Статья: Justin Thaler, партнер по исследованиям в области криптовалют a16z и доцент кафедры компьютерных наук в Джорджтаунском университете
Перевод: Yangz, Techub News
Предсказания о времени появления квантовых компьютеров, связанных с криптографией, часто преувеличиваются, что вызывает призывы к срочной и всеобъемлющей переходу к постквантовой криптографии. Такие призывы зачастую игнорируют издержки и риски раннего перехода, а также различия в рисках между разными криптографическими примитивами:
Постквантовое шифрование, несмотря на высокие затраты, требует немедленного внедрения: атаки «сначала собираем, потом расшифровываем» (HNDL) уже начались, и чувствительные данные, зашифрованные сегодня, сохранят свою ценность даже при появлении квантовых компьютеров (даже если потребуется десятилетия). Кроме того, производительность и риски реализации постквантового шифрования действительно существуют, но для данных, требующих долгосрочной секретности, HNDL-атаки оставляют нам другого выбора.
Постквантовые подписи сталкиваются с иными соображениями. Они менее уязвимы к HNDL-атакам, однако их стоимость и риски (больший масштаб, производственные издержки, незрелость реализации и потенциальные уязвимости) требуют осторожности, а не немедленного перехода.
Эти различия крайне важны. Неправильное понимание искажает анализ соотношения затрат и выгод, заставляя команды игнорировать более существенные угрозы безопасности — например, уязвимости системы.
Истинная сложность успешного перехода к постквантовой криптографии заключается в согласовании срочности с реальной угрозой. Ниже я проясню распространённые заблуждения о угрозах квантовых вычислений для криптографии, охватив шифрование, подписи и нулевые знания, с особым акцентом на их влияние на блокчейн.
На каком мы этапе?
Несмотря на широкую пропаганду, вероятность появления криптографически релевантных квантовых компьютеров (CRQC) в 20-х годах этого века крайне низка.
Под «криптографически релевантными квантовыми компьютерами» я понимаю устойчивую, исправляющую ошибки квантовую машину, способную запустить достаточно крупный алгоритм Шора, чтобы за разумное время (например, за максимум месяц непрерывных вычислений) взломать secp256k1 или RSA-2048. По любому разумному анализу открытых вех и ресурсов, мы далеки от создания такой машины. Некоторые компании иногда утверждают, что CRQC могут появиться до 2030 или даже 2035 года, но публичные достижения не подтверждают этих предположений.
На текущих архитектурах — ионных ловушках, сверхпроводниковых кубитах и системах на основе нейтральных атомов — нет ни одной платформы, приближающейся к необходимости иметь сотни тысяч или миллионы физических кубитов (зависит от ошибок и схем исправления). Ограничения связаны не только с количеством кубитов, но и с точностью гейтов, связностью кубитов и глубиной исправляющих ошибок цепочек, необходимых для выполнения сложных алгоритмов. Хотя некоторые системы уже имеют более 1000 физических кубитов, только их число вводит в заблуждение: им не хватает связности и точности гейтов для криптографических вычислений. Современные системы приближаются к порогу, когда исправление ошибок начинает работать, но пока никто не продемонстрировал наличие логических кубитов с сотнями или тысячами высокоточных, исправляемых ошибокных цепочек, необходимых для запуска Shor.
От теоретического доказательства возможности квантовой коррекции ошибок до достижения масштабов, необходимых для криптоанализа, — огромная пропасть. В целом, до тех пор, пока не будет увеличено число и точность кубитов на несколько порядков, криптографически релевантные квантовые компьютеры остаются недостижимыми. Публичные достижения не подтверждают ожидания появления в ближайшие 5 лет машины, способной взломать RSA-2048 или secp256k1. Что касается установленных сроков правительства США — 2035 год — как крайнего срока для полного перехода государственных систем на постквантовые технологии, я считаю, что это разумный график для масштабных трансформаций. Но это не означает, что к тому времени появится криптографически релевантный квантовый компьютер.
Для каких сценариев подходит HNDL-атака?
«Сначала собираем, потом расшифровываем» (HNDL) — это атака, при которой злоумышленник сохраняет зашифрованный трафик сейчас, а расшифровывает его после появления CRQC. Государственные злоумышленники уже архивируют большие объемы зашифрованных коммуникаций правительств, чтобы в будущем, когда CRQC появятся, взломать их. Поэтому технологии шифрования требуют немедленного перехода — по крайней мере, для данных, требующих секретности более 10-50 лет.
Однако цифровые подписи (на которых основаны все блокчейны) отличаются от шифрования. Если появится криптографически релевантный квантовый компьютер, подделка подписей станет возможной, но прошлые подписи не «скрывают» секреты так же, как зашифрованные сообщения. Если вы знаете, что подпись была создана до появления CRQC, она не может быть подделана. Это снижает срочность перехода на постквантовые подписи по сравнению с шифрованием.
В настоящее время ведущие платформы предпринимают меры: Chrome и Cloudflare внедрили гибридные схемы X25519+ML-KEM для TLS; Apple использует их в протоколе PQ3 для iMessage; Signal также применяет протоколы PQXDH и SPQR.
В то же время, внедрение постквантовых подписей в критическую инфраструктуру откладывается до момента, когда CRQC станут реальной угрозой, поскольку текущие схемы постквантовых подписей вызывают снижение производительности (подробнее об этом далее).
zkSNARKs (важные для долгосрочной масштабируемости и приватности блокчейнов) находятся в аналогичной ситуации. Даже zkSNARKs, не являющиеся постквантобезопасными (использующие эллиптическую криптографию, как и современные схемы), обладают постквантовой нулевой знаниями. Их свойства гарантируют, что доказательства не раскрывают секретных данных — даже для квантовых атакующих — и не требуют «сборки» секретов для будущего расшифрования.
Следовательно, zkSNARKs не подвержены HNDL-атакам. Как и подписи, созданные сегодня, любые zkSNARK-утверждения, сделанные до появления CRQC, считаются доверенными (утверждение истинно), даже если используют эллиптическую криптографию. Только после появления CRQC злоумышленник сможет найти убедительные доказательства ложных утверждений.
Что это значит для блокчейна?
Большинство блокчейнов не уязвимы к HNDL: большинство публичных цепочек (например, Bitcoin и Ethereum) используют не постквантовые схемы для авторизации транзакций — то есть, используют подписи, а не шифрование. Повторю: эти подписи не представляют угрозу HNDL, поскольку она актуальна для зашифрованных данных. Например, блокчейн Bitcoin открыт; квантовая угроза — это подделка подписей (вывод приватных ключей и кража средств), а не расшифровка уже опубликованных транзакций. Это устраняет срочную необходимость в переходе на постквантовые схемы.
К сожалению, даже аналитика таких авторитетных источников, как Федеральная резервная система, ошибочно утверждает, что Bitcoin уязвим к HNDL, что преувеличивает срочность перехода. Конечно, снижение срочности не означает, что Bitcoin можно ждать: он сталкивается с разными временными рамками, связанными с необходимостью согласования изменений протокола (подробнее о специфических вызовах Bitcoin ниже).
Исключения — цепочки с приватностью, где многие транзакции шифруются или скрывают получателя и сумму. Такая конфиденциальность уже собирается, и при появлении CRQC их можно будет деанонимизировать ретроспективно.
Для таких цепочек риск зависит от их конструкции. Например, Monero использует эллиптические кольцевые подписи и ключевые зеркала (для предотвращения двойных трат), и на основе открытого реестра можно восстановить график расходов. В других цепочках ущерб может быть менее значительным — подробнее об этом у исследователя Sean Bowe.
Если пользователи считают важным, чтобы их транзакции не были раскрыты криптографическими квантовыми компьютерами, цепочки с приватностью должны как можно скорее перейти на постквантовые примитивы (или гибридные схемы). Или — использовать архитектуры, исключающие размещение расшифровываемых секретов в цепочке.
Особая проблема Bitcoin: управление и устаревшие монеты
Два фактора делают переход Bitcoin к постквантовым подписьм актуальным: они не связаны с квантовыми технологиями, а связаны с управлением и структурой сети:
Во-первых, медленное управление: изменения в Bitcoin происходят медленно. Если сообщество не достигнет согласия по решению, любые спорные вопросы могут привести к разрушительным форкам.
Во-вторых, переход на постквантовые подписи не может быть пассивным: владельцы должны активно мигрировать свои монеты. Это означает, что устаревшие, уязвимые к квантовым атакам монеты не защищены. По оценкам, миллионы биткоинов могут оказаться под угрозой.
Тем не менее, угроза не внезапна и не мгновенна — это постепенный, выборочный процесс. Квантовые компьютеры не взломают все ключи одновременно: алгоритм Шора должен быть применен к каждому публичному ключу отдельно. Ранние атаки будут дорогими и медленными. Поэтому, как только квантовая машина сможет взломать отдельный ключ, злоумышленник выберет для атаки наиболее ценные кошельки.
Кроме того, пользователи, избегающие повторного использования адресов и не использующие Taproot (где публичный ключ раскрывается при расходовании), в целом защищены: их публичные ключи скрыты за хешами до момента расходования. Когда транзакция будет опубликована, публичный ключ станет видимым, и возникнет короткая гонка: честный отправитель должен подтвердить транзакцию, а атакующий с квантовым оборудованием — найти приватный ключ до подтверждения и украсть средства. Поэтому наиболее уязвимы те монеты, у которых публичный ключ уже раскрыт — например, старые P2PK-выходы, адреса с повторным использованием и монеты с Taproot.
Что делать с устаревшими уязвимыми монетами? Есть несколько вариантов:
- Сообщество Bitcoin может установить «крайний срок», после которого все не мигрировавшие монеты будут объявлены уничтоженными.
- Или позволить владельцам устаревших монет, уязвимых к квантовым атакам, оставить их без защиты, если у них есть квантовые компьютеры.
Второй вариант вызывает серьезные юридические и безопасностьные проблемы: использование квантовых компьютеров для получения прав на монеты без приватных ключей, даже при наличии легитимных прав, может нарушать законы о краже и компьютерном мошенничестве в различных юрисдикциях.
Кроме того, «устаревшие» монеты предполагают неактивность, но никто не знает наверняка, есть ли у них владельцы с приватными ключами. Доказательства владения могут быть недостаточными для легального разрешения их восстановления. Такая правовая неопределенность увеличивает риск попадания уязвимых монет в руки злоумышленников, игнорирующих законы.
Еще одна особенность Bitcoin — низкая пропускная способность транзакций. Даже при окончательном переходе, перенос всех уязвимых к квантовым атакам средств потребует месяцев.
Эти вызовы делают крайне важным планирование постквантового перехода Bitcoin уже сейчас — не потому, что квантовые компьютеры могут появиться до 2030, а потому, что управление, согласование и техническая реализация переноса сотен миллионов долларов займут годы.
Угроза квантовых компьютеров для Bitcoin реальна, но временные рамки обусловлены внутренними ограничениями сети, а не скорым появлением CRQC. Другие блокчейны также сталкиваются с подобными проблемами, но у Bitcoin особая уязвимость: его ранние транзакции содержат публичные ключи, делая значительную часть монет уязвимой. Эта технологическая особенность, а также долгий срок существования, концентрация ценностей, низкая пропускная способность и жесткое управление делают проблему особенно острой.
Обратите внимание: описанные выше уязвимости касаются криптографической безопасности подписи, а не экономической безопасности блокчейна. Экономическая безопасность основана на механизме Proof of Work, который менее уязвим к квантовым атакам по трем причинам:
- PoW зависит от хеширования, и его уязвимость — только к квадратичному ускорению алгоритма Гровера, а не к экспоненциальному ускорению Шора.
- Реальные затраты на реализацию Гровера делают маловероятным, что квантовые компьютеры смогут обеспечить существенное ускорение в рамках PoW Bitcoin.
- Даже при значительном ускорении, преимущества получат крупные майнеры, а не разрушат экономическую безопасность.
Стоимость и риски постквантовых подписей
Чтобы понять, почему блокчейны не должны торопиться с внедрением постквантовых подписей, нужно учитывать производственные издержки и уровень доверия к их постквантовой безопасности, который всё еще развивается.
Большинство постквантовых схем основаны на пяти классах: хеши, кодах, решетках (Lattice), многочленах (MQ) и гомоморфных схемах. Их безопасность базируется на предположении, что квантовые компьютеры не смогут эффективно решать определенные математические задачи. Чем более структурирована задача, тем эффективнее можно построить протоколы, но и тем больше уязвимостей появляется.
В целом, схемы на основе хешей считаются наиболее консервативными — мы наиболее уверены, что квантовые компьютеры не смогут их взломать, — но и самые медленные. Например, стандартные подписи на основе хешей имеют размер 7-8 кБ, тогда как современные эллиптические подписи — всего 64 байта. Разница примерно в 100 раз.
Основное внимание сейчас уделяется схемам на основе решеток. NIST выбрал две из них для стандартизации: ML-DSA (ранее Dilithium) и Falcon. Размер подписей ML-DSA — от 2.4 до 4.6 кБ, что примерно в 40-70 раз больше эллиптических. Falcon — чуть меньше (666 байт и 1.3 кБ), но требует сложных вычислений с плавающей точкой, что вызывает дополнительные сложности. Создатель Falcon, Thomas Pornin, назвал его «самым сложным криптографическим алгоритмом, который я реализовал».
В сравнении с эллиптическими схемами, схемы на решетках требуют больше чувствительных промежуточных данных и защиты от сторонних каналов и ошибок. Это создает дополнительные риски реализации.
Эти проблемы — прямой риск, в отличие от угроз, связанных с появлением квантовых компьютеров.
Осторожность при внедрении более быстрых схем оправдана: история показывает, что многие ведущие кандидаты — Rainbow, SIKE/SIDH — были взломаны классическими методами, еще до стандартизации, что подтверждает необходимость аккуратности.
Инфраструктура интернета уже переходит на новые схемы, но этот процесс занимает годы. Например, переход с MD5 и SHA-1 начался много лет назад, и до сих пор в некоторых системах продолжается.
Особенности блокчейна и его вызовы
Благодаря активной поддержке сообществ, такие блокчейны, как Ethereum или Solana, могут обновляться быстрее. Но у них есть преимущества: регулярная ротация ключей, что снижает риск, в отличие от цепочек, где ключи могут оставаться открытыми бесконечно.
Тем не менее, блокчейны должны соблюдать осторожность при переходе: оба типа подписи — и постквантовые, и классические — не уязвимы к HNDL, и преждевременный переход к несовершенным схемам несет риски и издержки.
Особые сложности связаны с особенностями блокчейнов: необходимость быстрого агрегирования подписей (например, BLS), которые не являются постквантобезопасными. Исследуются схемы на основе SNARK, которые могут стать привлекательной альтернативой. В ближайшие месяцы и годы ожидается, что схемы на основе решеток станут более популярными, поскольку они обещают меньшие размеры доказательств и лучшую производительность.
Проблемы реализации и безопасность
В будущем годах основная угроза — не сама криптография, а уязвимости реализации: ошибки, боковые каналы, атаки на программное обеспечение. SNARKs и постквантовые подписи требуют тщательного аудита и защиты. Ранние внедрения могут оказаться уязвимыми, что приведет к необходимости повторных обновлений.
Что делать? Семь рекомендаций
- Немедленно внедрять гибридные схемы (постквант + классические) в критичных системах, таких как браузеры, CDN, мессенджеры.
- В случаях, допускающих масштабное внедрение, использовать хешированные подписи сейчас, чтобы создать «спасательный плот» на случай быстрого появления CRQC. Без обновлений — невозможно безопасно распространять постквантовые схемы после появления угрозы.
- Планировать переход на постквантовые подписи в блокчейнах, следуя примеру инфраструктурных сетей, и развивать их безопасность и производительность.
- Для Bitcoin и других L1 — разрабатывать планы и политики по миграции устаревших, уязвимых к квантовым атакам монет. Пассивный подход невозможен; необходимо активное планирование.
- Продолжать исследования и развитие постквантовых схем, таких как zkSNARKs и агрегируемые подписи, чтобы избежать застревания на менее эффективных решениях.
- Внимательно следить за новостями о прогрессе в квантовых вычислениях, понимая, что каждая новая веха — это лишь один из этапов, и не стоит торопиться с выводами.
- Инвестировать в финансирование исследований и подготовку кадров в области квантовых технологий, чтобы обеспечить национальную безопасность.
Обратите внимание, что изложенные рекомендации и оценки основаны на текущем состоянии технологий и могут измениться по мере прогресса.
