Побоювання щодо квантового "Судного дня" Bitcoin перебільшені, стверджує дослідження a16z

Новий дослідницький документ a16z crypto стверджує, що апокаліптичні розповіді про квантові комп'ютери, які миттєво знищують Bitcoin, сильно не відповідають реальності, і що справжній ризик для блокчейнів полягає в довгих, заплутаних міграціях, а не в раптовому колапсі "Q-Day". Ця стаття вже викликала різку відповідь на X від інвесторів, які стверджують, що загроза ближча і складніша, ніж пропонує a16z.

Bitcoin не приречений квантовими обчисленнями: a16z

У статті "Квантові обчислення та блокчейни: узгодження терміновості з реальними загрозами" дослідницький партнер a16z та професор комп'ютерних наук Джорджтаунського університету Джастін Талер задає тон на початку, пишучи, що "Терміни створення криптографічно релевантного квантового комп'ютера часто перебільшуються — що призводить до закликів до термінових, масових переходів до постквантової криптографії". Він стверджує, що цей ажіотаж спотворює аналіз витрат і вигод та відволікає команди від більш нагальних ризиків, таких як помилки реалізації.

Талер визначає "криптографічно релевантний квантовий комп'ютер" (CRQC) як повністю виправлений від помилок пристрій, здатний запускати алгоритм Шора в масштабі, де він може зламати RSA-2048 або схеми еліптичних кривих, такі як secp256k1, приблизно за місяць роботи. За його оцінкою, CRQC у 2020-х роках є "вкрай малоймовірним", а публічні віхи не виправдовують тверджень, що така система ймовірна до 2030 року.

Він підкреслює, що серед платформ з захопленими іонами, надпровідниками та нейтральними атомами жоден пристрій не наближається до сотень тисяч або мільйонів фізичних кубітів, з необхідними показниками помилок та глибиною схеми, які були б потрібні для криптоаналізу.

Натомість, стаття a16z проводить чітку межу між шифруванням та підписами. Талер стверджує, що атаки типу "збирай зараз, розшифровуй пізніше" (HNDL) вже роблять постквантове шифрування терміновим для даних, які повинні залишатися конфіденційними протягом десятиліть, саме тому великі провайдери впроваджують гібридне постквантове встановлення ключів у TLS та обміні повідомленнями.

Але він наполягає, що підписи, включаючи ті, що захищають Bitcoin та Ethereum, стикаються з іншим розрахунком: вони не захищають приховані дані, які можна ретроспективно розшифрувати, і коли CRQC існує, зловмисник може лише підробляти підписи в майбутньому.

На цій підставі документ стверджує, що "більшість непривативних блокчейнів" не піддаються квантовому ризику типу HNDL на рівні протоколу, оскільки їхні реєстри вже є публічними; відповідна атака полягає у підробці підписів для крадіжки коштів, а не в розшифровці ончейн даних.

Специфічні проблеми Bitcoin

Талер все ще позначає Bitcoin як такий, що має "особливі проблеми" через повільне управління, обмежену пропускну здатність та великі пули відкритих, потенційно покинутих монет, чиї публічні ключі вже знаходяться в блокчейні, але він визначає часове вікно для серйозної атаки в термінах принаймні десятиліття, а не кількох років.

"Bitcoin змінюється повільно. Будь-які спірні питання можуть спричинити руйнівний хардфорк, якщо спільнота не може погодитися щодо відповідного рішення", - пише Талер, додаючи: "ще одна проблема полягає в тому, що перехід Bitcoin на постквантові підписи не може бути пасивною міграцією: власники повинні активно мігрувати свої монети".

Крім того, Талер позначає "остаточну проблему, специфічну для Bitcoin", яка полягає в його низькій пропускній здатності транзакцій. "Навіть після завершення планів міграції, перенесення всіх квантово-вразливих коштів на постквантово-безпечні адреси займе місяці при поточній швидкості транзакцій Bitcoin", - каже Талер.

Він також скептично ставиться до поспішного впровадження постквантових схем підписів на базовому рівні. Підписи на основі хешів є консервативними, але надзвичайно великими, часто кілька кілобайтів, тоді як схеми на основі решіток, такі як ML-DSA та Falcon від NIST, є компактними, але складними і вже створили кілька вразливостей побічних каналів та ін'єкцій помилок у реальних реалізаціях. Талер попереджає, що блокчейни ризикують послабити свою безпеку, якщо вони занадто рано перейдуть на незрілі постквантові примітиви під тиском заголовків.

Найбільш рішучий опір надійшов від співзасновника Castle Island Ventures Ніка Картера та генерального директора Project 11 Алекса Прудена. Картер підсумував свою думку на X, сказавши, що робота a16z "сильно недооцінює характер загрози і переоцінює час, який у нас є для підготовки", вказуючи підписникам на довгий потік від Прудена.

Пруден починає з підкреслення поваги до Талера та команди a16z, але додає: "Я не згоден з аргументом, що квантові обчислення не є нагальною проблемою для блокчейнів. Загроза ближча, прогрес швидший, а виправлення складніше, ніж він це представляє і ніж більшість людей усвідомлює".

Він стверджує, що недавні технічні результати, а не маркетинг, повинні бути основою обговорення. Посилаючись на системи нейтральних атомів, які зараз підтримують понад 6 000 фізичних кубітів, Пруден зазначає, що "у нас зараз є система без відпалу з більш ніж 6000 фізичними кубітами в архітектурі нейтральних атомів", що прямо суперечить будь-якому натяку на те, що лише нескальовані архітектури відпалу досягли такого масштабу. Він зазначає, що такі роботи, як масив пінцетів Caltech з 6 100 кубітами, показують, що великі, когерентні платформи нейтральних атомів при кімнатній температурі вже є реальністю.

Щодо виправлення помилок, Пруден пише, що "виправлення помилок поверхневого коду було експериментально продемонстровано минулого року, перетворивши це з дослідницької проблеми на інженерну проблему", і вказує на швидкий прогрес у кольорових кодах та кодах LDPC.

Він підкреслює оновлені оцінки Google "Відстеження вартості квантової факторизації", які показують, що квантовий комп'ютер з приблизно мільйоном шумних фізичних кубітів, що працює приблизно тиждень, міг би, в принципі, зламати RSA-2048 — двадцятикратне зменшення порівняно з власною оцінкою Google 2019 року в двадцять мільйонів кубітів. "Оцінки ресурсів для CRQC, що запускає алгоритм Шора, знизилися на два порядки за шість місяців", - зазначає він, роблячи висновок: "Сказати, що ця траєкторія прогресу потенційно може привести до квантового комп'ютера до 2030 року, не є перебільшенням".

Там, де Талер підкреслює HNDL як проблему шифрування, Пруден переосмислює блокчейни як унікально привабливі квантові цілі. Він підкреслює, що "публічні ключі, що використовуються в цифрових підписах, так само легко збирати, як і зашифровані повідомлення", але в блокчейнах ці ключі безпосередньо пов'язані з видимою вартістю. Він зазначає, що "ці публічні ключі розподілені та безпосередньо пов'язані з вартістю (150 мільярдів доларів лише для BTC Сатоші)", і що коли квантовий противник може підробляти підписи, "Якщо ви можете підробити підпис, ви можете вкрасти актив незалежно від того, коли був створений оригінальний UTXO/акаунт".

Для Прудена ця економічна реальність означає, що "економічні стимули просто і чітко вказують на блокчейни як на перший криптографічно релевантний квантовий випадок використання", навіть якщо інші сектори також стикаються з ризиками HNDL. Він додає, що "блокчейни будуть набагато повільніше мігрувати, ніж централізовані системи. Банк може оновити свій стек. Блокчейни повинні досягти глобального консенсусу, поглинути компроміси продуктивності від PQ підписів та координувати мільйони користувачів для міграції їхніх ключів".

Посилаючись на багаторічний перехід Ethereum від доказу роботи до доказу ставки, він пише: "Найближчим аналогом був перехід ETH 1.0 до 2.0, який зайняв роки, і наскільки складним це було, PQ міграція набагато складніша. Будь-хто, хто думає, що це питання заміни кількох рядків коду підпису, просто ніколи не відправляв, не розгортав і не підтримував виробничий блокчейн".

Пруден погоджується з Талером, що паніка небезпечна, але перевертає висновок: "Я згоден, що поспіх небезпечний. Але саме тому робота повинна початися зараз. Найбільш ймовірний режим відмови полягає в тому, що галузь чекає занадто довго, а потім значна віха QC викликає паніку". Він завершує, кажучи, що не згоден з тим, що "квантові обчислення прогресують повільно", що "блокчейни менш вразливі, ніж системи, піддані ризику HNDL", або що "у галузі є роки запасу перед тим, як потрібні дії", стверджуючи, що "Всі три припущення суперечать реальності".

На момент публікації Bitcoin становив 91 616 доларів.