Квантовые компьютеры — убьют ли они биткоин?

Знаете, я слежу за этой темой уже лет десять, и каждый раз, когда в новостях проскакивает очередной прорыв в квантовых вычислениях, соцсети взрываются одним и тем же вопросом. Он звучит как мантра, как заклинание из будущего. Люди спрашивают, не пришел ли конец всему, что мы строили в цифровом мире. Особенно достается криптовалютам. И главный вопрос, который витает в воздухе, это конечно же, «Квантовые компьютеры: убьют ли они биткоин?». Звучит как завязка для киберпанк-романа, не правда ли? С одной стороны – децентрализованная финансовая революция, построенная на чистой математике. С другой – вычислительная мощь, способная, по слухам, взломать любой код. Давайте сразу договоримся. Это не очередная страшилка и не восторженная ода технологиям. Это попытка разобраться, где реальная угроза, а где, ну, скажем так, научная фантастика, которая еще долго будет оставаться на страницах книг. Я видел много технологических «убийц» на своем веку, и большинство из них так и остались в проектах. Но здесь ситуация немного иная. Угроза не гипотетическая, она вполне себе математически обоснована. Вопрос лишь во времени и ресурсах. Ну, давайте разбираться, что к чему.

Чтобы понять, как можно взломать Биткоин, нужно сначала понять, на чем держится его защита. Если совсем просто, то представьте себе несокрушимый цифровой сейф. У этого сейфа есть два ключа. Один – публичный, его можно сравнить с номером вашего банковского счета. Вы можете давать его кому угодно, чтобы вам перечислили деньги. Никакой опасности в этом нет. А вот второй ключ – приватный. Это ваш секрет, ваш пароль, ваша подпись. Тот, кто владеет приватным ключом, владеет и монетами. Потерял его – прощай, крипта. Понимаете, вся система держится на асимметричной криптографии. Конкретно в Биткоине используется алгоритм под названием ECDSA (Elliptic Curve Digital Signature Algorithm). Не пугайтесь названия. Суть в том, что из вашего секретного, приватного ключа очень легко математически получить публичный ключ. А вот сделать обратную операцию – то есть, зная публичный адрес, вычислить приватный ключ – задача для современных компьютеров практически невыполнимая. Мы говорим о времени, превышающем возраст Вселенной. Вся эта криптогрфическую защита построена на сложности решения определенных математических задач. Это и есть стены той самой крепости. Когда вы отправляете транзакцию, вы как бы подписываете ее своим приватным ключом. Сеть видит вашу подпись, видит ваш публичный ключ и может легко проверить: «Ага, подпись действительно соответствует этому публичному ключу, значит, владелец средств одобряет перевод». При этом сам приватный ключ вы никому не показываете. Удобно и, до недавнего времени, считалось абсолютно надежным.

А теперь на сцену выходит наш главный герой, или злодей – квантовый компьютер. В чем его принципиальное отличие? Если обычный компьютер, даже самый мощный суперкомпьютер, похож на очень быстрого переборщика, который пробует один ключ за другим, то квантовый компьютер работает иначе. Это не просто более быстрый калькулятор, который перебирает варианты со скоростью света, нет, это машина, работающая на совершенно иных принципах, заимствованных из причудливого мира квантовой механики. И вот тут самое главное. Существует такая штука, как алгоритм Шора. Он был придуман математиком Питером Шором еще в 1994 году. И этот алгоритм, ну понимаете, словно создан для того, чтобы ломать криптографию, на которой стоит Биткоин и, по большому счету, весь современный интернет. Он невероятно эффективен в решении именно тех математических задач, которые считались нерешаемыми для классических компьютеров. То есть, для квантового компьютера с алгоритмом Шора задача «узнать приватный ключ по публичному» перестает быть невыполнимой. Она становится просто сложной задачей, на которую нужно определенное время. Как бы выглядела атака? Представьте: вы хотите отправить кому-то биткоины. Вы создаете транзакцию, подписываете ее и отправляете в сеть. В этот момент ваш публичный ключ становится виден всем. У злоумышленника с достаточно мощным квантовым компьютером есть небольшое окно – примерно 10 минут, пока транзакция не подтверждена в блоке. За это время его машина должна успеть, используя алгоритм Шора, вычислить ваш приватный ключ из публичного, создать новую транзакцию с вашими же деньгами на свой адрес, подписать ее вашим (уже украденным) ключом и отправить в сеть. Если он успеет, его транзакция может попасть в блокчейн раньше вашей. И все, деньги ушли. Вот она, та самая квантовая угроза во всей красе. Не гипотетический перебор, а целенаправленный взлом с помощью специализированного инструмента. Звучит пугающе. Но есть ли у нас уже такие инструменты? И что крипто-сообщество собирается с этим делать? Об этом, я думаю, мы поговорим в следующей части.

Давайте перейдем от гаданий к цифрам. Согласно исследованию Университета Сассекса (Mark Webber et al., 2022), для взлома ключа secp256k1 (стандарт Биткоина) за 1 час требуется квантовый компьютер мощностью 317 миллионов физических кубитов. Если мы готовы ждать сутки, цифра снижается до 13 миллионов.

Уязвимые точки

Хорошо, допустим, через 15-20 лет такой компьютер все же появится. Означает ли это мгновенную смерть всего блокчейна? Нет. И вот почему. Угроза нацелена не на весь Биткоин сразу, а на его самые слабые звенья. И тут важно понимать один технический нюанс, который часто упускают.

Ваш биткоин-адрес, который вы даете всем подряд (тот, что начинается с 1, 3 или bc1), – это на самом деле не ваш публичный ключ. Это его хэш, то есть результат одностороннего математического преобразования. И вот этот хэш квантовым компьютерам пока не по зубам. Алгоритм Шора против него бессилен. Ваш настоящий публичный ключ раскрывается и попадает в блокчейн только в одном случае – когда вы впервые отправляете средства с этого адреса. Помните, я говорил, что сеть проверяет вашу подпись по публичному ключу? Вот в момент отправки первой транзакци вы и «засвечиваете» его.

• Наибольший риск – для адресов, которые используются повторно. Если вы получили биткоины на адрес, а потом часть из них потратили, ваш публичный ключ уже навсегда записан в блокчейне. Оставшиеся на этом адресе монеты – идеальная мишень для будущего квантового взломщика. Именно поэтому гуру криптобезопасности всегда советовали: один вход – один выход, не используйте адреса повторно.
• В зоне риска – любая активная транзакция. Та самая атака в 10-минутном окне, о которой я писал выше. Это реальная угроза, но она затрагивает только деньги «в движении».
• В относительной безопасности – «спящие» кошельки. Монеты Сатоши Накамото, например. Или кошельки долгосрочных инвесторов, которые никогда не тратили свои монеты. Их публичные ключи никому не известны, и квантовому компьютеру просто не за что зацепиться.

Давайте уточним технические детали, чтобы вы могли проверить свой кошелек прямо сейчас. Уязвимость зависит от типа скрипта (Script Type):

• P2PK (Pay to Public Key): Самый старый формат (использовался в 2009-2010 гг.). Публичный ключ всегда открыт. Статус: Критически уязвим.
• P2PKH (Legacy, адреса начинаются с «1»): Публичный ключ скрыт за двойным хешированием (SHA-256 и RIPEMD-160) до момента траты. Статус: Безопасен до первой исходящей транзакции.
• P2TR (Taproot, адреса начинаются с «bc1p»): Использует подписи Шнорра. Хотя они линейны и теоретически уязвимы для Шора, структура Taproot позволяет легче интегрировать новые криптографические схемы (например, Lamport signatures) через обновление скриптов.

Так что угроза не тотальная, а скорее точечная. Но от этого, честно говоря, не сильно легче.

Ответный удар

Ну и что, сидеть и ждать, пока кто-то построит нужную машину? Конечно, нет. Криптосообщество – это, пожалуй, одна из самых параноидальных и одновременно дальновидных тусовок в мире технологий. Проблема квантовой угрозы обсуждается там не первый год, и решения, конечно же, готовятся.

Идея проста: если враг собирается построить супероружие против наших замков, значит, нам нужно строить замки из совершенно другого материала. Этот новый материал в мире криптографии называется «постквантовая криптография» или PQC (Post-Quantum Cryptography). Это не какая-то одна технология, а целое семейство новых криптографических алгоритмов, которые разрабатываются с одной целью – быть устойчивыми к атакам как классических, так и квантовых компьютеров.

Квантово-устойчивые алгоритмы

Если нынешняя криптография, вроде ECDSA, основана на задачах, которые легко решаются с помощью алгоритма Шора, то постквантовые алгоритмы строятся на совершенно других математических проблемах. Представьте, что вы сменили замок, который открывается отмычкой, на замок, который требует пройти сложный лабиринт или решить головоломку. Для старой отмычки (алгоритма Шора) он просто бесполезен.

Этот процесс уже перешел из стадии конкурса в стадию стандартизации. В августе 2024 года NIST официально утвердил три основных стандарта постквантового шифрования (FIPS), которые станут фундаментом защиты интернета:

• CRYSTALS-Dilithium (FIPS 204): Основной алгоритм для цифровых подписей. Именно он рассматривается как главный кандидат на замену ECDSA в блокчейнах благодаря балансу скорости и безопасности.
• CRYSTALS-Kyber (FIPS 203): Стандарт для инкапсуляции ключей (KEM), используемый для защиты данных при передаче.
• SPHINCS+ (FIPS 205): Альтернативный алгоритм подписи на основе хеш-функций (stateless hash-based), работающий медленнее, но служащий надежным резервом.

Проблема в другом. Как перевести на эти новые рельсы такую махину, как Биткоин? Это потребует глобального обновления протокола, скорее всего, через софтфорк или даже хардфорк. Нужно будет убедить все сообщество, всех майнеров и разработчиков перейти на новые типы адресов и подписей. Задача нетривиальная, но вполне выполнимая. Эфириум, например, уже давно планирует внедрение постквантовых решений.

В сухом остатке мы имеем классическую гонку вооружений, только в цифровом мире. С одной стороны – физики и инженеры, которые медленно, с огромным трудом, по кирпичику строят свой квантовый компьютер. С другой – математики и программисты, которые уже спроектировали и обкатывают новые, квантово-устойчивые защитные системы. Кто победит? Моя ставка – защита. Мы, как защищающаяся сторона, имеем преимущество. У нас уже есть работающие концепции постквантовой криптографии. У атакующих пока нет даже работающего прототипа нужного «оружия». Главный вызов для криптомира – не придумать защиту, а вовремя и безболезненно ее внедрить. Это больше вопрос социального консенсуса и инженерной воли, чем технологических прорывов. Так убьют ли квантовые компьютеры биткоин? Мой ответ – нет. Скорее, они заставят его эволюционировать. Они станут тем самым хищником, который заставит всю экосистему стать сильнее, быстрее и надежнее. Переходный период может быть нервным, но он неизбежен. И, честно говоря, я с огромным интересом жду, когда эта новая глава начнется. Это будет величайший апгрейд безопасности в истории цифровых денег. И мы с вами, похоже, увидим это своими глазами.

Часто задаваемые вопросы