Дорожня карта квантових технологій Circle: як заздалегідь змінити замки для «квантового прориву»?

Автор: KarenZ, Foresight News

Якщо колись квантові комп’ютери стануть достатньо потужними, першими проблемами блокчейну, з якими доведеться стикнутися, ймовірно, стануть два більш глибокі базові припущення безпеки: чи зможе підпис підтвердити «я — це я», а також чи буде зашифровані сьогодні дані розкриті у майбутньому.

Останній опублікований Circle документ — «Дорожня карта постквантової безпеки Circle» — саме обговорює цю проблему. Його основний висновок дуже простий: сьогодні широко використовувана еліптична криволінійна криптографія, включаючи ECDSA, Ed25519, BLS, при появі достатньо потужних квантових комп’ютерів стане недійсною. Ще гірше, що в EVM-ланцюгах, коли аккаунт вперше транслює транзакцію, зазвичай відкривається публічний ключ; у таких ланцюгах, як Bitcoin, адреси, що вже витрачені, повторно використані або з відкритим публічним ключем у специфічних сценаріях, також потрапляють у зону ризику.

Авторський колектив також показує, що це не звичайна популяризаційна стаття. До її авторів входять головний інженер Circle Mira Belenkiy, дослідний інженер Duc V. Le, головний економіст Gordon Liao, головний інженер з безпеки Vipin Singh Sehrawat, дослідний інженер Dragos Rotaru, а також співзасновник Interop Labs, початковий розробник мережі Axelar, Sergey Gorbunov та інші інженери Circle; одночасно у підписі бере участь видатний дослідник у галузі прикладної криптографії з Стенфордського університету Dan Boneh.

Найважливіше у цій статті — не панічні історії про те, «чи знищить квантовий комп’ютер криптовалюти», а те, що вона розбиває проблему на реальне інженерне завдання міграції. Circle вважає, що перехід у постквантову епоху — це не просто натискання кнопки оновлення, а довгостроковий процес переміщення між гаманцями, смарт-контрактами, довіреними службами, хмарними сервісами, валідаторами та регуляторними правилами.

У документі наведено кілька типів ризиків, з якими стикається блокчейн під час квантової атаки.

Перша — підробка акаунтів. Якщо публічний ключ адреси вже відкритий, квантовий зловмисник зможе у майбутньому відновити приватний ключ і підробити транзакцію. У статті цитуються метрики Bitcoin RisQ від Project Eleven, згідно з якими вже мільйони адрес з балансами під загрозою, з приблизною оцінкою у 14 мільйонів Bitcoin-адрес.

Друга — ризик «збір даних зараз, розкриття — пізніше»: зловмисник може зберігати зашифровані дані сьогодні і розкривати їх у майбутньому, коли квантові комп’ютери стануть достатньо потужними.

Третя — ризики на рівні консенсусу: якщо ключі підпису валідаторів будуть відновлені, це може призвести до подвійного підпису, цензури або навіть переписування історії. Четверта — мережеві ризики: P2P-комунікації, RPC через TLS та інші залежності від традиційних обмінів ключами також потрібно оновлювати.

Триступенева дорожня карта Circle

Замість простого заміщення одного алгоритму підпису іншим, Circle пропонує розділити перехід на три етапи: «поточна підготовка», «гібридний перехід» і «фінальний перехід». Ризики на кожному етапі мають різний пріоритет: приватні дані потрібно захищати першими, акаунти і смарт-контракти — поступово, а консенсус і інфраструктура — коли екосистема, апаратне забезпечення і стандарти стануть більш зрілими.

Типи атак і етапи реагування у Arc дорожній карті, джерело: документ Circle про постквантову безпеку

Перший етап — «поточна підготовка». Мета цього етапу — не відразу відмовитися від ECDSA, а залишити розробникам і користувачам можливість міграції. Arc підтримуватиме на основному ланцюгу перевірку підписів SLH-DSA-SHA2-128s для постквантових підписів, дозволяючи смарт-аккаунтам підтверджувати підписи у мережі. Простими словами, Arc додасть у смарт-контракти систему розпізнавання нових типів підписів, але нативні транзакційні підписи залишаться з ECDSA, оскільки постквантові підписи будуть більшими і повільнішими для перевірки, що вплине на пропускну здатність і користувацький досвід.

Одночасно Arc підтримуватиме шифрування транзакційних memo за допомогою X-Wing HPKE, а також захищатиме їх через приватне виконуване середовище, щоб приховати зміст транзакцій, стан контрактів і сліди виконання. Це зроблено тому, що «сьогодні записане — завтра розкриття» — ризик незворотній, підпис можна оновити пізніше, а вже витеклі дані повернути у приватний режим неможливо.

На рівні акаунтів Circle пропонує кілька інструментів для переходу. Наприклад, через EIP-4337 — абстракцію акаунтів — дозволити смарт-аккаунтам підтверджувати постквантові підписи; через схему hash-and-rotate — зберігати у мережі лише хеш публічного ключа, щоб зменшити вік відкритого ключа; через реєстр постквантових публічних ключів — дозволити користувачам заздалегідь прив’язати адресу до постквантового ключа. Мета цих рішень — дати користувачам можливість готуватися до міграції ще до повного оновлення протоколу.

Другий етап — «гібридний перехід». Це найреалістичніший і найскладніший етап. USDC смарт-контракт буде підтримувати одночасно традиційні і постквантові підписи протягом певного часу, а потім, коли екосистема буде готова, — закривати класичні підписи через резервні механізми. Circle планує також перенести холодні кошти на мульти-підписні смарт-контракти, щоб забезпечити сумісність із різними ланцюгами і алгоритмами постквантових підписів. Оскільки USDC розгорнутий у понад 30 ланцюгах, проблема полягає не лише у оновленні одного ланцюга, а у фрагментації через різні алгоритми і графіки їхнього впровадження.

Особливо у статті наголошується на проблемі ecrecover. Багато смарт-контрактів на EVM використовують ecrecover для перевірки ECDSA, але багато з них вже не підлягають оновленню. Якщо просто заборонити ecrecover, це зруйнує багато існуючих додатків; якщо залишити його працювати, — залишиться ризик підробки. Circle пропонує перспективне рішення — через хард-форк змінити поведінку ecrecover на рівні протоколу, щоб він підтримував постквантові підписи, зберігаючи при цьому старий ABI. Це важливо, оскільки не лише для нових контрактів, а й для вже розгорнутих, які важко змінити, створюється шлях для міграції.

Перехідний етап також передбачає оновлення більш глибокої інфраструктури. Circle має оцінити внутрішню криптографічну стеку, перевірити, чи підтримують хмарні провайдери, HSM, KMS, TEE, libp2p, TLS та інше постквантову готовність, і послідовно оновлювати ключі. У статті наголошується, що якщо ключ А захищає ключ В, а В — ключ C, то оновлювати потрібно спершу А, потім В і, нарешті, C. Помилка у порядку може призвести до того, що витеклі раніше зашифровані дані залишаться вразливими навіть після застосування постквантових алгоритмів.

Третій етап — «фінальний перехід». Коли екосистема, регуляторні органи, апаратне забезпечення, хмарні сервіси і інфраструктура блокчейну будуть готові, Circle виконає справжній «жорсткий» перехід. Тоді Arc і смарт-контракти USDC можуть відмовитися від ECDSA, а підписи валідаторів перейдуть на постквантові алгоритми; якщо деякі ланцюги, що підтримують USDC, не зможуть досягти достатнього рівня постквантової безпеки, Circle можливо призупинить частину функцій або відкличе підтримку, щоб уникнути ризику підробки активів користувачів.

Що робити з старими акаунтами — найскладніше питання

Але найскладнішим у цьому переході є питання: що робити з активами на не мігрувалих акаунтах? У Circle вважають, що блокування небезпечних акаунтів — це захід для запобігання крадіжкам, і не слід автоматично конфісковувати активи. Іншими словами, «зупинка контролю за старим підписом» і «відмова у праві власності» мають розглядатися окремо. Тому у статті наголошується на важливості механізмів відновлення акаунтів: через міграцію до Arc, відновлення за допомогою мнемоніки і zero-knowledge proofs, через TEE, а також у обмежених випадках — через позасистемні юридичні документи, довірених осіб, біржі або заповіт.

Це підводить до важливого політичного питання у статті — відновлення акаунтів. Після появи квантових комп’ютерів традиційні підписи вже не зможуть підтвердити право власності, а KYC не обов’язково зможе довести, що анонімний адрес належить конкретній особі. Circle вважає, що регулятори мають заздалегідь визначити: як повідомляти користувачів про міграцію, які докази достатні для підтвердження власності, скільки часу потрібно для блокування активів, щоб вони вважалися безхазяйними, і як застосовувати правила щодо спадщини, санкцій, боротьби з відмиванням грошей і судових рішень. У статті оцінюють, що у галузі ще є 5–10 років для розробки таких правил.

Ще один важливий висновок — швидка міграція може бути більш ризикованою. Наприклад, якщо компанія використовує HSM для захисту приватних ключів і раптом у спробі швидко перейти на постквантові підписи вона експортує ключі на звичайний CPU для підпису, це може зробити її більш уразливою для традиційних хакерських атак. Circle наголошує, що перехід у постквантову епоху потрібно готувати заздалегідь, але не слід знижувати рівень безпеки зараз, щоб «здаватися безпечним».

Простими словами, Circle не каже, що «квантові комп’ютери завтра зломають блокчейн», а радше — що інфраструктура фінансів не може чекати, поки двері замка стануть несправними, щоб почати їх змінювати. Особливо це стосується USDC — стабільної монети, що працює у понад 30 ланцюгах. Справжня складність полягає не лише у виборі нового алгоритму, а у тому, щоб гаманці, контракти, довірені служби, валідатори, хмарні сервіси, регулятори і користувачі разом завершили міграцію.

Хоча квантова атака ще не реалізована, витрати на перехід вже очевидні.