Квантовая угроза для блокчейна и очистка компьютерной безопасности: от 5 лет, 10 лет к текущему пути защиты

Исследователи из a16z указали на интересный факт в области цифровой безопасности: угроза квантовых компьютеров реальна, но сроки, в которые люди начинают паниковать, могут быть на десять или даже двадцать лет раньше. Вот что нужно знать, чтобы избавиться от путаницы и начать разумно действовать.

Таймлайн квантовых компьютеров: сколько времени осталось на самом деле?

Медийные новости часто создают иллюзию, что квантовые компьютеры, способные взломать RSA-2048 или secp256k1, появятся к 2030 году. Но правда скрыта в деталях.

Квантовый компьютер, способный взломать криптографию, должен соответствовать строгим требованиям: исправлять ошибки эффективно, запускать алгоритм Шора в полном объёме и иметь “логические кубиты” (logical qubits) в количестве тысяч, а не только физические биты.

На сегодняшний день системы, которые считаются лучшими, находятся на стадии “доказательства концепции”, то есть — “мы можем настроить устройство, но ещё не уверены в его полном функционировании”. Основные проблемы:

• недостаточная связность между битами
• низкое качество гейтов (gate fidelity)
• невозможность запустить более нескольких логических кубитов, тогда как требуется сотни или тысячи

Биткоин и Эфириум имеют ещё время. Проверенные исследования не подтверждают возможность взлома за пять лет, хотя подчеркивают необходимость технической готовности в долгосрочной перспективе.

Атака “захватить сейчас — расшифровать потом” (HNDL): кому это реально угрожает?

Здесь возникает путаница, которая превращается в настоящую угрозу.

Для зашифрованных данных: угроза HNDL реальна. Если ваши данные зашифрованы RSA или эллиптическими кривыми сегодня, злоумышленники могут их хранить и ждать появления квантового компьютера. Поэтому для секретов на долгий срок (10–50 лет) рекомендуется сразу перейти на постквантовые алгоритмы. Apple iMessage и Signal уже используют гибридные подходы, сочетающие классические и постквантовые методы.

Для цифровых подписей: ситуация иная.

Цифровые подписи не содержат “секретных” данных, которые нужно защищать. Они не подвержены HNDL, если можно доказать, что подпись создана до появления квантового компьютера. Такие подписи останутся безопасными, потому что злоумышленник не сможет их подделать задним числом без квантового компьютера.

Именно поэтому Google Chrome и Cloudflare уже перешли на постквантовые алгоритмы для TLS. Но инфраструктура интернета всё ещё медлит с заменой подписей на постквантовые.

Как повлияет блокчейн?

Большинство блокчейнов не подвержены серьёзной угрозе HNDL, поскольку:

• транзакции публичны, и их нельзя “подделать” без взлома подписи
• основная опасность — кража ключей через подделку подписи, а не расшифровка данных

Это подтверждается и ошибочными заявлениями Федерального резерва, который ошибочно утверждал, что Bitcoin подвержен HNDL, что привело к неправильным приоритетам.

Приватные цепочки (например, Monero): отличаются, так как часть данных зашифрована (адрес получателя, сумма). Если появится квантовый компьютер, эти данные могут стать уязвимыми, и цепочка потребуется перейти на постквантовые примитивы как можно скорее.

Особенности биткоина: не только технические проблемы

У биткоина есть свои уникальные сложности, отличные от научных аспектов:

1. Медленная адаптация: изменение протокола — сложный и рискованный процесс, возможен форк, который может расколоть сообщество.
2. “Заснувшие” монеты: миллионы биткоинов остаются неиспользованными, но их безопасность зависит от текущих алгоритмов. Появление квантовых компьютеров может дать злоумышленникам возможность их украсть.
3. Производительность: биткоин обрабатывает мало транзакций в секунду. Даже при переходе на постквантовые подписи, перенос всех уязвимых монет может занять месяцы.

Поэтому биткоин должен начать подготовку уже сейчас — не потому, что угроза появится в 2030 году, а потому что процессы управления и согласования требуют времени.

Стоимость и риски постквантовых подписей

Перед быстрым переходом важно понять ограничения новых алгоритмов.

Алгоритмы, стандартизированные NIST (например, ML-DSA и Falcon), имеют важные особенности:

• Размер подписей увеличен: ML-DSA — от 2.4 до 4.6 кБ, в 40–70 раз больше, чем текущие ECDSA (64 байта).
• Falcon: меньшие подписи (0.7–1.3 кБ), но очень сложные в реализации и уязвимые к side-channel атакам. Разработчики называют его “самым сложным алгоритмом, который я когда-либо использовал”.

Риски использования: lattice-based подписи более уязвимы к физическим атакам, чем ECDSA. Требуются дополнительные меры защиты.

Исторический урок: предыдущие стандарты NIST (Rainbow, SIKE) были взломаны классическими компьютерами, что показывает опасность преждевременного стандартизации.

Не нужно торопиться менять подписи, важно — планировать

Ключевые рекомендации:

• Для шифрования: использовать гибридные постквантовые схемы (например, X25519 + ML-KEM) уже сегодня. Chrome и Cloudflare делают это.
• Для подписей: ситуация сложнее. В текущий момент риски реализации и эксплуатации превышают угрозу квантовых атак. Поэтому важно планировать и ждать развития технологий, а не торопиться.

9 советов по защите

01. Немедленно начать использовать гибридное постквантовое шифрование

Для секретных данных на долгий срок — применять гибридные схемы (например, X25519 + ML-KEM), которые обеспечивают forward secrecy и квантовую защиту.

02. Использовать хэшированные подписи там, где это уместно

Для неподписываемых часто данных (например, обновлений прошивки) лучше применять хэшированные подписи — они безопаснее, хоть и большие.

03. Блокчейны должны планировать, а не торопиться

Создавать дорожные карты по переходу на постквантовые подписи, но не внедрять их сразу. Важна подготовка, а не паника.

04. Усилить внедрение новых алгоритмов

Проводить формальную проверку, fuzz-тестирование, аудит. Риски реализации (side-channel, ошибки) важнее, чем квантовые угрозы сегодня.

05. Биткоин должен установить “крайний срок миграции”

Договориться о сроках, после которых уязвимые монеты будут либо уничтожены, либо переведены.

06. Ждать развития Lattice-based SNARKs

Требуются подписи с агрегированием, чтобы снизить нагрузку на блокчейн. Это может занять годы.

07. Воспользоваться опытом PKI-структур

Инфраструктура TLS/X.509 уже прошла путь адаптации. Блокчейн должен учиться на ошибках и не торопиться с внедрением.

08. Обеспечить смену структур, связанных с приватностью

Если данные зашифрованы, перейти на постквантовые гибридные схемы, чтобы защититься от HNDL.

09. Оценивать приоритеты риска

• В краткосрочной перспективе: уязвимости программного обеспечения и side-channel атаки важнее.
• В среднесрочной: управление переходом биткоина и согласование в сообществе.
• В долгосрочной: многоуровневая защита и стратегия defense-in-depth.

Итог: что значит “очистка” цифровой безопасности?

“Очистка” от угроз квантовых компьютеров — это не паника и не поспешные реакции на новости. Это означает:

1. Понимать различия: риск HNDL для шифрования — совсем не тот же, что для подписей и zero-knowledge proofs.
2. Реально оценивать сроки: квантовые компьютеры, способные взломать шифрование, останутся ещё минимум на 10 лет. Не позволяйте новостям сбивать вас с толку.
3. Рационально управлять рисками: использовать гибридные схемы уже сегодня, планировать смену подписей, выбирать подходящее время.
4. Понимать приоритеты: в ближайшие 3–5 лет уязвимости программного обеспечения и side-channel атаки важнее, чем квантовые угрозы.
5. Блокчейн — особая история: управление и согласование в сообществе — ключевые факторы, а не только научные достижения.

“Очистка” цифровой безопасности — это не реакция паники, а осознанная, системная работа, которая достигает целей защиты, не падая в ловушку страха и спешки.