hashtelegraph.com
Квантовые компьютеры могут взломать криптографию биткоин и Ethereum значительно быстрее, чем считалось раньше — такой вывод следует из нового исследования Google, опубликованного 30 марта.
Согласно обновленным оценкам компании, для взлома эллиптической кривой криптографии, защищающей блокчейны, потребуется менее 500 000 физических кубитов. Это в 20 раз меньше, чем предполагалось ранее. Кубит — базовая единица квантового вычисления, и сокращение их требуемого количества означает, что реальная угроза приближается быстрее, чем ожидало криптосообщество.
Девять минут на взлом биткоина
Исследователи Google смоделировали два квантовых алгоритма на сверхпроводящем квантовом компьютере, криптографически значимом для реальных атак. Результат оказался тревожным: в теоретическом сценарии такая машина способна извлечь приватный ключ биткоина примерно за 9–12 минут. Это катастрофически мало: среднее время подтверждения блока в сети биткоина составляет как раз около 10 минут.
Такой сценарий называется атакой «на трату» (on-spend attack): квантовый компьютер перехватывает публичный ключ, раскрытый в момент транзакции, и за считанные минуты вычисляет из него приватный ключ — достаточно быстро, чтобы успеть похитить средства до подтверждения перевода.
Соавтор исследования и исследователь Ethereum Джастин Дрейк (Justin Drake) не стал смягчать новость: «Моя уверенность в наступлении Q-Day к 2032 году значительно возросла. По моей оценке, существует как минимум 10%-я вероятность того, что к 2032 году квантовый компьютер сможет восстанавливать приватный ключ из открытого публичного ключа».
Если биткоин уязвим лишь в узком временном окне транзакции, то Ethereum сталкивается с принципиально иной проблемой. Исследователи указывают, что архитектура учетных записей Ethereum делает сеть структурно подверженной атакам «в состоянии покоя» (at-rest attacks) — и они не требуют никакой спешки.
Механизм таков: как только аккаунт в Ethereum совершает первую транзакцию, его публичный ключ навсегда остается видимым в блокчейне. Злоумышленник может в любой момент, без цейтнота, вычислить из него приватный ключ. «Это создает уязвимость на уровне аккаунтов — системную, неустранимую экспозицию, которую нельзя нейтрализовать действиями пользователя, кроме как путем перехода протокола к постквантовой криптографии», — говорится в исследовании.
Google оценила, что 1 000 наиболее состоятельных открытых аккаунтов Ethereum, на которых хранится около 20,5 млн ETH, можно взломать менее чем за девять дней.
Дедлайн приближается
Ранее Google установила срок миграции собственной инфраструктуры на постквантовую криптографию — 2029 год, предупредив, что «квантовые рубежи могут оказаться ближе, чем кажется». Вслед за этим криптопредприниматель Ник Картер (Nic Carter) заявил, что эллиптическая криптография находится «на грани устаревания», отметив при этом, что разработчики Ethereum уже работают над решениями, тогда как сторона биткоина демонстрирует «худший в своем классе подход».
Ethereum Foundation опубликовал дорожную карту постквантового перехода еще в феврале. Сооснователь Ethereum Виталик Бутерин (Vitalik Buterin) указал, что для подготовки к квантовым угрозам потребуется изменить подписи валидаторов, механизмы хранения данных, структуру аккаунтов и систему доказательств.
Мнение ИИ
С точки зрения машинного анализа данных, цифра в 500 000 физических кубитов заслуживает отдельного внимания: речь идет о физических кубитах, а не логических. Для реализации устойчивых логических кубитов с коррекцией ошибок потребуется на порядки большее их число — именно этот разрыв остается главным инженерным барьером между теоретической моделью и рабочим устройством. Сегодня лучшие квантовые процессоры насчитывают около 105 кубитов.
Примечателен и более широкий контекст: та же криптография эллиптических кривых защищает банковскую инфраструктуру, государственные системы и интернет-протоколы по всему миру. Квантовый злоумышленник, способный атаковать биткоин, одновременно получит доступ к глобальной финансовой инфраструктуре — а значит, давление на переход к постквантовым стандартам будет оказываться на всю индустрию сразу, а не только на криптовалютные протоколы. Вопрос в том, окажется ли скорость масштабирования квантового железа выше, чем скорость консенсуса внутри децентрализованных сетей.