Почему квантовая безопасность выходит на первый план в дорожных картах Layer-1 и какие сети готовятся первыми

### Постквантовая безопасность: Как блокчейны первого уровня готовятся к будущемуКвантовые компьютеры пока выглядят как лабораторные игрушки: стойки оборудования, подверженные ошибкам кубиты и практически полное отсутствие реальных применений. Тем не менее, если вы посмотрите на дорожные карты основных блокчейнов первого уровня (L1), то увидите, что рядом с масштабируемостью и модульностью появился новый приоритет: постквантовая безопасность.Суть проблемы проста, хотя математика за ней — нет. Большинство крупных блокчейнов полагаются на подписи на эллиптических кривых (ECDSA и Ed25519), чтобы доказать, что транзакция исходит от владельца приватного ключа. Достаточно мощный квантовый компьютер, работающий с алгоритмом Шора, теоретически мог бы восстановить эти приватные ключи из их публичных аналогов, что позволило бы злоумышленнику подписывать поддельные транзакции.Существует также аспект «собирай сейчас, расшифровывай потом». Злоумышленники могут копировать публичные данные блокчейна сегодня и ждать, пока квантовое оборудование не достигнет нужного уровня. Как только это произойдет, старые адреса, долго бездействующие кошельки и некоторые шаблоны смарт-контрактов могут стать уязвимыми, даже если сети позже перейдут на более безопасные алгоритмы.Для долгоживущих публичных реестров, которые невозможно откатить назад, квантовое планирование становится важным долгосрочным соображением. Поскольку Национальный институт стандартов и технологий (NIST) публикует официальные постквантовые стандарты, а правительства устанавливают сроки миграции после 2030 года, команды L1 теперь рассматривают квантовую безопасность как медленно развивающийся и необратимый риск, и несколько сетей уже внедряют свои первые контрмеры.Биткойн, Эфириум и многие другие блокчейны полагаются на схемы на эллиптических кривых (ECDSA и Ed25519), чтобы доказать, что транзакция исходит от держателя приватного ключа. Достаточно мощный квантовый компьютер, работающий с алгоритмом Шора, мог бы восстановить эти приватные ключи из их публичных ключей, что сделало бы возможным подделку подписей и перемещение средств без разрешения.Не все ломается одинаково. Хеш-функции, такие как SHA-256 и Keccak, гораздо более устойчивы. Квантовые алгоритмы поиска, такие как алгоритм Гровера, обеспечивают там лишь квадратичное ускорение, которое разработчики могут в основном компенсировать увеличением размеров хешей и запасов прочности. Область, которая, скорее всего, потребует будущих обновлений, — это подписи, а не хеширование Proof-of-Work (PoW) или базовая целостность транзакций.Старые неизрасходованные выходы транзакций (UTXO) в Биткойне, повторно используемые адреса в блокчейнах на основе аккаунтов, ключи валидаторов и маяки случайности на основе подписей в системах Proof-of-Stake (PoS) — все это становится привлекательными целями.Поскольку миграция криптографии в критической инфраструктуре часто занимает десятилетие или более, L1-блокчейны должны начать планирование задолго до того, как квантовые машины станут достаточно сильными, чтобы атаковать их.Знаете ли вы? Термин «Y2Q» неофициально используется для описания года, когда квантовые компьютеры станут криптоаналитически значимыми, подобно тому, как «Y2K» относился к «2000 году». Некоторые ранние оценки предполагали горизонт 2030 года.Квантовый риск обсуждался в академических кругах годами, но лишь недавно он стал конкретным пунктом дорожной карты для команд L1. Переломным моментом стал переход от теории к стандартам и срокам.С 2022 по 2024 год NIST выбрал и начал стандартизировать первую волну постквантовых алгоритмов, включая схемы на основе решёток, такие как Cryptographic Suite for Algebraic Lattices (CRYSTALS)-Kyber для установления ключей и Dilithium для цифровых подписей, а также альтернативы, такие как Stateless Practical Hash-based Incredibly Nice Collision-resistant Signatures (SPHINCS+). Это дало инженерам что-то, на что они могли опираться при проектировании, вместо постоянно меняющейся исследовательской цели.В то же время правительства и крупные предприятия начали говорить о «криптографической гибкости» и устанавливать сроки миграции для критически важных систем, которые простираются до 2030-х годов. Если вы управляете публичным реестром, который должен хранить ценности и юридические соглашения десятилетиями, отставание от этого перехода становится проблемой управления.L1-блокчейны также реагируют на заголовки новостей. Каждый раз, когда объявляется о крупном аппаратном или исследовательском достижении в области квантовых вычислений, это возобновляет разговор о долгосрочной безопасности. Команды начинают задаваться вопросом, останутся ли сегодняшние схемы подписей безопасными на протяжении всего срока службы сети. Они также рассматривают, не лучше ли создать постквантовые опции сейчас, пока они еще необязательны, чем под давлением позже.Знаете ли вы? Национальный центр кибербезопасности Великобритании указал, что организации должны определить пути обновления криптографии до квантово-устойчивой к 2028 году и завершить миграцию примерно к 2035 году.Небольшая, но растущая группа L1-блокчейнов перешла от спекуляций к конкретной инженерной работе, пытаясь добавить квантовую устойчивость, не нарушая того, что уже работает.Algorand является самым ярким примером постквантовых идей в производстве. В 2022 году он представил State Proofs (доказательства состояния), которые представляют собой компактные сертификаты истории цепочки, подписанные FALCON — схемой подписи на основе решёток, выбранной NIST. Эти доказательства разработаны как квантово-устойчивые и уже используются для подтверждения состояния реестра Algorand каждые несколько сотен блоков.Совсем недавно Algorand продемонстрировал полные постквантовые транзакции в основной сети, используя логические подписи на основе Falcon, позиционируя себя как потенциальный квантово-устойчивый центр валидации для других блокчейнов.Cardano по-прежнему полагается на Ed25519 сегодня, но его основные команды и фонд рассматривают квантовую готовность как долгосрочное конкурентное преимущество. Публичные материалы и недавние выступления основателя Чарльза Хоскинсона описывают план, который сочетает отдельную цепочку доказательств, сертификаты Mithril и постквантовые подписи, соответствующие стандартам NIST Federal Information Processing Standards (FIPS) 203-206. Идея состоит в том, чтобы добавить квантово-устойчивый уровень верификации поверх истории цепочки, а не принуждать к резкому переходу для каждого пользователя сразу.В Ethereum исследовательские группы начали составлять список задач для постквантовой миграции, включая новые типы транзакций, эксперименты с роллапами и обертки на основе доказательств с нулевым разглашением, которые позволяют пользователям добавлять квантово-устойчивые ключи без переписывания базового протокола за одну ночь.Тем временем команда Sui опубликовала специальную дорожную карту по квантовой безопасности и совместно с академическими партнерами предложила путь обновления для цепочек на основе EdDSA, таких как Sui, Solana, Near и Cosmos, который позволяет избежать деструктивных хардфорков.Solana уже внедрила опциональное квантово-устойчивое хранилище, которое использует одноразовые подписи на основе хешей для защиты высокоценных активов, предоставляя пользователям способ парковать средства за более сильными предположениями.Помимо крупных игроков, ряд новых L1-блокчейнов позиционируют себя как квантово-безопасные с первого дня, обычно встраивая постквантовые подписи в базовый протокол. Большинство из них невелики и не проверены, но вместе они сигнализируют о том, что квантовая позиция начинает иметь значение в том, как сети представляют свою долгосрочную надежность.Знаете ли вы? Одним из самых ранних специализированных блокчейнов, созданных с учетом квантовой устойчивости, является Quantum Resistant Ledger, запущенный в 2018 году, который использует хеш-основанные подписи eXtended Merkle Signature Scheme (XMSS) вместо стандартных схем на эллиптических кривых.Обновление до постквантовых подписей звучит просто; сделать это в живой глобальной сети — нет. Новые алгоритмы ведут себя по-разному, и эти различия проявляются повсюду, от размера блока до пользовательского опыта (UX) кошелька.Подписи на основе решёток, такие как Dilithium и Falcon, которые NIST стандартизирует, быстры и относительно эффективны, но все же имеют более крупные ключи и подписи, чем сегодняшние схемы на эллиптических кривых.Хеш-основанные подписи, такие как SPHINCS+, построены на консервативных предположениях, но они могут быть громоздкими и, в некоторых вариантах, фактически одноразовыми, что усложняет работу повседневных кошельков.Для блокчейнов эти проектные решения имеют цепные реакции. Большие подписи означают более тяжелые блоки, большую пропускную способность для валидаторов и больше места для хранения со временем. Аппаратные кошельки и легкие клиенты должны проверять больше данных. Консенсус также затрагивается, потому что системы PoS, которые полагаются на проверяемые случайные функции или подписи комитетов, нуждаются в квантово-устойчивых заменах, а не только в новых ключах для учетных записей пользователей.Затем возникает проблема миграции. Миллиарды долларов заблокированы на устаревших адресах, владельцы которых могли потерять ключи, умереть или просто перестали обращать внимание. Сетям предстоит решить, как далеко зайти: Обязательная миграция: Принудительное обновление всех активов до новых постквантовых адресов. Опциональная миграция: Предоставление пользователям возможности обновить свои активы, но без принуждения. Гибридные схемы: Использование как классических, так и постквантовых подписей одновременно. «Замороженные» активы: Оставление старых активов в их текущем состоянии, возможно, с риском будущей уязвимости.Ни один из этих выборов не является чисто техническим. Они затрагивают управление, юридический статус активов и то, что происходит с монетами, владельцы которых никогда не появятся для обновления.Квантовый риск не требует немедленной паники, но он меняет то, как различные заинтересованные стороны оценивают долгосрочную надежность сети.Для обычных пользователей наиболее практичным шагом является внимание к тому, как ваша экосистема говорит о криптографической гибкости — способности добавлять и менять криптографические примитивы без деструктивного хардфорка.В ближайшие годы ожидайте появления новых типов учетных записей, гибридных вариантов подписей и запросов кошельков на обновление ключей для высокоценных активов. Первые реализации, вероятно, появятся в мостах, сайдчейнах и роллапах, прежде чем достигнут основного уровня L1.Для разработчиков и проектировщиков протоколов приоритетом является гибкость. Смарт-контракты, роллапы и схемы аутентификации, которые жёстко кодируют единственный алгоритм подписи, быстро устареют. Разработка интерфейсов и стандартов, которые могут подключать несколько схем, как классических, так и постквантовых, значительно упрощает следование рекомендациям NIST и отрасли по мере их развития.Для инвесторов и участников управления квантовая готовность превращается в еще одно измерение технической комплексной проверки. Уже недостаточно спрашивать о пропускной способности, доступности данных или максимально извлекаемой ценности (MEV). Более глубокие вопросы: Есть ли у сети четкий план миграции? Насколько хорошо она соответствует стандартам NIST? Каковы компромиссы в производительности и пользовательском опыте? Как будут обрабатываться устаревшие активы?Если крупномасштабные квантовые атаки станут практически осуществимыми в отдаленном будущем, сети, которые обновят свою криптографию, будут лучше соответствовать рекомендуемым стандартам безопасности.L1-блокчейны, которые рассматривают квантовый риск как медленный риск на уровне управления и начинают строить пути отхода сейчас, фактически делают ставку на то, что их цепочки будут иметь значение и через десятилетия.