Квантово-устойчивая криптография: зачем блокчейнам готовиться к квантовым компьютерам заранее

Квантово-устойчивая криптография — это новый слой защиты для цифровых подписей, шифрования и блокчейн-кошельков на случай, если квантовые компьютеры научатся решать задачи, которые сегодня держат интернет в безопасности. В этой статье разберем, откуда взялась сама идея, почему вокруг нее столько тревоги, что именно угрожает криптовалютам и почему NEAR уже готовит постквантовые подписи, хотя машины, способной массово ломать ключи, пока не существует.

Журнал

• Постквантовая криптография работает на обычных компьютерах, но рассчитана на будущие квантовые атаки.
• NIST уже выпустил стандарты ML-KEM, ML-DSA и SLH-DSA, поэтому индустрия может начинать миграцию.
• Для блокчейнов главный риск связан с цифровыми подписями и раскрытыми публичными ключами.
• NEAR делает ставку на ротацию access keys и внедрение FIPS 204 / ML-DSA.
• Квантово-опасного компьютера еще нет, но миграцию криптографии нельзя провести в день аварии.

Почему тема стала практической именно сейчас

Долгое время разговор о квантовой угрозе звучал как сюжет из научной фантастики. Квантовые компьютеры есть в лабораториях, компании показывают новые чипы, университеты публикуют работы, но привычный компьютер на столе они не заменили и чужие биткоины пока не забрали. Поэтому у нормального читателя возникает честный вопрос: зачем срочно менять криптографию, если опасный квантовый компьютер еще не построен?

Ответ неприятный для любой крупной инфраструктуры: криптографию нельзя поменять одним нажатием кнопки. Банки, браузеры, удостоверяющие центры, государственные системы, блокчейны, аппаратные кошельки и корпоративные архивы годами накапливали протоколы, сертификаты, ключи и старые устройства. Даже когда стандарт уже выбран, нужно обновить библиотеки, кошельки, серверы, правила подписи, аудит, совместимость и поведение пользователей.

Вторая причина — риск "собрать сейчас, расшифровать потом". Для части данных атакующему не нужно ломать шифр сегодня. Достаточно сохранить зашифрованный трафик или архив, дождаться более мощной машины и прочитать его позже. Для банковской переписки, медицинских данных, государственных документов и коммерческих секретов это серьезная проблема: срок жизни секрета может быть длиннее, чем срок жизни старого алгоритма.

В блокчейнах ситуация другая, но не проще. Там много зависит не от шифрования сообщения, а от цифровой подписи. Подпись доказывает, что владелец ключа разрешил транзакцию. Если будущий квантовый компьютер сможет по открытому ключу восстановить приватный, безопасность старых схем вроде ECDSA и EdDSA окажется под ударом.

Что такое квантово-устойчивая криптография

Квантово-устойчивая, или постквантовая, криптография — это набор алгоритмов, которые работают на обычных компьютерах, но построены на математических задачах, для которых сейчас не известен быстрый квантовый способ взлома. Это важно: речь не о "квантовой связи" и не о передаче фотонов по специальному каналу. Постквантовые подписи и шифрование можно внедрять в обычные серверы, кошельки, браузеры и блокчейны.

Главная идея проста. Современная публичная криптография часто держится на задачах, которые классическому компьютеру решать трудно: разложить огромное число на множители, вычислить дискретный логарифм или найти секрет в эллиптической кривой. Для достаточно большого квантового компьютера есть алгоритм Шора, который радикально ускоряет такие задачи. Поэтому RSA, ECDSA и EdDSA в долгой перспективе считаются уязвимыми.

Постквантовые алгоритмы выбирают другую математику. Самые обсуждаемые семейства — решетки, хеш-подписи, коды исправления ошибок и многомерные квадратичные задачи. В практических стандартах сейчас особенно заметны решетки: на них построены ML-KEM для обмена ключами и ML-DSA для цифровых подписей.

В августе 2024 года NIST выпустил первые финальные стандарты постквантовой криптографии: FIPS 203 для ML-KEM, FIPS 204 для ML-DSA и FIPS 205 для SLH-DSA. Это не значит, что мир доказал абсолютную неуязвимость этих алгоритмов. Криптография почти никогда не живет в режиме "доказано навсегда". Это значит, что после многолетнего открытого конкурса, анализа и атак у индустрии появился набор стандартов, с которого можно начинать миграцию.

Откуда появилась постквантовая криптография

История началась не с криптовалют. В 1994 году математик Питер Шор показал алгоритм, который на идеальном квантовом компьютере сможет эффективно факторизовать большие числа и решать задачи дискретного логарифма. Для тогдашнего интернета это было теоретическим ударом по RSA и будущим схемам на эллиптических кривых.

В тот момент не было компьютера, на котором можно было бы применить алгоритм Шора к реальным ключам. Но криптография устроена странно: угроза может быть теоретической, а подготовка — вполне практической. Если известно, что класс алгоритмов сломается при появлении определенного типа машины, разумно заранее искать замену.

Затем появились два параллельных процесса. Исследователи стали развивать схемы, не завязанные на факторизацию и дискретный логарифм. Государства и крупные организации начали думать о миграции, потому что срок службы инфраструктуры оказался огромным. Корневые сертификаты, банковские системы, промышленные контроллеры и архивы живут дольше, чем модные языки программирования.

Именно поэтому NIST запустил большой проект стандартизации постквантовой криптографии. Его итог важен не только для США. Когда появляется FIPS-стандарт, производители оборудования, браузеров, облаков, HSM, кошельков и криптобиблиотек получают понятный ориентир: что поддерживать, что тестировать, какие параметры считать базовыми.

Для чего нужна квантовая устойчивость

Постквантовая криптография нужна не для того, чтобы "победить квантовый компьютер". Она нужна, чтобы у цифровой инфраструктуры был путь перехода до того, как старые схемы станут аварийной зоной.

Первый сценарий — защита долгоживущих данных. Если договор, медицинская карта, переписка совета директоров или государственный архив должны оставаться закрытыми 10-20 лет, их нельзя защищать только тем, что уверенно работает в 2026 году.

Второй сценарий — цифровые подписи. Подписи подтверждают обновления программ, платежи, транзакции, сертификаты, документы и действия администраторов. Когда подпись перестает быть надежной, возникает не просто утечка: появляется возможность подделывать доверие.

Третий сценарий — криптовалюты и блокчейны. В блокчейне приватный ключ часто равен праву распоряжаться активом. Если будущая машина сможет восстановить ключ из открытого ключа, уязвимость станет не абстрактной. Она превратится в спор о собственности: кто владелец монет, если старый ключ математически больше не защищает счет?

Четвертый сценарий — цепочки поставок. Обновление прошивки роутера, подпись пакета в Linux-репозитории, релиз банковского приложения, смарт-контракт в инфраструктуре DeFi — все это держится на доверии к подписи. Постквантовая миграция нужна не только кошелькам, но и всему пути от разработчика до пользователя.

Что именно боятся потерять

Самая заметная тревога — взлом публичных ключей. В Bitcoin и Ethereum используются схемы на эллиптических кривых. Пока публичный ключ не раскрыт, часть рисков ниже: в некоторых форматах адреса виден хеш открытого ключа, а не сам ключ. Но после исходящей транзакции открытый ключ обычно становится известен сети. В модели будущей квантовой атаки это может создать окно, в котором злоумышленник пытается вычислить приватный ключ и успеть подписать свою транзакцию.

У блокчейнов есть и "старые адреса". Часть монет лежит на кошельках, которые годами не двигались. Если сообщество когда-нибудь решит, что их нужно переводить на постквантовые схемы, возникнет тяжелый вопрос: как отличить живого владельца, который потерял активность, от адреса, который нельзя безопасно оставить в старой криптографии? Технический спор быстро станет социальным и рыночным.

Еще одно опасение — размер и стоимость новых подписей. Постквантовые схемы часто требуют больше байтов, чем привычные ECDSA или Ed25519. Для блокчейна это означает нагрузку на сеть, хранение, комиссии и пропускную способность. Для аппаратного кошелька — ограничения памяти и прошивки. Для мобильного приложения — UX, скорость и совместимость.

Есть и криптоаналитический риск. Постквантовые алгоритмы исследованы серьезно, но они моложе и менее обкатаны в массовом продакшене, чем старые схемы. Поэтому многие инфраструктуры идут через гибридные режимы: старый алгоритм плюс новый. Если в одном из них найдут слабость, второй остается страховкой.

Сравнение старых и постквантовых схем

RSA и ECDSA удобны тем, что они компактны, быстры и десятилетиями встроены почти везде. Их слабое место — математика, которую должен ускорять достаточно большой квантовый компьютер. ML-KEM и ML-DSA опираются на решетки. Они считаются устойчивыми к известным квантовым атакам, но дают более крупные ключи и подписи. SLH-DSA строится на хеш-функциях и ценится как резервная линия, зато может быть тяжелее по размерам и скорости.

Если совсем упростить, старые схемы хороши для сегодняшней эффективности, а постквантовые — для будущей устойчивости. Главная инженерная задача ближайших лет не выбрать красивое слово "quantum-safe", а понять, где цена перехода приемлема, где нужен гибридный режим, а где старую архитектуру придется переделывать глубже.

Почему квантовый компьютер еще не стал обычным компьютером

Квантовый компьютер уже изобретен как лабораторная технология, но еще не стал тем самым криптографически опасным компьютером, которого боятся безопасники. Разница огромная. Одно дело — иметь десятки, сотни или тысячи физических кубитов для экспериментов. Другое — построить отказоустойчивую машину с логическими кубитами, низкими ошибками, коррекцией, стабильным управлением и достаточной глубиной вычислений.

Кубит не похож на классический бит. Он может находиться в суперпозиции состояний, а несколько кубитов могут быть запутаны. Это дает квантовым алгоритмам силу, но делает систему хрупкой. Любой шум, температура, вибрация, электромагнитное воздействие или ошибка управления разрушает полезное состояние. Поэтому квантовые процессоры держат в сложных установках, часто при температурах около абсолютного нуля, и тратят огромные усилия на изоляцию и коррекцию ошибок.

Главная проблема — не просто количество кубитов, а качество. Физический кубит ошибается. Чтобы получить один надежный логический кубит, может потребоваться много физических кубитов и постоянная коррекция ошибок. Для запуска алгоритма Шора на уровне, опасном для RSA или эллиптических кривых, нужны не красивые демонстрации, а миллионы или сотни тысяч физических кубитов в зависимости от архитектуры, качества и допущений расчетов. Оценки меняются, потому что улучшаются алгоритмы и схемы коррекции, но разрыв между лабораторными системами и криптографически релевантной машиной все еще велик.

Поэтому фраза "квантовый компьютер еще не изобретен" обычно означает не отсутствие квантовых чипов, а отсутствие CRQC — cryptographically relevant quantum computer, машины, которая реально ломает широко используемую публичную криптографию за практическое время.

Почему тогда можно внедрять защиту заранее

Здесь помогает аналогия с сейсмостойким зданием. Инженер не знает точную дату, магнитуду и эпицентр будущего землетрясения. Но он знает физику, историю региона, прочность материалов и сценарии нагрузки. Поэтому проектирует запас заранее. Постквантовая криптография работает похожим образом: мы не знаем, каким именно будет первый опасный квантовый компьютер, но знаем, какие математические задачи станут уязвимыми, если он появится.

Внедрение не требует увидеть будущий компьютер вживую. Оно требует понять класс угрозы. Алгоритм Шора показывает, что RSA и эллиптические кривые плохо подходят для мира с большим отказоустойчивым квантовым компьютером. NIST-стандарты предлагают альтернативы, основанные на задачах, для которых такого известного ускорения нет. Это не гарантия вечности, но это рациональная замена известной будущей слабости.

Важна и криптографическая гибкость. Хорошая система должна уметь менять подписи и ключи без разрушения учетной записи, адреса или всей сети. Если протокол заранее поддерживает несколько схем подписи, он может добавлять новые стандарты постепенно. Если адрес навсегда связан с конкретной кривой, миграция становится болезненнее.

Как NEAR подходит к постквантовой криптографии

NEAR интересен именно архитектурой аккаунтов. В Bitcoin и Ethereum адресная модель тесно связана с криптографическим ключом. В NEAR аккаунт устроен иначе: у него могут быть ротируемые access keys, а человекочитаемый аккаунт не обязан навсегда жить на одной схеме подписи. Это не отменяет криптографические риски, но делает миграцию более управляемой.

По сообщениям Near One и профильных изданий, команда NEAR готовит добавление FIPS 204, то есть ML-DSA, как постквантовой схемы цифровой подписи. Идея в том, чтобы пользователь мог заменить старые ключи на постквантовые одной транзакцией, без переезда на новый адрес и без ручной миграции всего аккаунта. Тестнет-этап заявлен до конца второго квартала 2026 года, а основная сеть должна идти после проверок, аудита и согласования с экосистемой.

Это не означает, что NEAR уже стал неуязвимым для любого будущего квантового компьютера. Правильнее сказать так: NEAR добавляет путь перехода на подписи, выбранные индустрией как постквантовый стандарт. Пользователям, кошелькам, валидаторам, инфраструктурным провайдерам и приложениям все равно нужно будет поддержать новый тип ключей. И все равно останутся вопросы производительности, размера подписи, аппаратных кошельков, восстановления доступа и совместимости с внешними сетями.

Сильная сторона NEAR в том, что ротация ключей встроена в модель аккаунта. Если обновление пройдет как задумано, владелец аккаунта сможет не доказывать рынку, что новый адрес принадлежит старому человеку. Он просто меняет ключ доступа к тому же аккаунту. Для пользователя это гораздо понятнее, чем массовая миграция активов между адресами.

NEAR и Chain Signatures: почему это выходит за пределы одной сети

Отдельный слой — Chain Signatures и NEAR Intents. В этой архитектуре NEAR пытается быть не только собственной L1-сетью, но и средой, которая помогает подписывать действия для других цепочек. Если постквантовая подпись появится только внутри NEAR, это один уровень защиты. Если квантово-устойчивые механизмы будут встроены в кроссчейн-подписи, эффект может затронуть приложения, которые взаимодействуют с несколькими сетями.

Но здесь появляется тонкая грань. Нельзя объявить внешнюю цепочку квантово-устойчивой только потому, что один слой подписи вокруг нее обновился. Если базовая сеть, адреса, валидаторы, мосты или кошельки остаются на старой криптографии, общий риск не исчезает. NEAR может дать более безопасную оболочку для части действий, но вся цепочка доверия должна быть проверена целиком.

Именно поэтому раннее внедрение важно как инженерный эксперимент. Оно показывает, где ломается UX, какие кошельки не готовы, как меняется размер транзакций, что происходит с комиссиями, как аудиторы смотрят на новые библиотеки и как пользователи понимают ротацию ключей. Настоящая миграция — это не один pull request, а несколько лет совместимости.

Можно ли знать, от чего защищаться, не зная будущий квантовый компьютер

Скепсис здесь здоровый. Никто не знает точную архитектуру первой опасной машины: сверхпроводниковые кубиты, ионы, нейтральные атомы, фотоника, топологические кубиты или гибридный путь. Никто не знает, какие инженерные прорывы ускорят коррекцию ошибок. Никто не может честно обещать, что выбранный сегодня постквантовый алгоритм проживет без изменений 50 лет.

Но криптография защищается не от бренда компьютера, а от класса алгоритмов. Если существует квантовый алгоритм, который ломает конкретную математическую основу, эту основу нужно заменить. Если для решеточных задач нет известного аналога Шора, они становятся разумным кандидатом. Не вечным талисманом, а лучшим текущим решением после открытого анализа.

Поэтому формула "мы не знаем, что умеет будущий квантовый компьютер" не отменяет миграцию. Она только требует не продавать ее как окончательную победу. Хороший постквантовый план должен оставлять возможность новой замены, гибридного режима, аудита, обновления параметров и аварийного перехода.

Практическая карта рисков

Для читателя и инвестора полезнее смотреть не на лозунг "квантово-безопасно", а на конкретные вопросы.

• Можно ли в сети менять тип подписи без смены аккаунта?
• Поддерживают ли новый ключ основные кошельки и аппаратные устройства?
• Есть ли тестнет, аудит и публичные параметры алгоритма?
• Не растет ли комиссия из-за размера подписи так, что пользователи не захотят мигрировать?
• Что происходит со старыми адресами и неактивными кошельками?
• Есть ли план для мостов, мультисигов, валидаторов, API и архивных узлов?
• Может ли сеть добавить еще одну схему, если в нынешней найдут слабость?

Сергей Перев — автор и обозреватель финансовых рынков. Специализируется на Forex, криптовалютах и макроэкономике. В материалах опирается на данные регуляторов, статистику рынков и отраслевые отчёты, анализируя риски и факторы, влияющие на решения частных инвесторов и трейдеров.