Возвращается угроза квантовых вычислений: возможно ли обнуление криптовалют?

Оригинал ：Odaily 星球日报 Azuma

Недавно угроза квантовых вычислений для криптовалют снова стала одной из главных тем обсуждения в сети. Поводом для очередного всплеска интереса послужили новые прогнозы нескольких ключевых фигур в области квантовых вычислений и криптовалютной индустрии относительно развития квантовых технологий и их потенциальных возможностей.

Первым было заявление 13 ноября от гениального специалиста в области квантовых вычислений, директора Центра квантовой информации Университета Техаса, Scott Aaronson, в его статье, где он отметил: «Я сейчас считаю, что до следующих президентских выборов в США у нас есть шанс иметь исправную квантовую вычислительную машину, способную запускать алгоритм Шора…»

Следующим событием стало выступление 19 ноября на конференции Devconnect в Буэнос-Айресе соучредителя Ethereum Vitalika Buterina, который заявил, что эллиптическая криптография (ECC) может быть взломана квантовыми вычислениями уже к президентским выборам 2028 года, и призвал Ethereum в течение четырех лет обновить систему до квантобезопасных алгоритмов.

Что такое квантовая угроза?

Прежде чем разбирать прогнозы Scott и Vitalika, нужно кратко объяснить, что такое «квантовая угроза».

Короче говоря, квантовая угроза для криптовалют — это возможность, что в будущем достаточно мощные квантовые компьютеры смогут взломать криптографическую основу, обеспечивающую безопасность современных криптовалют, что потенциально разрушит их модель безопасности.

На сегодняшний день безопасность почти всех криптовалют (например, Bitcoin, Ethereum) основана на технологии «асимметричного шифрования», где ключевыми являются «приватный ключ» и «публичный ключ»:

• Приватный ключ: хранится пользователем в тайне, используется для подписи транзакций и подтверждения права собственности на активы;
• Публичный ключ: генерируется из приватного, может быть открыт и служит адресом кошелька или его частью.

Ключевой основой безопасности криптовалют является — то, что в настоящее время вычислительно невозможно восстановить приватный ключ, зная только публичный. Однако, квантовые вычисления или использование принципов квантовой механики с помощью специальных алгоритмов (например, упомянутого выше Алгоритма Шора) значительно ускоряют решение определенных математических задач, что является слабым местом асимметричного шифрования.

Теперь объясню, что такое Алгоритм Шора. Тут не стоит углубляться в математику, кратко — суть в том, что Алгоритм Шора позволяет преобразовать математическую задачу, которая «почти неразрешима» на классическом компьютере, в задачу поиска периода, которую легко решить на квантовом компьютере, что может угрожать существующей системе «приватный ключ — публичный ключ» в криптовалюте.

Чтобы было проще понять, возьмем пример: можно представить корзину с клубникой (категория приватного ключа), которую легко превратить в джем (аналог публичного ключа). Очевидно, что обратное — из джема снова получить клубнику — невозможно. Но если вдруг появился супер-эксперт (квантовый компьютер), способный с помощью мощных алгоритмов (Shor) легко сделать это, — тогда угроза становится реальной.

А подорвана ли основа криптовалют?

Если так сказать, то криптовалюты уже на грани исчезновения?

Не волнуйтесь, квантовая угроза действительно существует, но проблема не так уж и близка. Объясню почему. Во-первых, до реальной угрозы еще есть время; во-вторых, криптовалюты можно защитить, обновив алгоритмы до квантобезопасных.

Первое — даже если прогноз Scott сбудется к 2028 году, это не обязательно означает реальную угрозу безопасности криптовалют; также слова Vitalik — не о том, что Bitcoin и Ethereum вот-вот потеряют свою основу, а лишь о теоретическом риске в отдаленной перспективе.

Менеджер Dragonfly Haseeb пояснил, что не стоит паниковать из-за новых сроков появления квантовых вычислений: запуск Алгоритма Шора не равносилен взлому действительно 256-битного эллиптического ключа (ECC). Можно использовать Алгоритм Шора для взлома одного числа — и это уже впечатляет. Но для разложения чисел с сотнями разрядов потребуется гораздо больше вычислительных ресурсов и инженерных решений… Это важно учитывать, но не является немедленной угрозой.

Эксперт по безопасности криптовалют, MASTR, дал более ясный математический ответ: для взлома существующих схем подписи на базе эллиптических кривых (ECDSA), используемых в Bitcoin и Ethereum, потребуется около 2300 логических квантовых бит (logical qubits), 10¹² — 10¹³ квантовых операций, а после коррекции ошибок — миллионы или даже сотни миллионов физических квантовых бит (physical qubits). Но на сегодняшний день реализованы лишь 100–400 шумных квантовых бит, с высокой ошибочностью и коротким временем когерентности — что примерно на четыре порядка меньше, чем нужно для взлома.

Что касается второго пункта, то специалисты отрасли уже разрабатывают новые постквантовые криптографические алгоритмы (PQC), устойчивые к квантовым атакам, и основные блокчейны к этому готовы.

Еще в марте прошлого года Vitalik написал статью «Если завтра придут квантовые атаки, как Ethereum сможет решить проблему?», в которой рассматривались механизмы защиты, такие как подписи Winternitz, STARKs и другие, а также возможные срочные обновления Ethereum в чрезвычайных ситуациях.

В отличие от Ethereum, обновлять Bitcoin сложнее, но сообщество уже предложило несколько вариантов алгоритмов для апгрейда, таких как Dilithium, Falcon, SPHINCS+. В последнее время, по мере роста дискуссий, один из ведущих участник Bitcoin Adam Back отметил, что в эпоху постквантовых технологий стандарты шифрования могут быть внедрены задолго до появления реальной угрозы квантовых вычислений.

В целом, квантовая угроза — как висящий вдали «универсальный ключ», способный взломать все современные блокчейны, но создатели систем уже начали работу по созданию новых замков, которые этот ключ не сможет открыть, и подготовили замену дверям заранее, до появления самой угрозы.

Вот такова объективная реальность ситуации с квантовыми угрозами: мы должны учитывать их развитие, но не впадать в панический страх.