Страхи перед квантовым «Судным днем» Биткоина преувеличены, говорится в исследовании a16z

Новое исследование a16z crypto утверждает, что апокалиптические нарративы о квантовых компьютерах, мгновенно уничтожающих Биткоин, сильно расходятся с реальностью, и что настоящий риск для блокчейнов заключается в длительных, беспорядочных миграциях, а не в внезапном коллапсе "Q-Day". Эта статья уже вызвала резкое опровержение на X от инвесторов, которые утверждают, что угроза ближе и сложнее, чем предполагает a16z.

Биктоин не обречен из-за квантовых вычислений: a16z

В статье "Квантовые вычисления и блокчейны: соответствие срочности реальным угрозам" партнер по исследованиям a16z и профессор компьютерных наук Джорджтаунского университета Джастин Талер задает тон с самого начала, написав, что "Сроки появления криптографически значимого квантового компьютера часто преувеличиваются — что приводит к призывам к срочным, масштабным переходам к постквантовой криптографии". Он утверждает, что этот ажиотаж искажает анализ затрат и выгод и отвлекает команды от более насущных рисков, таких как ошибки реализации.

Талер определяет "криптографически значимый квантовый компьютер" (CRQC) как полностью исправленную от ошибок машину, способную запускать алгоритм Шора в масштабе, где она может взломать RSA-2048 или схемы на эллиптических кривых, такие как secp256k1, примерно за месяц работы. По его оценке, CRQC в 2020-х годах "крайне маловероятен", и общественные вехи не оправдывают утверждений о том, что такая система вероятна до 2030 года.

Он подчеркивает, что среди платформ с захваченными ионами, сверхпроводящими и нейтральными атомами ни одно устройство не приближается к сотням тысяч или миллионам физических кубитов с требуемыми показателями ошибок и глубиной схемы, которые необходимы для криптоанализа.

Вместо этого, статья a16z проводит четкую грань между шифрованием и подписями. Талер утверждает, что атаки типа "собирай сейчас, расшифровывай потом" (HNDL) уже делают постквантовое шифрование срочным для данных, которые должны оставаться конфиденциальными в течение десятилетий, поэтому крупные провайдеры внедряют гибридное постквантовое установление ключей в TLS и обмене сообщениями.

Но он настаивает на том, что подписи, включая те, которые защищают Биктоин и Ethereum, сталкиваются с другим расчетом: они не защищают скрытые данные, которые могут быть ретроактивно расшифрованы, и как только CRQC существует, атакующий может только подделывать подписи в будущем.

На этом основании в статье утверждается, что "большинство цепочек без конфиденциальности" не подвержены квантовому риску в стиле HNDL на уровне протокола, потому что их реестры уже публичны; соответствующая атака заключается в подделке подписей для кражи средств, а не в расшифровке данных на цепочке.

Специфические проблемы Биткоина

Талер все же отмечает, что у Биткоина есть "особые проблемы" из-за медленного управления, ограниченной пропускной способности и больших пулов открытых, потенциально заброшенных монет, чьи публичные ключи уже находятся в цепочке, но он определяет временное окно для серьезной атаки в терминах как минимум десятилетия, а не нескольких лет.

"Биткоин меняется медленно. Любые спорные вопросы могут вызвать разрушительный харфорк, если сообщество не может согласиться с подходящим решением", - пишет Талер, добавляя, что "еще одна проблема заключается в том, что переход Биткоина на постквантовые подписи не может быть пассивной миграцией: владельцы должны активно мигрировать свои монеты".

Более того, Талер отмечает "последнюю проблему, специфичную для Биткоина", которая заключается в его низкой пропускной способности транзакций. "Даже после того, как планы миграции будут завершены, перемещение всех квантово-уязвимых средств на постквантово-безопасные адреса займет месяцы при текущей скорости транзакций Биткоина", - говорит Талер.

Он также скептически относится к спешке с внедрением постквантовых схем подписи на базовом уровне. Подписи на основе хэшей консервативны, но чрезвычайно большие, часто несколько килобайт, в то время как схемы на основе решеток, такие как ML-DSA и Falcon от NIST, компактны, но сложны и уже привели к множественным уязвимостям побочных каналов и инъекций ошибок в реальных реализациях. Талер предупреждает, что блокчейны рискуют ослабить свою безопасность, если они слишком рано перейдут на незрелые постквантовые примитивы под давлением заголовков.

Наиболее сильное противодействие исходит от соучредителя Castle Island Ventures Ника Картера и генерального директора Project 11 Алекса Прудена. Картер резюмировал свою точку зрения на X, сказав, что работа a16z "дико недооценивает характер угрозы и переоценивает время, которое у нас есть для подготовки", указывая подписчикам на длинную цепочку сообщений от Прудена.

Пруден начинает с подчеркивания уважения к Талеру и команде a16z, но добавляет: "Я не согласен с аргументом, что квантовые вычисления не являются срочной проблемой для блокчейнов. Угроза ближе, прогресс быстрее, и исправление сложнее, чем он это представляет и чем большинство людей осознает".

Он утверждает, что недавние технические результаты, а не маркетинг, должны быть основой обсуждения. Ссылаясь на системы с нейтральными атомами, которые теперь поддерживают более 6 000 физических кубитов, Пруден указывает, что "у нас теперь есть система без отжига с более чем 6000 физическими кубитами в архитектуре нейтральных атомов", что напрямую противоречит любому предположению, что только немасштабируемые архитектуры отжига достигли такого масштаба. Он отмечает, что такие работы, как массив пинцетов Caltech с 6 100 кубитами, показывают, что большие, когерентные платформы нейтральных атомов при комнатной температуре уже являются реальностью.

По поводу коррекции ошибок Пруден пишет, что "коррекция ошибок поверхностного кода была экспериментально продемонстрирована в прошлом году, превратив ее из исследовательской проблемы в инженерную", и указывает на быстрые достижения в цветовых кодах и кодах LDPC.

Он выделяет обновленные оценки Google "Отслеживание стоимости квантовой факторизации", которые показывают, что квантовый компьютер с примерно миллионом шумных физических кубитов, работающий примерно неделю, мог бы, в принципе, взломать RSA-2048 — двадцатикратное сокращение по сравнению с собственной оценкой Google 2019 года в двадцать миллионов кубитов. "Оценки ресурсов для CRQC, запускающего алгоритм Шора, упали на два порядка за шесть месяцев", - отмечает он, заключая: "Сказать, что эта траектория прогресса потенциально может привести к квантовому компьютеру до 2030 года, не является преувеличением".

Там, где Талер подчеркивает HNDL как проблему шифрования, Пруден переосмысливает блокчейны как уникально привлекательные квантовые цели. Он подчеркивает, что "публичные ключи, используемые в цифровых подписях, так же легко собрать, как и зашифрованные сообщения", но в блокчейнах эти ключи напрямую связаны с видимой ценностью. Он указывает, что "эти публичные ключи распределены и напрямую связаны с ценностью (150 миллиардов долларов только для BTC Сатоши)", и что как только квантовый противник сможет подделывать подписи, "Если вы можете подделать подпись, вы можете украсть актив независимо от того, когда был создан этот оригинальный UTXO/аккаунт".

Для Прудена эта экономическая реальность означает, что "экономические стимулы просто и ясно указывают на блокчейны как на первый криптографически значимый квантовый вариант использования", даже если другие секторы также сталкиваются с рисками HNDL. Он добавляет, что "блокчейны будут гораздо медленнее мигрировать, чем централизованные системы. Банк может обновить свой стек. Блокчейны должны достичь глобального консенсуса, поглотить компромиссы производительности от PQ-подписей и координировать миллионы пользователей для миграции их ключей".

Ссылаясь на многолетний переход Ethereum от доказательства работы к доказательству доли, он пишет: "Ближайшим аналогом был переход ETH с 1.0 на 2.0, который занял годы, и каким бы сложным это ни было, PQ-миграция намного сложнее. Любой, кто думает, что это вопрос замены нескольких строк кода подписи, просто никогда не отправлял, не развертывал и не поддерживал производственный блокчейн".

Пруден соглашается с Талером, что паника опасна, но переворачивает вывод: "Я согласен, что спешка опасна. Но именно поэтому работа должна начаться сейчас. Наиболее вероятный режим отказа заключается в том, что отрасль ждет слишком долго, а затем крупная веха QC вызывает панику". Он заканчивает, говоря, что не согласен с тем, что "квантовые вычисления прогрессируют медленно", что "блокчейны менее уязвимы, чем системы, подверженные риску HNDL", или что "у отрасли есть годы запаса времени до того, как потребуются действия", утверждая, что "Все три предположения противоречат реальности".

На момент публикации Биктоин стоил 91 616 долларов.