a16z Crypto отметил, что угроза квантовых вычислений преувеличена, а вероятность появления квантового компьютера, связанного с криптографией, чрезвычайно низка. Цифровые подписи и zkSNARK не подвержены атакам «сначала собирай, потом взламывай», а слишком раннее переключение несёт риски. Текущие угрозы — это уязвимости кода и сложности управления, поэтому рекомендуется отдавать приоритет аудиту, а не поспешным обновлениям.
a16z опровергает нарратив CRQC до 2030 года
a16z Crypto опубликовала аналитическую статью на своём официальном аккаунте, в которой говорится, что временная оценка рынка о «квантовых вычислениях, угрожающих криптовалютам», часто преувеличена, а вероятность появления квантовых компьютеров с реальной разрушительной силой до 2030 года крайне низка. Так называемый «криптографически значимый квантовый компьютер» относится к отказоустойчивым квантовым компьютерам, исправляющим ошибки, которые могут работать, а алгоритм Шора достаточно велик, чтобы в разумные сроки атаковать криптографию с эллиптическими кривыми или RSA.
Исходя из разумной интерпретации публичных этапов и оценок ресурсов, мы всё ещё далеки от создания квантового компьютера такого уровня. Все современные архитектуры — заточенные ионы, сверхпроводящие кубиты и нейтральные атомные системы — не могут приблизиться к масштабу сотен тысяч или даже миллионов твёрдых кубитов. Ограничивающими факторами являются не только количество кубитов, но и точность затвора, связность кубитов и глубина непрерывной схемы коррекции ошибок, необходимой для работы глубокого квантового алгоритма.
В некоторых системах сейчас более 1000 физических кубитов, но это число весьма вводит в заблуждение. Эти системы не обладают необходимой связностью кубитов и точностью затвора, необходимыми для криптографических вычислений. До сих пор существует огромный разрыв между доказательством допустимости принципов квантовой коррекции ошибок и масштабом, необходимым для достижения криптоанализа. Короче говоря: если количество кубитов и их точности не увеличить на несколько порядков, криптографически значимые квантовые компьютеры всё ещё недостижимы.
Три распространённых заблуждения о квантовой панике
Квантовое преимущество сбивает с толку: Демонстрации, утверждающие «квантовое преимущество», направлены на задачи, созданные человеком, а не на реальное взлома паролей
Квантовые отгореватели вводят в заблуждение: заявляя о тысячах кубит, но имея в виду отжигатели, а не машины с элементами, использующие алгоритм Шора
Злоупотребление логическими кубитами: Некоторые компании утверждают, что являются «логическими кубитами», но используют кодирование расстояния 2 для обнаружения ошибок и их не корректируют
Атаки HNDL не применяются к подписям и zkSNARK
В статье отмечалось, что основные решения цифровой подписи и системы нулевого знания, такие как zkSNARK, не подвержены квантовой атаке «сначала собирай, потом взламывай». Атаки Harvest Now, Decryption Later (HNDL) — это враждебные силы, которые теперь хранят зашифрованный трафик, а затем расшифровывают его после появления криптографически значимого квантового компьютера. Эта атака представляет реальную угрозу для криптографии, поэтому криптография должна трансформироваться сегодня — по крайней мере, для тех, кто нуждается в конфиденциальности более 10-50 лет.
Однако цифровая подпись, на которую опираются все блокчейны, отличается от шифрования: она не обладает секретностью отслеживаемой атаки. Другими словами, если появлялись квантовые операции, связанные с криптографией, то можно было подделывать подписи, но раньше подписи не «скрывали» секреты, такие как зашифрованные сообщения. Пока вы знаете, что цифровая подпись была сгенерирована до появления CRQC, её нельзя подделать. Это делает переход к постквантовым цифровым подписям менее срочно, чем переход к постквантовой криптографии.
zkSNARK (краткие неинтерактивные аргументы знания с нулевым уровнем знания) являются ключом к долгосрочной масштабируемости и конфиденциальности блокчейнов, и находятся в похожей ситуации с подписями. Хотя zkSNARK используют криптографию с эллиптическими кривыми, их свойства нулевого раскрытия безопасны после квантовой безопасности. Атрибут нулевой информации гарантирует, что в процессе доказывания не раскрывается информация о секретных свидетелях — даже для квантовых противников — поэтому не будет доступной конфиденциальной информации, которую можно было бы «собрать сейчас» для последующего расшифровки.
В результате zkSNARK не подвергаются атакам с захватом и расшифровкой. Точно так же, как современные не-постквантовые сигнатуры защищены, любое доказательство zkSNARK, созданное до появления криптографически значимых квантовых компьютеров, заслуживает доверия. Только после появления криптографически значимых квантовых компьютеров злоумышленники смогут найти убедительные доказательства ложных утверждений. Эта техническая деталь крайне важна для понимания подлинности квантовых угроз.
Три основных затраты и риски преждевременной миграции
Слишком ранний переход блокчейна к квантово-устойчивым решениям может привести к таким проблемам, как ухудшение производительности, инженерная незрелость и возможные недостатки безопасности. Затраты на производительность постквантовых сигнатур чрезвычайно значительны. Хеш-сигнатуры имеют размер 7-8 КБ, тогда как современные цифровые подписи на основе эллиптических кривых — всего 64 байта, что примерно в 100 раз больше. Решение с сеткой немного лучше: подписи ML-DSA варьируются от 2,4 КБ до 4,6 КБ, что всё равно в 40–70 раз больше текущего решения.
Что означает это увеличение размера для блокчейна? Большие сигнатуры означают более высокие транзакционные комиссии, более медленное распространение блоков и более высокие затраты на хранение узлов. Для блокчейнов, таких как Биткоин, которые уже сталкиваются с проблемами масштабируемости, переход на постквантовые подписи может усугубить проблему в десятки раз. Кроме того, схемы постквантовой подписи сложнее реализовывать безопасность, чем сигнатуры на основе эллиптических кривых, а ML-DSA несёт больше рисков безопасности и сложную логику отклонения дискретизации, требующую защиты побочных каналов.
Уроки истории — ещё больше предупреждений. Rainbow (схема подписи на основе MQ) и SIKE/SIDH (схема шифрования на основе гомологии) — ведущие кандидаты, которые были взломаны с помощью традиционных компьютеров в процессе стандартизации NIST. Это демонстрирует нормальное функционирование науки, но также указывает на то, что преждевременная стандартизация и внедрение могут обернуться против них. Специфические проблемы блокчейна также делают преждевременную миграцию особенно опасной, например, уникальные требования блокчейна к схемам подписей, особенно возможность быстрого агрегирования большого количества подписей.
a16z Семь советов: Осторожно обращайтесь с квантовыми угрозами
a16Z также подчеркнул, что по сравнению с рисками квантовых вычислений, которые ещё не сформировались, более реалистичные вызовы, с которыми сталкиваются основные публичные цепочки, такие как Bitcoin и Ethereum, связаны с трудностями совместных обновлений, сложностью управления и уязвимостями кода уровня реализации. Рекомендуется застройщикам заранее планировать пути, устойчивые к кванту, исходя из разумного окна по времени оценки, а не спешить с миграциями. В то же время отмечается, что в обозримом будущем традиционные вопросы безопасности, такие как дефекты кода, атаки на побочные каналы и инжекция неисправностей, по-прежнему более заслуживают приоритетных инвестиций, чем квантовые вычисления, и должны быть сосредоточены на усилении аудита, фаззинга и формальной верификации.
a16z Краткое изложение семи основных рекомендаций
Внедряйте гибридное шифрование сегодня: По крайней мере, в тех случаях, когда долгосрочная конфиденциальность крайне важна
Используйте сигнатуры на основе хеша: В сценариях низкочастотного размера, таких как обновления программного обеспечения
Блокчейн тщательно спланирован: Не спешите с миграцией, начните планировать свой путь уже сейчас
Сначала цепочка конфиденциальности: Если производительность приемлема, переход должен быть проведен как можно скорее
Ставьте безопасность на первое место: Аудит и тестирование важнее, чем антиквантовые
Финансирование квантовых исследований и разработок: Не дать противникам получить способности первыми
Посмотрите на объявление рационально: Воспринимайте отчёты о прогрессе как важные этапы, а не как триггеры действий
Разработчикам блокчейна следует последовать примеру сообщества веб-PKI, применяя разумный подход к внедрению постквантовых подписей. Это помогает схемам постквантовой подписи продолжать улучшаться с точки зрения производительности и безопасности. Особенно важно, чтобы сообщество Биткоина начинало планировать уже сейчас, поскольку медленное управление и большое количество ценных, потенциально заброшенных и квантово-уязвимых адресов создают особые вызовы.
