Временная шкала квантовых угроз: как реально подготовиться к постквантовому шифрованию

Когда квантовые компьютеры смогут взломать наши данные? Этот вопрос обсуждается уже много лет, но часто апокалиптические прогнозы не основаны на четких технических данных. Истина требует более дифференцированного понимания: угроза существует, но ее горизонт и серьезность зависят от типа шифрования, о котором идет речь. Оригинальная статья исследователя из a16z рассматривает эту тему через призму реальных технических реалий, а не маркетинговых обещаний.

Реальные сроки: когда нам грозит квантовый взлом шифров?

Первое, что нужно понять: заявления о том, что квантовые компьютеры взломают криптографию к 2030 году, не основаны на фактическом прогрессе в области. Исследователи обращают внимание на фундаментальное различие между тем, что заявляют компании, и тем, что реально происходит в лабораториях.

Чтобы взломать современное шифрование (например, RSA-2048 или secp256k1), квантовому компьютеру нужны способность исправлять ошибки, достаточное количество логических кубитов и высокая надежность вентилей. Пока никто даже близко не достиг этого. Системы с 1000 физических кубитов выглядят впечатляюще на бумаге, но без необходимой надежности и связей они остаются в основном теоретическими.

Основные источники недоразумений:

«Квантовое превосходство» — это не то же самое, что полезность. Когда компании объявляют о достижении «квантового превосходства», они часто демонстрируют специально разработанные задачи, которые работают на их оборудовании быстрее, чем на классических компьютерах. Но эти задачи не имеют практического применения.

Тысячи кубитов — далеко не достаточно. Большинство заявлений о «тысячах кубитов» относятся к квантовому охлаждению, а не к модели квантовых компьютеров, необходимой для атак на криптографию.

Логические против физических кубитов — огромная разница. Заявление о 48 «логических кубитах» с использованием всего двух физических кубитов на логический кубит кажется неправдоподобным из-за недостаточности коррекции ошибок в такой конфигурации.

Картографические карты часто вводят в заблуждение. Многие прогнозы показывают тысячи логических кубитов к определенному году, но эти кубиты могут поддерживать только «Clifford-операции», которые классические компьютеры могут моделировать эффективно. Алгоритм Шора, необходимый для взлома шифров, требует «не-Clifford-операций» (T-воротов), которых там нет.

Вывод прост: ожидать появления квантового компьютера, способного взломать RSA-2048 в течение следующих 5 лет, не подтверждается публичными достижениями. Даже 10 лет — это амбициозная оценка. Но это не означает, что можно расслабиться, особенно в контексте некоторых типов данных.

Атака «захвати сейчас, расшифруй потом»: кто действительно под угрозой?

Это самое важное различие для понимания, почему постквантовое шифрование требует немедленных действий, а постквантовые подписи — нет.

Для шифрования: злоумышленник может сегодня перехватить и сохранить зашифрованные данные, а потом, когда появятся квантовые компьютеры, расшифровать всё. Это означает, что данные, которые должны оставаться конфиденциальными более 10–50 лет, уже сегодня требуют постквантовой защиты. Государственные агенты уже сейчас могут накапливать гигабайты перехваченной коммуникации США для будущего дешифрования. Поэтому гибридное шифрование с использованием классических и постквантовых схем уже внедряется браузерами (Chrome с Cloudflare), мессенджерами (Signal, Apple iMessage).

Для цифровых подписей: ситуация принципиально иная. Если вы можете доказать, что подпись была создана до появления квантовых компьютеров, она не может быть ретроспективно подделана. Квантовые компьютеры смогут подделывать новые подписи только с момента их появления. Это означает, что постквантовые подписи не требуют такой же срочности, как постквантовое шифрование.

Для нулевых доказательств (zkSNARK): они также не подвержены атакам «захвати и расшифруй», поскольку их свойство нулевого знания гарантирует, что никакая информация о секрете не раскрывается — даже квантовому компьютеру. Таким образом, zkSNARK, созданный сегодня, останется криптографически безопасным завтра, независимо от используемой криптографии эллиптических кривых.

Постквантовые подписи: почему не стоит торопиться

Здесь важна практическая сторона перехода. Постквантовые схемы подписей имеют существенные компромиссы:

Размер и производительность: хеш-подписи (самые консервативные с точки зрения безопасности) имеют размер 7–8 килобайт — в 100 раз больше современных подписей на эллиптических кривых (64 байта). ML-DSA — 2,4–4,6 килобайт (в 40–70 раз больше). Даже Falcon, более компактный вариант (0,7–1,3 килобайт), сталкивается с критическими сложностями реализации.

Сложность реализации: Falcon включает операции с плавающей точкой в постоянное время и уже подвергался успешным атакам через боковые каналы. Один из его разработчиков назвал его «самым сложным криптографическим алгоритмом, который я когда-либо реализовывал».

Недостаточная зрелость: Rainbow и SIKE/SIDH, кандидаты на стандартизацию NIST, были взломаны классическими компьютерами. Это демонстрирует риск стандартизации и внедрения схем слишком рано.

Интернет-инфраструктура уже делает вывод: миграция на постквантовые подписи возможна в любой момент, сроков нет. Осторожность оправдана, поскольку ошибка на этом этапе может дорого обойтись. Блокчейны должны придерживаться такой же стратегии.

Блокчейн под угрозой: кто уязвим к квантовым атакам

Публичные блокчейны (Bitcoin, Ethereum): в основном защищены от атак «захвати и расшифруй», поскольку используют не-постквантовые подписи для авторизации, а не для шифрования. Квантовая угроза для Bitcoin — это подделка подписей и кража средств, а не расшифровка уже открытых данных о транзакциях. Даже Федеральная резервная система ошибалась, утверждая о критической уязвимости Bitcoin к квантовым атакам через HNDL.

Однако Bitcoin сталкивается с уникальными проблемами: медленное управление протоколом, миллионы «спящих» адресов с известными публичными ключами, стоимостью десятки миллиардов долларов. Даже если квантовые компьютеры не появятся до 2035 года, сама логистика перехода может занять годы. Это заставляет Bitcoin уже сейчас начинать планировать — не из-за угроз квантовых компьютеров, а из-за необходимости координации перехода.

Приватные блокчейны: действительно под угрозой. Если данные о получателях и суммах зашифрованы или скрыты (например, в Monero), эти конфиденциальные данные могут быть перехвачены сегодня и деанонимизированы через квантовые атаки завтра. Для них постквантовое шифрование или гибридные схемы уже необходимы, или требуется переработка архитектуры, которая не хранит расшифрованные секреты в блокчейне.

Семь шагов к безопасности постквантового шифрования

На основе вышеизложенного анализа — практические рекомендации:

1. Внедряйте гибридное шифрование немедленно там, где нужна долгосрочная конфиденциальность. Гибридные схемы (постквантовые + классические) защищают от атак «захвати и расшифруй» и нивелируют возможные слабости чисто постквантовых схем.

2. Используйте хеш-подписи в сценариях с низкой частотой обновлений (обновление ПО, прошивки). Это обеспечивает консервативную перестраховку и защиту от неожиданных ускорений в квантовом развитии.

3. Блокчейны не должны торопиться с внедрением подписей, но должны начать планировать. Разработчики должны быть осторожны, как и традиционное PKI-сообщество.

4. Bitcoin нуждается в конкретном плане по миграции и политике «спящих» средств. Его вызовы — в основном управленческие и координационные, а не технические.

5. Выделите время для исследований постквантовых SNARK и комбинированных подписей. Это займет несколько лет, но поможет избежать раннего внедрения неэффективных решений.

6. Рассматривайте абстракцию адреса в смарт-контрактных кошельках для большей гибкости при переходе на постквантовые примитивы.

7. Приватные блокчейны должны мигрировать как можно быстрее, если это возможно с точки зрения производительности, из-за реальной угрозы HNDL для их приватности.

Больший риск — это реализация, а не квантовые компьютеры

Самое важное заключение, которое часто упускается: в ближайшие годы уязвимости связаны скорее с реализацией, боковыми каналами и ошибками внедрения, чем с квантовыми компьютерами. Для сложных систем, таких как SNARK и постквантовые подписи, именно ошибки реализации могут привести к катастрофическим последствиям.

Инвестируйте в аудит, фаззинг, формальную верификацию и многоуровневую безопасность. Не позволяйте квантовой тревоге заслонить более острые и срочные угрозы.

Критически относитесь к новостям о квантовых прорывах. Каждый значимый этап на самом деле показывает, что до цели еще далеко. Пресс-релизы — это отчеты о достижениях, требующие критического анализа, а не сигналы к панике и поспешным действиям.