Ошибочно истолкованный «квантовый гегемон» — до 2030 года тебе не стоит паниковать

В настоящее время прогнозы относительно того, когда появятся «квантовые компьютеры, связанные с криптографией (CRQC)», зачастую слишком амбициозны и преувеличены — это вызывает призывы к немедленному и полномасштабному переходу на постквантовую криптографию.

Однако эти призывы зачастую игнорируют издержки и риски раннего перехода, а также не учитывают кардинальные различия в риск-профилях различных криптографических примитивов:

• Постквантовое шифрование (Post-quantum encryption) действительно требует немедленного развертывания, несмотря на высокие затраты: атаки типа «перехват, а затем расшифровка» (HNDL) уже происходят. Современные чувствительные данные, зашифрованные сегодня, могут оставаться ценными даже через десятилетия, когда появятся квантовые компьютеры. Хотя внедрение постквантового шифрования ведёт к снижению производительности и рискам реализации, при угрозе HNDL у данных, требующих долгосрочной секретности, выбора другого нет.
• Постквантовые подписи (Post-quantum signatures) основаны на совершенно иной логике вычислений: они не подвержены атакам типа HNDL. А также, стоимость и риски внедрения постквантовых подписей (больший объём, худшая производительность, несовершенность технологий и потенциальные баги) требуют обдуманного, а не поспешного подхода к миграции.

Различия между ними крайне важны. Неправильное понимание искажают анализ затрат и выгод, приводя команды к игнорированию более немедленных и опасных угроз — например, ошибок в коде.

Основная сложность при переходе к постквантовой криптографии заключается в согласовании чувства срочности с реальными угрозами. Ниже мы разъясним распространённые заблуждения о квантовой угрозе, охватив шифрование, подписи и доказательства с нулевым разглашением (особенно их влияние на блокчейн).

Насколько мы далеки от квантовой угрозы?

Несмотря на шумиху в СМИ, вероятность появления «квантовых компьютеров, связанных с криптографией (CRQC)» в 2020-х годах крайне низка.

Под «CRQC» понимается квантовый компьютер с коррекцией ошибок и достаточной масштабностью, чтобы за разумное время запускать алгоритм Шора для атаки на эллиптические кривые или RSA (например, взлом secp256k1 или RSA-2048 в течение максимум месяца).

По разумной оценке ключевых этапов и ресурсов, мы очень далеки от создания такой машины. Некоторые компании утверждают, что CRQC может появиться до 2030 или 2035 года, однако текущие публичные достижения не подтверждают этих предположений.

Объективно, ни одна из современных архитектур — ионные ловушки, сверхпроводниковые квантовые биты, системы на основе нейтральных атомов — сегодня не приближается к количеству сотен тысяч или миллионов физических квантовых бит, необходимым для реализации алгоритма Шора (учитывая ошибки и схемы коррекции).

Ограничивающими факторами являются не только число квантовых бит, но и уровень точности операций (Gate Fidelity), связность квантовых битов и глубина коррекционных цепей, необходимых для выполнения сложных квантовых алгоритмов. Несмотря на то, что физическое количество квантовых бит в некоторых системах превышает 1000, сосредоточение только на их количестве вводит в заблуждение: этим системам зачастую не хватает необходимой связности и точности для криптографических вычислений.

Недавние системы приближаются к порогу ошибок, при котором возникает необходимость в коррекции, однако никто пока не демонстрирует наличие нескольких логических квантовых бит с непрерывной коррекцией ошибок и глубиной цепей, необходимых для запуска алгоритма Шора. А между «доказательством теоретической реализуемости квантовой коррекции» и «достижением масштаба, необходимого для криптоанализа» — огромная пропасть.

Короче говоря: пока количество и точность квантовых бит не увеличится на несколько порядков, CRQC остается недостижимой целью.

Однако легко запутать общественность и СМИ с помощью маркетинговых заявлений. Вот некоторые распространённые заблуждения:

• Демонстрации «квантового преимущества»: эти показы зачастую основаны на специально подобранных задачах, которые не имеют практической ценности, а лишь демонстрируют возможность их выполнения на существующем оборудовании и наличие квантового ускорения — что зачастую скрывается в объявлениях.
• Компании, заявляющие о наличии нескольких тысяч физических квантовых бит: как правило, речь идет о квантовых отжигателях (Quantum Annealers), а не о машинах, способных запускать алгоритм Шора для атаки на публичные ключи.
• Злоупотребление термином «логические квантовые биты»: алгоритмы, такие как Шор, требуют тысячи стабильных логических квантовых бит. В процессе квантовой коррекции на физическом уровне используют сотни или тысячи физических бит для реализации одного логического. Некоторые компании даже утверждают, что используют всего по два физических бита на логический квантовый бит, что неверно — такая схема может лишь обнаруживать ошибки, но не исправлять их. Для криптоанализа нужны надёжные, исправляющие ошибки логические биты, каждый из которых требует сотни или тысячи физических бит.
• Манипуляции с определениями: многие дорожные карты используют термин «логический квантовый бит» в отношении к квантовым битам, поддерживающим только операции Clifford, которые легко моделируются классическими компьютерами и не позволяют запускать алгоритм Шора.

Даже если какая-то дорожная карта заявляет о цели «создания тысяч логических квантовых бит к X году», это не означает, что компания реально планирует к тому времени запустить алгоритм Шора для взлома классической криптографии.

Такие маркетинговые ходы искажают восприятие общественности (даже среди опытных аналитиков) степени приближения квантовой угрозы.

Несмотря на это, некоторые эксперты выражают оптимизм. Скотт Ааронсон недавно заявил, что, учитывая скорость развития аппаратного обеспечения, «возможность создать исправляющий ошибки квантовый компьютер для запуска Шора до следующих президентских выборов в США» — это, по его мнению, вероятно. Однако он также ясно подчеркнул, что это не означает угрозу для криптографии: даже возможность разложения 15 = 3 × 5 в рамках исправляющей системы — считается «пророческим успехом». Очевидно, что это не сопоставимо с взломом RSA-2048.

Фактически все эксперименты по разложению 15 на квантовых устройствах используют упрощённые схемы, а не полные исправляющие алгоритмы Шора; разложение 21 требует дополнительных подсказок и обходных путей.

Проще говоря: нет никаких публичных данных, подтверждающих возможность создания в ближайшие 5 лет квантового компьютера, способного взломать RSA-2048 или secp256k1.

Даже в течение десяти лет это останется очень амбициозным прогнозом.

Правительство США заявило о планах завершить миграцию государственных систем на постквантовую криптографию к 2035 году — это внутренний график проекта, а не предсказание появления CRQC в обозримом будущем.

Для какой категории криптосистем подходит атака HNDL?

«HNDL (Harvest Now, Decrypt Later)» — атака, при которой злоумышленник хранит зашифрованные коммуникации сейчас, чтобы потом взломать их, когда появится квантовый компьютер.

На государственном уровне вероятно уже ведется масштабное архивирование американских правительственных зашифрованных сообщений на будущее. Поэтому системы шифрования необходимо обновлять немедленно, особенно в случаях, когда срок секретности превышает 10–50 лет.

Однако все цифровые подписи в блокчейнах и других системах отличаются — в них нет конфиденциальной информации, которая могла бы стать мишенью для ретроспективных атак.

Иными словами, когда появится квантовый компьютер, злоумышленник сможет начать подделывать подписи — а прошлые подписи останутся неповреждёнными, поскольку не содержат секретных данных, которые можно было бы раскрыть. Пока подписи были созданы до появления CRQC, они не могут быть подделаны.

Следовательно, необходимость перехода на постквантовые подписи гораздо ниже, чем у системы шифрования.

Основные платформы уже предприняли соответствующие шаги:

• Chrome и Cloudflare внедрили гибридный режим TLS с использованием X25519+ML-KEM.
• Apple iMessage (PQ3) и Signal (PQXDH, SPQR) также используют гибридное постквантовое шифрование.

Однако внедрение постквантовых подписей в критическую инфраструктуру Web пока откладывается — это произойдет только в случае приближающегося CRQC, поскольку текущие алгоритмы постквантовых подписей всё ещё требуют значительных затрат производительности.

Ситуация с zkSNARK (технология доказательств с нулевым разглашением, краткие и неинтерактивные доказательства) аналогична подписаниям: даже при использовании эллиптических кривых (без PQ-безопасности), их нулевое разглашение остаётся действительным в квантовой среде.

Доказательство с нулевым разглашением не раскрывает секретных данных, поэтому злоумышленник не сможет «собирать доказательства сейчас и расшифровывать позже». Поэтому zkSNARKs малочувствительны к атаке HNDL. Как и современные подписи, созданные сегодня, любые zkSNARK, сформированные до появления квантового компьютера, считаются надёжными — даже если в них использовалась эллиптическая криптография. Только после появления CRQC злоумышленник сможет подделать ложное доказательство. Так будет постоянно происходить обмен ценностями, формируя цифровой мир, превосходящий по масштабам человеческую экономику.