a16z丨У гонитві з квантовими обчисленнями: Посібник з обережного переходу до постквантової криптографії у блокчейні

Стаття написана: Justin Thaler, партнер з досліджень у галузі криптографії a16z crypto та доцент кафедри інформатики у Джорджтаунському університеті
Переклад: Yangz, Techub News

Щодо прогнозів щодо часу появи квантових комп’ютерів, що стосуються криптографії, їх часто перебільшують, що викликає заклики до термінового та всеохоплюючого переходу на постквантову криптографію. Такі заклики часто ігнорують витрати та ризики передчасного переходу, а також різницю у ризикових характеристиках різних криптографічних примітивів:

Постквантове шифрування, хоча й коштовне, вимагає негайного впровадження: атаки «збір та розкриття» (HNDL) вже здійснюються, і чутливі дані, зашифровані сьогодні, зберігають цінність навіть у разі появи квантових комп’ютерів (навіть якщо це станеться через десятки років). Крім того, продуктивність та ризики реалізації постквантового шифрування справді існують, але для даних, що потребують довгострокової секретності, атаки HNDL залишають нам іншого вибору.

Постквантові підписи мають інші міркування. Вони менш вразливі до атак HNDL, але їх вартість і ризики (більший масштаб, витрати на продуктивність, недосконалість реалізації та потенційні вразливості) вимагають обережності, а не негайного переходу.

Ці відмінності надзвичайно важливі. Неправильне розуміння може спотворити аналіз витрат і вигод, що призведе до ігнорування більш актуальних ризиків безпеки — наприклад, вразливостей систем.

Успішний перехід до постквантової криптографії полягає у тому, щоб співвіднести терміновість із реальною загрозою. Нижче я поясню поширені міфи щодо загроз квантових обчислень для криптографії, охоплюючи шифрування, підписи та нульові знання, з особливим акцентом на їхній вплив на блокчейн.

На якій ми стадії? Незважаючи на багато пропаганди, ймовірність появи криптографічних квантових комп’ютерів (CRQC) у 20-х роках цього століття дуже низька.

Я маю на увазі «криптографічний квантовий комп’ютер» — це квантовий комп’ютер з помилковою корекцією, здатний запускати достатньо масштабний алгоритм Шора, щоб за розумний час (наприклад, за максимум місяць безперервних обчислень) зламати secp256k1 або RSA-2048, атакуючи еліптичні криві або RSA. За будь-яким розумним аналізом відкритих віх і ресурсів, ми дуже далекі від створення криптографічного квантового комп’ютера. Деякі компанії іноді стверджують, що CRQC може з’явитися до 2030 або навіть 2035 року, але публічно відомий прогрес не підтверджує цих заяв.

Загалом, жодна з сучасних архітектур — іонні пастки, надпровідні квантові біти або нейтральні атоми — наразі не наблизилася до запуску платформи, здатної виконати алгоритм Шора для зламу RSA-2048 або secp256k1, що вимагає сотень тисяч або мільйонів фізичних квантових біти (залежно від рівня помилок і схем корекції). Обмежуючі фактори — не лише кількість біти, а й точність керування, з’єднаність біти та глибина постійних корекційних схем, необхідних для запуску глибоких квантових алгоритмів. Хоча деякі системи вже мають понад 1000 фізичних біти, кількість сама по собі оманлива: їм бракує з’єднаності та точності керування для криптографічних обчислень. Останні системи наближаються до фізичних рівнів помилок, при яких починає працювати квантова корекція, але ще не продемонстровано логічних біти з десятками тисяч високоточного, стійкого до помилок, глибокого циклу — не кажучи вже про реальне виконання алгоритму Шора.

З теоретичного доведення можливості квантової корекції до масштабів, необхідних для криптоаналізу, ще дуже далеко. Коротко кажучи, до того, як кількість і точність біти зростуть на кілька порядків, криптографічний квантовий комп’ютер залишається недосяжним. Публічно відомий прогрес не підтверджує очікування появи за 5 років здатних зламати RSA-2048 або secp256k1 криптографічних квантових комп’ютерів. Щодо того, що уряд США встановив 2035 рік як крайній термін для повного переходу державних систем на постквантову криптографію — я вважаю, що це розумний час для такої масштабної трансформації. Однак це не передбачення появи криптографічного квантового комп’ютера.

У яких сценаріях застосовуються атаки HNDL? «Збір та розкриття» (HNDL) — це атака, коли зловмисник зберігає зашифровані дані зараз і розкриває їх, коли з’явиться криптографічний квантовий комп’ютер. Національні рівні атаки вже архівують великі обсяги зашифрованих комунікацій уряду США, щоб у майбутньому, коли CRQC стане реальністю, розкривати ці дані. Саме тому технології шифрування потрібно терміново оновлювати — принаймні для тих, кому потрібно зберігати секретність понад 10-50 років.

Однак цифрові підписи (які використовують усі блокчейни) відрізняються. Якщо з’явиться криптографічний квантовий комп’ютер, підробка підписів стане можливою з того моменту, але минулі підписи не «ховають» секрети так, як зашифровані повідомлення. Якщо ви знаєте, що підпис був створений до появи CRQC, він не може бути підробленим. Це зменшує терміновість переходу на постквантові підписи порівняно з постквантовим шифруванням.

Зараз провідні платформи вже вживають заходів: Chrome і Cloudflare запустили гібридні схеми X25519+ML-KEM для захисту TLS; Apple впровадила цю гібридну постквантову криптографію у iMessage через протокол PQ3; Signal також використовує протоколи PQXDH і SPQR.

На відміну від цього, розгортання постквантових підписів у ключовій інфраструктурі мережі відкладено до моменту, коли CRQC стане реальною загрозою, оскільки поточні схеми мають зниження продуктивності (про що детальніше йдеться нижче).

zkSNARKs (дуже важливі для довгострокової масштабованості і приватності блокчейнів) перебувають у подібній ситуації. Навіть zkSNARKs, що не є постквантовими (вони використовують еліптичні криві, як і сучасні не постквантові схеми підписів і шифрування), мають постквантову нульову властивість. Це гарантує, що доказ не розкриває жодної інформації про секретний свідок — навіть для квантових зловмисників — тому немає секретної інформації, яку потрібно «збирати зараз» для майбутнього розкриття.

Отже, zkSNARKs не легко піддаються атакам HNDL. Так само, як і сьогоднішні не постквантові підписи, будь-який доказ zkSNARK, створений до появи CRQC, є довіреним (тобто ствердження є істинним), навіть якщо він використовує еліптичні криві. Лише після появи CRQC зловмисники зможуть знайти переконливі докази для фальшивих тверджень.

Що це означає для блокчейнів? Більшість блокчейнів не схильні до HNDL: більшість не приватних ланцюгів (наприклад, сучасний Біткоїн і Ефіріум) використовують не постквантове підписування для авторизації транзакцій. Тобто вони використовують підписи, а не шифрування. Знову ж, ці підписи не становлять ризику HNDL: атаки HNDL застосовуються до зашифрованих даних. Наприклад, блокчейн Біткоїна є відкритим; квантова загроза — це підробка підписів (захоплення приватних ключів і крадіжка коштів), а не розкриття вже опублікованих транзакцій. Це знімає терміновий тиск щодо криптографічних змін.

На жаль, навіть аналітики, що належать до Федеральної резервної системи США, неправильно стверджують, що Біткоїн легко піддається атакам HNDL, що перебільшує терміновість переходу на постквантову криптографію. Зменшення терміновості не означає, що Біткоїн можна чекати: він стикається з іншими часовими обмеженнями через необхідність масштабних змін у протоколі та складність узгодження у суспільстві (детальніше про унікальні виклики Біткоїна нижче).

Єдині нині виключення — приватні ланцюги, багато з яких шифрують або приховують отримувача і суму. Така конфіденційність уже може бути зібрана: коли з’являться квантові комп’ютери, здатні зламати еліптичні криві, можна буде провести ретроспективну деанонімізацію.

Для таких приватних ланцюгів серйозність атак залежить від їхньої архітектури. Наприклад, у Monero, що використовує еліптичні криві для кільцевих підписів і відбитків ключів (для запобігання подвійним витратам), достатньо лише публічного реєстру для ретроспективного відновлення графіка витрат. В інших ланцюгах шкода може бути меншою — див. обговорення інженера з криптографії Zcash Шона Боу.

Якщо користувач вважає, що його транзакції не будуть піддані криптографічним квантовим атакам, приватні ланцюги мають якнайшвидше перейти на постквантові примітиви (або гібридні схеми). Або вони мають застосовувати архітектури, що не зберігають секрети, здатні розкриватися.

Особливі проблеми Біткоїна: управління та відмови Щодо Біткоїна, дві реальності підштовхнули його до термінового переходу на постквантові підписи. Обидві не залежать від квантових технологій:

По-перше, швидкість управління: Біткоїн рухається повільно. Якщо спільнота не досягне згоди щодо відповідних рішень, будь-які спірні питання можуть спричинити руйнівний хард-форк.

По-друге, перехід на постквантові підписи не може бути пасивним: власники мають активно переносити свої монети. Це означає, що відпрацьовані, вразливі до квантових атак монети не захищені. За оцінками, кількість таких монет може сягати мільйонів.

Проте, загроза для Біткоїна не буде раптовою катастрофою, а швидше — поступовим процесом цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого. Це — процес вибірковий, і квантові комп’ютери не зможуть одночасно зламати всі ключі. Ранні атаки будуть дорогими і повільними, тому зловмисники вибірково атакуватимуть високовартісні гаманці. Крім того, якщо користувачі уникатимуть повторного використання адрес і не використовуватимуть Taproot (де публічний ключ відкривається лише при витраті), їхні монети залишаться прихованими до моменту витрат. Публічний ключ приховується хешем до моменту витрати, тому атака стає можливою лише після відкриття ключа. Вразливими є старі адреси P2PK, повторне використання адрес і Taproot.

Що стосується вже знецінених монет, що легко піддаються атакам, — немає простого рішення. Деякі варіанти:

• Спільнота Біткоїна може встановити «кінцевий термін», після якого всі невиконані переходи вважаються знищеними.
• Відпрацьовані монети, що легко піддаються атакам, можуть залишатися у власності тих, у кого є криптографічний квантовий комп’ютер.

Другий варіант викликає серйозні юридичні та безпекові проблеми: використання квантового комп’ютера без приватного ключа для отримання монет може порушувати закони про крадіжки і комп’ютерне шахрайство у багатьох юрисдикціях.

Крім того, «знецінення» базується на припущенні неактивності. Ніхто не знає напевно, чи ці монети не мають живих власників із ключами. Докази того, що ви колись володіли цими монетами, можуть бути недостатніми для юридичного дозволу їх повернення. Це підвищує ризик, що знецінені монети потраплять до зловмисників, які ігнорують закони.

Ще одна унікальна проблема Біткоїна — низька пропускна здатність транзакцій. Навіть якщо план переходу буде затверджено, для перенесення всіх вразливих до квантових атак коштів потрібно кілька місяців.

Ці виклики роблять надзвичайно важливим почати планувати перехід уже зараз — не тому, що криптографічні квантові комп’ютери з’являться до 2030 року, а тому, що управління, узгодження та технічна логістика для перенесення сотень мільярдів доларів коштуватиме роки.

Загроза квантових комп’ютерів для Біткоїна реальна, але часова напруга виникає через обмеження самого Біткоїна, а не через швидке наближення квантових машин. Інші блокчейни також стикаються з викликами щодо вразливих до квантових атак активів, але ризик для Біткоїна особливо високий: його найраніші транзакції мають відкриті публічні ключі, що робить значну частину монет уразливою. Це технічна різниця, а також довга історія, концентрація цінностей, низька пропускна здатність і жорстке управління посилюють проблему.

Зверніть увагу, що описані вище вразливості стосуються криптографічної безпеки підписів у Біткоїні, але не економічної безпеки блокчейна. Економічна безпека базується на механізмі доказу роботи, який менш вразливий до квантових атак з трьох причин:

• PoW залежить від хешування і лише піддається дворазовому квантовому прискоренню алгоритму Гровера, а не експоненційному — як алгоритм Шора.
• Реальні витрати на застосування Гровера роблять практично неможливим досягнення помірного прискорення у реальному світі для майнінгу Біткоїна.
• Навіть із значним прискоренням, це дасть перевагу великим майнерам, але не зруйнує економічну безпеку.

Вартість і ризики постквантових підписів Щоб зрозуміти, чому блокчейни не повинні поспішати з впровадженням постквантових підписів, потрібно врахувати їхню продуктивність і рівень довіри до постквантової безпеки, що все ще розвивається.

Більшість постквантових схем базуються на п’яти основних підходах: хешах, кодуванні, решітках (Lattice), багатоваріантних квадратичних рівняннях (MQ) і гомоморфізмі. Безпека будь-якої постквантової примітиви ґрунтується на припущенні, що квантові комп’ютери не зможуть ефективно розв’язати певні математичні задачі. Чим більш структурована ця задача, тим ефективніше можна побудувати криптографічний протокол. Але це має і недоліки: додаткові структури створюють більше поверхонь для атак. Це породжує фундаментальний конфлікт — більш сильні припущення дають кращу продуктивність, але потенційно зменшують безпеку (збільшується ймовірність спростування припущень).

Загалом, схеми на основі хешів є найконсервативнішими з точки зору безпеки, оскільки ми найбільше впевнені, що квантові комп’ютери не зможуть їх ефективно зламати. Вони мають найгіршу продуктивність, наприклад, підпис NIST на основі хешів у найменших налаштуваннях має розмір 7-8 кілобайт. Для порівняння, сучасні еліптичні підписи — лише 64 байти. Це різниця у масштабі приблизно у 100 разів.

Решіткові схеми — основний фокус сучасних розробок. NIST обрав для стандартизації один із них і два з трьох алгоритмів підпису, що базуються на решітках. Один із них — ML-DSA (колишній Dilithium) — має підписи від 2.4 до 4.6 кілобайт, що у 40-70 разів більше за сучасні еліптичні підписи. Інший — Falcon — має менший розмір (Falcon-512 — 666 байт, Falcon-1024 — 1.3 кілобайт), але вимагає складних плаваючих точок, і його реалізація вважається особливо складною. Один із авторів Falcon, Томас Порнін, назвав його «найскладнішим криптографічним алгоритмом, який я реалізовував».

Порівняно з еліптичними підписами, схеми на основі решіток у реалізації більш складні: ML-DSA має більше чутливих проміжних значень і складну логіку відмови від вибірки, що вимагає захисту від сторонніх впливів і збоїв. Falcon додає проблеми з постійним часом виконання плаваючих операцій; у кількох атаках на Falcon вдалося відновити ключі.

Ці проблеми становлять безпосередній ризик, і вони відрізняються від потенційних загроз від далеких квантових комп’ютерів.

Обережність при впровадженні більш швидких постквантових схем цілком обґрунтована. Історично, провідні кандидатури, такі як Rainbow (на основі MQ) і SIKE/SIDH (на основі гомоморфізму), були зламані класичними алгоритмами — не квантовими — ще на стадії стандартизації. Це свідчить про те, що передчасне стандартизація і впровадження можуть бути контрпродуктивними.

Як і у випадку з інфраструктурою Інтернету, перехід на нові підписи займає роки. Вже давно відмовилися від MD5 і SHA-1, але їхнє повсюдне виключення з інфраструктури тривало багато років.

Унікальні виклики блокчейнів На щастя, відкритий код і активна спільнота розробників дозволяють блокчейнам швидше оновлюватися, ніж традиційна інфраструктура. Але, з іншого боку, вони не мають частих змін ключів, що означає, що їхній «атакувальний фронт» рухається швидше, ніж здатні зупинити потенційні квантові машини. Це означає, що монети та ключі можуть залишатися відкритими довше.

Загалом, блокчейни мають дотримуватися обережної стратегії оновлення підписів. Вони не схильні до HNDL, оскільки більшість не приватних ланцюгів використовують підписи, а не шифрування. Це зменшує ризик HNDL: атаки застосовуються до зашифрованих даних, а не до підписів. Відкритий блокчейн Біткоїна — це публічний реєстр; квантова загроза — підробка підписів (захоплення приватних ключів), а не розкриття транзакцій. Це знімає терміновий тиск щодо криптографічних змін.

На жаль, навіть аналітики Федеральної резервної системи США неправильно стверджують, що Біткоїн легко піддається атакам HNDL, що перебільшує терміновість переходу. Зменшення терміновості не означає, що Біткоїн можна чекати: він стикається з іншими часовими обмеженнями через необхідність масштабних змін у протоколі та складність узгодження у спільноті (детальніше нижче).

Єдині нині виключення — приватні ланцюги, що шифрують або приховують отримувача і суму. Така конфіденційність уже може бути зібрана: коли з’являться квантові комп’ютери, здатні зламати еліптичні криві, можна буде провести ретроспективну деанонімізацію.

Залежно від архітектури, шкода може бути різною. Наприклад, у Monero, що використовує еліптичні криві для кільцевих підписів і відбитків ключів (для запобігання подвійним витратам), достатньо лише публічного реєстру для ретроспективного відновлення графіка витрат. В інших ланцюгах шкода може бути меншою — див. обговорення криптоінженера Шона Боу.

Якщо користувач вважає важливим, щоб його транзакції не були піддані криптографічним квантовим атакам, приватні ланцюги мають якнайшвидше перейти на постквантові примітиви (або гібридні схеми). Або застосовувати архітектури, що не зберігають секрети, здатні розкриватися.

Особливі проблеми Біткоїна: управління і відмови Дві реальності змусили його почати терміновий перехід на постквантові підписи:

• по-перше, повільність управління: Біткоїн рухається повільно. Без згоди спільноти будь-які спірні питання можуть спричинити руйнівний хард-форк.
• по-друге, перехід не може бути пасивним: власники мають активно переносити свої монети. Це означає, що знецінені, вразливі до квантових атак монети не захищені. За оцінками, кількість таких може сягати мільйонів.

Загроза не буде раптовою катастрофою, а поступовим процесом цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого цілеспрямованого. Це — вибірковий процес, і квантові комп’ютери не зможуть одночасно зламати всі ключі. Ранні атаки будуть дорогими і повільними, тому зловмисники вибірково атакуватимуть високовартісні гаманці. Крім того, якщо користувачі уникатимуть повторного використання адрес і не використовуватимуть Taproot (де публічний ключ відкривається лише при витраті), їхні монети залишаться прихованими до моменту витрат. Публічний ключ приховується хешем до моменту витрати, тому атака можлива лише після відкриття ключа. Вразливими є старі адреси P2PK, повторне використання адрес і Taproot.

Що стосується вже знецінених монет, що легко піддаються атакам — рішення відсутнє. Деякі варіанти:

• Спільнота може встановити «кінцевий термін», після якого всі невиконані переходи вважаються знищеними.
• Знецінені монети, що легко піддаються атакам, можуть залишатися у власності тих, у кого є криптографічний квантовий комп’ютер.

Другий варіант викликає серйозні юридичні та безпекові проблеми: використання квантового комп’ютера без приватного ключа для отримання монет може порушувати закони про крадіжки і шахрайство у багатьох юрисдикціях.

Крім того, «знецінення» базується на припущенні неактивності. Ніхто не знає напевно, чи ці монети не мають живих власників із ключами. Докази того, що ви колись володіли цими монетами, можуть бути недостатніми для юридичного дозволу їх повернення. Це підвищує ризик, що знецінені монети потраплять до зловмисників, які ігнорують закони.

Ще одна унікальна проблема Біткоїна — низька пропускна здатність транзакцій. Навіть якщо план переходу буде затверджено, для перенесення всіх вразливих до квантових атак коштів потрібно кілька місяців.

Ці виклики роблять надзвичайно важливим почати планувати перехід уже зараз — не тому, що криптографічні квантові комп’ютери з’являться до 2030 року, а тому, що управління, узгодження та технічна логістика для перенесення сотень мільярдів доларів коштуватиме роки.

Загроза квантових комп’ютерів для Біткоїна реальна, але часова напруга виникає через обмеження самого Біткоїна, а не через швидке наближення квантових машин. Інші блокчейни також стикаються з викликами щодо вразливих до квантових атак активів, але ризик для Біткоїна особливо високий: його найраніші транзакції мають відкриті публічні ключі, що робить значну частину монет уразливою. Це технічна різниця, а також довга історія, концентрація цінностей, низька пропускна здатність і жорстке управління посилюють проблему.

Зверніть увагу, що описані вище вразливості стосуються криптографічної безпеки підписів у Біткоїні, але не економічної безпеки блокчейна. Економічна безпека базується на механізмі доказу роботи, що менш вразливий до квантових атак з трьох причин:

• PoW залежить від хеш