Два независимых исследовательских коллектива практически одновременно опубликовали результаты, согласно которым ресурсы, необходимые квантовому компьютеру для взлома криптографии на эллиптических кривых (ECC), могут быть на порядки ниже, чем предполагалось еще несколько лет назад. Речь идет о базовых механизмах безопасности Bitcoin, Ethereum и множества современных протоколов аутентификации.
Архитектура на нейтральных атомах: взлом 256-битной ECC за несколько дней
В первом препринте, который пока не прошел независимое рецензирование, показано, что квантовый компьютер на основе нейтральных атомов теоретически способен взломать 256-битную ECC примерно за десять дней, имея менее 30 000 физических кубитов. Это существенно снижает оценку «критической мощности» квантовых систем, при которой классическая криптография перестанет быть надежной.
Ключевая идея работы — использование нейтральных атомов, захваченных в массивы «оптических пинцетов», в качестве кубитов. В отличие от более распространенных сегодня сверхпроводящих кубитов, которые жестко привязаны к двумерной решетке и взаимодействуют лишь с ограниченным числом соседей, нейтральные атомы могут быть переподключены практически произвольным образом. Это упрощает реализацию сложных квантовых операций и схем коррекции ошибок.
По оценкам авторов, накладные расходы квантовой коррекции ошибок оказываются примерно в 100 раз ниже по сравнению с прежними теоретическими оценками для взлома той же самой ECC. Дополнительным аргументом в пользу реализуемости такой архитектуры служат эксперименты других групп: уже продемонстрированы массивы оптических пинцетов для нейтральных атомов более чем на 6000 кубитов, пусть и далекие от необходимого уровня надежности.
Исследование Google: оптимизированные квантовые схемы для взлома ECDLP-256
Во второй работе, выполненной командой Google Quantum AI, акцент сделан на оптимизации квантовых схем для решения задачи дискретного логарифма на эллиптических кривых (ECDLP-256). Эта задача лежит в основе схем цифровой подписи, применяемых в Bitcoin, Ethereum и многих других блокчейнах, а также во множестве решений для безопасности блокчейна и криптографических протоколов.
Исследователи предложили две вариации квантовой схемы. Одна требует менее 1200 логических кубитов и порядка 90 млн вентилей Тоффоли, вторая — менее 1450 логических кубитов и около 70 млн вентилей Тоффоли. Переведя это в реалистичные параметры с учетом коррекции ошибок, авторы оценивают, что для атаки на ECDLP-256 потребуется примерно 500 000 физических кубитов. Это примерно вдвое меньше, чем ранее предлагалось для взлома RSA-2048, и примерно в 20 раз менее ресурсоемко по сравнению с прошлогодними оценками атак на ECC.
Если бы такой квантовый компьютер уже существовал, теоретическое время атаки на один ключ составило бы менее девяти минут. Для индустрии криптовалют и финансовых приложений это критический показатель: он делает сценарий «скрытого» мгновенного взлома отдельных кошельков технически реальным при наличии соответствующего оборудования.
Политика раскрытия: zero-knowledge proof вместо деталей атаки
Принципиально важный аспект работы Google — выбранная модель раскрытия. Авторы не публикуют алгоритмические детали оптимизаций, которые позволили так радикально снизить потребности в ресурсах. Вместо этого представлен криптографический zero-knowledge proof (доказательство с нулевым разглашением), которое математически подтверждает заявленные показатели сложности, но не позволяет воспроизвести саму атаку.
Отмечается, что подобный подход выработан совместно с правительственными структурами США и предлагается как модель «ответственного раскрытия» для потенциально опасных результатов в области квантового криптоанализа. Исследователи открыто заявляют, что прогресс квантовых вычислений достиг стадии, когда разумно ограничить публикацию детализированных методов взлома, чтобы минимизировать риск злоупотреблений.
Критика: реальная угроза или преждевременный алармизм?
Такой формат публикации уже вызвал дискуссию в профессиональном сообществе. Ряд криптографов указывают, что алгоритмы, требующие сотен тысяч кубитов с полной коррекцией ошибок, относятся к категории долгосрочных угроз, поскольку квантовые компьютеры подобного масштаба пока не существуют и, по текущим оценкам, в ближайшие годы не появятся.
Часть экспертов считает, что акцент на угрозе для криптовалют несколько смещает фокус: уязвимость распространяется и на классические системы открытого ключа — TLS, инфраструктуру цифровых сертификатов, сервисы электронной подписи вроде DocuSign и другие массовые приложения, где используются те же базовые примитивы ECC и RSA. Для них сценарий «собери сейчас — расшифруй позже» (harvest now, decrypt later) уже сегодня представляет практический риск.
Важно подчеркнуть, что оба исследования находятся на стадии препринтов и еще не прошли полноформатное научное рецензирование. Более того, на текущем уровне развития квантовых технологий нет аппаратной платформы, способной реализовать описанные атаки на практике. Тем не менее, тренд очевиден: ресурсные оценки квантового взлома ECC систематически снижаются, а значит, временной горизонт для безопасного использования классической криптографии постепенно сокращается.
Для организаций это сигнал уже сейчас активизировать планы по переходу на постквантовую криптографию: провести инвентаризацию используемых криптографических алгоритмов, минимизировать длительные сроки хранения чувствительных данных в зашифрованном виде на уязвимых к квантовым атакам схемах и отслеживать стандартизацию постквантовых алгоритмов. Чем раньше будут начаты конкретные шаги — от пилотных внедрений до обновления инфраструктуры ключей и протоколов, — тем ниже будет риск оказаться в ситуации, когда квантовая угроза уже реальна, а окно для безопасной миграции — безнадежно упущено.
