Google предупредила, что защита биткоина и других криптовалют на эллиптических кривых может оказаться уязвимее перед квантовыми компьютерами, чем считалось раньше. В новом материале Google Research говорится, что на решение задачи дискретного логарифма на эллиптической кривой (ECDLP) для 256-битных параметров — задачи, на которой держится эта криптография, — теперь требуется примерно в 20 раз меньше физических кубитов, чем в прежних оценках. Компания призвала криптосообщество без промедления переходить на постквантовую криптографию.
Речь не о том, что биткоин можно взломать уже сегодня. Google не заявила, что такой квантовый компьютер уже существует. Но новая оценка делает угрозу заметно ближе. В блоге Google сказано, что один вариант атаки на ECDLP-256 укладывается менее чем в 1200 логических кубитов и 90 млн операций на вентилях Тоффоли, а другой — менее чем в 1450 логических кубитов и 70 млн таких операций. По оценке Google, такие схемы можно выполнить за несколько минут на отказоустойчивом квантовом компьютере на сверхпроводящих кубитах с менее чем 500 тыс. физических кубитов — при стандартных предположениях о возможностях оборудования.
Почему это важно именно для биткоина? Потому что его безопасность опирается на криптографию с открытым ключом. Пока известен только адрес или хеш публичного ключа, деньги защищены лучше. Но когда публичный ключ уже раскрыт в блокчейне, теоретически появляется путь для квантовой атаки: достаточно мощная машина сможет восстановить приватный ключ и подписать перевод чужих монет. Проще говоря, старые и повторно использованные адреса здесь под ударом сильнее новых.
На рынке сразу вернулась тема «монет Сатоши». Bloomberg, WSJ и Barron’s пишут, что особенно обсуждаются ранние кошельки с уже раскрытыми публичными ключами, включая адреса, которые связывают с Сатоши Накамото. В Bloomberg от 31 марта отдельно отмечали, что исследователи призывают снижать риски и переходить на постквантовую защиту, а в Coindesk еще в феврале обсуждали спорный сценарий: что делать с давно заброшенными монетами, если они однажды станут легкой целью для квантовой атаки.
Отдельная причина для тревоги — масштаб потенциально уязвимых средств. По пересказам WSJ и Barron’s, речь может идти примерно о 6,9 млн BTC, чьи публичные ключи уже раскрыты. Это не значит, что все эти монеты можно украсть. Но, если появится квантовый компьютер, достаточный для практической атаки на современную криптографию, под удар попадут не единичные кошельки, а огромный массив старых средств.
На этом фоне идея перехода на постквантовую криптографию уже не выглядит академической. Google пишет, что решения есть, но на их внедрение уйдет время, а потому действовать нужно заблаговременно. NIST еще в 2024 году выпустил базовый набор постквантовых стандартов и рекомендовал организациям начинать миграцию уже сейчас. Для блокчейнов это особенно сложно: в обычной компании алгоритм можно заменить одним решением спущенном руководством сверху. Но не в децентрализованной сети: сообществу понадобятся годы на обсуждение, разработку, тесты и согласование обновлений.
Ещё один вопрос — этический: если часть старых монет принадлежит людям, которые давно потеряли доступ к ключам, такие активы нельзя просто «перевести на новый стандарт». Именно поэтому в отрасли обсуждают крайние меры — например, принудительную миграцию, заморозку старых форматов адресов или отказ от возможности тратить некоторые уязвимые монеты в будущем. Но это уже идеологический спор: такие шаги бьют по одному из базовых принципов биткоина — неизменности правил владения.
Что делать сейчас обычным держателям криптовалюты? Паниковать рано, но игнорировать тему уже нельзя. Логика базовой защиты простая: не использовать повторно старые адреса, по возможности хранить средства на современных схемах адресации, следить за обновлениями кошельков и инфраструктуры и понимать, что «квантовая проблема» касается не только биткоина, а почти всей экосистемы, где используется классическая криптография с открытым ключом. Google в своем материале, например, тоже советует избегать повторного использования уязвимых адресов и ускорять переход к постквантовым схемам.
Буду адвокатом дьявола. Или ангела. В общем, квантовым скептиком.
В 2000 году я поступил в МГТУ им Баумана, и на каком-то пафосном приветственном мероприятии для новых студентов нам в числе прочего заявлили: "практичный квантовый компьютер появится в течение 5 лет". В прошлом году на одной из уважаемых конференций я снова услышал эту фразу.
Есть два довольно разных взгляда на квантовые вычисления.
Взгляд специалиста по защите информации: Океания всегда воевала с Остазией, если в Океании появится квантовый компьютер, они сломают все шифры Остазии и украдут все их военные и государственные секреты. Следовательно, нам, жителям Остазии, надо действовать на опережение – противостоять квантовой угрозе с помощью меча, орала, простквантовой криптографии и иных инженерных и административно-технических мер.
Взгляд инженера и ученого, которые экспериментируют в лаборатории: удержать сотню кубитов в когерентном состоянии хотя бы на одну милисекунду стоит столько, что вероятно, всех биткоинов, которые потенциально можно украсть, не хватит.
Кто прав? Оба по-своему правы. И заявление Google только укрепляет обоих в своей правоте.
Google улучшает теоретическую оценку: для дискретного логарифма на эллиптической кривой, оказывается, нужно меньше кубитов, чем мы думали. Это – отличная академическая работа, крутая оптимизация, но алгоритмическая. Надо всего-то полмиллиона кубитов (в стандартных предположениях о возможностях оборудования – это очень важное замечание!), и биткоин падет.
Профессионально деформированный специалист по безопасности кричит: "Караул", – красный уровень тревоги. Ученые и инженеры истерически смеются: "500K кубитов? В стандартных предположениях? Удачи!"
Я ни в коем случае не обесцениваю работу Google (это правда крутая академическая история), но мне ближе точка зрения инженеров и ученых, а паника вокруг биткоина больше напоминает классийческий медийный цикл. Кричащий, цепкий заголовок.
Существует ли квантовая угроза? Да. Есть ли средства, что ее реализовать? Нет, и появятся, судя по всему не скоро. Падет ли биткоин, когда заработает практичный квантовый компьютер? Не исключено. Но, поверьте, не это станет нашей самой серьезной проблемой.
— Пётр Емельянов, CEO Bloomtech
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
