9 хвилин для зламу Біткоїна? Межі та неправильне тлумачення квантового білого паперу Google

Від: Max He @ Safeheron Lab

Ключовий висновок цієї статті

• Googleівський білий папір суттєво просуває інженерну оцінку квантових ризиків, але не доводить, що CRQC уже наближається до реального впровадження

• Зниження оцінок ресурсів ≠ готовність до реальних спроможностей атак; між цим усе ще існує багато інженерних викликів, які не були подолані

• Галузі потрібні не лише можливості «впровадження постквантових алгоритмів», а можливості «реагування на постійну зміну криптографії»

• 2030–2035 — це ключове вікно для підготовки до міграції “від заднього числа”, а не точний момент приходу квантової атаки

30 березня 2026 року дослідники Google Quantum AI разом із дослідниками Фонду Ethereum і Стенфордського університету опублікували важливий білий папір [1]. Ця праця на 57 сторінок системно аналізує загрозу квантових обчислень для криптовалют і наводить найбільш радикальні оцінки ресурсів на сьогодні: щоб зламати 256-бітову еліптичнокриву криптографію, на яку спираються Bitcoin і Ethereum, потрібно менш ніж 500k фізичних квантових бітів — це скорочення приблизно у 20 разів порівняно з попередньою найкращою оцінкою.

У той самий час, у статті обговорення квантових атак розширюється від Bitcoin до всієї екосистеми криптовалют; також зазначається, що потенційні поверхні квантових атак існують і в механізмах Ethereum, зокрема в розумних контрактах, консенсусі зі стейкінгом та вибірці даних на доступність. Це означає, що білий папір вже не зводиться лише до питання «чи буде квантовий злом біткоїнного приватного ключа»; він підштовхує всю індустрію до повторного осмислення: коли існуючі блокчейн-системи стикаються з еволюцією квантових можливостей, які припущення безпеки можуть потребувати переоцінки.

Цей білий папір викликав явний резонанс у блокчейн-індустрії. Поширилося твердження «квантові обчислення можуть зламати Bitcoin за лічені хвилини», і багато практиків почали переглядати усталені припущення безпеки. Його реакція була такою сильною не лише тому, що оцінки ресурсів знову знизилися, а й тому, що вперше «атака вікна транзакцій у мережі» була поставлена в один ряд із питанням «чи вистачить блокчейн-системі часу завершити міграцію». Питання перестало бути лише суто академічним «чи можна зламати», натомість стало питанням інженерії та управління: “чи справді є достатньо часу, щоб підготуватися”.

Але за цими емоціями є ще більш доречне питання: що саме Google насправді довів? І чого не довів? Наскільки ця робота змінила наше розуміння квантових ризиків?

Варто зазначити, що сфера впливу цього білого паперу не обмежується проблемою оголення ключів “як у Bitcoin”, а поширюється на ширшу поверхню атак криптовалютних систем. Проте в цій статті ми все ж більше зосереджуємося на змінах у загальному оцінюванні квантових ризиків, які приносить ця робота, а не на покроковому розборі конкретних впливів різних ончейн-механізмів.

1 Що саме Google зробив цього разу?

1.1 ECDLP: базове припущення безпеки блокчейну

Безпека більшості поширених криптовалют нині ґрунтується на проблемі еліптичнокривої дискретної логарифмії (ECDLP) [2]. Для прикладу візьмемо криву secp256k1, яку використовують Bitcoin і Ethereum [3]. Її ключове припущення таке: за класичних умов обчислень, маючи відкритий ключ (точку на еліптичній кривій), неможливо за прийнятний час вивести відповідний приватний ключ.

Це припущення протягом десятиліть широко приймалося і стало фундаментальною передумовою безпеки всієї блокчейн-системи. Однак алгоритм Шора [4] показує, що в ідеальній моделі квантових обчислень ECDLP можна розв’язати ефективно, тим самим теоретично підриваючи цю основу безпеки.

1.2 Оцінка ресурсів: скільки потрібно квантових обчислень для злому

Ключова мета роботи Google — не запропонувати новий спосіб атаки, а повторно відповісти на давнє питання: якщо в майбутньому справді вдасться створити досить велику, достатньо стабільну квантову обчислювальну машину, здатну виконувати такі квантові алгоритми, то які обчислювальні ресурси потрібні для злому ECDLP?

У статті побудовано й оптимізовано квантові схеми для secp256k1 та запропоновано два різні напрямки оптимізації: один — максимально зменшити кількість логічних квантових бітів, а другий — максимально зменшити кількість некліффордівських вентилів (наприклад, вентилів Toffoli). За набором чітко сформульованих припущень щодо апаратного забезпечення та корекції помилок ці схеми можуть виконуватися в масштабі менш ніж 500k фізичних квантових бітів.

Порівняно з попередніми типовими оцінками ресурсів [5][6], цей результат має помітне покращення за інтегральним показником «просторово-часового об’єму» (spacetime volume). І ще важливіше: він перетворює раніше радше теоретизоване обговорення на набір інженерних параметрів, які можна зіставляти та відстежувати.

1.3 «9 хвилин»: звідки береться це число

Крім оцінки ресурсів, у статті також наведено інтуїтивний порядок часу атаки.

За припущення, що час виконання операцій квантових вентилів становить мікросекунди, і з урахуванням певних накладних витрат на виконання, повне виконання відповідної квантової схеми приблизно потребує десятків хвилин. Зважаючи на те, що частину обчислень квантового алгоритму можна виконати ще до появи відкритого ключа, реальні обчислення, пов’язані з цільовим відкритим ключем, можна стиснути приблизно вдвічі, що дає оцінку «близько 9 хвилин».

Це число привернуло широку увагу, бо воно близьке до середнього часу формування блока у Bitcoin — близько 10 хвилин. Це означає, що за деяких припущень атакувальник теоретично може завершити відновлення приватного ключа до підтвердження транзакції.

Потрібно підкреслити, що ця оцінка часу залежить від цілого набору ідеалізованих передумов; її значення радше полягає в тому, щоб надати масштабний орієнтир, а не безпосередньо відображати реальні можливості атаки.

1.4 Докази з нульовим знанням: чому не публікують схему

Ще однією важливою особливістю статті є введення механізму «перевірюваного розкриття» за умови, що конкретні квантові схеми не публікуються [7].

Дослідницька команда зафіксувала схему через хешування (commitment), а в публічній процедурі перевірки перевіряє поведінку схеми на наборі випадкових вхідних даних, а також верифікує її верхню межу ресурсів. Уся процедура перевірки оформлена як доказ з нульовим знанням, тож будь-яка третя сторона може підтвердити коректність відповідних тверджень, не торкаючись деталей схеми.

Такий підхід створює баланс між «захистом деталей атаки» та «підвищенням довіри до висновків», і робить оцінку ресурсів не просто твердженням дослідників, а об’єктивно перевірюваною в криптографічному сенсі.

2 Як це слід розуміти?

Перш ніж глибше зрозуміти ці результати, варто спочатку прояснити одне поняття.

У статті неодноразово згадується CRQC (Cryptographically Relevant Quantum Computer — криптографічно релевантний квантовий комп’ютер). Цей термін можна дослівно перекласти як «квантовий комп’ютер, пов’язаний із криптографією», але це не узагальнюючий термін для будь-яких квантових комп’ютерів; він означає саме ті квантові обчислювальні системи, які вже мають реальні можливості криптоаналізу. Іншими словами, по-справжньому важливою для блокчейн-галузі є не те, чи триває прогрес квантових обчислень, а те, коли вони розвинуться настільки, щоб у реальних умовах зламувати криптографічні задачі на кшталт ECDLP.

З цієї точки зору значення роботи Google полягає не лише в демонстрації прогресу квантових обчислень як таких, а в більш конкретній відповіді на питання: якого масштабу ресурсів, рівня виконавчої спроможності та часових характеристик має потребувати квантовий комп’ютер, здатний загрожувати реальним криптографічним системам.

Як уточнення, це питання можна розглядати у трьох вимірах: виконавчі характеристики квантових обчислювальних систем, різні можливі траєкторії еволюції технологій і те, яким саме атакам зрештою відповідають ці можливості.

2.1 Швидкі тактові режими й повільні тактові режими: квантовий комп’ютер не єдиний

Одним із важливих поглядів, запропонованих статтею, є розрізнення різних типів квантової архітектури.

Деякі платформи (наприклад, надпровідникові кубіти ) мають швидший базовий темп операцій, коротші цикли корекції помилок і можуть виконувати глибокі схеми за коротший час. Інші платформи (наприклад, іонні пастки [14] або нейтральні атоми ) працюють повільніше, але можуть мати переваги в інших аспектах.

Ця різниця означає, що «можливості квантових обчислень» не є єдиним показником. Навіть за однакового масштабу квантової системи на різних архітектурах реальна атакувальна здатність щодо криптографічних задач може відрізнятися на порядок величин.

Різниця в характеристиках виконання безпосередньо впливає на спосіб формування CRQC і часову структуру: деякі системи ближчі до завершення обчислень у коротких часових вікнах, тоді як інші краще підходять для тривалої роботи.

2.2 Два можливі шляхи еволюції

Спираючись на відмінності архітектур, можна далі розглянути траєкторії еволюції квантових обчислювальних можливостей.

Один варіант: квантові системи з більш швидкою спроможністю виконання першими досягають рівня толерантності до збоїв; тоді основним ризиком стає атака в реальному часі на ончейн-транзакції (наприклад, відновлення приватного ключа до підтвердження транзакції). Інший варіант: системи повільніші, але більш стабільні, першими отримують прорив; тоді атаки, імовірно, зосереджуватимуться на відкритих ключах із тривалим оприлюдненням — наприклад, на історичних адресах або на повторно використовуваних ключах.

Ці два шляхи не є взаємовиключними, але вони відповідають різним часовим структурам ризику та різним акцентам у захисті.

З цього погляду поява CRQC не обов’язково відповідає одному чіткому часовому моменту, а радше може проявлятися як процес поступового набуття різних здібностей.

2.3 Три типи атак

У рамках зазначеної вище логіки квантові атаки можна умовно поділити на три категорії.

Перша — «атака під час використання» (on-spend attack), тобто відновлення приватного ключа у часовому вікні після того, як транзакція потрапляє в memory pool, але до того, як її записують у блок. Друга — «статична атака» (at-rest attack), спрямована на відкриті ключі, які вже давно експоновані в ланцюжку; атакувальник може мати більш достатній час на обчислення. Третя — «атака під час налаштування» (on-setup attack), спрямована на протоколи, що залежать від певних публічних параметрів; шляхом одноразових квантових обчислень отримують бекдори, які можна повторно використовувати.

Спільне між цими трьома типами атак у тому, що вони спираються на одну й ту саму базову здатність — розв’язувати ECDLP у межах прийнятного часу. Але залежності від часових вікон і структури системи для кожної категорії різні.

За результатом ці три типи атак є різними проявами однієї й тієї ж суті: коли квантові обчислювальні можливості досягають рівня, який представляє CRQC, конкретний вплив на різні системні умови та часові обмеження визначається саме цим.

3 Наскільки далеко до реальних квантових атак?

3.1 Цей білий папір не доводить нічого конкретного

Слід підкреслити: хоча цей білий папір суттєво просуває інженерну оцінку квантових ризиків, він не доводить, що CRQC уже наближається до реального впровадження, і не доводить, що наявні блокчейн-системи в короткостроковій перспективі зіткнуться з реальними квантовими атаками, які є здійсненними.

Те, що він реально зробив, — за чітко сформульованих припущень ще більше звузив оцінку ресурсів, потрібних для злому secp256k1, та перемістив обговорення ризиків від більш абстрактного формату до такого, що краще підходить для інженерної оцінки. Його доведення полягає в тому, що пов’язані задачі стали більш конкретними, ніж раніше розумілося, і що за ними потрібно здійснювати постійне відстеження; але він не доводить, що великомасштабні квантові системи з толерантністю до збоїв, потрібні для підтримки цих атак, вже зовсім поруч.

3.2 Потреби в ресурсах зменшуються, але інженерна дистанція все ще відчутна

Якщо продовжити: від «квантові алгоритми теоретично можуть зламати ECDLP» до «у реальному світі дійсно з’являється квантова обчислювальна спроможність, достатня, щоб загрожувати криптографічним системам», — це не просто питання масштабування інженерних зусиль. Насправді, щоб квантові атаки стали здійсненними, вирішальним є не лише цифри оцінок ресурсів на папері, а цілий комплекс: архітектура з толерантністю до збоїв, корекція помилок, реальне декодування, системи керування та загальна спроможність безперервно й стабільно виконувати глибокі схеми протягом тривалого часу.

Частина цих умов справді належить до інженерної реалізації; але їх не можна просто трактувати як «якщо далі вкладатися, то рано чи пізно це природно вирішиться». Хоч квантова корекція помилок і толерантні обчислення в теорії дають масштабований шлях, чи зможе реальний світ інтегрувати ці умови в одну стійко працюючу машину CRQC, здатну загрожувати реальним криптографічним системам, — досі залишається суттєва невизначеність.

З цього погляду більш точний сенс білого паперу Google — не оголошення про те, що квантові атаки вже на порозі, а надання галузі можливості вперше обговорювати цей ризик за допомогою більш конкретних інженерних параметрів; водночас це нагадування: не слід ототожнювати зниження оцінок ресурсів безпосередньо з тим, що реальні атакувальні можливості вже готові.

3.3 Це не питання, яке підходить для точної прогнозної дати

Саме тому прихід квантових атак не варто розуміти як часову точку, яку можна точно спрогнозувати. Для блокчейн-галузі головне не те, «в якому році точно з’явиться CRQC», а те, чи зазначені здібності рухаються у напрямку, який стає дедалі більш тривожним.

З одного боку, ключові прориви можуть за короткий час радикально змінити вимоги до ресурсів. З іншого боку, навіть якщо здається, що технічний шлях близький, він може надовго застрягнути перед подоланням певних базових вузьких місць. Це означає, що ми навряд чи зможемо, використовуючи лінійне екстраполювання на кшталт «у цьому році стільки-то квантових бітів, а в наступному — стільки-то», визначити, коли реальні атакувальні спроможності з’являться.

Тож більш надійне розуміння цього питання не в тому, щоб робити ставку на один конкретний рік, а в тому, щоб визнати сильну невизначеність і зосередити увагу на тих базових сигналах, які реально здатні змінити оцінювання ризику.

3.4 Найбільш небезпечне, що попереджувальні сигнали можуть бути неочевидними

Це, у свою чергу, означає, що спільноті не варто очікувати чіткого попереджувального сигналу через якусь одну «публічну демонстрацію квантової атаки».

Багато людей мають звичку вважати публічну демонстрацію ознакою технічної зрілості: начебто якщо ще не побачили демонстрації в реальному світі, то це означає, що до реальної загрози ще далеко. Але в контексті питання квантового криптоаналізу така інтуїція може бути хибною. Коли з’являться певні знакові демонстрації, відповідні можливості можуть уже досить довго накопичуватися у глибших технічних елементах, і вікно для захисту може помітно звузитися.

Для блокчейн-галузі саме це є найскладнішою точкою: реально важливі зміни можуть розгортатися не у чіткій, поступовій і помітній для зовнішнього спостерігача формі.

4 Як оцінювати прогрес у квантових технологіях?

4.1 Не зводьте все лише до кількості квантових бітів

Якщо глава 3 відповідає на питання «де ми приблизно зараз знаходимося», то далі постає питання: на що дивитися в майбутньому, щоб точніше оцінювати прогрес у квантових обчисленнях.

Найлегше поширюваним і найчастіше неправильно інтерпретованим показником є кількість квантових бітів. Вона достатньо інтуїтивна й помітна, але для криптоаналітичної спроможності це аж ніяк не єдиний показник і навіть не найкритичніший. Саме лише збільшення кількості фізичних квантових бітів не означає автоматично, що система наближається до реальних атакувальних можливостей.

Насправді варто звертати увагу на те, чи ці квантові біти можуть ефективно організовуватися за умов толерантності до збоїв; чи здатні вони стабільно підтримувати виконання глибоких схем; і чи утворюють вони замкнений цикл із алгоритмами та системами керування. Для галузі «скільки квантових бітів» може максимум вказувати на зміну масштабу, але не на окреме наближення реальної загрози.

4.2 Найважливіші — це три типи сигналів

Якщо потрібно сформувати відносно практичну рамку для оцінки прогресу, то можна зосередитися на трьох категоріях сигналів.

Перша — сигнали від апаратного забезпечення. Тут важливо не лише те, що росте кількість фізичних квантових бітів; важливо, чи починають з’являтися стабільні логічні квантові біти, чи переходить корекція помилок у масштабовану фазу, і чи здатна система безперервно працювати в умовах корекції помилок.

Друга — сигнали від алгоритмів. Сам білий папір Google є типовим прикладом. Для блокчейн-галузі важливіше стежити не за певним одним числом як таким, а за тим, чи продовжує падати ця оцінка ресурсів: чи зменшується кількість логічних квантових бітів, чи зменшується число критичних операцій вентилів, чи продовжує збігатися загальний просторово-часовий обсяг.

Третя — сигнали від системи. Їх часто найпростіше пропустити. Навіть якщо і апаратне забезпечення, і алгоритми просуваються, все одно потрібно побачити, чи дозрівають системні можливості: чи з’являється здатність стабільно виконувати глибокі схеми протягом тривалого часу, яка масштабованість системи керування, і чи починають одночасно виконуватися кілька ключових умов. У реальному світі атакувальна спроможність в кінцевому підсумку залежить не від одного показника, а від того, чи можуть ці умови з’єднатися в єдиний замкнений інженерний шлях.

4.3 Публічні демонстрації можуть бути орієнтиром, але не єдиним сигналом

Багато людей природно очікують певного «знакового моменту»: наприклад, якщо якась експериментальна платформа публічно демонструє роботу відповідного алгоритму на малому масштабі кривої, тоді всі сприймають це як сигнал того, що ризик справді почав проявлятися.

Цей тип сигналів, безумовно, має довідкову цінність, але його не можна використовувати як єдину основу для висновків. З погляду еволюції технологій публічна демонстрація часто є лише «результатом», а не першою зміною. Набагато важливіше — чи вже поступово сформувалися базові умови, про які йшлося вище.

Для галузі більш реалістичний підхід — не чекати драматичного моменту, а формувати звичку до безперервного спостереження: чи апаратне забезпечення переходить у нову фазу, чи продовжує стискатися алгоритмічні ресурси, і чи рухається системна спроможність від «розрізнених покращень» до «цілісного формування». Порівняно з питанням «коли побачимо демонстрацію», більш доречно запитувати: до того, як ми побачимо демонстрацію, чи ми вже зрозуміли напрям технічного прогресу.

5 Як оцінювати прогрес у квантових технологіях?

5.1 Це не «поточна проблема», але до підготовки треба приступати вже зараз

З інженерної реальності випливає, що на сьогодні квантові обчислення ще не мають спроможності запускати атаки на наявні системи криптовалют. Незалежно від того, чи йдеться про масштаб апаратного забезпечення, керування помилками чи здатність стабільно виконувати глибокі схеми протягом тривалого часу, різниця між тим, що припускає стаття, і тим, що реально існує, є помітною.

Але це не означає, що галузь може нескінченно відкладати роботу над цим питання. Порівняно з минулим, важлива зміна полягає в тому, що відповідні технічні шляхи стали дедалі більш зрозумілими, а оцінки ресурсів продовжують зближуватися до спільних контурів. Для блокчейн-систем це не стосується якогось одного конкретного моменту в часі, а питання, чи вже зарезервовано достатньо часу та простору для майбутньої міграції.

Модернізація криптографічної інфраструктури часто не відбувається одним простим замінним кроком у софті. Вона зачіпає протоколи, реалізацію, узгодження екосистеми, міграцію активів і зміни в користувацьких звичках; часові рамки зазвичай вимірюються роками, а не місяцями чи кварталами. З цього погляду це не проблема «яка вибухне зараз», але вже точно проблема, яку потрібно якнайраніше включити до планування.

5.2 Алгоритми зміняться, але дизайн блокчейн-систем не потрібно повністю скасовувати

Прямий удар квантових обчислень припадає не на самі блокчейн-системи як такі (як безпечні системи), а на криптографічні припущення, які лежать в їх основі: наприклад, підписні схеми на основі еліптичних кривих. Тобто квантові технології загрожують не концептуальній ідеї блокчейну як безпечної системи, а конкретним криптографічним примітивам, на яких вона базується.

Це означає, що багато механізмів безпеки, які вже доведено ефективними сьогодні, не втратять цінності через появу квантових обчислень. Для блокчейн- і цифрових активів незалежно від того, чи йдеться про керування ключами, багатосторонні обчислення (MPC), апаратну ізоляцію (TEE), контроль прав доступу, механізми аудиту, або про цілісну архітектуру безпеки, створену навколо системи облікових записів, схвалення транзакцій, фрод-менеджменту та управління (governance): усі вони й надалі вирішують реальні проблеми на кшталт витоку ключів, одиночних точок відмови, внутрішніх ризиків та помилок під час операцій. Ці проблеми не зникнуть разом зі змінами базових криптографічних примітивів.

Тож більш коректне розуміння не в «потрібно перевернути з ніг на голову всю блокчейн-безпеку в квантову епоху», а в тому, що: перш за все потрібно оновити базові криптографічні компоненти; а те, що слід зберегти й посилити, — це дизайнерські принципи блокчейн-системи, які вже сформувалися в захисті ключів, розшаруванні прав доступу, ізоляції ризиків і керуванні. Справді важливо не лише замінити якийсь один підписний алгоритм, а забезпечити, щоб вся система могла нести таку криптографічну міграцію.

5.3 Від «який алгоритм обрати» до «чи можна виконати гладку міграцію»

Сьогодні постквантова криптографія вже входить у стадію стандартизації та інженерної реалізації. Перші стандарти PQC, ініційовані NIST, були офіційно опубліковані в 2024 році [12], але для різних схем усе ще існують помітні відмінності в продуктивності, розмірі підпису, складності реалізації та криптографічних припущеннях безпеки; інженерна практика й шляхи впровадження в галузі також продовжують еволюціонувати.

За таких умов питання змінюється: замість надто рано робити ставку на конкретний алгоритм, стає більш важливим інше — чи має система здатність виконати гладку міграцію.

Ця здатність включає кілька рівнів: чи можна запровадити нові підписні схеми, не порушуючи безперервність бізнесу; чи можна підтримувати гібридний режим протягом певного часу; і чи зможе система надалі коригувати й забезпечувати сумісність, коли стандарти та інженерна практика продовжуватимуть розвиватися.

У довгостроковій перспективі те, що справді потрібно блокчейн-галузі, — це не лише «здатність застосувати постквантові алгоритми», а «здатність реагувати на постійну зміну криптографії». Перше — це одна міграційна хвиля; друге — це дизайн системи, який буде довгостроково стійким.

6 Висновок: важливий технічний сигнал

З огляду на сьогоднішню інженерну реальність, квантові обчислення все ще не здатні створити реальну загрозу існуючим системам криптовалют. Незалежно від того, чи йдеться про масштаб апаратного забезпечення, керування помилками, чи про толерантність до збоїв, необхідну для стабільного виконання глибоких схем протягом тривалого часу, — відстань до умов, які припускає стаття, все ще помітна. Іншими словами, CRQC — це не технологія, яка «просто з’явиться після того, як настане потрібний час»: її реалізація досі залежить від низки інженерних викликів, які ще не повністю подолані.

Водночас це питання вже не підходить для того, щоб сприймати його як абстрактну дискусію про далеке майбутнє. У березні 2026 Google чітко встановив власну часову лінію постквантової міграції на 2029 рік [8]; британський NCSC визначив три ключові міграційні віхи — 2028, 2031, 2035 [9]; G7 Cyber Expert Group у своєму роадмапі для фінансової системи не встановлює регуляторних дедлайнів, але також вважає 2035 цільовою орієнтирною датою для повної міграції й рекомендує ключовим системам завершити міграцію насамперед у межах 2030–2032 [10].

Також потрібно уникати надмірного тлумачення. За наявними на сьогодні домінуючими публічними матеріалами навіть більш агресивні публічні оцінки здебільшого зсувають вікно ризику на приблизно 2030 рік, а не формують одностайний висновок «CRQC буде чітко реалізований до 2030 року». Експертне опитування Global Risk Institute за 2025 рік показує: поява CRQC у найближчі 10 років є «quite possible (28%–49%)», а поява в межах 15 років — лише в категорії «likely (51%–70%)» [11].

Отже, найважливіший сенс білого паперу Google полягає не в тому, що він оголошує про прихід квантових атак, а в тому, що вперше це питання стало достатньо конкретним: його можна обговорювати, оцінювати, і до нього потрібно почати готуватися. Для блокчейн- і цифрово-активної галузі 2030–2035 — це ключове вікно, яке варто серйозно сприймати й заздалегідь резервувати простір для міграції. Воно може й не відповідати конкретному року появи реальних квантових атак, але, імовірно, визначатиме, чи матиме галузь до того часу достатньо безпечний запас для адекватної відповіді.