Два незалежні наукові колективи майже одночасно оприлюднили препринти, у яких радикально занижують оцінки ресурсів, необхідних квантовому комп’ютеру для зламу криптографії на еліптичних кривих (ECC). Йдеться про базові механізми захисту Bitcoin, Ethereum, більшості блокчейнів, а також широкий спектр протоколів аутентифікації та електронного підпису.
Квантовий злам ECC: чому нові результати такі важливі
Стійкість ECC спирається на складність задачі дискретного логарифма на еліптичних кривих (ECDLP). У класичному світі її вважають обчислювально нерозв’язною для 256-бітних параметрів. Однак квантові алгоритми на кшталт алгоритму Шора в принципі здатні розв’язувати ECDLP за поліноміальний час, якщо є достатньо потужний квантовий комп’ютер. Тривалий час вважалося, що для цього потрібні мільйони фізичних кубітів, тож загрозу відносили до дуже віддаленого майбутнього. Нові препринти ставлять під сумнів саме це припущення.
Нейтральні атоми: злам 256-бітної ECC за кілька днів
У першій роботі автори аналізують архітектуру квантового комп’ютера на нейтральних атомах, розміщених у масивах так званих «оптичних пінцетів». На відміну від поширених сьогодні надпровідних кубітів, які жорстко прив’язані до 2D-решітки, атомні кубіти можна гнучко перепідключати, формуючи необхідні схеми взаємодії. Це спрощує реалізацію складних квантових операцій і, головне, знижує накладні витрати на квантову корекцію помилок.
Згідно з оцінками авторів, квантова система менш ніж із 30 000 фізичних кубітів теоретично могла б зламати ECC-256 приблизно за десять днів. Це приблизно у сто разів ефективніше за попередні теоретичні розрахунки для тієї ж задачі. Хоча наявні експериментальні установки з нейтральними атомами (понад 6000 кубітів) поки далекі від потрібної надійності, практика підтверджує базову масштабованість цього підходу.
Google Quantum AI: оптимізовані схеми для атаки на ECDLP-256
Друга робота, виконана командою Google Quantum AI, фокусується на алгоритмічній стороні. Дослідники пропонують нові, щільно оптимізовані квантові схеми для розв’язання ECDLP-256, який лежить в основі цифрових підписів у Bitcoin, Ethereum та більшості сучасних блокчейн-проєктів.
Запропоновано дві варіації схеми: одна потребує менш ніж 1200 логічних кубітів і близько 90 млн вентилів Тоффолі, інша — до 1450 логічних кубітів і приблизно 70 млн вентилів Тоффолі. Після врахування корекції помилок автори оцінюють, що для практичної атаки на ECDLP-256 вистачило б приблизно 500 000 фізичних кубітів. Це вдвічі менше, ніж деякі попередні оцінки для зламу RSA‑2048, і орієнтовно в 20 разів менше, ніж торішні оцінки квантових атак на ECC. Теоретичний час зламу одного ключа за таких умов — менше дев’яти хвилин, що робить реалістичним сценарій «тихого» зламу окремих криптогаманців.
Zero-knowledge proof замість публікації деталей атаки
Найбільш нетиповий аспект роботи Google — модель розкриття результатів. Дослідники свідомо не публікують деталі оптимізацій, які забезпечили настільки суттєве зниження ресурсів атаки. Натомість вони надають zero-knowledge proof (доказ з нульовим розголошенням), що математично підтверджує заявлену складність, але не дозволяє відтворити конкретну реалізацію.
Такий підхід, узгоджений з урядовими структурами США, пропонується як модель «відповідального розкриття» для чутливих результатів у сфері квантового криптоаналізу. Сам факт появи подібної практики свідчить, що квантові обчислення досягли рівня, коли публікація повних технічних деталей може створювати неприйнятні ризики зловживання.
Довгострокова загроза чи передчасний алармізм?
Частина криптографічної спільноти наголошує, що алгоритми, які вимагають сотень тисяч фізичних кубітів із повноцінною корекцією помилок, усе ще належать до категорії довгострокових загроз: подібні квантові процесори наразі не існують і навряд чи з’являться в найближчі роки. Водночас інші експерти підкреслюють, що питання не обмежується криптовалютами. Та ж сама ECC та RSA масово використовуються в TLS, PKI, сервісах електронного підпису та урядових системах, де діє сценарій «harvest now, decrypt later» — перехопити зашифровані дані сьогодні, щоб розшифрувати їх, коли з’явиться достатньо потужний квантовий комп’ютер.
Обидві роботи поки що мають статус препринтів і не пройшли повне наукове рецензування. Реальних апаратних платформ, здатних реалізувати описані атаки, нині не існує. Однак тенденція очевидна: ресурсні оцінки квантового зламу ECC систематично знижуються, а горизонт безпечної експлуатації класичної криптографії скорочується.
Для організацій це прямий сигнал уже зараз активізувати перехід до постквантової криптографії: провести інвентаризацію всіх застосованих алгоритмів, мінімізувати тривалі строки зберігання чутливих даних у шифрах, вразливих до квантових атак, планувати оновлення PKI та протоколів на основі стандартів NIST PQC. Чим раніше будуть запущені пілотні впровадження, тестування та міграція ключової інфраструктури, тим нижчий ризик опинитися в ситуації, коли квантова загроза вже реальна, а безпечне «вікно» для переходу на постквантові рішення — безповоротно закрите.
