Квантові обчислення та блокчейн: узгодження терміновості з реальними загрозами

Автор: Джастін Талер

Збірка: Вернакулярний блокчейн

Хронологія квантових комп’ютерів, пов’язаних із криптографією, часто перебільшується — що призводить до потреби термінового, комплексного переходу до постквантової криптографії.

Але ці заклики часто ігнорують витрати та ризики передчасної міграції та кардинально різні профілі ризиків між криптографічними примітивами:

Постквантове шифрування потребує негайного впровадження, незважаючи на свою вартість: «Атаки Harvest-Now-Decrypt-Later (HNDL) вже розпочалися, адже чутливі дані, зашифровані сьогодні, залишатимуться цінними, коли з’являться квантові комп’ютери, навіть якщо це станеться через десятиліття. Накладні витрати на продуктивність і ризики впровадження після квантового шифрування реальні, але атаки HNDL залишають дані, які потребують довгострокової конфіденційності, без альтернативи.

Постквантові сигнатури стикаються з іншими міркуваннями. Вони менш вразливі до атак HNDL, а їхня вартість і ризики (більший розмір, накладні витрати продуктивності, незріле впровадження та помилки) потребують ретельного розгляду, а не негайної міграції.

Ці відмінності мають вирішальне значення. Непорозуміння можуть спотворювати аналіз витрат і вигод, змушуючи команди ігнорувати більш серйозні ризики безпеки — такі як помилки.

Справжній виклик успішного переходу до постквантової криптографії полягає у поєднанні терміновості з реальними загрозами. Нижче я проллю світло на поширені хибні уявлення про загрозу квантової криптографії — що стосується криптографії, підписів і доказів з нульовим розгадуванням — з особливим акцентом на їхній вплив на блокчейн.

Як просувається наш графік?

Незважаючи на гучні заяви, ймовірність появи квантових комп’ютерів, пов’язаних із криптографією (CRQC), у 2020-х роках надзвичайно низька.

Під «квантовими комп’ютерами, пов’язаними з криптографією» я маю на увазі відмовостійкий, виправляючий помилки квантовий комп’ютер, здатний запускати алгоритми Шора на достатньому масштабі для зламу {secp}256{k}1 або {RSA-2048} атак на еліптичну криву криптографію або RSA у розумний проміжок часу (наприклад, до місяця тривалих обчислень).

Виходячи з будь-якого розумного тлумачення публічних етапів і оцінок ресурсів, ми все ще далекі від криптографічно пов’язаних квантових комп’ютерів. Компанії іноді стверджують, що CRQC може з’явитися до 2030 року або значно раніше, але публічно відомі досягнення не підтверджують цих тверджень.

Для контексту: у всіх сучасних архітектурах — ув’язнених іонах, надпровідних кубітах і нейтральних атомних системах — сучасні квантові обчислювальні платформи не наближаються до сотень тисяч або мільйонів фізичних кубітів, необхідних для запуску атаки алгоритмом Шора {RSA-2048} або {secp}256{k}1 (залежно від рівня помилок і схем корекції помилок).

Обмежувальними коефіцієнтами є не лише кількість кубітів, а й точність затворів, зв’язність кубітів і глибина схем безперервної корекції помилок, необхідних для виконання глибоких квантових алгоритмів. Хоча деякі системи зараз перевищують 1 000 фізичних кубітів, сама сира кількість кубітів є оманливою: ці системи не мають достатньої зв’язності та точності вентиляцій, необхідних для обчислень, пов’язаних із криптографією.

Сучасні системи близькі до фізичного рівня помилок, при якому застосовується квантова корекція помилок, але ніхто не довів, що надто багато логічних кубітів мають безперервну глибину схеми корекції помилок… Не кажучи вже про тисячі високоякісних, глибоколінійних, відмовостійких логічних кубітів, необхідних для запуску алгоритму Шор. Розрив між доведенням принципової можливості квантової корекції помилок і масштабом, необхідним для досягнення криптоаналізу, залишається значним.

Коротко кажучи: якщо кількість кубітів і точність не збільшуються на кілька порядків, квантові комп’ютери, пов’язані з криптографією, все ще залишаються недосяжними.

Однак корпоративні прес-релізи та медіа-висвітлення можуть бути заплутаними. Ось деякі поширені джерела непорозумінь і плутанини, зокрема:

Демонстрації, що заявляють про «квантову перевагу», наразі спрямовані на завдання, створені людиною. Ці завдання були обрані не через їхню корисність, а тому, що вони можуть працювати на вже існуючому обладнанні, водночас демонструючи значне квантове прискорення — факт, який часто розмивається в оголошеннях.

Компанія стверджує, що досягла тисяч фізичних кубітів. Але йдеться про квантові відпалувачі, а не про машини з моделюванням затворів, необхідних для запуску алгоритму Шор для атаки криптографії з відкритим ключем.

Компанія вільно використовує термін «логічні кубіти». Фізичні кубіти шумні. Як уже згадувалося, квантові алгоритми потребують логічних кубітів; Алгоритм Шор потребує тисяч. За допомогою квантової корекції помилок логічний кубіт можна реалізувати з багатьма фізичними кубітами — зазвичай сотнями до тисяч, залежно від рівня похибки. Але деякі компанії продовжили цей термін до невпізнання. Наприклад, нещодавнє оголошення стверджувало, що потрібно використовувати відстань у 2 ярди та реалізувати логічний кубіт лише з двома фізичними кубітами. Це абсурд: відстань у 2 ярди лише виявляє помилки, а не виправляє їх. Справді відмовостійкі логічні кубіти для криптоаналізу потребують сотень або тисяч фізичних кубітів кожен замість двох.

Загалом, багато дорожніх карт квантових обчислень використовують термін «логічні кубіти» для позначення кубітів, які підтримують лише операції Кліффорда. Ці операції можна ефективно виконувати для класичного моделювання, тому їх недостатньо для запуску алгоритму Шора, який потребує тисяч Т-елементів для корекції помилок (або, загалом, не-кліффордових елементів).

Навіть якщо одна з дорожніх карт має на меті «досягти тисяч логічних кубітів у рік X», це не означає, що компанія очікує запустити алгоритм Шор для розкриття класичної криптографії в тому ж році X.

Ці практики суттєво спотворили суспільне сприйняття того, наскільки ми близькі до квантових комп’ютерів, пов’язаних із криптовалютою, навіть серед досвідчених спостерігачів.

Втім, деякі експерти дуже раді прогресу. Наприклад, нещодавно Скотт Ааронсон написав, що з огляду на «нинішню приголомшливу швидкість розробки апаратного забезпечення»,

Тепер я вважаю, що реалістична ймовірність того, що до наступних президентських виборів у США з’явиться стійкий до відмов квантовий комп’ютер, який запускатиме алгоритм Шора.

Але пізніше Ааронсон уточнив, що його твердження не передбачає використання квантових комп’ютерів, пов’язаних із криптографією: він стверджував, що навіть повністю відмовостійкий алгоритм Шора з факторингом 15 = 3 \ помножити на 5 вважається реалізацією — і що обчислення можна виконувати набагато швидше олівцем і папером. Стандартом досі є виконання алгоритму Шора у малому масштабі, а не на криптографічному масштабі, оскільки попередні експерименти з факторизації 15 на квантовому комп’ютері використовували спрощену схему замість повного, відмовостійкого алгоритму Шора. І є причина, чому ці експерименти завжди враховували число 15: арифметичне обчислення модуля 15 легке, тоді як факторування трохи більшого числа, як 21, набагато складніше. Тому квантові експерименти, які стверджують, що розбивають 21, часто використовують додаткові підказки або скорочення.

Простими словами, очікування квантового комп’ютера, пов’язаного з криптографією, здатного зламати {RSA-2048} або {secp}256{k}1 у найближчі 5 років — що критично важливо для реальної криптографії — не підтверджується загальновідомими досягненнями.

Навіть якщо 10 років — це все одно амбітно. Враховуючи, наскільки далеко ми від квантових комп’ютерів, пов’язаних із криптовалютою, захоплення прогресом ідеально вписується у більш ніж десятилітню хронологію.

То що ж із крайнім терміном уряду США — 2035 рік для повномасштабної постквантової (PQ) міграції державних систем? Я вважаю, що це розумний термін для завершення такого масштабного переходу. Однак це не передбачення, що квантові комп’ютери, пов’язані з криптографією, існуватимуть у той час.

До яких ситуацій застосовуються атаки HNDL (а які — ні)?

Атаки Acquire Now, Decrypt Later (HNDL) — це коли противник зберігає зашифрований трафік, а потім розшифровує його, коли існує квантовий комп’ютер, пов’язаний із шифруванням. Противники на рівні національних держав вже масово архівують зашифровані повідомлення уряду США, щоб розшифрувати їх через роки після появи CRQC.

Ось чому крипто потребує негайного переходу — принаймні для тих, хто має потреби в конфіденційності понад 10-50 років.

Але цифрові підписи — усі блокчейни на них спираються — відрізняються від криптографії: немає жодної таємниці, щоб відстежити атаку.

Іншими словами, підробка підписів дійсно можлива з того часу, якщо з’являться квантові комп’ютери, пов’язані з криптографією, але підписи в минулому не «приховують» секрети, як зашифровані повідомлення. Поки ви знаєте, що цифровий підпис був створений до появи CRQC, його не можна підробити.

Це робить перехід до постквантових цифрових підписів менш нагальним, ніж постквантовий перехід шифрування.

Основні платформи діють відповідно: Chrome і Cloudflare запровадили гібридне {X}25519+{ML-KEM} для шифрування безпеки мережевого транспортного рівня (TLS).

У цій статті, для зручності читання, я використовую схеми шифрування, хоча строго кажучи, безпечні протоколи зв’язку, такі як TLS, використовують механізми обміну ключами або інкапсуляції ключів замість шифрування відкритим ключем.

** «гібрид» тут означає використання як ** постквантової схеми безпеки (тобто ML-KEM), так і існуючої схеми ({X}25519) для отримання комбінованої гарантії безпеки обох. Таким чином, вони можуть (сподіваємось) блокувати атаки HNDL за допомогою ML-KEM, залишаючись класично захищеними через {X}25519 у випадках, коли ML-KEM виявився небезпечним навіть для сучасних комп’ютерів.

iMessage від Apple також впровадив цей гібридний постквантовий шифрування через протокол PQ3, а Signal також розгорнув його через протоколи PQXDH і SPQR.

Для порівняння, впровадження постквантових цифрових підписів у критичну мережеву інфраструктуру відкладається до появи квантових комп’ютерів, пов’язаних із криптографією, оскільки сучасні постквантові схеми підпису призводять до зниження продуктивності (про це далі).

zkSNARK — нульові лаконічні неінтерактивні аргументи знань, які є ключем до довгострокової масштабованості та конфіденційності блокчейну — перебувають у схожій ситуації з підписами. Це пов’язано з тим, що їхні властивості нульового знання є постквантово безпечними навіть для не-постквантових безпечних {zkSNARK} (які використовують еліптичну криву криптографію, як і сучасні не-постквантові криптографії та схеми підписів).

Атрибут нульового знання гарантує, що жодна інформація про таємних свідків не буде розкрита у доказах — навіть для квантового противника — тому немає конфіденційної інформації для «першого отримання» для подальшого розшифрування.

Отже, {zkSNARK} не схильні до атак «спочатку знайдіть і розшифруєте». Так само, як не-постквантові підписи, створені сьогодні, є безпечними, будь-який доказ {zkSNARK}, створений до появи криптографічно пов’язаних квантових комп’ютерів, є надійним (тобто доведені твердження абсолютно істинні) — навіть якщо {zkSNARK} використовує криптографію еліптичних кривих. Лише після появи криптографічно значущих квантових комп’ютерів зловмисники можуть знайти переконливі докази неправдивих тверджень.

Що це означає для блокчейну

Більшість блокчейнів не піддаються атак HNDL:

Більшість ланцюгів, що не пов’язані з приватністю, таких як Bitcoin і Ethereum сьогодні, переважно використовують не-постквантову криптографію для авторизації транзакцій — тобто вони використовують цифрові підписи, а не шифрування.

Знову ж таки, ці сигнатури не є ризиками HNDL: атаки «Отримай першим, потім розшифруй» підходять для шифрування даних. Наприклад, блокчейн Bitcoin є публічним; Квантова загроза — це підробка підписів (отримання приватних ключів для викрадення коштів), а не розшифрування даних транзакцій, які вже стали публічними. Це усуває негайну терміновість шифрування, яка виникає при атаках HNDL.

На жаль, навіть аналіз надійного джерела, такого як Федеральна резервна система, помилково стверджує, що біткоїн вразливий до атак HNDL, що перебільшує терміновість переходу до постквантової криптографії.

Водночас зменшена терміновість не означає, що Bitcoin може чекати: він стикається з різними термінами через величезну соціальну координацію, необхідну для зміни протоколу.

Єдиним винятком на сьогодні є ланцюги конфіденційності, багато з яких шифрують або іншим чином приховують отримувача та суму. Коли квантові комп’ютери зможуть розкривати криптографію еліптичних кривих, цю конфіденційність можна отримати та ретроспективно деанонімізувати.

Для таких ланцюгів конфіденційності ступінь атаки залежить від дизайну блокчейну. Наприклад, для криволінійного кільцевого підпису та ключового зображення Monero (мітка зв’язку для кожного результату, що використовується для зупинки подвійних витрат), публічний реєстр достатній для реконструювання графіка витрат заднім числом. Але в інших ланцюгах шкода обмежена — детальніше дивіться обговорення криптоінженера та дослідника Zcash Шона Боу.

Якщо важливо, щоб транзакції користувачів не були викриті криптографічно пов’язаними квантовими комп’ютерами, то ланцюги конфіденційності повинні якнайшвидше перейти до постквантових примітивів (або гібридних схем). Альтернативно, варто застосувати архітектуру, яка уникає розміщення розшифрованих секретів у ланцюжку.

Особлива головоломка біткоїна: управління + покинуті монети

Для Bitcoin зокрема існують дві реалії, які стимулюють терміновість переходу до постквантових цифрових підписів. Жоден із них не має нічого спільного з квантовими технологіями.

Одне з проблем — швидкість управління: Bitcoin повільно змінюється. Якщо спільнота не може дійти згоди щодо належного рішення, будь-яке суперечливе питання може спричинити шкідливий хардфорк.

Ще одна проблема полягає в тому, що квантові підписи не можуть бути пасивно мігровані після перемикання біткоїна: власники повинні активно мігрувати свої монети. Це означає, що покинуті, квантово вразливі монети не можуть бути захищені. Деякі оцінки оцінюють кількість квантово-вразливих і потенційно покинутих BTC у мільйони, що становить десятки мільярдів доларів за поточними цінами (станом на грудень 2025 року).

Однак квантова загроза для Bitcoin не стане раптовою, миттєвою катастрофою… Це скоріше вибірковий, поступовий процес таргетингу. Квантові комп’ютери не зламують усі шифрування одночасно — алгоритм Шор повинен націлитися на один публічний ключ за раз. Ранні квантові атаки будуть надзвичайно дорогими та повільними. Отже, як тільки квантовий комп’ютер зможе зламати один ключ для підпису біткоїна, зловмисники вибірково полюватимуть на високоцінні гаманці.

Крім того, користувачі, які уникають повторного використання адрес і не використовують Taproot адреси — які відкривають публічні ключі безпосередньо на ланцюгу — здебільшого захищені навіть без змін у протоколі: їхні публічні ключі приховані за хеш-функціями до того, як їхні монети будуть витрачені. Коли вони нарешті транслюють транзакцію з витратами, публічний ключ стає видимим, і відбувається коротка гонка в реальному часі між чесними витратниками, які хочуть підтвердити транзакцію, і зловмисниками, оснащеними квантами, які хочуть знайти приватні ключі та витратити ці монети до того, як транзакція буде завершена справжнім власником. Отже, справжні вразливі монети — це ті, чиї публічні ключі були розкриті: ранні виходи K від peer-to-peer, повторно використані адреси та активи Taproot.

Немає простого рішення для вразливих монет, які були покинуті. Деякі варіанти включають:

Спільнота Bitcoin погоджується на «день маркування», після якого всі монети, які не були мігровані, оголошуються спаленими.

Залишити покинуті квантові вразливі монети може легко забрати будь-хто, хто має квантові комп’ютери, пов’язані з криптографією.

Другий варіант створює серйозні юридичні та безпекові проблеми. Використання квантових комп’ютерів для володіння монетами без приватного ключа — навіть якщо заявлено про законне право власності або добрі наміри — може спричинити серйозні проблеми за законами про крадіжки та комп’ютерне шахрайство в багатьох юрисдикціях.

Крім того, сама «покинутість» базується на презумпції бездіяльності. Але ніхто насправді не знає, чи немає цих монет живих власників із ключами. Докази того, що ви колись володіли цими монетами, можуть бути недостатніми для отримання юридичного дозволу на злам криптозахисту з метою їх повернення. Ця юридична неоднозначність підвищує ймовірність того, що покинуті квантові вразливі монети потраплять до рук зловмисних осіб, готових ігнорувати юридичні обмеження.

Остання проблема, унікальна для біткоїна, — це низька пропускна здатність транзакцій. Навіть якщо план міграції буде затверджений для міграції всіх квантово-вразливих коштів на адреси після квантової безпеки, це займе місяці за поточним темпом транзакцій Bitcoin.

Ці виклики роблять надзвичайно важливим для Bitcoin почати планування постквантового переходу вже зараз — не тому, що квантові комп’ютери, пов’язані з криптовалютою, можуть з’явитися до 2030 року, а тому, що управління, координація та технічна логістика, необхідні для міграції багатомільярдних монет, займуть роки.

Квантова загроза для Bitcoin реальна, але тиск часової лінії походить від самих обмежень біткоїна, а не від найближчого квантового комп’ютера. У той час як інші блокчейни стикаються з власними проблемами з квантово-вразливим фінансуванням, біткоїн стикається з унікальною експозицією: його перші транзакції використовували вихід за допомогою pay-to-public key (peer-to-peer K), розміщуючи публічні ключі безпосередньо на ланцюзі, що робить значну частину BTC особливо вразливою до квантових комп’ютерів, пов’язаних із криптографією. Ця технічна різниця — у поєднанні з віком біткоїна, його концентрацією, його концентрацією, низькою пропускною здатністю та жорстким управлінням — робить проблему особливо серйозною.

Зверніть увагу, що вразливість, описана вище, стосується криптографічної безпеки цифрових підписів біткоїна — але не економічної безпеки блокчейну Біткоїна. Ця економічна безпека випливає з механізму консенсусу proof-of-work (PoW), який менш вразливий до атак квантових комп’ютерів з трьох причин:

PoW базується на хешуванні, тому на нього впливає лише квадратичне квантове прискорення алгоритму пошуку Гровера, а не експоненціальне прискорення алгоритму Шора.

Фактичні витрати на впровадження пошуку Grover роблять дуже малоймовірним, що будь-який квантовий комп’ютер зможе досягти навіть помірного фактичного прискорення механізму proof-of-work у Bitcoin.

Навіть якщо буде досягнуто значних прискорень, ці прискорення дадуть великим квантовим майнерам перевагу над меншими, не підриваючи при цьому економічну модель безпеки Bitcoin.

Вартість і ризики постквантових підписів

Щоб зрозуміти, чому блокчейни не повинні поспішати з впровадженням постквантових підписів, нам потрібно усвідомити вартість продуктивності та нашу впевненість у тому, що постквантова безпека все ще розвивається.

Більшість постквантової криптографії базується на одному з п’яти наступних методів:

хеш (hashing)

Кодування (codes)

Сітка (lattices)

(multivariate квадратичних систем, MQ)

Споріднене (isogenies).

Чому існує п’ять різних підходів? Безпека будь-яких примітивів після квантового шифрування базується на припущенні, що квантові комп’ютери не можуть ефективно розв’язувати конкретні математичні задачі. Чим більш «структурована» проблема, тим ефективнішим криптографічним протоколом ми можемо побудувати з неї.

Але це має свої плюси і мінуси: додаткова структура також створює більше простору для використання алгоритмами атак. Це створює фундаментальну суперечність — сильніші припущення ведуть до кращої продуктивності, але ціною потенційних вразливостей безпеки (тобто підвищеної ймовірності того, що припущення виявляться хибними).

Загалом, хешові підходи є найконсервативнішими з точки зору безпеки, оскільки ми найбільш впевнені, що квантові комп’ютери не зможуть ефективно атакувати ці протоколи. Але вони також найгірші результати. Наприклад, стандартизовані NIST схеми підпису на основі хешу мають розмір 7-8 КБ, навіть з мінімальними параметрами. Для порівняння, сучасні цифрові підписи на основі еліптичних кривих мають лише 64 байти. Це приблизно у 100 разів більша різниця у розмірах.

Grid-рішення є основним фокусом сучасних впроваджувань. NIST обрав унікальну криптографічну схему для стандартизації, і два з трьох алгоритмів підпису базуються на ґратці. Одна з решіткових схем (ML-DSA, раніше відома як Dilithium) створює підписи розміром від 2,4 КБ (при 128-бітному рівні безпеки) до 4,6 КБ (при 256-бітному рівні безпеки) — що робить її приблизно у 40-70 разів більшою за сучасні сигнатури на основі еліптичних кривих. Інша схема сітки, Falcon, має трохи менший підпис (666 байт для Falcon-512 і 1,3 КБ для Falcon-1024), але з складними операціями з плаваючою комою, які NIST сам позначає як особливий виклик реалізації. Томас Порнін, один із творців Falcon, назвав це «найскладнішим алгоритмом шифрування, який я коли-небудь впроваджував».

Безпека реалізації цифрових підписів на основі сітки також є складнішою, ніж схеми підпису на основі еліптичних кривих: ML-DSA має більш чутливі проміжні сигнатури та нетривіальну логіку відкинутої вибірки, що вимагає побічного каналу та аварійного захисту. Falcon додає задачу з плаваючою комою з постійним часом; Насправді, кілька побічних атак на реалізацію Falcon відновили секретний ключ.

Ці проблеми становлять негайну загрозу, на відміну від віддаленої загрози квантових комп’ютерів, пов’язаних із криптографією.

Існують вагомі причини бути обережними при впровадженні більш продуктивних методів постквантової криптографії. Історично провідні кандидати, такі як Rainbow (схема підпису на основі MQ) та SIKE/SIDH (криптографічна схема на основі гомологічної форми), були класично зламані, тобто з використанням сучасних комп’ютерів, а не квантових комп’ютерів.

Це сталося дуже пізно в процесі стандартизації NIST. Це і є наука про здоров’я, але вона показує, що передчасна стандартизація та впровадження можуть обернутися проти них.

Як уже згадувалося, інтернет-інфраструктура застосовує цілеспрямований підхід до міграції підписів. Це особливо примітно, враховуючи, скільки часу займе криптовалютний перехід інтернету, коли він почнеться. Перехід від хеш-функцій MD5 та SHA-1 — технічно застарілих мережевими губернаторами кілька років тому — зайняв багато років для фактичного впровадження в інфраструктурі і, в деяких випадках, досі триває. Це відбувається тому, що ці схеми повністю зламані і не лише потенційно вразливі до майбутніх технологій.

Унікальні виклики блокчейну та інтернет-інфраструктури

На щастя, блокчейни, такі як Ethereum або Solana, які активно підтримуються спільнотою відкритих розробників, можна оновити швидше, ніж традиційну мережеву інфраструктуру. Традиційна мережева інфраструктура, навпаки, виграє від частого обертання ключів, що означає, що її атака рухається швидше, ніж ранні квантові машини могли націлитися — розкіш, якої не було у блокчейнів, адже монети та пов’язані з ними ключі можуть бути безкінечно відкриті.

Але загалом блокчейни все одно повинні дотримуватися продуманого підходу мережі до міграції підписів. Жодна з налаштувань підписів не піддається атакам HNDL, і вартість і ризик передчасної міграції на незрілу постквантову схему залишаються значними, незалежно від того, як довго тримається ключ.

Існують також специфічні для блокчейну виклики, які роблять передчасну міграцію особливо ризикованою та складною: наприклад, блокчейни мають унікальні вимоги до схем підписів, особливо можливість швидко агрегувати багато підписів. Сьогодні BLS-підписи широко використовуються через їхню здатність досягати дуже швидкої агрегації, але вони не є постквантовими безпечними. Дослідники досліджують агрегацію постквантових підписів на основі SNARK. Робота обнадійлива, але ще на початковій стадії.

Для SNARK спільнота наразі зосереджена на структурах на основі хешу як провідному постквантовому варіанті. Але наближається велика зміна: я вірю, що в найближчі місяці та роки решіткові варіанти стануть привабливими альтернативами. Ці альтернативи матимуть кращу продуктивність, ніж хеш-орієнтовані {SNARKs}, у різних аспектах, наприклад, коротші докази — подібно до решіткових підписів, які коротші за хеш-підписи.

Більша проблема — це впровадження безпеки

У найближчі роки впровадження вразливостей буде більшим ризиком для безпеки, ніж квантові комп’ютери, пов’язані з криптографією. Для {SNARKs} головне занепокоєння — це баги.

Помилки програм вже є проблемою для цифрових підписів і схем шифрування, а {SNARKs} набагато складніші. Справді, схему цифрового підпису можна уявити як дуже просту {zkSNARK} для заяви: «Я знаю приватний ключ, що відповідає моєму публічному ключу, і я санкціоновав це повідомлення.»

Для постквантових сигнатур негайними ризиками також належать атаки на реалізацію, такі як атаки через побічні канали та ін’єкції збоїв. Такі типи атак добре задокументовані і можуть витягувати секретні ключі з розгорнутих систем. Вони становлять більш безпосередню загрозу, ніж далекі квантові комп’ютери.

Спільнота протягом років працюватиме над виявленням і виправленням помилок програм у {SNARKs} та посиленням реалізацій постквантового підпису для протистояння атакам через побічні канали та ін’єкції збоїв. Оскільки пил на постквантових {SNARKs} та схемах агрегації підписів ще не врегульовані, блокчейни, які переходять надто рано, ризикують бути заблокованими у неоптимальних схемах. Можливо, їм доведеться знову мігрувати, коли з’являться кращі варіанти або виявляться вразливості реалізації.

Що нам робити? 7 рекомендацій

Враховуючи реалії, які я описав вище, я завершу рекомендаціями для різних зацікавлених сторін — від будівельників до політиків. Перший принцип: сприймайте квантові загрози серйозно, але не дійте за припущенням, що квантові комп’ютери, пов’язані з криптографією, з’являться раніше 2030 року. Це припущення не підтверджується нинішнім прогресом. Проте є кілька речей, які ми можемо і повинні зробити зараз:

Ми повинні негайно впровадити гібридне шифрування.

Або принаймні у випадках, коли довгострокова конфіденційність є важливою та доступною.

Багато браузерів, CDN та месенджерів, таких як iMessage і Signal, впровадили гібридні підходи. Гібридний підхід — постквантовий + класичний — може захищатися від атак HNDL, одночасно хеджуючи потенційні слабкі місця в постквантових схемах.

Використовуйте хеш-підписи, щойно розмір стане доступним.

Оновлення програмного забезпечення/прошивки — та інші подібні низькочастотні, нечутливі до розміру сценарії — повинні негайно перейти на гібридні хеш-підписи. (Змішування призначене для захисту від помилок реалізації в новому сценарії, а не через сумніви щодо припущень безпеки на основі хешу.) ）

Це консервативно і забезпечує чіткий «рятівний човен» для суспільства у малоймовірному випадку несподіваної ранньої появи квантових комп’ютерів, пов’язаних із криптографією. Без попереднього впровадження оновлень програмного забезпечення після появи CRQC ми зіткнемося з проблемами завантаження: ми не зможемо безпечно розповсюджувати постквантові криптографічні виправлення, необхідні для захисту від цього.

Блокчейнам не потрібно поспішати з розгортанням постквантових підписів — але планування має розпочатися негайно.

Розробники блокчейну повинні наслідувати лідерство спільноти PKI мережі та обдумано підходити до розгортання постквантового підпису. Це дозволяє схемам постквантового підпису продовжувати розвиватися з точки зору продуктивності та нашого розуміння їхньої безпеки. Такий підхід також дає розробникам час переосмислити систему для обробки більших підписів і розробки кращих методів агрегування.

Для біткоїна та інших L1: спільнота має визначити шляхи міграції та політику щодо покинутих квантових вразливих фондів. Пасивна міграція неможлива, тому планування є необхідним. І оскільки Bitcoin стикається з особливими нетехнічними викликами — повільним управлінням і великою кількістю високоцінних, потенційно покинутих квантово вразливих адрес — особливо важливо, щоб спільнота Bitcoin починала планувати вже зараз.

Водночас потрібно дозволити дослідженням постквантових {SNARKs} та агрегуваних підписів дозрівати (що може зайняти кілька років). Знову ж таки, передчасні міграції ризикують бути заблокованими в неоптимальному сценарії або вимагати другої міграції для усунення помилок реалізації.

Невелика нотатка про модель акаунтів Ethereum: Ethereum підтримує два типи рахунків, які мають різні наслідки для постквантової міграції — зовнішній акаунт (EOAs), традиційний тип акаунта, контрольований приватним ключем {secp}256{k}1; та гаманці смарт-контрактів із програмованою логікою авторизації.

У неекстрених ситуаціях, якщо Ethereum додасть підтримку постквантового підпису, гаманці смарт-контрактів з можливістю оновлення можуть перейти на постквантову верифікацію через оновлення контрактів — і EOA можуть знадобитися перевести свої кошти на нові адреси після квантової безпеки (хоча Ethereum, ймовірно, також надасть спеціальний механізм міграції для EOA).

У разі квантової надзвичайної ситуації дослідники Ethereum запропонували план хардфорку для заморожування вразливих акаунтів і дозволу користувачам відновлювати кошти, використовуючи постквантову безпеку {SNARKs} для підтвердження знання своїх початкових фраз. Цей механізм відновлення застосовуватиметься до EOA та будь-яких смарт-контрактних гаманців, які ще не були оновлені.

Реальний вплив на користувачів: Добре аудитований, оновлений гаманець смарт-контракту може запропонувати трохи плавніший шлях міграції — але не суттєво відрізнятися, і має компроміси у вигляді довіри до постачальників гаманців та покращеного управління. Ще важливіше, що спільнота Ethereum продовжує працювати над постквантовими примітивами та планами реагування на надзвичайні ситуації.

Ширші уроки дизайну для будівельників: багато блокчейнів сьогодні тісно пов’язують ідентичність акаунтів із конкретними криптографічними примітивами — Bitcoin та Ethereum з підписами ECDSA на {secp}256{k}1, а інші ланцюги — з EdDSA. Виклики постквантової міграції підкреслюють цінність відокремлення ідентичності облікових записів від будь-якої конкретної схеми підпису. Перехід Ethereum до розумних акаунтів та подібні зусилля з абстракції акаунтів в інших ланцюгах відображають цю тенденцію: це дозволяє акаунтам оновлювати логіку автентифікації, не розкриваючи свою історію та стан. Таке розмежування не робить постквантову міграцію простою, але дає більше гнучкості, ніж жорстке кодування облікових записів у єдину схему підпису. (Це також підтримує непов’язані функції, такі як спонсоровані транзакції, соціальне відновлення та мультипідпис).

Для ланцюгів конфіденційності вони шифрують або приховують деталі транзакцій, і ранніші переходи мають бути пріоритетом, якщо продуктивність доступна.

Конфіденційність користувачів у цих ланцюгах наразі піддається атакам HNDL, хоча ступінь залежить від конструкції. Ланцюги, які можуть забезпечити повну відстежуваність і деанонімізацію лише за допомогою публічних реєстрів, стикаються з найнагальнішими ризиками.

Розглянемо гібридні схеми (постквантові + класичні), щоб запобігти нестабільності нібито постквантових схем навіть класично, або впровадити архітектурні зміни, які уникають розміщення розшифрованих секретів у ланцюжку.

У найближчому майбутньому пріоритетно ставте безпеку вище за зменшення квантових загроз.

Особливо для складних криптографічних примітивів, таких як {SNARKs} та постквантові сигнатури, помилки програм і атаки на реалізацію (атаки на побічні канали, ін’єкція помилок) у найближчі роки становлять значно більші ризики для безпеки, ніж квантові комп’ютери, пов’язані з криптографією.

Інвестуйте в аудит, фазз, формальну верифікацію та підходи до захисту з глибокими/багаторівневими захистами вже сьогодні — не дозволяйте квантовим проблемам приховувати більш нагальні загрози помилок програм!

Фінансування розвитку квантових обчислень.

Важливим наслідком для національної безпеки всього вищезазначеного є необхідність подальшого фінансування та розвитку талантів у квантових обчисленнях.

Серйозний противник, який дозволить квантові обчислювальні потужності, пов’язані з криптовалютою, раніше за Сполучені Штати, становитиме серйозну загрозу національній безпеці для нас і решти світу.

Зберігайте перспективу щодо анонсів квантових обчислень.

У міру дозрівання квантового апаратного забезпечення в найближчі роки буде багато важливих етапів. Парадоксально, але частота таких оголошень сама по собі доводить, наскільки ми далеко від квантових комп’ютерів, пов’язаних із криптовалютою: кожна віха — це один із багатьох мостів, які ми маємо подолати, щоб досягти цієї точки, і кожен із яких створює власну хвилю заголовків і захоплення.

Думайте про пресрелізи як про звіти про прогрес, які потребують критичної оцінки, а не як поштовх до раптових дій.

Звісно, можуть бути несподівані кроки або очікувані терміни для прискорення інновацій, так само як і серйозні обмеження розширення, які їх продовжують.

Я б не стверджував, що квантові комп’ютери, пов’язані з криптографією, абсолютно неможливі, просто надзвичайно малоймовірні. Вищезазначені рекомендації є стійкими до цієї невизначеності, і їх дотримання дозволяє уникнути більш негайних і ймовірних ризиків: помилок впровадження, поспішного розгортання та звичних невдач у крипто-переходах.