Генеральний директор ZeroTier попереджає, що зловмисники збирають зашифрований криптовалютний трафік для квантового розшифрування

Довготривала тривога криптоіндустрії щодо квантових комп’ютерів пропущена через набагато більш невідкладну небезпеку, стверджує генеральний директор ZeroTier Ендрю Гоольт. Замість того, щоб турбуватися про ключі гаманців, які можуть бути зламані майбутніми машинами, Гоольт попереджає, що зловмисники вже перехоплюють і зберігають зашифрований мережевий трафік, що проходить між криптоустановами та біржами. Початкове попередження малює картину мовчазного, постійного збору даних автентифікації, які можуть бути розшифровані, коли квантові обчислення стануть практичними.

Техніка — відома як «збирати зараз, розшифровувати пізніше» — використовує факт, що зашифрований трафік, захищений від класичних комп’ютерів, може бути тривіально зламаний достатньо потужною квантовою системою через роки або десятиліття. Токени автентифікації, ключі сесій API та підписані повідомлення між основними торговими платформами та зберігачами всі проходять через публічний інтернет. Якщо зловмисник може захопити ці дані сьогодні і надійно їх зберегти, вони мають годинниковий бомбу, яку можна буде підірвати після квантових проривів.

Попередження Гоольта переосмислює дебати щодо квантової безпеки, відходячи від статичного ризику приватних ключів і до динамічних, міжінституційних комунікацій, що живлять криптофінансову систему. Хоча власники Bitcoin можуть захистити ключі, перемістивши кошти на квантово-стійкі адреси, потоки автентифікації між компаніями важче замінити ретроспективно. Як тільки сесійний токен буде викрадений, шкода може поширитися на пов’язані системи, які довіряють цій ідентичності.

Структурна проблема для зростаючого інституційного криптовалютного ринку

З розширенням участі інституцій у криптовалюті, міжінституційні канали даних стають більш багатими і критичними. Останні досягнення у токенізації показують, що великі фінансові гравці здійснюють розрахунки в мережі з традиційними партнерами. Кожен новий зв’язок між банком, біржею та зберігачем створює додаткові цілі для зловмисників. Обсяг чутливого трафіку, що щодня перетинає мережеві кордони, дає зловмисникам багато сировини.

Глобальний регуляторний і безпековий тиск щодо крипто-специфічних стандартів здебільшого зосереджений на зберіганні та завершенні розрахунків, а не на автентифікації на рівні мережі, що передує кожній транзакції. Постійні законодавчі битви щодо структури ринку залишають без відповіді питання, як компанії мають захищати міжсторонню комунікацію від довгострокових квантових загроз. Регулятори ще не розглядали збір за мережевий рівень як актуальну небезпеку.

Розрив очевидний: збір за зашифрований трафік у масштабах масовий, дешевий, мовчазний і може бути здійснений державними акторами або просунутими кримінальними групами без виявлення. Захист від пост-квантових атак є дорогим і вимагає скоординованих оновлень у всій галузі. Якщо сектор не почне ставитися до автентифікаційних повідомлень з такою ж терміновістю, як і до криптографії гаманців, сценарій Гоольта може залишити фінансову інфраструктуру криптовалюти назавжди скомпрометованою.

Що далі і що залишається невизначеним

Часовий масштаб квантових технологій залишається відкритим питанням. Ніхто не може передбачити, коли з’явиться квантовий комп’ютер з високою толерантністю до помилок, здатний зламати еліптичні криві або RSA шифрування. Оцінки коливаються від п’яти до двадцяти років. Але частина «збирати зараз» не залежить від будь-якого прориву; вона залежить лише від віри зловмисників у те, що розшифрування рано чи пізно стане можливим. І ця віра вже закладена у поведінку розвідслужб і складних кіберзлочинних операцій.

Для криптообмінів, головних брокерів і зберігачів практичний висновок полягає в тому, що кожен виклик API, кожне розрахункове торгівельне з’єднання і кожен інституційний вхід уже може зберігатися у сховищі іноземного супротивника. Відновлення після компромету в такій ситуації є надзвичайно обмеженим. Зміна ключів API після факту нічого не дає, якщо старі дані сесії були захоплені. Індустрії можливо доведеться перейти на квантово-стійкі протоколи обміну ключами для міжінституційних зв’язків задовго до того, як квантові гаманці стануть стандартом.

Попередження Гоольта випробує здатність крипторинку думати за межами горизонту смарт-контрактів. Загроза — це не злом окремого гаманця або експлуатація мосту, що привертає увагу. Це повільна, фонове витікання тієї самої інфраструктури довіри, яка забезпечує функціонування інституційних криптовалютних ринків. Питання зараз у тому, чи встигне технічна команда швидко переосмислити рівень автентифікації, щоб запобігти тому, щоб збір став тим, що зламало систему.