Photo: Depositphotos / Securitybrief.com.au
Квантовые прорывы 2024-2025 годов активизировали дискуссию об устойчивости криптовалютной инфраструктуры к квантовым атакам. Вопрос сегодня заключается не в том, возможен ли квантовый взлом классических криптографических алгоритмов, а когда реалистично можно ожидать появление машин, способных осуществить такую атаку на криптовалюты, и какие элементы блокчейнов являются наиболее уязвимыми.
На прошлой неделе криптоаналитик Вилли Ву высказался относительно квантовых рисков для биткоина. По его мнению, квантовые компьютеры способны восстанавливать приватные ключи из открытых, что представляет наибольшую угрозу для типов адресов, где публичный ключ уже раскрыт в блокчейне. По оценкам Ву, под угрозой оказываются не только индивидуальные кошельки, но и кастодиальные хранения, ETF-структуры и холодные хранилища бирж, если они заблаговременно не перейдут на квантово-устойчивые схемы. Бьет тревогу не только Ву: похожие вещи давно высказывал и Виталик Бутерин.
Содержание
Безопасность блокчейнов построена на двух классах криптографических примитивов: хеш-функциях и алгоритмах цифровой подписи. Самым критичным для квантовой безопасности является второй компонент. Хеш-функции (SHA-256, Keccak-256) менее чувствительны к квантовым ускорениям. Алгоритм Grover уменьшает эффективную сложность поиска коллизий. Это означает, что хеширование может потребовать удвоения размера исходных значений для сохранения безопасности, но фундаментальной угрозы для PoW структур нет.
В Bitcoin используется ECDSA. Ethereum для подписей переходит к схеме Schnorr/EdDSA. Большинство L1 и L2 также применяют вариации ECDSA или EdDSA. Все эти алгоритмы опираются на сложность задачи дискретного логарифма и делают возможным восстановление приватного ключа из открытого ключа в ECDSA или EdDSA. Именно эта основа уязвима к квантовым атакам: теоретически возможно взломать кошельки, где публичный ключ доступен в блокчейне. Он становится доступным в момент публикации транзакции, подписанной этим ключом. Адреса, которые непосредственно содержат публичный ключ или где ключ раскрывается при расходовании средств, являются главными целями для квантового восстановления приватного ключа.
Дополнительные криптопримитивы, которые могут быть уязвимыми: мультиподписные схемы в L1, подписи в L2-каналах (Lightning), zk-доказательства, приватные адреса в Zcash/Monero, а также TLS-шифрование.
По состоянию на 2025 год ведущие лаборатории демонстрируют десятки или сотни физических кубитов, но масштабируемых квантовых процессоров с коррекцией ошибок пока не существует. Достижения IBM по 120-кубитным GHZ-состояниям является технологическим прорывом в стабильном содержании больших запутанных массивов, но этот результат пока не означает способности выполнять алгоритм Shor на практическом уровне.
Аналогично, прогресс Google, Quantinuum, IonQ и других компаний позволяет реализовать ограниченные демонстрации квантовых преимуществ, но не обеспечивает достаточной точности для криптографических атак. Главным препятствием остается высокий уровень шумов и необходимость построения логических кубитов.
Для практического запуска Shor и взлома ECDSA различные оценки указывают потребность в сотнях тысяч или даже миллионах логических кубитов. В соответствии с анализом по исследованиям в области безопасности, проекция такого уровня доступна не раньше, чем через несколько поколений технологического развития.
Основной вектор — восстановление приватного ключа из открытого. В Bitcoin это касается адресов, которые содержат открытый ключ в явном виде, адресов, где открытый ключ раскрывается во время первой траты, и старых форматов P2PK. Оценки указывают, что от 4 до 7 млн BTC могут быть уязвимыми при появлении достаточно мощного квантового компьютера, поскольку часть UTXO уже содержит открытые ключи в цепи или может быть атакована сразу после создания транзакции. Модель «store now, break later» позволяет противнику накапливать публичные ключи сегодня с целью дальнейшего криптоанализа.
Кастодиальные кошельки бирж и провайдеров хранения, а также ключи, обеспечивающие биткоин-ETF, представляют точку концентрации больших объемов активов. В этих системах ключи часто используются повторно. Если открытый ключ попадает в сеть, он может быть атакован в первую очередь из-за ожидаемой концентрации средств. Для кастодианов критичным является требование ротации ключей и внедрение гибридных или полностью постквантовых подписей.
В PoW-сетях квантовые компьютеры теоретически могли бы ускорить нахождение хешей через алгоритм Grover. Это дало бы квадратное ускорение и на практике повысило бы сложность соревнования между квантовыми и классическими майнерами. Однако ввиду аппаратных ограничений этот сценарий является отдаленным. Зато в PoS возможен риск, связанный со взломом долгосрочных ключей валидаторов. При отсутствии защиты от long-range атак злоумышленник мог бы подписать альтернативную историю цепи.
Протоколы, использующие zk-доказательства или сложные мультиподписные схемы, содержат дополнительные компоненты классической криптографии. Хотя сами zk-системы часто базируются на хешевых функциях, предыдущие этапы (например, ключевая инфраструктура) остаются зависимыми от ECDSA/EdDSA. Это также касается сетей вроде Lightning Network, где ключи открываются при закрытии каналов.
Имеющиеся исследования указывают, что несмотря на быстрый прогресс аппаратных платформ, современные квантовые компьютеры не способны выполнять Shor на параметрах, соответствующих реальным криптографическим схемам. Доступны по состоянию на 2025 год системы демонстрируют запутанность и ограниченное преимущество в отдельных задачах, но не имеют необходимой точности и масштабируемости. Поэтому угроза не является немедленной.
Однако ключевым фактором является не состояние квантовых машин сегодня, а долгосрочный риск сохранения открытых ключей в блокчейне. Информация, записанная в публичных реестрах, не исчезает. Если публичный ключ появился в сети в 2023-2025 годах, его можно атаковать даже через много лет, когда аппаратные возможности станут достаточными. Это создает необходимость заблаговременного перехода на постквантовые схемы.
В научных обзорах преобладает позиция, что квантовый взлом блокчейнов возможен в будущем, однако временные рамки зависят от прогресса в создании ложноустойчивых логических кубитов. Риск касается конкретного класса алгоритмов (ECC-подписей), а не всех криптографических примитивов. Оценки колеблются в пределах 5-10 лет, хотя иногда приводятся более консервативные рамки 10-15 лет.
Несмотря на это, правительственные и научные институты уже используют термин «Q-Day» — момент, когда квантовый компьютер сможет взломать общеупотребительные классические алгоритмы подписи. Регуляторная сфера тоже реагирует. Правительственные рекомендации США требуют перехода государственных систем на постквантовую криптографию к середине десятилетия. В финансовом секторе растет интерес к оценке квантовых рисков, включая инфраструктуру биржевых ETF на биткоин, которые зависят от безопасности кастодиальных ключей. Формируется консенсус, что подготовка к постквантовым протоколам должна начаться до появления полностью функциональных квантовых компьютеров.
Стандартизация постквантовых алгоритмов уже состоялась. Национальный институт стандартов и технологий США (NIST) в 2022-2024 годах завершил отбор основных схем, которые будут основой для перехода интернет- и финансовой инфраструктуры на квантово-устойчивые протоколы. Ключевые алгоритмы:
Для блокчейнов определяющим является объем подписей и скорость проверки. Алгоритмы на основе решеток (Dilithium, Falcon) имеют наибольшую практическую перспективу, поскольку обеспечивают приемлемый баланс размера ключей и скорости верификации. Хешовые схемы (SPHINCS+) обеспечивают самую высокую криптостойкость, но их параметры значительно увеличивают нагрузку на сеть.
Гибридные схемы — промежуточный вариант. Они позволяют подписывать транзакции одновременно классическим (ECDSA/EdDSA) и PQ-алгоритмом. Это упрощает переход, позволяет сохранить совместимость с имеющимся оборудованием и дает время на постепенную миграцию.
Ключевой вопрос для блокчейнов — обновляемость криптографических примитивов («crypto-agility»). Протоколы должны иметь возможность менять схему подписи без необходимости полного перезапуска сети. В текущем виде большинство L1 не являются crypto-agile.
Для защиты от квантовой угрозы в будущем обычным пользователям рекомендовано не переиспользовать адреса; применять HD-кошельки; избегать Taproot-адресов при больших суммах, пока не появятся PQ-расширения, а после миграции сети на PQ-подписи переместить средства на новые адреса.
Несколько блокчейнов созданы со встроенной квантовой устойчивостью. Среди них:
Эти сети демонстрируют техническую реализуемость PQ-подписей в децентрализованных системах, но пока не имеют масштабной ликвидности и широкого использования.
BIS Project Tourbillon тестирует постквантовую модель цифровой валюты центрального банка, использующую lattice-базированные подписи. Это демонстрирует интерес государств к безопасности финансовых трансакций в долгосрочном горизонте.
В биткоине исследуется возможность замены ECDSA на Dilithium или другие PQ-схемы. Присутствуют экспериментальные протоколы и тестнеты, которые демонстрируют потенциальную совместимость с существующей UTXO-моделью.
В экосистеме Ethereum публикуются исследования по интеграции PQ-подписей в EVM, оптимизации multisig и использованию хешевых схем для критических компонентов. В настоящее время это находится на исследовательской стадии, поскольку полный переход потребует серьезной переработки wallet-инфраструктуры.
Самый высокий риск
имеют сети, применяющие ECDSA или EdDSA без механизмов crypto-agility. К группе повышенной уязвимости относятся:
Эти сети имеют значительную капитализацию и исторические UTXO/аккаунты с раскрытыми ключами, что делает их первоочередными целями при появлении достаточно мощного квантового компьютера.
К категории среднего риска можно отнести сети, где частично применяется ротация ключей, существуют открытые предложения по интеграции PQ-подписей или меньшая доля активов имеет раскрытые открытые ключи. Ethereum постепенно исследует возможности PQ-подписей для мультиподписи и отдельных модулей, но полной дорожной карты пока нет.
К группе минимальной уязвимости принадлежат блокчейны, которые уже внедрили или строят архитектуру вокруг постквантовых схем, которые мы уже упоминали выше — это QRL / Zond (использует XMSS), Abelian (основывается на lattice-криптографии) и Quranium (постквантовые подписи с сохранением EVM-совместимости).
Что касается частных монет вроде Zcash, Monero и других частных сетей, то они имеют сложные многокомпонентные криптосхемы. Часть из них базируется на эллиптических кривых и EdDSA, поэтому также нуждаются в постквантовом обновлении. Миграция осложняется тем, что PQ-подписи могут существенно увеличивать объем доказательств и комитментов, что критично для приватности и эффективности таких сетей.
Криптографические алгоритмы, на которых построены Bitcoin, Ethereum и большинство других блокчейнов, со временем станут уязвимыми к квантовому восстановлению приватных ключей. Проблема не ограничивается техническим аспектом — она связана с тем, что публичные ключи уже хранятся в блокчейне и не могут быть удалены. Это означает, что будущий квантовый компьютер сможет атаковать транзакции, подписанные десятилетиями ранее, если открытый ключ был опубликован.
Технические решения уже существуют: гибридные подписи, PQC-алгоритмы, тестнеты для PQ-Bitcoin, исследование PQ-мультиподписей для Ethereum, L1 со встроенной квантовой устойчивостью. Проблема в том, что их нужно масштабировать до уровня глобальных сетей с миллионами пользователей и десятками миллиардов долларов активов. Это требует согласованных действий разработчиков, кастодианов, бирж и поставщиков инфраструктуры.
Появление квантовых атак не будет означать конец криптовалют. Оно станет точкой технологического перехода — аналогом миграции интернета на HTTPS или внедрения современных стандартов шифрования. Поэтому, квантовая угроза не является мгновенной, но она реальна. Существует окно в 5-10 лет для полного перехода на постквантовые схемы. Чем раньше будет начата миграция, тем ниже будет риск потери активов и системного доверия.
Источник: PostQuantum
Контент сайту призначений для осіб віком від 21 року. Переглядаючи матеріали, ви підтверджуєте свою відповідність віковим обмеженням.
Cуб'єкт у сфері онлайн-медіа; ідентифікатор медіа - R40-06029.