-алгоритм не може нескінченно зламувати всі системи шифрування; все одно потрібні довші ключі або інші заходи безпеки, щоб гарантувати захист.

Аналіз впливу квантових обчислень на блокчейн

Серцевина дизайну блокчейну — це побудована на основі криптографії розподілена бухгалтерська книга. Більшість протоколів блокчейну на кшталт біткоїна використовують ECC (еліптичну криптографію) для генерації публічних і приватних ключів та цифрових підписів. Secp256k1 на основі ECDSA (Elliptic Curve Digital Signature Algorithm, алгоритм цифрового підпису на еліптичних кривих) — це певний параметричний стандарт конкретних еліптичних кривих, які найчастіше використовують Bitcoin та Ethereum. Його особливості — безпека, ефективність і порівняно короткі ключі, що широко застосовується для генерації пар ключів і підписів у ланцюжку.

SHA-2 (Secure Hash Algorithm 2) — група криптографічних хеш-функцій, серед яких SHA-256 — також широко застосовується в блокчейні. Хеш-функція відображає дані будь-якої довжини в число фіксованої довжини (хеш-значення). Алгоритм має властивість необерненості: дуже складно вивести початкові дані у зворотний бік. Його використовують у механізмах proof-of-work та для верифікації транзакцій тощо. З ітераціями квантових комп’ютерів, коли розмір квантових ресурсів стане достатнім, обчислювальна система через «квантові алгоритми» зможе за короткий час (1 місяць) зламати асиметричні алгоритми шифрування, зокрема еліптичну криптографію, і компоненти блокчейну опиняться перед прямим викликом.

Вплив різних алгоритмів на криптографічні компоненти, джерело зображення: Web3Caff Research, дослідник Боб власного виробництва

Крім того, квантові комп’ютери можуть призвести до атак типу «HNDL» (Harvest-Now-Decrypt-Later), тобто збирання даних уже зараз із подальшою ініціацією атак на розшифрування у «стрибковий день» (when quantum capability hits a threshold). HNDL — це стратегія моніторингу: атакувальник довго спостерігає, зберігає зашифровані дані, які зараз неможливо розв’язати, а потім розшифровує їх після того, як квантові технології стануть зрілими. Уявний «день стрибка» у квантових обчисленнях у галузі називають Y2Q або Q-day. На тлі загроз від квантових обчислень блокчейн-галузь також активно реагує: у січні 2026 року компанія Coinbase, відома американська публічна компанія, створила незалежну квантову консультативну раду й комітет з блокчейну, щоб протидіяти можливим майбутнім загрозам квантових обчислень для криптографічної безпеки блокчейну та досліджувати антиквантові рішення. У тому ж році, Ethereum-екосистема другого рівня Optimism також почала впроваджувати антиквантові алгоритми, щоб відповідати на майбутні, ще більші виклики.

Пояснювальна схема HNDL, джерело зображення: Paloalto Networks

Вплив квантових обчислень на цифрові фінанси

Звісно, потенційний вплив квантових обчислень не обмежується лише блокчейн-фінансовою галуззю — на нього також впливають індустрії цифрових фінансів, де застосування є ширшим. Наприклад, банківський сектор, який пов’язаний із повсякденним життям людей. З міркувань ризикової безпеки банківські інфраструктури з шифруванням опиняються під загрозою першими: алгоритм Shor швидко зламає RSA-шифрування та еліптичне шифрування, які зазвичай використовуються банками, і тоді інформація банківських користувачів стане доступною зловмисникам. А атаки типу «HNDL — викрасти зараз, розшифрувати потім» означають, що навіть фінансові дані, які вже було витікнули, у майбутньому теж можуть бути розкриті квантовими комп’ютерами. З огляду на «квантові загрози», провідні фінансові компанії світу вже переходять у «постквантову еру». У 2024 році NIST (Національний інститут стандартів і технологій США) опублікував перші стандарти квантової безпеки; банки та фінансові установи також починають планувати міграцію на постквантову криптографію (PQC, Post-Quantum Cryptography), щоб підготуватися до приходу квантової ери.

Але квантові комп’ютери створюють для банків та інших фінансових установ не лише виклики — є й позитивний аспект. Квантові комп’ютери здатні принести зміни у фінанси, прискорюючи складні обчислення. Вони можуть допомогти в моделюванні ризиків, пришвидшуючи симуляції методом Монте-Карло (Monte Carlo method), що дозволяє банкам точніше й швидше оцінювати ризики. Упродовж останніх років дедалі більше сценаріїв застосування квантових обчислень з’являється у банківській практиці. Наприклад, у 2025 році HSBC співпрацював з IBM над проєктом квантових обчислень: використання квантового процесора допомогло підвищити точність прогнозів під час торгівлі облігаціями на 34%. Банк Туреччини Yapi Kredi співпрацює з канадською квантовою компанією D-Wave: використання квантових технологій у моделях управління ризиками дозволило швидко визначити підприємства з високим ризиком.

Поточний стан квантової безпеки

У дійсності, після того як люди усвідомили квантову загрозу, у останні роки постквантова криптографія (Post-Quantum Cryptography, скорочено PQC) зробила активний поступ. Особливо після того, як у 2024 році NIST (Національний інститут стандартів і технологій США) оприлюднив 3 стандарти постквантової криптографії, сфери, пов’язані із безпекою даних, почали інтенсивну підготовку до міграції на квантову безпеку. Фінансово-банківська галузь, електронні комунікації й великі платформні компанії винесли заходи проти квантових обчислень у порядок денний і планують упродовж найближчих кількох років оновити квантові алгоритми.

Розвиток постквантової криптографії

За прогнозом Global Risk Institute (звіт про таймлайн квантових загроз, на основі десятків експертів), ймовірність того, що алгоритм RSA буде зламано квантовими засобами через 8 років (2034 рік), становить близько 19–34% (дані 2024/2025). Порівняно з попередніми роками цей таймлайн дещо пришвидшується. Постквантова криптографія (Post-Quantum Cryptography) з’явилася саме на тлі зростаючого занепокоєння щодо Q-day. Зараз вона вже стала фундаментом досліджень проти квантових загроз.

Прогноз, що квантовий комп’ютер зламає RSA-2048 за 1 день, джерело зображення: Global Risk Institute

Постквантову криптографію також називають «антиквантовою криптографією» або «квантобезпечною криптографією». Більшість квантових атак спрямована проти публічно-ключових алгоритмів. Напрями досліджень постквантової криптографії включають решіткову криптографію (lattice cryptography), навчання з виправленням помилок (fault-tolerant learning) та мультимірні многочлени (multivariate polynomial) тощо. Усі ці алгоритми спрямовані на забезпечення безпеки приватних даних у майбутньому квантовому середовищі.

Процес стандартизації антиквантової криптографії триває вже 10 років. Починаючи з 2016 року, коли NIST (National Institute of Standards and Technology, скорочено NIST) запустив проєкт постквантової криптографії, були проведені кілька раундів оцінювання. У серпні 2024 року NIST офіційно опублікував перші стандарти шифрування постквантової криптографії. Їхня мета одна — протидіяти квантовим загрозам у майбутньому для наявних публічно-ключових алгоритмів (RSA та еліптичного шифрування). Ці три стандарти постквантової криптографії такі:

• ML-KEM: для інкапсуляції ключів. Основна відповідальність — «безпечний обмін ключами». Якщо просто: коли ви заходите на безпечний сайт (наприклад, HTTPS), обом сторонам треба таємно домовитися про «ключ шифрування»; ML-KEM — це інструмент для безпечної передачі цього ключа. Його особливості — швидкість шифрування та висока ефективність;
• ML-DSA: модульні грати цифрові підписи на основі CRYSTALS-Dilithium для гарантії того, що під час передавання дані не були підмінені, а також для підтвердження ідентичності відправника. Це можна розуміти як «поставити файлу або повідомленню захисний штамп проти підробок», який інші можуть перевірити на справжність і який містить незмінний вміст;
• SLH-DSA: алгоритм цифрового підпису на основі безстансових хешів, первісна назва — SPHINCS+. Його безпека сильніша: це більш «надійне» рішення, але ціна — довший час генерації підпису та більший обсяг. Можна розуміти як більш «обережний» спосіб підпису, просто швидкість підписання менша.

Чому їх називають «антиквантовими алгоритмами»? Головна причина в тому, що вони не залежать від математичних задач, які Shor-алгоритм може ефективно розв’язати (наприклад, розклад великих чисел на множники або дискретний логарифм на еліптичних кривих). Натомість вони будуються на математичних основах, які на сьогодні квантовим комп’ютерам ще складно подолати.

Традиційні криптоалгоритми (наприклад, RSA, ECC) забезпечують безпеку на задачах на кшталт «розклад великого числа — дуже складний» або «відновити приватний ключ з еліптичної кривої — дуже складно». Але квантові комп’ютери можуть використовувати Shor-алгоритм для експоненційного пришвидшення розв’язання та зламу. Тому теоретично такі алгоритми більше не є безпечними.

А ML-KEM і ML-DSA базуються на «решітковій криптографії». Якщо просто: у гранично складному, багатовимірному математичному лабіринті шукають конкретний розв’язок. На сьогодні не існує квантового алгоритму, який би на кшталт Shor суттєво пришвидшував розв’язання задач на решітки. Тому навіть у квантовому середовищі ці задачі все ще вважаються дуже складними.

SLH-DSA (первісна назва SPHINCS+) базується на хеш-функціях. Квантові комп’ютери дл