Квантова загроза критичної точки: чи зможе криптографія пройти випробування у 2028 році без наслідків

密碼學的命運可能 ій скоро змінитися. Коли обчислювальна потужність квантових комп’ютерів зростає експоненційно, сучасна еквіваєнтна криволінійна криптографічна система, яка лежить в основі блокчейну, стикається з безпрецедентним викликом. Співзасновник Ethereum Віталік Бутерін на конференції Devconnect у Буенос-Айресі зробив передбачення — що квантові обчислення можуть зламати ECC до президентських виборів у США 2028 року — швидко викликало гарячі обговорення в криптоспільноті.

Це не перебільшення. Захист основних криптовалют, таких як Біткоїн та Ефіріум, за допомогою еквіваєнтної криволінійної криптографії опиняється під загрозою, і цей відлік часу сигналізує про початок революційних змін у галузі.

Криптографічний захист: ядро безпеки блокчейну

У сучасній системі цифрових активів еквіваєнтна криволінійна криптографія — це як захисна стіна, що охороняє безпеку смарт-автомобілів, Інтернету речей, фінансових систем тощо. У порівнянні з традиційним алгоритмом RSA, ECC стає більш привабливим завдяки своїй “короткій ключовій високій захищеності”.

Принцип роботи цієї криптографічної системи досить простий: використовується пара математично пов’язаних ключів — відкритий ключ і приватний ключ. Користувач зберігає приватний ключ для підписання транзакцій, а відкритий ключ публічно використовується як адреса гаманця. Основна безпека полягає в тому, що з відкритого ключа практично неможливо обчислити приватний. Наприклад, зробити джем (приватний ключ) у вигляді варення (відкритий ключ) легко, але повернути джем у початкову форму — майже неможливо.

Коли хакери намагаються зламати систему, ECC працює як динамічний кодовий замок, що не тільки забезпечує високий рівень захисту, а й має “сигналізацію про злом”. Саме тому Біткоїн і Ефіріум обрали цю криптографію.

Квантові обчислення: потенційний кінцевий суперник криптографії

Однак появи квантових обчислень порушує цю рівновагу. Принципи квантової механіки надають квантовому комп’ютеру особливу здатність — за допомогою спеціальних алгоритмів значно прискорювати розв’язання певних математичних задач. Серед багатьох квантових алгоритмів особливо насторожує алгоритм Шора.

Суть алгоритму Шора у тому, що він може перетворити “майже нерозв’язні” класичні математичні задачі у “відносно легкі” задачі пошуку періодів на квантовому комп’ютері. Це означає, що існуюча система “приватний-відкритий ключ” під загрозою.

Останні досягнення підтверджують це. Машина IBM з 133 квантовими бітами успішно зламала 6-розрядний ECC, дослідник Стів Тіпеконік за допомогою системи ibm_torino застосував алгоритм Шора для розв’язання відкритого ключа. Цей прорив вражає, але ще не становить загрози реальним активам — оскільки ECC-256 (256-бітна еквіваєнтна криволінійна криптографія), яку використовують у Біткоїні та Ефіріумі, набагато складніша за зламаний 6-бітний ключ.

Графік загрози: гострі розбіжності експертів

Щодо того, коли квантові обчислення почнуть загрожувати існуючим криптосистемам, у науковій спільноті існує явна диференціація думок.

Найбільш радикальне передбачення зробив Віталік Бутерін, який вважає, що еквіваєнтна криптографія може бути зламаною до 2028 року, і закликає Ethereum оновитися до квантово-стійких алгоритмів протягом чотирьох років. Директор Центру квантової інформації Техаського університету Скотт Ааронсон поділяє цю думку, вважаючи, що до президентських виборів можливо з’явиться квантовий комп’ютер з помилками, здатний виконувати алгоритм Шора.

Проте фізик Девід М. Антонеллі висловлює протилежну точку зору. Він зазначає, що навіть за найоптимістичнішими прогнозами (від IBM, Google, Quantinuum) до 2030 року можна буде отримати лише кілька тисяч фізичних квантових бітів, що значно менше за мільйони логічних квантових бітів, необхідних для безпечної роботи.

Експерт з криптографічної безпеки МАСТР наводить більш точний математичний аналіз: злом ECC-256, що використовується у Біткоїні та Ефіріумі, потребує близько 2300 логічних квантових бітів і 10¹²–10¹³ квантових операцій, а з урахуванням корекції помилок — мільйонів або сотень мільйонів фізичних квантових бітів. Наразі квантові обчислення здатні реалізувати лише 100–400 шумових квантових бітів, з високою ймовірністю помилок і коротким часом когерентності, тому до рівня загрози ще далеко — щонайменше на чотири порядки.

Колишній інженер Google Грем Кук навіть уявив проблему у яскравій метафорі: уявіть 8 мільярдів людей, кожен із яких має по 1 мільярду суперкомп’ютерів, кожен з яких за секунду намагається з 10⁹ комбінацій — і час, необхідний для зламу, перевищить 10⁴⁰ років, тоді як історія Всесвіту становить лише 14 мільярдів років.

Оцінка ризиків активів: трильйони доларів у очікуванні оновлення захисту

Незважаючи на суперечки щодо термінів загрози, потенційний фінансовий вплив не можна ігнорувати. Зараз близько 1 трильйона доларів цифрових активів залежить від безпеки ECC-256. Якщо еквіваєнтна криптографія справді буде зламаною, то всі активи, що базуються на цій системі, — від Біткоїна до Ефіріуму — опиняться під загрозою.

Можливо, найскритнішою небезпекою є сценарій “зараз зібрав — пізніше розкрив”, коли зловмисник краде криптозміст і згодом, коли технології квантового зламу стануть доступними, розкриває його — що фактично є закладеним у майбутнє бомбою з затримкою.

Ця потенційна загроза вже впливає на сучасну політику. Сальвадор у серпні перерозподілив свої 6284 біткоїнів (вартістю 6.81 мільярда доларів), розподіливши їх по 14 різних адресах, кожен з яких не має більше 500 біткоїнів. Уряд пояснив цей крок тим, що така децентралізована структура “обмежує експозицію до квантових ризиків”, і це вже стало найкращою практикою для зберігання нових суверенних цифрових активів.

Віталік Бутерін нещодавно оцінив ймовірність того, що до 2030 року квантові комп’ютери зможуть зламати сучасну криптографію, у 20%. Хоча ця ймовірність не дуже висока, вона вже спонукає світові фінансові системи діяти.

Стратегії захисту у постквантову епоху

Гарна новина полягає в тому, що криптовалютний світ не залишається пасивним. Галузь розробляє постквантові криптографічні алгоритми (PQC), здатні протистояти квантовим атакам, і більшість основних блокчейнів вже мають технічний резерв.

Ethereum давно готується до цього. Віталік писав статті про протидію квантовим атакам, згадуючи алгоритми Winternitz, STARKs та інші технології, що борються з квантовою загрозою, і навіть розглядав можливість екстреного оновлення. У порівнянні з цим, Біткоїн має менше гнучкості для оновлень, але спільнота вже пропонує кілька варіантів — Dilithium, Falcon, SPHINCS+.

Уряди також готуються. Національний центр кібербезпеки Великої Британії (NCSC) розробив дорожню карту переходу до постквантової криптографії, визначивши три ключові етапи: до 2028 року — визначити цілі переходу, завершити повне дослідження та розробити початковий план; до 2031 року — реалізувати високопріоритетні заходи з впровадження PQC; до 2035 року — завершити міграцію всіх систем.

Європейська комісія має схожу стратегію, запропонувавши “координаційну дорожню карту переходу до постквантової криптографії” з трьома етапами — 2026, 2030, 2035 роки.

Традиційні фінансові установи також активно діють. З 2020 по 2024 рік у світі було зроблено 345 інвестицій у блокчейн-проекти, зосереджуючись на токенізації та інфраструктурі зберігання цифрових активів. HSBC у 2024 році провів пілотний проект із токенізованим золотом із застосуванням постквантових протоколів.

Раціональна оцінка: реальна загроза, але паніку не потрібно

Квантова загроза справді існує, але її актуальність наразі перебільшена. Партнер Dragonfly Хасіб зазначає, що запуск алгоритму Шора не означає зламу 256-бітного ECC-ключа. Злом одного числа — це вражаюче, але для розкладання чисел із сотнями цифр потрібні набагато більші обчислювальні ресурси та інженерні можливості.

Зараз IBM має квантовий комп’ютер, здатний зламати лише 6-бітний ECC, що у порівнянні з 256-бітною криптографією — це як іграшкова зброя проти професійної.

Проте технологічний прогрес ніколи не йде лінійно. Ця криптографічна перевірка може справді настати вже у 2028 році, і світові уряди та фінансові інститути вже починають готуватися. Квантова загроза — це не кінець криптовалют, а каталізатор їхньої еволюції — як показує приклад управління Bitcoin у Сальвадорі, адаптивність і передбачливість — це суть блокчейну. Коли з’являться квантові ключі, нові системи криптографії вже будуть готові.