1/ Останні прогнози квантових обчислень варіюються від «криптографія з відкритим ключем буде зламана через 2 роки» до «це через століття». Обидва варіанти помиляються. Мій останній допис пояснює, що насправді підтримує публічно відомий прогрес — і що блокчейни мають з цим робити. Тема нижче 🧵

2/ Криптографічно значущий квантовий комп'ютер (CRQC) у 2020-х роках дуже малоймовірний. Навіть середина 2030-х — це амбітність. Існують системи з 1000+ кубітами, але сирі підрахунки кубітів вводять в оману: нам потрібні тисячі логічних кубітів, виправлених помилками, і величезні бюджети T-gate — значно більше, ніж сьогодні.

3/ Велике джерело плутанини: компанії називають кубіти «логічними кубітами з виправленнями помилок», якщо не підтримують операції, не пов'язані з Кліффордом, або в деяких кричущих випадках навіть не можуть виправити помилки. Це серйозно ввело в оману навіть досвідчених спостерігачів щодо того, наскільки ми близькі до CRQC.

4/ Поширена помилка при обговоренні квантових загроз: однаково ставлення до всіх криптографічних примітивів. Шифрування, підписи та SNARK мають дуже різні профілі ризику.

5/ Найочевидніший найближчий ризик — це Harvest-Now-Decrypt-Later (HNDL): противники зараз записують зашифрований трафік для розшифрування, коли існує CRQC.

6/ Ось чому постквантове (PQ) шифрування має з'являтися зараз, незважаючи на витрати та ризики. гібридні (PQ+класичні) схеми Chrome+Cloudflare для TLS; iMessage і Signal для обміну повідомленнями. HNDL не залишає вибору для даних, які потребують довгострокової конфіденційності, навіть якщо квантовий вихід ще на десятки років.

7/ Підписи різні: немає конфіденційності для «збору врожаю». Підпис, створений до появи CRQC, не може бути підроблений заднім числом. Різний ризик ⇒ різна терміновість.

8/ Сьогодні блокчейни використовують підписи для авторизації, а не для шифрування. Без впливу HNDL ми можемо свідомо діяти щодо міграції PQ-підписів.

9/ Сучасні сигнатури PQ залишають бажати кращого: ML-DSA ≈2,4–4,6 КБ, Falcon ≈666 Б–1,3 КБ (але складно реалізувати правильно), SPHINCS+ ≈7–8 КБ+. Для порівняння, ECDSA становить лише ~64 байти. Більший/повільніший/складніший ⇒ вищий ризик багів.

10/ Обережність необхідна: Rainbow (на основі MQ) і SIKE/SIDH (на основі ізогенії) були класично зламані під час процесу NIST. Передчасне розгортання може обернутися проти них.

11/ Веб-PKI прагне спочатку шифрування, потім підписів саме з цих причин. Блокчейни мають наслідувати цей приклад.

12/ zkSNARKs? Гарна новина: навіть SNARK без PQ мають постквантове нульове знання. Нічого про свідка не розкривається, навіть квантовим супротивникам. Вразливим стає після CRQC надійність (підробка нових хибних доказів), а не конфіденційність чи надійність минулих доказів.

13/ Ключовий момент: протягом багатьох років помилки та атаки на реалізацію (бічні канали, ін'єкція помилок) будуть більшими ризиками, ніж CRQC. Це стосується SNARK, схем агрегації підписів і навіть самих підписів. Інвестуйте в аудити, фаззинг і формальні методи.

14/ Особливі виклики Біткоїна: повільне управління, відсутність пасивної міграції та нетривіальна покинута пропозиція на адресах з високою вартістю, вразливими до кванту.

15/ Легкого рішення немає. Біткойн має серйозно сприймати загрозу — не тому, що CRQC з'являться до 2030 року, а тому, що вирішення цих переважно нетехнічних питань вимагає років координації.

16/ Що робити: ✅ Розгорнути гібридне шифрування PQ зараз ✅ Тепер використовуйте гібридні хеш-підписи, де розмір прийнятний (оновлення прошивки/програмного забезпечення) ✅ Щодо блокчейнів: не поспішайте з підписами PQ — але плануйте шляхи міграції

17/ Ланцюги конфіденційності, які шифрують деталі транзакцій, повинні надавати пріоритет шифруванню PQ (або дизайнам, що уникають розшифровуваних секретів у ланцюзі), щоб зменшити ризик HNDL. Ланцюги, орієнтовані на сигнатури, можуть поступово впроваджувати PQ-підписи у міру розвитку технік агрегування та реалізації.

18/ Зберігайте перспективу: парадоксально, але часті оголошення про квантові віхи ≠ близькості до CRQC. Вони підкреслюють, скільки мостів ще потрібно подолати.

19/ Підсумок: порівняти терміновість із реальними загрозами. Шифрування: терміново (HNDL). Підписи: навмисні. SNARKs: Нерухомість ZK залишається захищеною; вразливість здоров'я після CRQC. І, понад усе, комахи залишаються більшим ризиком у найближчій перспективі.