«Коли настане квантовий комп’ютер, який реально загрожує криптографічній безпеці?» До яких сценаріїв застосовний HNDL-атака? З якими унікальними викликами стикається Bitcoin? a16z детально аналізує реальний вплив та стратегії реагування на квантову загрозу для блокчейну. Ця стаття походить з матеріалу a16z, підготовленого, перекладеного та написаного Wu Blockchain.
（Попередній огляд: Глибокий аналіз: чи занадто ми боїмося криптографічних загроз від квантових комп’ютерів?）
（Додатковий фон: a16z: Передбачення 17 ключових трендів у криптосфері 2026 року）

Зміст статті

• На якій ми нині точці часу?
• До яких сценаріїв застосовний HNDL-атака (і до яких ні)?
• Що це означає для блокчейну
• Особливі труднощі Bitcoin: механізм управління + забуті монети
• Витрати і ризики післяквантової підпису
• Унікальні виклики для блокчейну vs інфраструктури мережі
• Наразі більш гостра проблема: безпека реалізації
• Що нам робити? сім рекомендацій
  • 1. Негайно впроваджуйте гібридне шифрування
  • 2. У сценаріях, де можна терпіти великі розміри підписів, негайно застосовуйте геш-підпис
  • 3. Блокчейну не потрібне поспішне впровадження постквантових підписів — але слід починати планувати вже зараз
  • 4. Для приватних ланцюгів, якщо дозволяє продуктивність, слід пріоритетно просувати міграцію
  • 5. Наразі першочергово зосередитись на безпеці реалізації — а не на пом’якшенні квантової загрози
  • 6. Підтримуйте розвиток квантових обчислень
  • 7. Правильно сприймайте оголошення, пов’язані з квантовими обчисленнями

Щодо «коли настане квантовий комп’ютер, що реально загрожує існуючій системі криптографії», багато хто робить перебільшені прогнози — що викликає заклики до негайної, масштабної міграції на постквантову криптографію.

Проте такі заклики часто ігнорують витрати та ризики передчасної міграції, а також те, що різні криптографічні примітиви стикаються з зовсім різними ризиковими сценаріями:

Навіть за високої вартості, постквантове шифрування потрібно впроваджувати негайно: «збирати — розшифровувати пізніше» (Harvest-now-decrypt-later, HNDL) атаки вже відбуваються, оскільки, коли справжній квантовий комп’ютер настане — навіть через кілька десятиліть — чутливі дані, захищені сьогодні, залишатимуться цінними. Незважаючи на додаткові витрати та ризики впровадження, для даних, що потребують довгострокового секретності, HNDL-атака — єдиний варіант.

Розгляд постквантових підписів зовсім інший. Вони не піддаються HNDL-атакам, їх вартість та ризики (більший розмір, витрати на продуктивність, недосконалість реалізації і потенційні вразливості) вимагають обережного та поступового переходу, а не негайного впровадження.

Ці різниці надзвичайно важливі. Помилки у розрахунках можуть перекрутити аналіз витрат і вигод, відволікаючи увагу від більш критичних ризиків — наприклад, вразливостей самих систем.

Успішний перехід до постквантової криптографії — це питання узгодження «терміновості» і «реальної загрози». Нижче я пояснюю поширені міфи щодо квантової загрози і її впливу на криптографію — включаючи шифрування, підписи і нульові знання — і особливо зосереджуюсь на їхньому значенні для блокчейну.

Що таке «який зараз етап часу?»

У 2020-х роках ймовірність появи «квантового комп’ютера, що дійсно загрожує криптографії (CRQC)» дуже низька, хоча й існують гучні заяви з приводу високої ймовірності.

ps: Терміни «квантовий комп’ютер, що реально загрожує криптографії» / cryptographically relevant quantum computer, у подальшому позначатимемо скорочено як CRQC.

Під «CRQC» розуміється квантовий комп’ютер, здатний з виправленнями помилок, з достатньою кількістю квантових бітів, щоб виконати алгоритм Шора і за розумний час зламати криптографію на основі еліптичних кривих або RSA (наприклад, злом secp256k1 або RSA-2048 у місяць або менше).

За оцінками з відкритих джерел, ми ще дуже далекі від створення такого комп’ютера. Хоча деякі компанії стверджують, що CRQC може з’явитися вже до 2030 або 2035 року, відкриті дані не підтверджують таких прогнозів.

З огляду на сучасний стан, жодна з архітектур — іонні пастки, надпровідні квантові біти, нейтрально-атомні системи — не наближається до кількості десятків тисяч або мільйонів фізичних бітів, необхідних для запуску алгоритму Шора для зламу RSA-2048 або secp256k1.

Обмежуючими факторами є не лише кількість бітів, а й рівень точності гейтів, зв’язність квантових біти та глибина корекційних схем, що мають бути стабільно працюючими. Хоча деякі системи вже мають понад 1000 фізичних квантових бітів, сама кількість ще не означає можливості виконати необхідні для криптографії обчислення: відсутність достатньої зв’язності і рівня точності гейтів.

Останні системи вже наближаються до фізичних рівнів помилок, при яких корекція помилок стане можливою, але ще не доведено існування логічних бітих з кількістю сотень або тисяч, здатних виконувати довгі корекційні обчислення і запускати алгоритм Шора. Теоретичні докази можливості квантової корекції помилок і досягнення потрібних масштабів ще дуже далекі.

Коротко: доки кількість квантових бітів і їх точність не зростуть у кілька порядків, «CRQC» залишається недосяжним.

Однак комерційні новини і медіа дуже легко породжують неправильне уявлення. Часті міфи включають:

Заяви про досягнення «квантової переваги» — але ці демонстрації зазвичай відносяться до штучних задач. Вони не демонструють практичної користі; це зроблено, щоб показати можливості апаратури і видимий квантовий прискорення, але часто це приховують у рекламі.

Заяви про наявність тисяч фізичних бітих — але це часто стосується квантових теплових машин, а не гібридних гейт-моделей, здатних запускати алгоритм Шора.

Вільне використання терміну «логічних бітих». Фізичні біти дуже шумні, а для запуску алгоритмів потрібні логічні біти; для Шора потрібно тисячі логічних бітих. Застосовуючи корекцію помилок, один логічний біт зазвичай складається з сотень або тисяч фізичних бітих (залежно від рівня помилок). Але деякі компанії уживають цей термін неправильно: наприклад, у недавніх заявах стверджують, що для коду з мінімальним відстанем 2, можна реалізувати 48 логічних бітих, використовуючи лише по два фізичних біти за логічний — що є неправильним, оскільки код з відстанню 2 лише може виявляти помилки, але не виправляти.

Ще гірше — багато дорожніх карт квантових обчислень використовують термін «логічний біт» для позначення бітих, що підтримують лише Clifford-операції, які можна ефективно симулювати класичними алгоритмами і тому не здатні запускати алгоритм Шора. Це суттєво викривляє уявлення про реальні можливості.

Тому, навіть якщо дорожня карта стверджує, що «у такому-то році X буде тисяча логічних бітих», це не означає, що у цей же рік планується запуск алгоритму Шора для злому RSA або еліптичних кривих.

Ці хиби серйозно викривляють уявлення громадськості (і навіть фахівців) про те, наскільки ми близькі до справжнього CRQC.

Однак існують і оптимістичні точки зору: наприклад, Scott Aaronson нещодавно написав, що, враховуючи «надзвичайно швидкий розвиток апаратури», він вважає, що до наступних президентських виборів США можливо мати квантовий комп’ютер з корекцією помилок, здатний виконати алгоритм Шора.

Він одразу уточнив, що це не означає наявність у ньому криптографічної здатності: навіть якщо він зможе розкладати 15 (= 3×5), що легко зробити вручну — це все ще буде достатньо, щоб задовольнити цю умову. Тут йдеться про виконання дуже малого алгоритму Шора, а не про масштаб для криптоатак, які мають значний практичний сенс. Раніше розкладання 15 в алгоритмі Шора використовувалось у спрощеній схемі, без повної корекції помилок. Це свідчить, що навіть при цьому розкладі, наявність квантового комп’ютера, здатного розкладати 21 або інше складніше число, залишається дуже сумнівною, оскільки таке розкладання є складним для квантових тестів, і багато експериментів базуються на підказках або спрощеннях.

Коротко: прогноз появи квантового комп’ютера для зламу RSA-2048 або secp256k1 у найближчі 5 років — без підтверджуючих публічних даних — є дуже оптимістичним і поки що безпідставним.

Навіть через 10 років це залишається досить сміливим прогнозом. Враховуючи, що ми дуже далекі від створення справжнього CRQC, цей час можна розглядати разом із реальним розвитком у цій галузі.

Що означає для уряду США призначення 2035 року як цілі для загальної міграції систем на постквантову криптографію? Це радше реалістичний термін, щоб завершити таку масштабну міграцію. Однак це не означає, що до того часу обов’язково з’явиться CRQC.

До яких сценаріїв застосовний HNDL-атака (і до яких ні)?

«Збирати — розшифровувати пізніше» (Harvest now, decrypt later, HNDL) — це атака, коли зловмисник зберігає усю зашифровану комунікацію сьогодні і чекає на появу «CRQC» для її розкриття. Звичайно, державні спецслужби вже архівують американські зашифровані повідомлення, щоб у майбутньому, коли з’явиться квантовий комп’ютер, розшифрувати їх. Саме тому системи шифрування мають починати мігрувати вже сьогодні — хоча б для тих, хто зберігає секретність понад 10–50 років.

Але підпис — технологія, яку використовують у всіх блокчейнах для підтвердження автентичності транзакцій — відрізняється. Вона не має «секретності» у тому розумінні, що можна зламати і пізніше. Це означає, що, коли з’явиться CRQC, можливо буде підробити підпис, але минулі підписи не можна підробити, якщо вони були створені до появи CRQC. Якщо можна довести, що підпис було створено до появи CRQC, то він не є підробкою.

Отже, у порівнянні з шифруванням, перехід на постквантові підписи менш терміновий.

Це підтверджує і поведінка основних платформ: Chrome і Cloudflare вже впровадили гібридний механізм X25519+ML-KEM для TLS. [Тут, для спрощення, я називаю ці «шляхами шифрування», хоча у протоколах TLS використовуються механізми обміну ключами або обгортання ключів, а не публічне шифрування.]

«Гібридний» означає використання одночасно постквантового ML-KEM і класичних схем (X25519). Це дозволяє одночасно отримати переваги обох і запобігти HNDL-атакам, а також мати резервне рішення на випадок, якщо ML-KEM виявиться слабким у майбутньому.

Apple iMessage також впровадив у своєму PQ3 протоколі подібний гібридний підхід, Signal — у своїх протоколах PQXDH та SPQR.

Що стосується важливих інфраструктурних систем, то перехід на постквантовий цифровий підпис слід починати, коли справді з’являться практичні ознаки CRQC, оскільки сучасні схеми мають суттєві недоліки у продуктивності (про що детальніше згодом).

zkSNARKs — нульові знання, короткі, неінтерактивні доказові системи, що забезпечують масштабованість і приватність майбутнього блокчейну — зазнають подібних обмежень. Навіть якщо деякі zkSNARK не мають постквантової безпеки (бо використовують ті самі криві, що й сучасна криптографія), їхня природа «нульових знань» зберігається. Це означає, що доказ не розкриває жодної інформації про секретний свідок — навіть під атакою квантового комп’ютера, — і тому не піддається HNDL.

Отже, zkSNARKs не піддаються HNDL-атакам. Як і сьогоднішні підписи, створені до появи CRQC, — якщо вони були створені раніше і доведені, що ще до появи CRQC, — вони залишаються довіреними (тобто, їхнє твердження є істинним). Але після появи CRQC з’явиться можливість створювати фальшиві докази.

Що це означає для блокчейну?

Більшість блокчейнів не піддаються HNDL-атакам: переважно це не приватні ланцюги — наприклад, Bitcoin і Ethereum, — що використовують підписи, а не шифрування. Ще раз підкреслюю: підписи не піддаються HNDL. «Збирати — розшифровувати пізніше» — актуально лише для шифрування. Bitcoin-публічний блокчейн є відкритим; квантова загроза полягає у фальсифікації підписів (знаходження приватного ключа), а не у розкритті вже опублікованих транзакцій. Це означає, що HNDL не є негайною криптографічною проблемою для сучасних блокчейнів.

На жаль, деякі довірчі органи (включно з ФРС США) у своїх аналізах помилково стверджують, що Bitcoin вразливий до HNDL, — що перебільшено.

Проте «менший термін дії» не означає, що Bitcoin може чекати необмежено багато. Через складність оновлень протоколів і необхідність узгодження, час для переходу обмежує фактичний ризик. (Детальніше про особливості Bitcoin нижче.)

Єдине явне виключення — приватні ланцюги, у яких багато інформації приховано (адреси, суми). Такі дані можуть бути зібрані заздалегідь і розкриті у майбутньому, якщо зломають криві еліптичних кривих.

У таких випадках, якщо злом квантовим комп’ютером можливо, ризик зростає. Наприклад, у Monero, що використовує еліптичні криві у кількох компонентах (клієнтські підписи, key images), відкритий публічний запис може дозволити відтворити весь потік транзакцій у майбутньому. В інших приватних ланцюгах, наприклад Zcash, ступінь вразливості менший — див. пояснення Sean Bowe.

Якщо важливо, щоб транзакції не стали уразливими навіть через квантовий комп’ютер, потрібно швидко оновлювати системи до постквантових схем (або гібридних).

Особливі труднощі Bitcoin: управління і забуті монети

Для Bitcoin є два реальні чинники, що роблять перехід до постквантових підписів актуальним, і вони не пов’язані безпосередньо з технологією:

1. Повільність управління: розвиток Bitcoin повільний і складний. Якщо виникне суперечливе питання — наприклад, перехід на нову схему підпису — це може викликати жорсткі розбіжності (hard fork). Тому потрібно підготувати план і політики заздалегідь.

2. Забуті монети: багато монет не були переміщені роками і можуть бути заблоковані або залишатися під вразливими. Особливо це стосується тих, що мають відкриті адреси і не були оновлені до нових схем. За оцінками, таких «забутих» BTC може бути кілька мільйонів, що становить сотні мільярдів доларів за нинішнім курсом (2025).

Це не означає, що Bitcoin раптово зруйнується — більш ймовірно, що буде поступове і вибіркове використання квантових атак, починаючи з найбільш цінних адрес.

Що робити? Вже зараз потрібно починати планувати міграцію, щоб уникнути катастрофічних ситуацій. Можливі сценарії:

• Встановлення «флагового дня», коли всі невиконані міграції вважаються скасованими.
• Заохочення власників забутих монет оновити свої адреси або перейти на нові схеми.

Важливо враховувати, що багато проблем не технічні, а політичні та соціальні — тому потрібна колективна стратегія.

Додатково, через низьку пропускну здатність Bitcoin, міграція великих обсягів коштів потребуватиме тривалого часу — місяці або роки — тому вже сьогодні потрібно розробляти відповідний план.

Загалом, загроза квантових комп’ютерів для Bitcoin реальна, але час її настання залежить не лише від технологічного прогресу, а й від управлінських і соціальних факторів. Самі ранні транзакції вже створили серйозну уразливість, оскільки використовували відкриті ключі (P2PK), які легко зламати за допомогою квантових алгоритмів. Це особливо актуально для старих адрес і повторного використання.

Застосування заходів на рівні протоколу і використання нових схем допоможе зменшити ризики, але повністю уникнути їх у короткостроковій перспективі важко.

Що важливо? Вже зараз потрібно починати планувати перехід на постквантові підписи, щоб уникнути катастрофічних наслідків у майбутньому.

( Висновки

Загалом, реальна загроза квантових комп’ютерів для криптографії існує, але її настання — швидше питання часу і управління, ніж технологічної неможливості. Тому завчасне планування, політична воля і технічна підготовка — ключові чинники для забезпечення безпеки активів.

За найгіршими сценаріями, перехід може зайняти роки, тому вже зараз потрібно починати відповідні заходи. Найбільш критичним є питання управління забутими і відкритими монетами, а також збереження можливості швидко реагувати на нові виклики.

Водночас, технологічні рішення (гібридні схеми, нові підписи, покращена реалізація) активно розробляються і вже використовуються у сучасних системах.

Отже, відповідальність за безпеку майбутнього — у наших руках, і час починати діяти — вже зараз.