Обмеження квантових обчислень Google до 2029 року: ретельно замаскована кампанія з поширення тривоги

Прокинувшись зранку, BTC знову впав до цифр у “сімці”.

Нещодавно Google викинув на ринок справжню бомбу: встановити 2029 рік як останній дедлайн для антиквантової міграції. Як тільки новина з’явилася, всі медіа одразу підхопили її, а біткоїн-спільнота теж вибухнула обговореннями. Адже за цим графіком у біткоїна залишається менше ніж 3 роки, тоді як у мережі лежить понад 6 мільйонів BTC, які потенційно можуть бути в будь-який момент “засвоєні” квантовими комп’ютерами.

Звучить лячно, правда?

Але як людина, що роками вариться в цій індустрії, перша реакція в мене, коли бачу такі новини — це: знову воно……

Кожні кілька років квантові обчислення виходять “поскаржитися на себе”, і щоразу це одна й та сама формула, знайомий смак. Просто цього разу кермувальника замінили: з академічних установ на технологічних гігантів на кшталт Google, тож і сила впливу природно незрівнянна.

Давайте спершу охолонемо й подивимось, що саме сказав Google. Google оголосив, що до 2029 року має завершити антиквантову міграцію власних систем, а причина, яку він навів, — прогрес у квантових обчисленнях “може бути ближчим, ніж здається”. Сам цей меседж сам по собі не викликає проблем: як і має робити технологічний гігант, варто планувати наперед. Проблема в тому, що багато хто сприйняв корпоративний план міграції Google напряму: ніби квантові комп’ютери загрожуватимуть біткоїну до 2029 року.

Це все одно, що сказати: твій сусід почав закуповувати провізію й готуватись до війни — це не означає, що завтра вже почнеться бій.

Насправді в заяві Google все сказано дуже чітко: 2029 рік — це дедлайн міграції самого Google, а не пророцтво про те, що квантові комп’ютери зламають криптографічні алгоритми. Між цими двома речами — десятки тисяч кілометрів різниці. Але медіа потрібен “хайп”, читачам — страх, і тому “Google: квантова загроза до 2029 — зворотний відлік” так і з’являється як виготовлений продукт.

Отже, коли саме квантовий комп’ютер зможе загрожувати біткоїну? Подивімось, що кажуть справді обізнані люди.

a16z crypto нещодавно опублікував довгий матеріал, де детально розібрав часову шкалу квантової загрози. У статті прямо вказано: ймовірність появи у межах 5 років відмовостійкого квантового комп’ютера (CRQC), здатного зламати secp256k1 або RSA-2048, є вкрай низькою. Нині квантове “залізо” все ще відстає від необхідних вимог на кілька порядків за показниками фізичної кількості бітів, збереженням точності операцій (gate fidelity), зв’язністю та глибиною помилок, що виправляють, схем.

Інакше кажучи, те, що ти зараз хвилюєшся через те, що квантовий комп’ютер зламає біткоїн — приблизно як хвилюватись, що тебе завтра викрадуть інопланетяни: теоретично виключити не можна, але в реальності ймовірність дуже низька.

Адам Бек — криптограф, якого цитували в whitepaper Сатоші Накамото, — висловив схожу думку. Він вважає, що щоб квантові обчислення досягли рівня, релевантного криптографії, “дуже ймовірно знадобляться десятиліття”. Зверніть увагу: десятиліття, а не три-п’ять років. Майкл Сейлор ще пряміше: антиквантове оновлення біткоїна має бути вкрай вкрай обережним і виконуватися лише тоді, коли консенсус сформується та коли вважатимуть, що квантова загроза вже становить проблему, — тоді можна оновлювати.

Цікаво, що ті, хто реально розуміє технологію, налаштовані стримано, тоді як найбільш охочі “розганяти” квантову загрозу — це зазвичай медіа, які розбираються в техніці лише наполовину, і деякі люди зі сторонніми намірами — наприклад, розробники проєктів, які продають так звані “антиквантові монети”.

Вчора в червні минулого року я в “教链” уже спеціально писав про це — стаття називалася 《警惕抗量子骗局》. У ній згадувався ключовий факт: наразі антиквантові алгоритми, стандартизовані NIST, мають розмір підписів, який легко сягає кількох KB або навіть десятків KB, тоді як біткоїн нині використовує ECDSA-підписи лише на 64 байти. У тисячі разів більший розмір — що це означає? Це означає, що якби ти замінив біткоїн на ці “антиквантові монети”, комісії за кожну транзакцію різко виросли б, витрати на зберігання нод теж підскочили б, а децентралізацію було б суттєво ослаблено.

Сатоші Накамото 15 років тому вже говорив: чому біткоїн не використовує RSA, а використовує ECC? Бо підписи RSA “великі на один порядок”, тобто це було б нераціонально. Якби Сатоші побачив сьогоднішні розміри підписів у цих антиквантових алгоритмах, він, мабуть, просто викинув би їх у смітник.

Дехто може спитати: то, може, біткоїну й не треба готуватися до квантової загрози? Звісно, ні. “教链” неодноразово підкреслює: квантова загроза — це реальний довгостроковий ризик, ми маємо планувати наперед, але не треба піддаватися панічним продажам.

Біткоїн-спільнота, до речі, вже давно почала готуватися. Оновлення Taproot, активоване у 2021 році, проклало шлях до майбутньої заміни алгоритму підписів. BIP 360 також запровадив формат антиквантових адрес, який називається Pay-to-Merkle-Root. Спільнота системно просуває відповідні роботи.

Але для звичайних користувачів уже зараз можна зробити кілька простих речей, щоб захистити себе. У “教链” у статті 《预防量子计算威胁实用指南》 підсумовано кілька ключових пунктів:

Перше: зберігайте біткоїн лише на адресах P2PKH (починаються на 1) або P2WPKH (починаються на bc1q), не використовуйте адреси P2PK (починаються на 04) або адреси P2TR (починаються на bc1p). Причина проста: P2PKH та P2WPKH зберігають хеш відкритого ключа, а сам відкритий ключ не розкривається; тоді як P2PK і P2TR адреси напряму розкривають відкритий ключ — і якщо квантовий комп’ютер зможе зламати ECDSA, біткоїни на цих адресах опиняться під загрозою.

Друге: уникайте повторного використання адрес. Кожну адресу можна використовувати не більше ніж один раз. Якщо ви вирішили скористатися біткоїнами з певної адреси — переведіть усе за один раз, очистіть адресу та більше ніколи її не використовуйте. Перевага тут така: навіть якщо в майбутньому квантові обчислення стануть практичними, “вікно” розкриття вашого відкритого ключа буде дуже коротким.

Третє: не чекайте до останнього дня, щоб діяти. Якщо кожен почне міграцію лише тоді, коли квантові комп’ютери справді з’являться, комісії в мережі підскочать до небес. Користуйтеся тим, що зараз у мережі немає заторів — і плануйте наперед.

Тут “教链” хоче спеціально підкреслити один момент: ті так звані “квантові часові таблиці загроз” часто ігнорують один ключовий нюанс — “хеш-оболонку” біткоїн-адрес. Як Сатоші Накамото сказав у 2010 році: “Щоб біткоїн-адреси були коротшими, вони використовують хеш відкритого ключа, а не сам відкритий ключ. Таким чином, безпека транзакцій, які надсилаються на біткоїн-адресу, залежить лише від безпеки хешу”.

Хеш-функції мають природний опір до квантових обчислень. Алгоритм Grover може лише підвищити обчислювальну потужність для атаки на хеш на один квадратний порядок: наприклад, складність атаки SHA-256 з 2^256 знижується до 2^128 — а це все одно астрономічно багато. Тож поки ви використовуєте адреси P2PKH або P2WPKH і не розкривали відкритий ключ, ваші біткоїни залишаються безпечними перед квантовими комп’ютерами.

Наприкінці “教链” хоче сказати таке: щоразу, коли накочується хвиля квантової паніки, хтось обов’язково виходить і каже, що біткоїн має обнулитися, та радить вам купити золото. Але ці люди ніколи не повідомляють, що загрози для золота значно більші, ніж для біткоїна. У нашій Сонячній системі між Марсом і Юпітером є пояс астероїдів, і там є об’єкт під назвою 灵神星, за оцінками якого міститься кілька сотень мільярдів тонн золота. За кілька тисяч років людство загалом добуло з Землі лише понад 200 тисяч тонн золота. Як ви думаєте, що станеться раніше — квантові комп’ютери, чи люди матимуть можливість видобувати золото на астероїдах?

І ще: золото — “мертве”, а біткоїн — “живий”. Біткоїн можна оновлювати кодом, а що можна оновити у золота?

Тому щодо квантової загрози позиція “教链” дуже чітка: тримайте в полі зору, але не панікуйте. Те, що треба — тримайте, те, що треба — готуйте, але не робіть з цієї довгострокової, низьмовірнісної загрози привід різати позицію сьогодні.

Google може завершити міграцію до 2029 року, тому що воно контролює власні системи. Біткоїн зробити цього не може, бо він децентралізований. Але саме ця “повільність” зрештою дає нам більше безпеки — адже реальна загроза ще не настала, тож у нас є достатньо часу, щоб підготуватися.

Коли колись квантові обчислення справді почнуть наближатися, біткоїн-спільнота природно відреагує. А зараз, замість того щоб дозволяти цим тривожним маркетинговим повідомленням вести себе за ніс, краще заспокоїтись і уважно подивитися на свої біткоїни та подумати, як правильно їх тримати.

Зрештою, щоб вижити на ринку, найважливіше — не бігти швидше за лісову тваринку, а не злякатися й не “вмерти” від власних страхів.