Circle Research предложило план спасения блокчейнов от квантового взлома

• В Circle предупредили о Q-Day и посоветовали сетям готовиться к квантовой угрозе.
• Аналитики считают 2030 год критическим для блокчейнов.
• Поэтому подразделение компании опубликовало дорожную карту квантовой безопасности.

Исследовательское подразделение Circle — Circle Research — опубликовало аналитическую записку Preparing Blockchains for Q-Day, в которой предупредило: уже к 2030 году квантовые компьютеры могут достичь мощности, способной угрожать безопасности большинства современных блокчейнов. 

По оценкам экспертов, под ударом оказываются все криптографические протоколы, которые полагаются на эллиптические кривые или RSA, поскольку они уязвимы к алгоритму Шора.

В Circle Research отметили, что хеш-функции типа SHA-256 и SHA-3, а также симметричное шифрование AES, вероятно, останутся безопасными. 

В то же время регуляторы США и ЕС уже требуют, чтобы критическая инфраструктура и системы национальной безопасности перешли на постквантовые алгоритмы к 2030 году. Это означает, что дизайнеры блокчейнов и Web3-разработчики должны обновить каждый уровень технологического стека.

В сообщении подчеркивается, что TLS 1.3 уже поддерживает постквантовые алгоритмы, а крупные провайдеры, такие как Google и AWS, «тихо» мигрируют свои сервисы. 

Напомним, что компании IBM и Google сообщили о серьезных прорывах в квантовых вычислениях. В частности, IBM разработала «квантового кота» из 120 кубитов и представила процессор Nighthawk. 

Тем временем Google представила первый верифицированный квантовый алгоритм Quantum Echoes.

Наиболее вероятным отраслевым стандартом сейчас считается гибридный алгоритм X25519MLKEM768, где постквантовая часть ML-KEM одобрена NIST. Разработчикам рекомендуют обновлять TLS-сертификаты и быть готовыми к хранению значительно больших публичных ключей размером 1216 байт.

Для блокчейнов с Proof-of-Stake это означает необходимость изменить механизмы подписи предложений и голосов валидаторов. 

Аналитики обратили внимание, что в дорожной карте Ethereum Foundation предусмотрено использование мультиподписей XMSS с хеш-функцией Poseidon2, для которых уже существует эталонная реализация на Rust. 

В свою очередь, сети, которые полагаются на MPC или доказательства с нулевым разглашением (ZK-доказательства), также будут вынуждены перейти на постквантовые альтернативы.

Отдельное внимание исследователи уделяют подписям транзакций. Короткие подписи вроде 65-байтовых ECDSA в Bitcoin и Ethereum или 64-байтовых Ed25519 в Solana и Stellar придется заменить на значительно большие постквантовые аналоги. 

Единого стандарта пока нет: среди вариантов упоминаются 2420-байтовый NIST ML-DSA для совместимости с HSM, 666-байтовый Falcon, который рассматривает Ethereum, и предложенный Aptos алгоритм SLH-DSA-SHA2-128s размером 7856 байт. При этом дизайнеры сетей должны учитывать поддержку аппаратных кошельков, мультиподписей и пороговых схем.

Circle Research подчеркнула, что постквантовые HSM только начинают появляться на рынке. AWS и Google уже запустили программные KMS-сервисы с постквантовой криптографией, а облачные HSM появятся позже. 

В то же время блокчейн-специфичные HSM не появятся без достаточного спроса, поэтому разработчикам стоит заранее публиковать спецификации и определяться с компромиссами.

В заявлении подчеркнули, что пользователям придется мигрировать на постквантовые адреса. Активные адреса, которые уже подписывали транзакции, должны сделать это до Q-Day, так как их публичные ключи уже раскрыты.

Пассивные Ed25519-адреса теоретически можно будет восстановить и после Q-Day, доказав знание seed-фразы, а для ECDSA-адресов на базе BIP-32 или BIP-39 возможен похожий механизм. По оценкам, миграция всех UTXO в сети Bitcoin заняла бы 76 дней непрерывной обработки.

Также Circle обращает внимание на ZK-системы: популярные SNARK-решения вроде Groth16, Halo2 и PlonK уязвимы к квантовым атакам, поскольку используют эллиптические кривые. Им на смену должны прийти STARK и SNARG-системы, которые являются квантово стойкими, но требуют больших доказательств и более длительной верификации. В частности, Starknet уже переходит на FRI, а Ethereum рассматривает FRI, STIR и WHIR.

Авторы отчета отметили, что инструменты для постквантового перехода уже существуют, и вопрос заключается не в возможностях, а в готовности индустрии. Регуляторы все активнее давят на финансовые учреждения, требуя квантовой готовности, но при этом остается соблазн подождать окончательных стандартов NIST и IETF.

Компания уже оценивает, как снизить затраты на миграцию адресов и подготовить свою инфраструктуру Arc. В Circle заявили, что их постквантовая дорожная карта сосредоточена на приватности, чтобы защитить пользователей от атак типа harvest-now-decrypt-later, а Arc Privacy будет квантово устойчивым «с первого дня».

Отчет Circle появился на фоне активных дискуссий в отрасли. Ранее биткоин-разработчики предложили поэтапное замораживание ранних адресов для защиты от квантового взлома. Также аналитики, в частности Вилли Ву, уже предупреждали, что в эпоху квантовых угроз защиты требуют не только приватные, но и публичные ключи.