Когда Диффи-Хеллман сталкивается с квантами: почему криптографическая основа Ethereum под угрозой

Криптографические алгоритмы, обеспечивающие цифровую безопасность на протяжении десятилетий — такие как Диффи-Хеллман, RSA и ECDSA — сталкиваются с угрозой существования. На Devconnect в Буэнос-Айресе сооснователь Ethereum Виталик Бутерин прямо заявил: достаточно мощные квантовые компьютеры, способные разрушить текущие схемы шифрования, могут появиться уже в течение четырех лет. Согласно прогнозам платформы Metaculus, вероятность того, что квантовые системы сломают криптографию до 2030 года, составляет около 20%, и экосистема блокчейна вынуждена торопиться в гонке со временем.

Что делает эту угрозу особенно острой, так это не гипотетические предположения, а конкретная математическая реальность. Схемы вроде Диффи-Хеллмана, лежащие в основе множества криптографических систем помимо блокчейна, подвержены той же уязвимости, что и алгоритмы эллиптических кривых, обеспечивающие безопасность Bitcoin и Ethereum. Как только появится достаточно мощный квантовый процессор, математические задачи, защищающие приватные ключи — дискретные логарифмы, факторизацию — которые классические компьютеры решают за миллиарды лет, могут быть взломаны за часы.

Математика, которую никто не ожидал: как алгоритм Шора меняет всё

Чтобы понять срочность, нужно понять асимметрию, которая делает возможной классическую криптографию. Bitcoin и Ethereum используют ECDSA (эллиптический кривой цифровой подписи) с кривой secp256k1. Ваш приватный ключ — это большое случайное число. Ваш публичный ключ — точка на эллиптической кривой, математически выведенная из приватного ключа. На обычных компьютерах этот односторонний процесс прост; обратное — получение приватного ключа из публичного — практически невозможно.

Эта математическая односторонность распространяется и на схему Диффи-Хеллмана и RSA. Красота этих систем в их асимметрии: легко в одном направлении, практически невозможно в обратном. Именно эта асимметрия и обеспечивает безопасность.

Алгоритм Шора, сформулированный в 1994 году, показал тревожную вещь: достаточно мощный квантовый компьютер сможет решать эти «сложные» задачи — дискретные логарифмы, факторизацию — за полиномиальное время, а не экспоненциальное. Внезапно, односторонняя дверь имеет скрытый выход, который видят только квантовые машины. ECDSA, Диффи-Хеллман и RSA — все разваливаются под этим натиском.

Важно учитывать детали. Сейчас ваш приватный ключ остается скрытым, потому что на блокчейне виден только хэш вашего публичного ключа. Но как только вы инициируете транзакцию, ваш публичный ключ становится открытым. Будущий квантовый злоумышленник с мощным процессором сможет взять этот публичный ключ и за часы — или минуты — вычислить ваш приватный ключ, а не за миллионы лет. Каждая уже отправленная вами транзакция становится уязвимостью.

Google Willow: сигнал, что прогресс в квантовых вычислениях ускоряется

В декабре 2024 года Google объявила о создании Willow — квантового процессора на 105 кубитах, который выполнил вычисление за менее чем пять минут — задачу, на выполнение которой сегодня лучшие суперкомпьютеры потребовали бы около 10 септиллионов лет. Еще важнее, что Willow продемонстрировал «ниже порога» коррекцию ошибок — прорыв, при котором добавление кубитов снижает уровень ошибок, а не увеличивает его. Это был важный этап, которого исследователи криптографии добивались почти три десятилетия.

Однако Хартмут Невен, директор Google Quantum AI, подчеркнул, что Willow не может взломать современную криптографию. Для взлома 256-битных эллиптических кривых потребуется десятки или сотни миллионов физических кубитов. Квантовые компьютеры, релевантные для криптографии, по большинству оценок, остаются как минимум в десятилетие. Но дорожные карты IBM и Google ориентированы на создание систем с исправлением ошибок к 2029–2030 годам, что совпадает с временными рамками, обозначенными Бутериным.

Тренд очевиден: развитие квантовых вычислений идет быстрее, чем ожидали многие эксперты. Системы на базе Диффи-Хеллмана, RSA и ECDSA находятся на грани.

Экстренный план Виталика: когда невозможное становится реальностью

Задолго до своих публичных предупреждений Бутерин опубликовал детальную стратегию восстановления на Ethereum Research: «Как сделать хард-форк, чтобы спасти большинство средств в квантовой чрезвычайной ситуации». План предполагает, что квантовые атаки могут прорвать систему несмотря на все меры предосторожности:

Обнаружение и откат: Ethereum вернется к состоянию блока до крупной кражи, фактически отменяя ущерб квантового злоумышленника.

Заморозка устаревших аккаунтов: традиционные внешние аккаунты (EOA), использующие ECDSA, будут отключены, чтобы предотвратить дальнейшие кражи через открытые публичные ключи.

Миграция на квантоустойчивые кошельки: новый тип транзакций позволит пользователям доказать (через нулевое знание, например STARKs) контроль над своим исходным сид-фразом, а затем мигрировать на квантоустойчивые смарт-контрактные кошельки, использующие постквантовые схемы подписи.

Этот план — страховка. Но более важен взгляд Бутерина в будущее: инфраструктура — абстракция аккаунтов, надежные системы нулевого знания, стандартизированные постквантовые подписи — должна создаваться заранее, а не в условиях кризиса.

Уже есть решения

Хорошие новости: постквантовые альтернативы не теоретические. В 2024 году NIST (Национальный институт стандартов и технологий) утвердил первые три стандарта постквантовой криптографии: ML-KEM для обмена ключами, ML-DSA и SLH-DSA для цифровых подписей. Эти алгоритмы основаны на решениях из решетчатой математики или хэш-функциях — задачах, которые квантовые компьютеры пока не умеют эффективно решать.

По оценкам NIST и Белого дома, переход на эти стандарты обойдется федеральной системе США примерно в 7,1 миллиарда долларов в период с 2025 по 2035 год. Частный сектор движется быстрее. Проекты вроде Naoris Protocol создают децентрализованную инфраструктуру безопасности, встроенную в стандарты постквантовой криптографии. Тестовая сеть этого протокола, запущенная в январе, обработала более 100 миллионов транзакций с постквантовой защитой и предотвратила 600 миллионов угроз в реальном времени. Основной запуск сети запланирован на текущий квартал и обещает «Sub-Zero Layer» — сетевую структуру, где каждое устройство проверяет безопасность другого в реальном времени.

Техническое переосмысление Ethereum

Миграция — это не только кошельки пользователей. Протокол Ethereum использует эллиптические кривые не только для подписей EOAs. Подписи BLS, KZG-коммиты и некоторые системы доказательств роллапов также зависят от сложности дискретных логарифмов. Политика по обеспечению квантоустойчивости должна охватывать все эти уровни.

Абстракция аккаунтов (ERC-4337) создает путь: перевод пользователей с EOAs на обновляемые смарт-контрактные кошельки позволяет менять схемы подписей без необходимости миграции на новые адреса или проведения экстренных хард-форков. Уже есть прототипы квантоустойчивых кошельков на Ethereum с использованием подписей типа Лампорт или XMSS.

Но полный переход требует аккуратной координации — слишком быстрое внедрение может привести к ошибкам, слишком медленное — закрывает окно возможностей.

Скептики: Back и Szabo предлагают свои аргументы

Не все ветераны Bitcoin и Ethereum согласны с временными рамками Бутерина. Адам Бэк, CEO Blockstream и один из ранних участников Bitcoin, считает, что квантовая угроза — «десятилетия» и выступает за «стабильные исследования, а не поспешные или разрушительные изменения протоколов». Его опасение — панические обновления могут привести к ошибкам, опаснее чем сама квантовая угроза.

Ник Сабо, криптограф и пионер смарт-контрактов, согласен, что квантовая угроза — «в конечном итоге неизбежна», но подчеркивает, что более острые риски — юридические, управленческие и социальные. Он использует метафору «муха, застрявшая в янтаре»: каждый новый блок, подтверждающий транзакцию, делает ее все труднее отменить, даже для мощных противников. В геологических масштабах квантовые компьютеры могут иметь значение, но в ближайшие годы — менее.

Эти позиции не противоречат взглядам Бутерина; они отражают разные временные горизонты. Общий консенсус — начинать миграцию сейчас, не потому что квантовые атаки уже на пороге, а потому что переход децентрализованной сети из миллиардов участников требует времени, протокольных обновлений и обучения пользователей.

Что должны делать практики сегодня

Для трейдеров главное — продолжать операции, оставаясь в курсе обновлений протоколов и функций безопасности кошельков.

Для долгосрочных держателей — приоритет выбрать платформы и протоколы, активно готовящиеся к постквантовому будущему. Несколько принципов снижают риск:

Выбирайте обновляемые хранилища: предпочтительнее кошельки и схемы хранения, которые могут мигрировать на новые схемы подписей без необходимости смены адресов.

Минимизируйте повторное использование адресов: каждый отправленный транзакцией адрес раскрывает ваш публичный ключ. Чем меньше повторов, тем меньше публичных ключей на цепочке для будущих квантовых атак.

Следите за дорожной картой Ethereum по постквантовым схемам: мониторьте выбор подписей и мигрируйте, когда появится надежный инструментарий.

Правило 80/20 и вероятность

20% вероятность того, что до 2030 года квантовые компьютеры не представят угрозу криптографии, — это и есть риск. Но в активе стоимостью 3 триллиона долларов даже 20% риска катастрофического сбоя безопасности — повод для серьезных мер предосторожности.

Финальный посыл Бутерина — правильный: относиться к квантовой угрозе так же, как инженеры-строители — к землетрясениям и наводнениям. Вероятность разрушения дома в этом году мала, но при достаточно долгом горизонте она становится значимой, и разумно подготовить фундамент. Те протоколы и кошельки, которые начнут подготовку сегодня, будут успешными, когда квантовая криптоанализ перейдет из теории в практику.