1/ Прогнозы квантовых вычислений в последнее время варьируются от «криптография с открытым ключом будет сломана через 2 года» до «это через столетие». Оба варианта ошибочны. В моём последнем посте объясняется, что именно поддерживает публично известный прогресс — и что блокчейны должны с этим делать. Тема ниже 🧵

2/ Криптографически значимый квантовый компьютер (CRQC) в 2020-х годах крайне маловероятен. Даже середина 2030-х годов выглядит амбициозно. Системы с 1000+ кубитами существуют, но сырые данные о кубитах вводят в заблуждение: нам нужно тысячи логических кубитов с коррекцией ошибок и огромные бюджеты T-гейтов — это далеко за пределами сегодняшнего.

3/ Основной источник путаницы: компании называют кубиты "логическими кубитами с коррекцией ошибок", когда они не поддерживают операции, отличные от операций Клиффорда, или в некоторых вопиющих случаях даже не могут исправлять ошибки. Это серьезно ввело в заблуждение даже опытных наблюдателей относительно того, насколько близки мы к CRQC.

4/ Распространенная ошибка при обсуждении квантовых угроз: рассматривать все криптографические примитивы одинаково. Шифрование, подписи и SNARK'и сталкиваются с очень разными профилями рисков.

5/ Наиболее очевидный краткосрочный риск — это Harvest-Now-Decrypt-Later (HNDL): противники записывают зашифрованный трафик сейчас, чтобы расшифровать его, когда существует CRQC.

6/ Поэтому постквантовое (PQ) шифрование должно быть внедрено сейчас, несмотря на затраты/риски. Chrome и Cloudflare развернули гибридные (PQ+классические) схемы для TLS; iMessage и Signal для обмена сообщениями. HNDL не оставляет выбора для данных, требующих долгосрочной конфиденциальности, даже если квантовые технологии появятся через десятилетия.

7/ Подписи различаются: нет конфиденциальности для "сбора". Подпись, созданная до существования CRQC, не может быть подделана задним числом. Разный риск ⇒ разная срочность.

8/ Сегодня блокчейны используют подписи для авторизации, а не шифрования. Без воздействия HNDL мы можем целенаправленно подойти к миграции подписи PQ.

9/ Подписи PQ сегодня оставляют желать лучшего: ML-DSA ≈2.4–4.6 КБ, Falcon ≈666 Б–1.3 КБ (но сложно реализовать правильно), SPHINCS+ ≈7–8 КБ+. Для сравнения, ECDSA всего ~64 байта. Больше/медленнее/сложнее ⇒ выше риск ошибок.

10/ Следует проявлять осторожность: Rainbow (на основе MQ) и SIKE/SIDH (на основе изогений) были сломаны классическим способом в процессе NIST. Преждевременное развертывание может обернуться против вас.

11/ Веб PKI стремится к принципу "сначала шифрование, потом подписи" именно по этим причинам. Блокчейны должны следовать этому примеру.

12/ zkSNARKs? Хорошие новости: даже не-PQ SNARKs имеют пост-квантовое нулевое знание. Ничего о свидетеле не раскрывается, даже перед квантовыми противниками. Уязвимость после CRQC заключается в надежности (подделка новых ложных доказательств), а не в конфиденциальности или надежности прошлых доказательств.

13/ Ключевой момент: в течение многих лет ошибки и атаки на реализацию (боковые каналы, инъекция ошибок) будут представлять собой более серьезные риски, чем CRQC. Это касается SNARK, схем агрегации подписей и даже самих подписей. Инвестируйте в аудиты, фуззинг и формальные методы.

14/ Специальные проблемы Bitcoin: медленное управление, отсутствие пассивной миграции и нетривиальное заброшенное предложение на адресах с высокой стоимостью, уязвимых к квантовым атакам.

15/ Нет простого решения. Bitcoin должен серьезно относиться к угрозе — не потому, что CRQC появятся до 2030 года, а потому, что решение этих в основном нетехнических вопросов требует многих лет координации.

16/ Что делать: ✅ Разверните гибридное PQ шифрование сейчас ✅ Используйте гибридные подписи на основе хешей сейчас, где размер допустим (обновления прошивки/ПО) ✅ Для блокчейнов: не спешите с PQ подписями — но планируйте пути миграции

17/ Приватные цепочки, которые шифруют детали транзакций, должны придавать приоритет PQ шифрованию (или проектам, избегая расшифровываемых на цепочке секретов), чтобы снизить риск HNDL. Цепочки, ориентированные на подписи, могут постепенно внедрять PQ подписи по мере совершенствования технологий и реализаций агрегации.

18/ Сохраняйте перспективу: парадоксально, частые объявления о квантовых вехах ≠ близость к CRQC. Они подчеркивают, сколько мостов еще предстоит пересечь.

19/ Итог: сопоставьте срочность с реальными угрозами. Шифрование: срочно (HNDL). Подписи: обдуманно. SNARKs: свойство ZK остается защищенным; надежность уязвима после CRQC. И, прежде всего, ошибки остаются более серьезным риском в краткосрочной перспективе.