Реакція криптогалузі полягала в тому, що загроза, пов’язана з квантовими обчисленнями, усе ще була далекою, коли Google у грудні 2024 року представила свій квантовий чип Willow.
Біткоїн використовує SHA-256 для майнінгу та ECDSA для підписів, і обидва з них теоретично вразливі до квантового дешифрування, але консенсус був у тому, що ця загроза за десятиліття. Щоб зламати шифрування, потрібно мільйони фізичних кубітів (одиниця інформації в квантових системах). У Willow було лише 105.
Ця історія трохи змінилася через шістнадцять місяців потому, і Google ніщо не відкидає.
Цього тижня компанія оголосила, що встановлює дедлайн на 2029 рік для міграції своїх сервісів автентифікації на постквантову криптографію, посилаючись на прогрес у квантовому апаратному забезпеченні, корекції помилок і оцінках ресурсів для факторизації.
Команда з безпеки інженерії Google написала, що квантові комп’ютери «створюватимуть значну загрозу чинним криптографічним стандартам, і зокрема для шифрування та цифрових підписів», а також, що ця загроза для цифрових підписів зокрема «потребує переходу до PQC до появи криптографічно значущого квантового комп’ютера».
Ці ризики не є теоретичними. Мобільна операційна система Android 17 уже інтегрує захист постквантових цифрових підписів. Chrome уже підтримує постквантовий обмін ключами. Google Cloud пропонує постквантові рішення корпоративним клієнтам.
Ось чому це важливо
Класичні комп’ютери обробляють інформацію як біти: кожен або 0, або 1, і розв’язують задачі, перевіряючи можливості одну за одною. Квантові комп’ютери використовують кубіти, які можуть існувати одночасно як 0 і 1 — властивість, що називається суперпозицією, і яка дозволяє їм досліджувати величезну кількість можливостей паралельно.
Для більшості щоденних завдань перевага є незначною. Але для конкретних задач, як-от факторизація великих простих чисел, що лежать в основі сучасного шифрування, достатньо потужний квантовий комп’ютер міг би розв’язати за хвилини те, на що класичній машині знадобилося б довше, ніж вік Всесвіту.
Біткоїн використовує ECDSA (Elliptic Curve Digital Signature Algorithm — алгоритм цифрового підпису на еліптичних кривих) для підпису транзакцій, і це саме та категорія криптографії, яку Google позначив як таку, що потребує міграції до появи квантового комп’ютера, здатного її зламати.
Достатньо потужний квантовий комп’ютер, що працює із алгоритмом Шора, може вивести приватні ключі з публічних ключів, даючи зловмиснику змогу витратити будь-який біткоїн, публічний ключ якого був розкритий у блокчейні.
Шор — це квантовий метод, який може зламати математику, що захищає паролі й гаманці, експоненційно швидше, ніж звичайні комп’ютери.
Коли CoinDesk писав про Willow у грудні 2024 року, математика заспокоювала. Кріс Осборн, засновник проєкту Dialect для екосистеми Solana, тоді виклав це чітко: приблизно 5 000 логічних кубітів потрібно, щоб запустити алгоритм Шора проти чинного шифрування, і кожен логічний кубіт потребує тисячі фізичних кубітів для корекції помилок.
Це означало мільйони фізичних кубітів проти 105 у Willow. Дистанція здавалася колосальною.
Змінилося не те, скільки кубітів. Змінилася траєкторія корекції помилок і інституційна реакція. Google перейшла від демонстрації «нижче порогу» корекції помилок — тобто того, що вони вперше можуть перетворювати шумні фізичні кубіти на придатні для використання логічні, — до встановлення корпоративного дедлайну міграції за 16 місяців.
Коли компанія, що будує квантові комп’ютери, закликає розробників перейти до 2029 року, це сигнал того, що розрив скорочується швидше, ніж підказує публічний графік.
Співзасновник Ethereum Віталік Бутерін уже закликав до терміновості в жовтні 2024 року — за місяць до оголошення Willow.
«Експерти з квантових обчислень, такі як Скотт Ааронсон, також нещодавно почали значно серйозніше розглядати можливість того, що квантові комп’ютери реально працюватимуть у середньостроковій перспективі», — написав Бутерін тоді.
«Це має наслідки для всього дорожнього плану Ethereum: це означає, що кожна частина протоколу Ethereum, яка зараз покладається на еліптичні криві, потребуватиме заміни на основі хешів або іншої, стійкої до квантових атак».
Як Ethereum і розробники Біткоїна реагують
Контраст із тим, як дві найбільші блокчейн-мережі реагують, не міг би бути різкішим.
Фонд Ethereum розглянув це як директиву й зробив відповідні кроки. Вісім років роботи — тепер це видно в щотижневих devnets, а також у публічному дорожньому плані з деталізацією на рівні фортків.
Модель управління Біткоїном робить таку узгоджену реакцію структурно складнішою. Немає еквівалента Фонду Ethereum, який би фінансував і спрямовував багаторічну інженерну роботу.
Зміни протоколу вимагають широкого консенсусу в децентралізованій спільноті розробників, яка історично рухалася повільно й обдумано — риса для стабільності, але мінус, коли з’являється дедлайн.
Останнє велике криптографічне оновлення Біткоїна, Taproot, потребувало років обговорень, перш ніж активуватися в 2021 році.
Цього тижня Ethereum запустив pq.ethereum.org — присвячений хаб для своєї постквантової безпекової ініціативи, що триває з 2018 року. Команда Фонду Ethereum з постквантової криптографії, команда криптографії, команда архітектури протоколу та команда координації протоколу витратили вісім років на побудову міграції, яка зачіпає кожен рівень протоколу.
Понад 10 команд клієнтів розгортають щотижневі devnets через те, що фонд називає PQ Interop. Дорожня карта визначає конкретні віхи для чотирьох майбутніх жорстких форків — від реєстру постквантових ключів до повного PQ-консенсусу.
Біткоїн, навпаки, не має нічого подібного. Немає узгодженої дорожньої карти. Немає багатокомандної інженерної програми. Немає віх форків.
Нік Картер — один із найвідоміших прихильників Біткоїна та співзасновник криптофонду Castle Island Ventures — цього тижня сказав тиху частину вголос.
«Криптографія на основі еліптичних кривих стоїть на межі застарівання», — написав він у X. «Чи це 3, чи 10 років — це кінець, і нам потрібно прийняти це. Єдине, що має значення, — як швидко розробники блокчейну визнають, що їм треба вбудувати в мережі криптографічну “мутованість” (mutability)».
Картер напряму порівняв ці два підходи. За його словами, підхід Ethereum був «найкращим у класі», описуючи, як мережа «об’єднується і оголошує конкретний детальний PQ-дорожній план до 2029, ставить його на вершину стратегічних пріоритетів, вбудовує PQ у поточний roadmap, детальне FAQ, без страху — лише дії».
Підхід Біткоїна, сказав Картер, був «найгіршим у класі». Він зазначив, що наразі є лише одна група, яка працює над квантозв’язаною пропозицією, і яка «отримала нуль підтримки від провідних девелоперів»: розробники вказують на ізольовані фрагменти досліджень як доказ прогресу, але при цьому мають «немає цілісної стратегії, немає дорожньої карти».
«Усі знають, що я біткоїнер, і хотів би, щоб біткоїн переміг», — додав Картер. «Не кажу це, щоб комусь було неприємно. Говорю це, щоб підштовхнути до дій».
Проте терміновість не є загальноприйнятою.
Такі компанії, як CoinShares, стверджують, що страхи щодо неминучої квантової загрози для біткоїна перебільшені, і оцінюють, що лише близько 10 200 BTC зосереджені вразливими типами застарілих адрес, через що їх крадіжка може спричинити «відчутні ринкові збої».
Натомість решта відкритої пропозиції — приблизно 1,6 млн BTC у старіших адресах Pay-to-Public-Key — розкидана більш ніж по 32 000 окремих гаманців, у середньому по близько 50 BTC кожен, що робить їх повільними й невигідними для зламу окремо, як писав CoinDesk тоді.
Але питання не в тому, чи колись квантові обчислення загрожуватимуть криптографії блокчейну. Google, Фонд Ethereum, NIST і тепер іще й помітні прихильники Біткоїна згодні з тим, що так — згодом.
Питання в тому, чи вистачить трьох років на міграцію глобального децентралізованого протоколу, який не має центрального органу, щоб встановлювати дедлайни, не має узгодженої інженерної команди для виконання цього і має культуру, де терміновість викликає підозру.
Відповідь Ethereum така, що вісім років підготовки поставили його в позицію виконати міграцію в межах чотирьох жорстких форків. Відповідь Google — що дедлайн це 2029 рік, і міграція вже триває у його продуктах.
Відповідь Біткоїна, поки що, — мовчання. І як попереджав Картер, «ETHBTC почне відображати розбіжність у пріоритетах», якщо це мовчання триватиме.
