Почему квантовая безопасность становится приоритетной на блокчейнах первого уровня

Квантовые компьютеры всё ещё выглядят как лабораторные игрушки: стойки с оборудованием, подверженные ошибкам кубиты и практически полное отсутствие реальных приложений. Однако, если взглянуть на планы развития основных блокчейнов первого уровня, то можно заметить, что рядом с масштабируемостью и модульностью появился новый приоритет: постквантовая безопасность.

Проблема проста, даже если математика не так проста. Большинство крупных блокчейнов используют эллиптические кривые подписи (ECDSA и Ed25519) для подтверждения того, что транзакция исходит от владельца закрытого ключа. Достаточно мощный квантовый компьютер, работающий по алгоритму Шора, теоретически может восстановить эти закрытые ключи из их открытых аналогов и позволить злоумышленнику подписывать поддельные транзакции.

Существует также подход «собирай сейчас, расшифруй позже». Злоумышленники могут скопировать данные публичного блокчейна сегодня и ждать, пока квантовое оборудование подтянется. Когда это произойдет, старые адреса, давно неиспользуемые кошельки и некоторые шаблоны смарт-контрактов могут стать уязвимыми, даже если сети впоследствии перейдут на более безопасные алгоритмы.

Для долгосрочных публичных реестров, которые невозможно отменить, квантовое планирование становится важным долгосрочным фактором. В связи с публикацией Национальным институтом стандартов и технологий (NIST) официальных постквантовых стандартов и установлением правительствами сроков перехода на 2030 год и более, команды специалистов первого уровня теперь рассматривают квантовую безопасность как медленно развивающийся и необратимый риск, и некоторые сети уже реализуют первые меры противодействия.

Чем на самом деле угрожают квантовые компьютеры в сфере криптовалют?

Квантовые компьютеры не «взламывают блокчейны» волшебным образом; они нацелены на конкретные алгоритмы.

Для криптовалют важнейшей задачей являются подписи с открытым ключом.

Биткоин, Эфириум и многие другие блокчейны используют схемы на эллиптических кривых (ECDSA и Ed25519) для подтверждения того, что транзакция исходит от владельца закрытого ключа. Достаточно мощный квантовый компьютер, работающий на алгоритме Шора, может восстановить эти закрытые ключи из открытых, что позволяет подделывать подписи и перемещать средства без разрешения.

Не всё ломается одинаково. Хэш-функции, такие как SHA-256 и Keccak, гораздо более надёжны. Квантовые алгоритмы поиска, такие как алгоритм Гровера, обеспечивают лишь квадратичное ускорение, которое разработчики могут компенсировать за счёт увеличения размера хэша и запаса прочности. Область, которая, скорее всего, потребует будущих обновлений, — это подписи, а не хеширование с доказательством работы ( PoW ) или базовая целостность транзакций.

Для блокчейнов эти области потребуют долгосрочных криптографических обновлений для поддержания ожидаемых свойств безопасности по мере развития стандартов.

Старые неизрасходованные выходы транзакций (UTXO) в Bitcoin, повторно используемые адреса в цепочках на основе учетных записей, ключи валидаторов и маяки случайности на основе подписей в системах с доказательством доли владения (PoS) — все это становится привлекательными целями.

Поскольку миграция криптографии в критически важной инфраструктуре часто занимает десятилетие и более, уровням 1 приходится начинать планирование задолго до того, как квантовые машины станут достаточно мощными, чтобы атаковать их.

На заметку: Термин «Y2Q» неформально используется для обозначения года, в котором квантовые компьютеры станут актуальными с точки зрения криптоанализа, подобно тому, как «Y2K» обозначал «2000 год». Некоторые ранние оценки предполагали горизонт 2030 года.

Квантовый риск обсуждается в академических кругах уже много лет, но лишь недавно он стал конкретным пунктом плана действий для команд первого уровня. Поворотным моментом стал переход от теории к стандартам и срокам.

С 2022 по 2024 год NIST отобрал и начал стандартизировать первую волну постквантовых алгоритмов, включая схемы на основе решёток, такие как Cryptographic Suite for Algebraic Lattices (CRYSTALS) — Kyber для создания ключей и Dilithium для цифровых подписей, а также альтернативные варианты, такие как Stateless Practical Hash-based Incredibly Nice Collision-resistant Signatures (SPHINCS)+. Это дало инженерам некую основу для разработки, а не движущийся объект исследования.

В то же время правительства и крупные предприятия начали говорить о «криптогибкости» и устанавливать сроки перехода критически важных систем вплоть до 2030-х годов. Если вы используете публичный реестр, предназначенный для хранения ценностей и юридических соглашений на протяжении десятилетий, то отставание от этого перехода становится проблемой.

Блокчейны 1-го уровня также реагируют на заголовки новостей. Каждый раз, когда объявляется о важном этапе развития оборудования или исследований в области квантовых вычислений, это возрождает разговоры о долгосрочной безопасности. Команды начинают сомневаться, будут ли современные схемы подписей безопасными на протяжении всего жизненного цикла сети. Они также рассматривают вопрос о том, стоит ли разрабатывать постквантовые решения сейчас, пока они ещё опциональны, а не потом, когда они окажутся под давлением.

На заметку: Национальный центр кибербезопасности Великобритании заявил, что организации должны определить пути модернизации квантово-безопасной криптографии к 2028 году и завершить переход примерно к 2035 году.

Небольшая, но растущая группа специалистов по блокчейнам уровня 1 перешла от предположений к конкретной инженерной работе, пытаясь добавить квантовую устойчивость, не нарушая при этом то, что уже работает.

Algorand: Государственные доказательства и транзакции PQ в режиме реального времени

Algorand — ярчайший пример воплощения постквантовых идей в производственной среде. В 2022 году компания представила State Proofs — компактные сертификаты истории блокчейна, подписанные с помощью FALCON — решётчатой схемы подписи, выбранной NIST. Эти доказательства разработаны с учётом квантовой безопасности и уже используются для подтверждения состояния реестра Algorand каждые несколько сотен блоков.

Совсем недавно Algorand продемонстрировал полноценные постквантовые транзакции в основной сети с использованием логических подписей на базе Falcon, позиционируя себя как потенциальный квантово-безопасный центр проверки для других цепочек.

Cardano: дорожная карта будущего PQ, основанная на исследованиях

Cardano по-прежнему использует Ed25519, но его основные команды и фонд рассматривают квантовую готовность как долгосрочное преимущество. Публичные материалы и недавние выступления основателя Чарльза Хоскинсона описывают план, сочетающий отдельную цепочку доказательств, сертификаты Mithril и постквантовые подписи, соответствующие Федеральным стандартам обработки информации (FIPS) 203–206 Национального института стандартов и технологий (NIST). Идея заключается в том, чтобы добавить квантово-устойчивый уровень верификации к истории блокчейна, а не принудительно переключать всех пользователей одновременно.

На Ethereum исследовательские группы начали составлять список задач для постквантовой миграции, включая новые типы транзакций, эксперименты по накоплению данных и оболочки с нулевым разглашением, которые позволяют пользователям добавлять квантово-безопасные ключи без необходимости переписывать базовый протокол в одночасье.

Тем временем команда Sui опубликовала специальную дорожную карту квантовой безопасности и совместно с академическими партнерами предложила путь обновления для сетей на базе EdDSA, таких как Sui, Solana, Near и Cosmos, который позволит избежать разрушительных хардфорков.

Solana уже развернула опциональное квантово-устойчивое хранилище, которое использует одноразовые подписи на основе хэшей для защиты ценных активов, предоставляя пользователям возможность размещать средства с учетом более надежных предположений.

Помимо крупных сетей, ряд новых протоколов уровня 1 позиционируют себя как квантово-безопасные с самого начала, как правило, внедряя постквантовые подписи в базовый протокол. Большинство из них небольшие и непроверенные, но в совокупности они сигнализируют о том, что квантовая позиция начинает играть важную роль в том, как сети представляют свою долгосрочную надёжность.

На заметку: Одним из первых специализированных блокчейнов, созданных с учётом квантовой устойчивости, является Quantum Resistant Ledger, запущенный в 2018 году. Он использует хеш-подписи на основе расширенной схемы подписей Меркла (XMSS) вместо стандартных схем на основе эллиптических кривых.

Переход на постквантовые подписи кажется простым, но реализовать его в реальной глобальной сети — задача не из лёгких. Новые алгоритмы ведут себя по-другому, и эти различия проявляются во всём: от размера блока до пользовательского опыта использования кошелька (UX).

Большинство ведущих кандидатов можно разделить на три группы:

Решетчатые подписи, формата Dilithium и Falcon, которые стандартизирует NIST, являются быстрыми и относительно эффективными, но по-прежнему имеют более крупные ключи и подписи, чем сегодняшние схемы на основе эллиптических кривых.

Подписи на основе хешей, такие как SPHINCS+, построены на консервативных предположениях, однако они могут быть громоздкими и в некоторых вариантах фактически являются одноразовыми, что усложняет работу повседневных кошельков.

Схемы на основе кода и многомерные схемы играют определенную роль в обмене ключами и специализированных приложениях, но пока менее распространены в планах блокчейнов уровня 1.

Для блокчейнов эти решения по архитектуре имеют побочные эффекты. Более крупные подписи означают более тяжёлые блоки, большую пропускную способность для валидаторов и со временем больший объём хранилища. Аппаратным кошелькам и лёгким клиентам приходится проверять больше данных. Это также влияет на консенсус, поскольку PoS- системам, полагающимся на проверяемые случайные функции или подписи комитетов, требуются квантово-устойчивые замены, а не только новые ключи для учётных записей пользователей.

Затем возникает проблема миграции. Миллиарды долларов заморожены на устаревших адресах, владельцы которых могли потерять ключи, умереть или просто не обращать внимания. Сети должны решить, насколько далеко зайти:

• Поддержка гибридных подписей (классических и PQ), чтобы пользователи могли подключаться постепенно
• Ввести новые типы транзакций, которые оборачивают старые ключи в квантово-безопасные схемы
• Или создайте стимулы и установите сроки для реструктуризации давно неиспользуемых фондов.

Ни один из этих вариантов не является чисто техническим. Они касаются управления, правового режима активов и того, что происходит с монетами, владельцы которых так и не приходят на обновление.

Квантовый риск не требует немедленной реакции, но он меняет то, как различные заинтересованные стороны оценивают долгосрочную надежность сети.

Для обычных пользователей наиболее практичным шагом будет обратить внимание на то, как ваша экосистема относится к криптогибкости, то есть способности добавлять и чередовать криптографические примитивы без разрушительного хардфорка.

В ближайшие годы ожидается появление новых типов счетов, вариантов гибридной подписи и запросов на обновление ключей для ценных активов. Первые реализации, вероятно, появятся в мостах, сайдчейнах и роллапах, прежде чем достигнут основного блокчейна уровня 1.

Для разработчиков и проектировщиков протоколов приоритетом является гибкость. Смарт-контракты, накопительные пакеты и схемы аутентификации, жестко запрограммированные на один алгоритм подписи, быстро устареют. Разработка интерфейсов и стандартов, поддерживающих несколько схем, как классических, так и постквантовых, значительно упрощает соблюдение рекомендаций NIST и отрасли по мере их развития.

Для инвесторов и участников управленческого процесса квантовая готовность становится новым измерением технической экспертизы. Уже недостаточно просто спрашивать о пропускной способности, доступности данных или максимальной извлекаемой ценности (MEV). Более вдумчивые вопросы должны быть следующие:

• Есть ли у этого блокчейна документированная постквантовая дорожная карта?
• Существуют ли прототипы или действующие функции, такие как доказательства состояния, хранилища или гибридные транзакции, или это просто маркетинговый язык?
• Кто будет нести ответственность за принятие решений о миграции, когда придет время?

Если масштабные квантовые атаки станут реальностью в отдаленном будущем, сети, которые обновляют свою криптографию, будут лучше соответствовать рекомендуемым стандартам безопасности.

Компании уровня 1, которые рассматривают квантовые технологии как риск медленного уровня управления и начинают строить аварийные люки уже сейчас, фактически делают ставку на то, что их цепочки будут по-прежнему иметь значение и через десятилетия.

Эта статья не содержит инвестиционных советов или рекомендаций. Любое инвестиционное и торговое действие сопряжено с риском, и читателям следует провести собственное исследование перед принятием решения.