Перехід на постквантову криптографію більше не можна відкладати

Вчора опублікований білий папір Google Quantum AI показує, що швидкочасовий квантовий комп’ютер (із подібною архітектурою до їхнього наявного чипа Willow) може вивести приватний ключ із розкритого публічного ключа приблизно за дев’ять хвилин. Bitcoin завершує опрацювання блоку кожні 10 хвилин.

Тобто в середньому є запас у одну хвилину між тим, як система працює, і тим, як зловмисник викрадає активні транзакції напряму з mempool, перш ніж вони підтвердяться. Це означає, що хвилина на суму в декілька трильйонів доларів робить під загрозою не лише монети Сатоші, а весь обсяг пропозиції Bitcoin тепер і назавжди.

Упродовж років позиція індустрії щодо квантових технологій була якою завгодно версією фрази «ми впораємося з цим, коли це стане реальним». Навіть ті, хто сприйняв цю загрозу серйозно, вважали, що перша справжня загроза для Bitcoin щонайменше за десятиліття, і вона прийде у формі «довгострокових» атак на завмерлі активи. Цей папір, останній у низці прискорених проривів, робить таку позицію неможливою.

Це дослідження являє собою тектонічний зсув, який різко прискорює часову шкалу. Наслідки для екосистеми цифрових активів є гострими. Якщо ми не скоординуємо негайні термінові зусилля з оновлення, цифрові активи такими, як ми їх знаємо, можуть стати нежиттєздатними.

Темп змін прискорюється

Історично оцінки припускали, що нам потрібно буде десятки мільйонів фізичних кубітів, які виконують трильйон операцій із корекцією помилок, щоб поставити під загрозу Bitcoin. Але критично важливо, що ці оцінки ґрунтувалися не на еліптичнокривій криптографії, яку використовує Bitcoin, а на старішому алгоритмі під назвою RSA-2048.

Білий папір Google руйнує ті попередні оцінки ресурсів архітектурою для розв’язання задачі дискретного логарифмування на 256-бітній еліптичній кривій (ECDLP) яку використовують саме в Bitcoin.

Ця робота зменшує фізичну вимогу до менш ніж пів мільйона кубітів і знижує кількість операцій на кілька порядків величини. Вона досягається лише за допомогою 1,200 логічних кубітів із частотою помилок 0.1% — порогом, який виглядає здійсненним у найближчій перспективі. За повідомленнями, Google зсунула власні квантові часові рамки на 2029 рік.

Найважливіше: використана архітектура (надпровідникова) мала швидкі фізичні тактові частоти. Це означає, що під загрозою не лише «втрачені» або завмерлі монети; кожна активна транзакція Bitcoin може бути вразливою для квантового зловмисника, який перехопить її напряму з mempool.

Але матеріал Google — не ізольована подія. Це один із двох проривів, що сходяться.

Дослідники з Oratomic оголосили паралельний прорив, використовуючи апаратне забезпечення нейтральних атомів. Застосувавши коди квантової низької щільності паритетної перевірки (qLDPC) з високою швидкістю, вони продемонстрували, що алгоритм Шора можна виконати в криптографічно релевантних масштабах, використовуючи приблизно 10,000–22,000 переналаштовуваних атомних кубітів. Те, що колись вимагало мільйонів кубітів, було стиснуто на порядки величини всього за кілька коротких років на двох окремих технологічних траєкторіях — паралельно.

Кілька технічних гілок з однією ціллю

Як можливо, що квантові технології так довго майже не просувалися, але тепер ми бачимо крах часової шкали так швидко? Відповідь проста: невеликі покрокові покращення фізичної достовірності, корекції помилок, архітектур керування та дизайну алгоритмів створюють петлю зворотного зв’язку, яка накопичує прогрес.

Швидші машини дають змогу проводити кращі дослідження з корекції помилок, знижуючи поріг ресурсів для наступного покоління машин і прискорюючи часові рамки з нелінійною швидкістю.

Можливо, найнебезпечніше хибне уявлення полягає в тому, що прогрес у квантовій сфері залежить від одного «чудесного» прориву в певному конкретному типі фізики. Квантова загроза — це не один єдиний «місячний постріл», який може зупинитися. Надпровідникові, фотонні, нейтрально-атомні та йон- пасткові архітектури представляють цілком різні інженерні дорожні карти, фізику та конвеєри фінансування. Достатньо, щоб успішною виявилася лише одна, щоб квантові обчислення стали криптографічно релевантними.

Це правда, що жодна з цих систем ще повністю не доведена в масштабі. Але їх дедалі більше доводять: із серйозними назвами та серйозним капіталом за ними. Хіба ми справді готові підкинути монетку, коли на кону трильйони доларів?

Годинник цокає, поки не відбудеться міграція

Інстинкт відкласти дії до моменту, коли криптографічно релевантний квантовий комп’ютер буде публічно підтверджено, принципово неправильно розуміє те, як децентралізовані мережі здійснюють оновлення. Мігрувати децентралізовану мережу на кшталт Bitcoin — це не те саме, що ввімкнути перемикач на корпоративному сервері. Під загрозою активи на трильйони доларів, і всі мережі мають виконати безпрецедентне оновлення, щоб упровадити нову криптографію на найфундаментальнішому рівні.

На жаль, розв’язання однієї проблеми створює нові виклики. Пост-квантова криптографія (PQC) потребує значно більших цифрових підписів, тим самим збільшуючи вимоги до пропускної здатності, зберігання та обчислень. Для цього потрібен хардфорк, а досягнення необхідного консенсусу спільноти буде складним, політично напруженим процесом.

Навіть після досягнення консенсусу логістика перенесення активів вражає масштабами. За поточної швидкості транзакцій Bitcoin міграція мережі на постквантові адреси зайняла б кілька місяців — за умови, що мережа не обробляла нічого іншого й кожен блок був повністю заповнений.

Якщо ми чекатимемо до Q-Day (коли квантовий комп’ютер, релевантний криптографії, буде публічно підтверджено) щоб почати цей процес, буде надто пізно. Цифрові підписи вже втратять свою авторитетність, і будь-яка спроба виправити проблему постфактум спричинить інтенсивну фінансову волатильність. У найгіршому сценарії можуть з’явитися конкуруючі форки, зруйнована інституційна довіра та криза походження для активів на трильйони доларів.

Терміновість, а не паніка

Це не заклик до паніки. Це заклик до реалізму. Керівники та установи, які нині володіють значною частиною циркулюючої пропозиції bitcoin, емітенти стейблкоїнів і ключові команди протоколів мають визнати, що профіль ризику принципово змінився. Квантова загроза більше не є теоретичною вправою для академіків; це інженерна реальність, яка рухається з граничною швидкістю.

Ми повинні діяти вже. Світові потрібні проактивні стратегії міграції, інструменти для реєстрації постквантового володіння та мандат на рівні всієї індустрії для оновлення ще до першого мовчазного крадіжкового інциденту. Квантовий противник уже йде, і він не оголосить про себе. Але ми можемо підготуватися. Ми маємо скоординувати це оновлення сьогодні, щоб основа цифрової довіри пережила квантову епоху.