a16z｜Квантовые вычисления и блокчейн: сопоставление «срочности» с реальными угрозами

Chainfeeds Введение:

В этой статье развенчиваются распространённые заблуждения, связанные с квантовой угрозой, включая влияние на криптографические алгоритмы, механизмы подписей и zero-knowledge proofs (ZKP), а также обсуждается, что это значит для блокчейн-систем.

Источник:

a16z

Мнение:

a16z: Первая реальная угроза безопасности, связанная с квантовыми вычислениями, — это не «атаки будущего», а атака Harvest Now, Decrypt Later (HNDL), то есть злоумышленник сейчас сохраняет зашифрованные коммуникации, чтобы расшифровать их в будущем, когда появится квантовая вычислительная мощность. Это означает, что высокосекретные коммуникации (особенно на государственном уровне), которые сегодня невозможно взломать, в будущем всё равно могут быть раскрыты. Поэтому для систем, требующих конфиденциальности на 10-50 лет и более, необходимо уже сейчас внедрять новые квантоустойчивые методы шифрования. Однако эта угроза не относится к системам цифровых подписей. В цифровых подписях нет «приватного содержимого, которое можно было бы расшифровать задним числом», и не существует проблемы «прошлая верификация будет опровергнута квантовыми вычислениями». Даже если в будущем квантовые вычисления смогут подделывать подписи, это повлияет только на будущие транзакции и авторизации, но не приведёт к аннулированию прошлых подписей или раскрытию скрытой информации. Исходя из этой логики, наиболее часто используемые на блокчейне механизмы подписей (ECDSA, EdDSA) действительно нуждаются в обновлении в будущем, но нет необходимости срочно переходить на них прямо сейчас. Кроме того, модель безопасности zkSNARKs ещё больше отличается от шифрования. Даже если современные zkSNARKs основаны на эллиптических кривых, их zero-knowledge свойства сами по себе остаются защищёнными от квантовых атак, поскольку доказательство не содержит приватных данных, которые могли бы быть восстановлены квантовыми алгоритмами. Следовательно, для zkSNARKs также не существует риска архивирования с последующим расшифрованием. Другими словами, приватные блокчейны требуют срочного обновления, публичные — нет, подписи обновляются позже, чем шифрование, а SNARK — позже, чем подписи — такова реальная приоритетность квантовой угрозы в мире блокчейна. Несмотря на то, что блокчейну в целом не нужно немедленно переходить на квантоустойчивые подписи, Bitcoin — исключение. Причина не в том, что квантовая угроза близка, а в медленном управлении, исторически сложной структуре транзакций и зависимости активной миграции от действий пользователей. Во-первых, изменения в протоколе Bitcoin происходят крайне медленно, любые изменения, затрагивающие консенсус или логику безопасности, могут вызвать споры, разделение или даже хардфорк. Во-вторых, обновление Bitcoin не может автоматически мигрировать все активы, поскольку ключи подписей хранятся у пользователей, и протокол не может их принудительно обновить. Это означает, что неактивные, утерянные или бесхозные кошельки (по оценкам, до нескольких миллионов BTC) навсегда останутся под угрозой будущих квантовых атак. Ещё сложнее ситуация с тем, что на ранних этапах Bitcoin использовался P2PK (структура адреса с открытым публичным ключом), и публичные ключи уже видны в блокчейне, а квантовые вычисления могут с помощью алгоритма Shor напрямую вычислить приватный ключ по видимому публичному ключу. Это отличается от современных адресов (где публичный ключ скрыт хэшем), которые раскрывают публичный ключ только при отправке транзакции, что позволяет соревноваться с атакующим во временном окне. Таким образом, миграция Bitcoin — это не просто техническая задача, а долгосрочный проект, связанный с юридическими рисками (утеря против доказательства владения), общественным сотрудничеством, временем внедрения и затратами. Даже если квантовая угроза далека, Bitcoin уже сейчас должен начать разрабатывать необратимую дорожную карту миграции. Несмотря на то, что квантовая угроза действительно существует, поспешный и всеобъемлющий апгрейд может привести к ещё большим реальным рискам. На данном этапе многие квантоустойчивые алгоритмы имеют значительные издержки по производительности, сложны в реализации, а некоторые даже были взломаны классическими алгоритмами (например, Rainbow, SIKE). Например, существующие основные постквантовые подписи, такие как ML-DSA, Falcon, в десятки или даже сотни раз больше по размеру, чем современные подписи, а их реализация подвержена атакам через сторонние каналы, уязвимостям с плавающей точкой или ошибкам параметров, приводящим к утечке ключей. Поэтому блокчейн не должен слепо мигрировать, а должен использовать поэтапную, многотрековую и заменяемую архитектуру: для долгосрочных секретных коммуникаций внедрять гибридное шифрование (post-quantum + classical); в сценариях, где подписи требуются нечасто (прошивки, обновления системы), заранее использовать схемы хэш-подписей; на уровне публичных блокчейнов сохранять планирование и исследования, придерживаясь осторожного темпа, как в интернет PKI; использовать абстракцию аккаунтов или модульный дизайн, чтобы в будущем можно было обновлять систему подписей без нарушения истории идентичности и активов на блокчейне. [Оригинал на английском]