Теория квантовой угрозы снова на повестке дня: поколеблены ли основы криптовалют?

Оригинал | Odaily Azuma

В последнее время угроза квантовых вычислений для криптовалют снова стала предметом активного обсуждения в зарубежных СМИ. Причиной нового всплеска интереса стали свежие прогнозы относительно развития квантовых вычислений и их потенциальных возможностей, сделанные рядом ключевых фигур в индустрии квантовых вычислений и криптовалют.

Во-первых, 13 ноября ведущий эксперт в области квантовых вычислений, директор Центра квантовой информации Техасского университета Scott Aaronson в своей статье отметил: «Сейчас я считаю, что до следующих президентских выборов в США у нас может появиться отказоустойчивая квантовая вычислительная машина, способная запускать алгоритм Shor…»

Вслед за этим 19 ноября сооснователь Ethereum Vitalik Buterin на конференции Devconnect в Буэнос-Айресе также заявил, что эллиптическая криптография (ECC) может быть взломана квантовыми вычислениями до президентских выборов в США в 2028 году и призвал Ethereum перейти на квантово-устойчивые алгоритмы в течение четырех лет.

Что такое квантовая угроза?

Прежде чем анализировать прогнозы Scott и Vitalik, необходимо кратко объяснить, что такое «квантовая угроза».

Проще говоря, квантовая угроза для криптовалют — это риск того, что в будущем достаточно мощные квантовые компьютеры смогут взломать криптографическую основу, обеспечивающую безопасность современных криптовалют, и тем самым разрушить их модель безопасности.

В настоящее время практически все криптовалюты (например, Bitcoin, Ethereum) полагаются на технологию, называемую «асимметричное шифрование», где ключевыми элементами являются «приватный ключ» и «публичный ключ»:

• Приватный ключ: хранится в секрете пользователем, используется для подписи транзакций и подтверждения права собственности на активы;
• Публичный ключ: генерируется из приватного ключа, может быть открыт, используется как адрес кошелька или его часть.

Основой безопасности криптовалют является то, что на данный момент вычислить приватный ключ по публичному практически невозможно. Однако квантовые вычисления могут использовать принципы квантовой механики и запускать специальные алгоритмы (например, вышеупомянутый алгоритм Shor), чтобы значительно ускорить решение определённых математических задач, что и является слабым местом асимметричного шифрования.

Далее объясним, что такое алгоритм Shor. Не вдаваясь в сложную математику, суть алгоритма Shor в том, что он превращает математическую задачу, практически неразрешимую для классического компьютера, в задачу поиска периода, которую квантовый компьютер может решить относительно легко, что и может угрожать существующей системе «приватный ключ — публичный ключ» в криптовалютах.

Для лучшего понимания: представьте, что вы легко можете превратить корзину клубники (аналог приватного ключа) в варенье (аналог публичного ключа), но обратно сделать из варенья клубнику невозможно. Однако появляется «читер» (аналог квантового компьютера), который с помощью специального способа (аналог алгоритма Shor) может это сделать.

Поколеблена ли основа криптовалют?

Если так рассуждать, неужели криптовалютам конец?

Не стоит паниковать, квантовая угроза объективно существует, но проблема не столь острая. Причин для этого две: во-первых, до реальной угрозы ещё есть время; во-вторых, криптовалюты могут обновиться и внедрить квантово-устойчивые алгоритмы.

Во-первых, даже если прогноз Scott реализуется к выборам 2028 года, это не значит, что безопасность криптовалют окажется под реальной угрозой; Vitalik также не утверждает, что основа Bitcoin и Ethereum будет разрушена, а лишь указывает на теоретический долгосрочный риск.

Партнёр-управляющий Dragonfly Haseeb пояснил, что не стоит паниковать из-за новых сроков квантовых вычислений: запуск алгоритма Shor не равен взлому настоящего 256-битного ключа эллиптической криптографии (ECC key). Можно использовать алгоритм Shor для взлома одного числа — и это уже впечатляет — но чтобы разложить число, состоящее из сотен знаков, потребуется гораздо большая вычислительная мощность и инженерные ресурсы… Это вопрос, который стоит воспринимать серьёзно, но он не является неотложным.

Эксперт по безопасности криптовалют MASTR дал более точный математический ответ: для взлома используемых сейчас в Bitcoin, Ethereum и других криптовалютах эллиптических подписей (ECDSA) потребуется около 2300 логических кубитов (logical qubits), от 10¹² до 10¹³ квантовых операций, а с учётом коррекции ошибок — миллионы или даже сотни миллионов физических кубитов (physical qubits); в то время как современные квантовые компьютеры имеют только 100–400 шумных кубитов (noisy qubits), с высокой ошибкой и коротким временем когерентности — до необходимого уровня ещё как минимум четыре порядка величины.

Что касается второго пункта, криптографы отрасли уже разрабатывают новые постквантовые криптографические алгоритмы (PQC), способные противостоять атакам квантовых компьютеров, и основные блокчейны уже готовятся к этому.

Ещё в марте прошлого года Vitalik опубликовал статью «Что делать Ethereum, если квантовая атака начнётся завтра?», где упоминал Winternitz-подписи, STARKs и другие методы защиты от квантовых угроз, а также рассматривал сценарии экстренного обновления Ethereum в случае внезапной угрозы.

В сравнении с Ethereum, Bitcoin может быть менее гибким в плане обновлений, но сообщество уже предложило такие потенциальные алгоритмы, как Dilithium, Falcon, SPHINCS+ и другие. С ростом обсуждений этой темы ветеран Bitcoin Adam Back также отметил, что стандарты постквантовой криптографии могут быть внедрены задолго до появления реальной квантовой угрозы.

В целом, квантовая угроза — это как «универсальный ключ», висящий где-то вдали, который теоретически может открыть все замки блокчейна, но создатели замков уже работают над новыми замками, которые этот ключ не откроет, и планируют заменить все замки до того, как универсальный ключ будет готов.

Такова объективная реальность квантовой угрозы на сегодняшний день: мы не можем игнорировать её развитие, но и не стоит впадать в слепую панику.