Квантовий ризик для блокчейну та очищення комп'ютерної безпеки: від 5 років, 10 років до поточного шляху захисту

Вчені з a16z підкреслюють цікаві факти щодо очищення цифрової безпеки комп’ютерів: загроза квантового зламу справжня, але час, коли люди почнуть хвилюватися, може бути швидше на десять або навіть двадцять років. Це те, що потрібно знати, щоб уникнути плутанини і почати діяти розумно.

Квантова хронологія: скільки часу залишилось насправді?

Новини часто створюють ілюзію «запуску» — що квантовий комп’ютер, здатний розшифрувати RSA-2048 або secp256k1, з’явиться вже у 2030 році. Але реальність прихована у деталях.

Квантовий комп’ютер, здатний до криптографічних задач, має відповідати суворим вимогам: потрібно виправляти помилки, що мають значення, здатність реально запускати алгоритм Шора і мати «логічні кубіти» (logical qubits) у кількості тисяч, а не лише фізичні біти, що є головною новиною.

На сьогоднішній день найкращі системи перебувають у стадії «доказу концепції», тобто можна сказати, що «налаштовані працювати, але ще не мають серця». Основні проблеми:

• недостатній зв’язок між бітами
• низька точність гейтов (gate fidelity), що не відповідає безпечним стандартам
• неможливість запуску більше кількох логічних кубітів — далеко до тисячі, необхідної для серйозних задач

Біткойн і Етеріум мають ще час. Перевірені дослідження не підтримують ідею, що атаки стануть можливими протягом п’яти років, але вони підвищують технічну обізнаність у довгостроковій перспективі.

Атака «крадіжка зараз, розшифрування потім» (HNDL): хто справді під ризиком?

Тут плутанина перетворюється на справжню загрозу.

Для зашифрованих даних: Загроза HNDL реальна. Якщо ваші дані зашифровані RSA або еліптичними кривими сьогодні, зловмисник може зберігати їх і чекати появи квантового комп’ютера. Тому для довгострокових секретів (10–50 років) слід одразу перейти на постквантове шифрування. Це вже зробили Apple iMessage і Signal, застосовуючи гібридний підхід, що поєднує традиційні та постквантові методи.

Для цифрових підписів: Це зовсім інша справа.

Цифрові підписи не мають «секрету», який потрібно захищати, тому вони не піддаються HNDL. Якщо ви можете довести, що підпис був створений до появи квантового комп’ютера, він залишатиметься безпечним. Адже без квантового комп’ютера у минулому зловмисник не зможе підробити підпис.

Саме тому Google Chrome і Cloudflare вже перейшли на постквантове шифрування для TLS, але інфраструктура Інтернету рухається повільніше у зміні підписів на постквантові.

Як вплине на блокчейн?

Більшість блокчейнів не піддаються високому ризику HNDL через характер їх використання.

Біткойн і Етеріум: їхні транзакції публічні. Основний ризик — підробка підписів (крадіжка монет), а не розшифрування. Тому HNDL не є головною проблемою, що прискорює їхній розвиток.

Це плутанина також відображена у звітах Федерального резерву, які неправильно стверджували, що Bitcoin під загрозою HNDL. Це спотворює пріоритети.

Приватні блокчейни (Privacy Chains): Monero і подібні структури відрізняються, оскільки більша частина даних зашифрована (адреси отримувачів, суми). Якщо з’явиться квантовий комп’ютер, ці дані можуть стати відкритими, що дозволить відновлювати та узгоджувати транзакції. Тому приватні блокчейни мають швидко перейти на постквантові примітиви.

Особливі виклики Bitcoin: не лише технічні

Bitcoin має окремі проблеми, що відрізняються від загальної науки:

1. Повільна зміна: зміни протоколу можуть спричинити «жорсткий форк», що руйнує спільноту. Процес управління дуже повільний і складний.

2. «Заснули» монети: мільйони Bitcoin залишаються невикористаними, але мають «квантовий захист». З появою квантового комп’ютера зловмисники можуть викрасти ці монети.

3. Пропускна здатність: Bitcoin обробляє транзакції досить повільно. Навіть якщо перейти на постквантові підписи, переміщення всіх ризикованих монет може зайняти місяці.

Тому Bitcoin потрібно починати планувати вже зараз — не через те, що квантова загроза з’явиться у 2030 році, а через тривалість процесів управління і координації.

Вартість і ризики постквантових підписів

Перед тим, як поспішати з оновленням систем, потрібно зрозуміти особливості нових алгоритмів.

Стандарти NIST для постквантових алгоритмів, зокрема ML-DSA і Falcon (на основі решіткової теорії), мають важливі обмеження:

Розмір підпису: ML-DSA — 2,4–4,6 кБ, тоді як сучасний ECDSA — 64 байти. Це у 40–70 разів більше.

Falcon: хоча підпис має малий розмір (0,7–1,3 кБ), він дуже складний у реалізації і має вразливості side-channel. Автори назвали його «найскладнішим алгоритмом, який я коли-небудь застосовував».

Ризики застосування: lattice-based підписи більш вразливі до фізичних атак, ніж ECDSA. Вони вимагають захисту рівня федеральних стандартів.

Історичний урок: попередні стандарти NIST, такі як Rainbow і SIKE, були зламані класичними комп’ютерами. Це попередження, що поспішні стандарти — небезпечні.

Не потрібно поспішати з заміною підписів, але потрібно планувати

Ключові моменти:

Для шифрування: вже сьогодні використовувати гібридне постквантове шифрування (наприклад, X25519 + ML-KEM). Це вже зроблено Chrome і Cloudflare, і це прийнятно за продуктивністю.

Для підписів: ситуація інша. Ризики реалізації зараз більші за потенційні загрози від квантових комп’ютерів. Тому потрібно планувати і чекати, а не зволікати.

9 рекомендацій для захисту

01. Впроваджуйте гібридне постквантове шифрування негайно

Для довгострокової секретності використовуйте гібридні рішення (наприклад, X25519 + ML-KEM), що зберігають forward secrecy і додають квантовий захист.

02. Використовуйте хеш-орієнтовані підписи там, де це можливо

Для підписів, що не потребують частого оновлення (наприклад, прошивки), найкращим варіантом є хеш-орієнтовані підписи, хоча вони великі.

03. Блокчейни не потрібно поспішати, але потрібно планувати

Розробіть дорожню карту переходу на постквантові підписи, не поспішайте з впровадженням, враховуючи пункт 04.

04. Забезпечте міцність застосування

Застосовуйте формальну перевірку, fuzz-тестування, аудит нових алгоритмів. Ризики side-channel атак зараз значно вищі за квантові.

05. Bitcoin має встановити «крайню дату міграції»

Через ризиковані монети потрібно домовитися, коли і як їх перевести або знищити.

06. Очікуйте розвитку SNARKs на основі решітки

Потрібно створити підписи з агрегуванням (aggregate signatures), що важливо для блокчейнів. Це може зайняти кілька років.

07. Довіряйте досвідченим PKI-спільнотам

Архітектура TLS/X.509 має цінний досвід. Блокчейни мають вчитися на їхніх помилках (наприклад, довгий перехід від MD5/SHA-1).

08. Структури соціальних мереж, що пов’язані з приватністю, потрібно змінити

Якщо дані приватні і зашифровані, одразу перейти на постквантове гібридне шифрування, щоб уникнути HNDL.

09. Визначайте пріоритетність оцінки ризиків

Короткостроково: вразливості у програмному забезпеченні і side-channel — більш актуальні, ніж квантові загрози. Середньостроково: управління міграцією Bitcoin і координація спільнот. Довгостроково: багаторівнева оборона (defense-in-depth).

Висновок: що означає «очищення» комп’ютерів?

«Очистка» від квантових ризиків не означає поспішну реакцію на новини. Це означає:

1. Розуміння різниці: HNDL для шифрування — зовсім не те саме, що для підписів і zero-knowledge proofs.
2. Реальне врахування часу: квантові комп’ютери для шифрування ще залишаються щонайменше 10 років. Не дозволяйте новинам вводити вас в оману.
3. Розумне управління ризиками: вже сьогодні застосовуйте гібридне постквантове шифрування, ретельно плануйте зміну підписів, обирайте правильний час.
4. Наступний рівень — ризики застосування: у найближчі 3–5 років вразливості у програмному забезпеченні будуть більш критичними за квантові. Потрібно посилювати формальні доведення і аудит.
5. Блокчейни — додаткові виклики: управління і координація спільнот — головні перешкоди, а не технічна здатність.

Очистка від квантових ризиків — це не паніка, а розумна і послідовна робота, що досягає цілей захисту без падіння у пастку паніки.