Помилково зрозуміле «квантове домінування» — до 2030 року вам не потрібно панікувати

Зараз, щодо того, коли з’являться «квантові комп’ютери, пов’язані з криптографією (CRQC)», прогнози на ринку часто є надто амбіційними та перебільшеними — що спричинює заклики до негайного та всебічного переходу на постквантову криптографію.

Але такі заклики часто ігнорують витрати та ризики передчасного переходу, а також знецінюють різницю у ризиках між різними криптографічними примітивами:

• Постквантове шифрування (Post-quantum encryption) дійсно потребує негайного впровадження, хоча й із високими затратами: атаки типу «спіймати, розшифрувати пізніше» (HNDL) вже мають місце. Сучасні захищені дані, навіть через десятки років після появи квантових комп’ютерів, можуть залишатися цінними. Хоча впровадження постквантового шифрування створює додатковий навантаження та ризики виконання, у разі HNDL дані, що потребують тривалого збереження, змушені обирати цей шлях.
• Постквантові підписки (Post-quantum signatures) мають зовсім інший обчислювальний характер: вони не піддаються атакам HNDL. Водночас, їх вартість і ризики (більший розмір, гірша продуктивність, недосконалі технології та потенційні помилки) вимагають обережного та зваженого підходу до переходу, а не поспішних рішень.

Розуміння цих відмінностей є критично важливим. Неправильне тлумачення може спотворити аналіз витрат та вигод і призвести до ігнорування більш нагальних безпекових ризиків — наприклад, помилок у коді.

Основний виклик у переході до постквантової криптографії — це співставлення терміновості з реальними загрозами. Нижче ми розглянемо поширені міфи про квантові загрози, зосереджуючись на криптографії, підписах і нульових знаннях (з особливим акцентом на їхній вплив на блокчейн).

Наскільки ми віддалені від квантової загрози?

Незважаючи на активний інформаційний шум, в 2020-х роках малоймовірно створення «квантового комп’ютера, пов’язаного з криптографією (CRQC)».

Я маю на увазі «CRQC» — квантовий комп’ютер із високою помилковістю та здатністю виправляти помилки, достатній для запуску алгоритму Шора в обчислювально реалістичні строки (наприклад, для злома secp256k1 або RSA-2048 упродовж максимум місяця).

За дослідженнями та оцінками доступних ресурсів та віх, ми ще дуже далекі від створення такого пристрою. Хоча окремі компанії стверджують, що CRQC може з’явитися до 2030 або 2035 року, сучасний стан відкритих досліджень і технологій не підтверджує ці припущення.

Об’єктивно, враховуючи сучасні архітектури — іонні пастки, надпровідні кубіти, системи з нейтральними атомами — жодна з них наразі не має близько до кількості фізичних кубітів у сотні тисяч або мільйонів, необхідних для запуску алгоритму Шора, враховуючи рівень помилок та схеми виправлення.

Обмеження не лише у кількості кубітів, а й у якості вентилів (Gate Fidelities), зв’язку між кубітами та глибині виправляючих циклів для довготривалої роботи квантових алгоритмів. Хоча деякі системи мають понад 1000 фізичних кубітів, кількість сама по собі оманлива — їй бракує потрібних зв’язків і точності для криптографічних обчислень.

Нещодавні системи починають наближатися до межі помилок для ефективного виправлення, але ще ніхто не показав, що може працювати кілька логічних кубітів із постійною виправною глибиною, і тим паче — тисячі високоточних, довгих, виправлених логічних кубітів, необхідних для запуску алгоритму Шора. Від «теоретичної можливості квантового виправлення помилок» до «досягнення масштабів, потрібних для криптоаналізу» — ще дуже далеко.

Коротко кажучи: поки кількість і якість кубітів не підвищаться у кілька порядків, CRQC залишиться недосяжним.

Легко заплутатися через PR та ЗМІ. Ось кілька поширених міфів:

• Демонстрації «квантової переваги»: наразі вони стосуються штучних задач. Вибір таких задач не означає їхню практичність — вони демонструють швидкість квантових алгоритмів на наявному обладнанні, що часто приховується в оголошеннях.
• Компанії, які хваляться тисячами фізичних кубітів: зазвичай це стосується квантових теплових машин (Quantum Annealers), а не систем, здатних запускати алгоритм Шора для зломів відкритих ключів.
• Зловживання терміном «логічний кубіт»: алгоритми, такі як Шор, потребують тисяч логічних кубітів. За допомогою квантових виправлень фізичні кубіти перетворюються у логічні — і це вимагає сотень або тисяч фізичних кубітів на один логічний. Однак деякі компанії вже неправильно застосовують цей термін. Наприклад, недавні оголошення стверджують, що з двох фізичних кубітів можна отримати 48 логічних кубітів — що є хибним, оскільки ця схема лише виявляє помилки, але не виправляє їх. Реальні виправлені логічні кубіти для криптоаналізу потребують сотні або тисячі фізичних.
• Вигадування визначень: багато дорожніх карт використовують «логічний кубіт» для позначення кубітів, що підтримують лише клафордські операції. Вони легко симулюються класичними обчислювачами і не здатні запускати алгоритм Шора.

Навіть якщо хтось обіцяє «зробити тисячі логічних кубітів» до X року, це не означає, що саме в цей час вони зможуть запускати алгоритм Шора для зломів RSA або ECC.

Такі маркетингові ходи сильно перекручують розуміння масової аудиторії (і навіть деяких аналітиків) про справжній рівень квантової загрози.

Водночас, частина експертів справді з оптимізмом дивляться на прогрес. Наприклад, Скотт Ааронсон нещодавно заявив, що враховуючи швидкість розвитку апаратного забезпечення, «можливо здійснити запуск квантового комп’ютера з виправленнями для алгоритму Шора до наступних президентських виборів у США». Але він підкреслює, що це не означає появи CRQC, здатного зламати криптографію — навіть здатність розкладати 15 = 3 × 5 у системі з виправленнями вважається пророчою заявою, але не еквівалентна зломові RSA-2048.

Фактично, усі експерименти з розкладом числа 15 — спрощені та не використовують повноцінного алгоритму Шора з виправленнями; розкладання 21 потребує додаткових підказок і обходів.

Коротко кажучи: наразі немає жодних публічних даних, що доводять можливість створення за 5 років квантового комп’ютера, здатного зламати RSA-2048 або secp256k1.

Десять років — це також дуже амбітний прогноз.

Американський уряд анонсував завершення перехідної програми для державних систем до 2035 року, але це — графік самого переходу, а не передбачення появи CRQC.

Для яких криптосистем підходить HNDL-атака?

«HNDL (Harvest Now, Decrypt Later)» — атака, коли зловмисник зберігає зашифровані повідомлення й розшифровує їх, коли з’явиться квантовий комп’ютер.

Національні конкуренти ймовірно вже архівують великі обсяги американської урядової криптографії для майбутнього розкриття. Тому системи шифрування потрібно переходити негайно, особливо якщо терміни секретності перевищують 10–50 років.

Однак усі цифрові підписи в блокчейні відрізняються від шифрування: у них немає секретної інформації, що може бути використана у ретроспективних атаках.

Інакше кажучи, коли з’являться квантові комп’ютери, їх вже зможуть підробляти підписи — але минулі підписи не будуть піддаватись впливу, бо вони не містять секретів, що можна зламати. Головне — якщо підпис був створений до появи CRQC і його можна довести (через цифрові сертифікати), він залишатиметься дійсним.

Тому перехід до постквантових підписів має бути менш нагальним, ніж до шифрування.

Основні платформи вже працюють у цьому напрямі:

• Chrome та Cloudflare впровадили гібридний режим TLS із X25519+ML-KEM.
• Apple iMessage (PQ3) і Signal (PQXDH, SPQR) також запровадили гібридне постквантове шифрування.

Проте, розгортання постквантових підписів у ключових інфраструктурах вебу відтерміновано — вони з’являться лише тоді, коли CRQC стане по-справжньому близьким, оскільки поточна продуктивність таких підписів все ще суттєво нижча.

Зовнішні системи нульових знань (zkSNARKs) — схожа ситуація: навіть із використанням не PQ-безпечних еліптичних кривих, їх криптографічна цінність у квантовому середовищі зберігається.

Захист доказів нульових знань гарантує, що вони не розкривають секретів, і атакувальник не зможе «збирати докази зараз і розкривати їх пізніше». Тому zkSNARKs менш вразливі до HNDL-атак. Так само, як і підписи сьогодні є безпечними, будь-які zkSNARK-проведені до появи CRQC залишатимуться дійсними — навіть якщо вони використовують еліптичні криві. Лише з появою CRQC зловмисник зможе підробити доказ неправдивих тверджень. Це відкриває шлях до побудови нової цифрової реальності, що перевищує масиви людської економіки, з безперервною цілодобовою обмінною діяльністю.