Реакция криптоиндустрии заключалась в том, что угроза квантовых вычислений всё ещё казалась далёкой, когда Google представил свой квантовый чип Willow в декабре 2024 года.
Bitcoin использует SHA-256 для майнинга и ECDSA для подписей, оба из которых теоретически уязвимы для квантового взлома, но большинство считало, что эта угроза находится на десятилетия впереди. Взлом шифрования потребовал бы миллионов физических кубитов (единиц информации в квантовых системах). У Willow было всего 105.
Эта ситуация немного изменилась шестнадцать месяцев спустя, и Google не отрицает этого.
На этой неделе компания объявила, что устанавливает крайний срок 2029 года для миграции своих служб аутентификации на постквантовую криптографию, ссылаясь на прогресс в квантовом оборудовании, исправлении ошибок и оценках ресурсов для факторизации.
Команда по безопасности Google написала, что квантовые компьютеры “представляют собой значительную угрозу для существующих криптографических стандартов, и в частности для шифрования и цифровых подписей”, и что угроза для цифровых подписей “требует перехода на PQC до появления криптографически значимого квантового компьютера.”
Эти риски не являются теоретическими. Мобильная операционная система Android 17 уже интегрирует защиту цифровых подписей на постквантовой основе. Chrome уже поддерживает постквантовый обмен ключами. Google Cloud предлагает постквантовые решения для корпоративных клиентов.
Вот почему это важно
Классические компьютеры обрабатывают информацию в виде битов, каждый из которых либо 0, либо 1, и решают задачи, проверяя возможности по очереди. Квантовые компьютеры используют кубиты, которые могут одновременно существовать как 0, так и 1, благодаря свойству, называемому суперпозицией, что позволяет им исследовать огромное количество вариантов параллельно.
Для большинства повседневных задач преимущество невелико. Но для конкретных задач, таких как факторизация больших простых чисел, лежащих в основе современного шифрования, достаточно мощный квантовый компьютер может за минуты решить то, что классическая машина потребовала бы больше времени, чем возраст Вселенной.
Bitcoin использует ECDSA (алгоритм эллиптических кривых для цифровых подписей) для подписания транзакций, что именно та категория криптографии, которую Google отметил как требующую миграции до появления квантового компьютера, способного её взломать.
Достаточно мощный квантовый компьютер, использующий алгоритм Шора, мог бы извлечь приватные ключи из публичных, позволяя злоумышленнику тратить любой биткойн, чей публичный ключ был раскрыт в блокчейне.
Алгоритм Шора — это квантовый метод, который может взломать математику, защищающую пароли и кошельки, экспоненциально быстрее, чем обычные компьютеры.
Когда CoinDesk писал о Willow в декабре 2024 года, математика выглядела обнадеживающе. Крис Осборн, основатель проекта экосистемы Solana Dialect, ясно изложил тогда: для выполнения алгоритма Шора против текущего шифрования требуется примерно 5000 логических кубитов, и каждый логический кубит требует тысячи физических кубитов для исправления ошибок.
Это означало миллионы физических кубитов, тогда как у Willow было всего 105. Разрыв казался огромным.
Что изменилось, так это не количество кубитов. Это траектория исправления ошибок и институциональный ответ. Google перешёл от демонстрации “ниже пороговой” коррекции ошибок, что означало возможность впервые превращать шумные физические кубиты в используемые логические, к установлению корпоративного срока миграции за 16 месяцев.
Когда компания, создающая квантовые компьютеры, настоятельно призывает разработчиков к миграции к 2029 году, это сигнализирует о том, что разрыв сокращается быстрее, чем предполагает публичный график.
Соучредитель Ethereum Виталик Бутерин уже призывал к срочным действиям в октябре 2024 года, за месяц до объявления о Willow.
“Эксперты по квантовым вычислениям, такие как Скотт Ааронсон, также недавно начали гораздо более серьёзно относиться к возможности того, что квантовые компьютеры действительно смогут работать в среднесрочной перспективе”, — писал тогда Бутерин.
“Это имеет последствия для всей дорожной карты Ethereum: это означает, что каждая часть протокола Ethereum, которая в настоящее время зависит от эллиптических кривых, должна иметь замену, основанную на хэшах или иным образом устойчивую к квантовым атакам.”
Как реагируют разработчики Ethereum и Bitcoin
Контраст в том, как реагируют две крупнейшие блокчейн-сети, не может быть более резким.
Фонд Ethereum воспринял это как директиву и построил соответствующим образом. Восемь лет работы, теперь видимые в еженедельных разработческих сетях и публичной дорожной карте с конкретными этапами.
Модель управления Bitcoin делает такой координированный ответ структурно сложнее. Нет аналога Ethereum Foundation, которая могла бы финансировать и руководить многолетней инженерной работой.
Изменения в протоколе требуют широкого консенсуса среди децентрализованного сообщества разработчиков, которое исторически действует медленно и осторожно, что хорошо для стабильности, но плохо при необходимости соблюдения сроков.
Последнее крупное криптографическое обновление Bitcoin, Taproot, заняло годы обсуждений перед активацией в 2021 году.
Ethereum запустил pq.ethereum.org на этой неделе — специализированный центр для своих усилий по постквантовой безопасности, начавшихся в 2018 году. Постквантовая команда Ethereum Foundation, команда криптографии, команда архитектуры протоколов и команда координации протоколов работают уже восемь лет над миграцией, затрагивающей все уровни протокола.
Более 10 команд клиентов еженедельно выпускают разработческие сети в рамках проекта PQ Interop, который фонд называет. Дорожная карта включает конкретные этапы через четыре предстоящих жестких форка, от реестра постквантовых ключей до полного PQ консенсуса.
Bitcoin, напротив, не имеет аналогичных усилий. Нет согласованной дорожной карты. Нет многокомандной инженерной программы. Нет этапов форка.
Ник Картер, один из самых известных сторонников Bitcoin и соучредитель криптофонда Castle Island Ventures, на этой неделе прямо заявил:
“Эллиптическая кривая криптографии на грани устаревания”, — написал он в X. “Будь то 3 или 10 лет, это конец, и нам нужно это принять. Единственное, что важно, — насколько быстро разработчики блокчейна признают необходимость встроить криптографическую изменчивость в свои сети.”
Картер прямо сравнил два подхода. По его словам, подход Ethereum — “лучший в своём классе”, описывая, как сеть “собирается и объявляет конкретную, детализированную дорожную карту PQ к 2029 году, ставит её в приоритет, интегрирует PQ в текущий план, FAQ, без страха, только действия.”
Подход Bitcoin, по словам Картера, — “худший в своём классе.” Он отметил, что сейчас есть одна группа, работающая над предложением, связанным с квантовыми вычислениями, которое “не получило поддержки от ведущих разработчиков”, а разработчики указывают на отдельные исследования как на признаки прогресса, не имея “коherentной стратегии, дорожной карты.”
“Все знают, что я биткоинер и хотел бы, чтобы биткойн победил”, — добавил Картер. “Не говорю это, чтобы задеть чувства. Говорю, чтобы стимулировать к действиям.”
Однако эта срочность не разделяется всеми.
Такие компании, как CoinShares, утверждают, что опасения о неминуемой квантовой угрозе для биткойна преувеличены, и оценивают, что только около 10 200 BTC достаточно сконцентрированы в уязвимых адресах наследия, чтобы их кража могла вызвать “значительные рыночные потрясения.”
Оставшийся доступный запас — примерно 1,6 миллиона BTC в старых адресах Pay-to-Public-Key — разбросан по более чем 32 000 кошельков, в среднем по 50 BTC каждый, что делает их медленными и нерентабельными для взлома по отдельности, как сообщал CoinDesk в то время.
Но вопрос не в том, станет ли квантовая вычислительная угроза в конечном итоге реальностью для криптографии блокчейна. Google, Ethereum Foundation, NIST и сейчас ведущие сторонники Bitcoin согласны, что да.
Вопрос в том, достаточно ли трёх лет для миграции глобального, децентрализованного протокола, у которого нет центрального органа, устанавливающего сроки, нет согласованной инженерной команды для их выполнения и культуры, которая относится к срочности с подозрением.
Ответ Ethereum — восемь лет подготовки позволяют ему выполнить миграцию через четыре жестких форка. Ответ Google — 2029 год — крайний срок, и миграция уже идет в его продуктах.
Ответ Bitcoin — пока молчание. И, как предупредил Картер, “ETHBTC начнет отражать расхождение в приоритетах”, если это молчание продолжится.
