Насколько далеко мы от создания квантового компьютера, способного взломать $BTC? Пять лет, десять или даже больше? Аналитика рынка указывает, что временные рамки угрозы квантовых вычислений часто преувеличиваются, что вызывает призывы к полномасштабному переходу на постквантовую криптографию. Но слишком ранний переход сопряжен с затратами и рисками, а также с природой угроз, с которыми сталкиваются разные криптографические инструменты, зачастую игнорируется. В отношении шифрования мы должны немедленно внедрять постквантовые решения, независимо от стоимости. Потому что атаки «сейчас похитить, в будущем расшифровать» уже существуют. Даже если чувствительные данные зашифрованы сегодня и квантовые компьютеры появятся только через десятилетия, их ценность останется высокой. Постквантовое шифрование, несмотря на снижение производительности и риски внедрения, — единственный выбор для данных, требующих долгосрочной секретности. Однако, постквантовые цифровые подписи — это совсем другое дело. Они менее уязвимы к вышеописанным атакам, а их собственные издержки и риски — увеличение размера, производственные накладные расходы, незрелость решений, потенциальные уязвимости — требуют осторожного планирования, а не немедленных действий. Важно четко различать эти аспекты. Неправильное понимание может исказить анализ затрат и выгод, заставляя команду игнорировать более насущные угрозы, такие как уязвимости программного обеспечения. Настоящая сложность успешного перехода — в согласовании срочности действий с реальной степенью угрозы. Несмотря на преувеличения в пропаганде, вероятность появления в 20-х годах этого века «квантовых компьютеров, способных взломать криптографию» крайне низка. Речь идет о квантовых компьютерах, способных запустить алгоритм Шора и в разумное время взломать эллиптические кривые или RSA. Согласно оценкам по публичным технологическим вехам, мы очень далеки от таких устройств. В настоящее время ни одна квантовая платформа не приближается к необходимости иметь сотни тысяч или миллионы физических кубитов для взлома RSA-2048 или secp256k1. Ограничения связаны не только с количеством кубитов, но и с их точностью, связностью между кубитами и необходимостью постоянной коррекции ошибок при выполнении глубоких квантовых алгоритмов. Разрыв между теоретическими подтверждениями и практическими масштабами криптоанализа огромен. Короче говоря, до тех пор, пока не будет достигнуто увеличение количества и точности кубитов на несколько порядков, квантовые компьютеры, связанные с криптографией, останутся недосягаемыми. Новости и СМИ часто вводят в заблуждение, например, смешивая демонстрации «квантового преимущества» или заявления о «тысячах физических кубитов» с возможностью атаковать публичные ключи. Ожидание появления в ближайшие 5 лет квантовых компьютеров, способных взломать RSA-2048 или secp256k1, без поддержки публичных прогрессов — нереалистично. Даже через 10 лет — это амбициозная цель. Поэтому энтузиазм по поводу прогресса и оценка временных рамок в «еще десятилетия» не противоречат друг другу. Атаки «сейчас похитить, в будущем расшифровать» применимы к шифрованию, но не к цифровым подписям. Цифровые подписи не требуют секретности, которая могла бы быть использована для обратных атак. Это делает переход на постквантовые цифровые подписи менее срочным, чем переход на шифрование. Основные платформы, такие как Chrome и Cloudflare, уже внедрили гибридные постквантовые решения для TLS, однако внедрение постквантовых подписей откладывается. Аналогичная ситуация с доказательствами с нулевым разглашением: их «незнание» по сути является постквантовой безопасностью, и они также менее уязвимы к вышеописанным атакам. Любое доказательство, созданное до появления квантовых компьютеров, считается доверенным. Что это значит для блокчейна? Большинство блокчейнов менее уязвимы к таким атакам. Например, публичные цепочки, такие как $BTC и $ETH, не используют приватность по умолчанию, их постквантовая безопасность в основном связана с цифровыми подписями, а не с шифрованием. Это устраняет немедленную криптографическую угрозу. Однако даже авторитетные аналитики ошибались, утверждая, что $BTC легко подвержен таким атакам, что преувеличивает срочность перехода. Конечно, снижение срочности не означает, что можно расслабиться. В настоящее время исключение составляют цепочки с приватностью. Многие из них шифруют получателей и суммы, что делает эти данные уязвимыми к похищению сейчас и последующему анализу для анонимизации в будущем. Поэтому, если пользователи ценят свою приватность и не хотят, чтобы их транзакции были раскрыты квантовыми компьютерами в будущем, цепочки с приватностью должны как можно скорее перейти на постквантовые примитивы. Для $BTC есть два практических фактора, стимулирующих срочный план перехода на постквантовые подписи, и оба не связаны напрямую с квантовыми технологиями: во-первых, медленная скорость управления, которая может привести к разрушительным форкам; во-вторых, владельцы монет должны самостоятельно инициировать миграцию своих средств, а заброшенные, уязвимые к квантовым атакам монеты — нет. Оценивается, что таких «спящих» и квантово-уязвимых $BTC может быть миллионы, их текущая стоимость — сотни миллиардов долларов. Угрозы квантовых компьютеров для $BTC — это не «один день и конец», а скорее постепенный, выборочный процесс блокировки целей. Наиболее уязвимы те монеты, чей публичный ключ уже раскрыт: ранние P2PK-выводы, повторное использование адресов и активы, хранящиеся в Taproot. Решение для заброшенных уязвимых монет — сложное. Последняя сложность $BTC — низкая пропускная способность транзакций: даже если план миграции будет утвержден, перевод всех уязвимых средств по текущим темпам займет месяцы. Эти вызовы требуют, чтобы $BTC уже сейчас начал планировать постквантовый переход — не потому, что квантовые компьютеры могут появиться до 2030 года, а потому, что управление, координация и техническое обеспечение миграции сотен миллиардов долларов требуют нескольких лет. Почему блокчейн не должен торопиться с внедрением постквантовых подписей? Нужно понять их производственные издержки и уровень доверия к этим новым решениям, которые все еще развиваются. Постквантовая криптография основана на пяти классах математических задач: хэшах, кодах, решетках, многочленах и эллиптических кривых. Хэш-решения — самые консервативные, но и самые медленные. Например, стандартизированные хэш-подписи NIST занимают минимум 7-8 КБ, тогда как текущие эллиптические подписи — всего 64 байта. Решетки — это текущий фокус внедрения, но их подписи в 40-70 раз больше текущих, а безопасность реализации — более сложная. Исторический опыт показывает, что ведущие кандидаты на стандартизацию в рамках NIST неоднократно были взломаны классическими компьютерами, что подчеркивает риск преждевременного стандартизации и внедрения. В особенности это важно для интернет-инфраструктуры, которая придерживается осторожных подходов к миграции подписей. У блокчейна есть свои особенности, делающие ранний переход особенно опасным, например, необходимость агрегации подписей и развитие решений на базе решеток, таких как SNARK. Основная проблема — безопасность реализации. В течение ближайших лет уязвимости реализации могут представлять большую угрозу, чем квантовые компьютеры. Исходя из этого, основные принципы таковы: серьезно относиться к угрозам квантовых вычислений, но не предполагать, что к 2030 году появятся криптографические квантовые компьютеры. Также есть вещи, которые можно и нужно делать уже сейчас. Немедленно внедрять гибридные схемы шифрования там, где важна долгосрочная секретность и допустимы большие размеры. В сценариях с низкой частотой обновлений — использовать хэшированные подписи, например, для обновлений программного обеспечения. Блокчейн не должен торопиться с внедрением постквантовых подписей, но должен начать планировать уже сейчас. Публичные цепочки, такие как $BTC, должны определить пути миграции и политику по «спящим» уязвимым средствам. Также необходимо дать время для развития исследований по постквантовым SNARK и агрегируемым подписям. Цепочки с приватностью должны в первую очередь перейти на постквантовые примитивы, если их производительность позволяет. В краткосрочной перспективе приоритет — обеспечить безопасность реализации, а не чрезмерно фокусироваться на угрозах квантовых вычислений. Уже сейчас стоит инвестировать в аудит, fuzz-тестирование и формальную проверку. Продолжать финансировать исследования в области квантовых вычислений. Рационально воспринимать новости о квантовых вычислениях, рассматривать каждую веху как прогресс, требующий критической оценки, а не как сигнал к поспешным действиям. Следуя этим рекомендациям, мы сможем избежать более прямых рисков: уязвимостей реализации, поспешных внедрений и ошибок при криптографическом переходе. Следите за мной: получайте больше анализа и инсайтов о криптовалютных рынках! #Gate广场创作者新春激励#内容挖矿