1/ Předpovědi kvantového počítání v poslední době sahají od "kryptografie s veřejným klíčem bude prolomena za 2 roky" až po "je to sto let daleko." Oba jsou špatně. Můj nejnovější příspěvek vysvětluje, co veřejně známý pokrok skutečně podporuje — a co by s tím měly blockchainy dělat. Vlákno níže 🧵

2/ Kryptograficky relevantní kvantový počítač (CRQC) v 20. letech 21. století je velmi nepravděpodobný. I polovina 30. let 21. století je ambiciózní. Existují systémy s 1000+ qubity, ale surové počty qubitů jsou zavádějící: potřebujeme tisíce logických qubitů s opravou chyb a obrovské rozpočty T-gate – mnohem déle než dnešek.

3/ Hlavní zdroj zmatku: firmy nazývají qubity "logickými qubity s opravou chyb", když nepodporují ne-Cliffordovy operace, nebo v některých závažných případech ani nedokážou opravit chyby. To vážně zmátlo i zkušené pozorovatele ohledně toho, jak blízko jsme CRQC.

4/ Častá chyba při diskusi o kvantových hrozbách: zacházet se všemi kryptografickými primitivy stejně. Šifrování, podpisy a SNARKy mají velmi odlišné rizikové profily.

5/ Nejjasnějším krátkodobým rizikem je Harvest-Now-Decrypt-Later (HNDL): protivníci nyní zaznamenávají šifrovaný provoz, aby ho dešifrovali, když CRQC existuje.

6/ Proto musí postkvantové (PQ) šifrování být dodáváno právě teď, navzdory nákladům a rizikům. Chrome+Cloudflare nasadil hybridní (PQ+klasická) schémata pro TLS; iMessage a Signal pro zasílání zpráv. HNDL neponechává žádnou možnost pro data, která vyžadují dlouhodobou důvěrnost, i když kvantová data jsou vzdálená až desítky let.

7/ Podpisy jsou jiné: neexistuje důvěrnost u "harvest". Podpis vytvořený před vznikem CRQC nelze zpětně zfalšovat. Jiné riziko ⇒ jiná naléhavost.

8/ Blockchainy dnes používají podpisy pro autorizaci, nikoli šifrování. Bez expozice HNDL můžeme být při migraci PQ signatur záměrní.

9/ Dnešní PQ podpisy zanechávají mnoho přání: ML-DSA ≈2,4–4,6 KB, Falcon ≈666 B–1,3 KB (ale složitě implementovatelný), SPHINCS+ ≈7–8 KB+. Pro srovnání, ECDSA má jen ~64 bajtů. Větší/pomalejší/složitější ⇒ vyšší riziko hmyzu.

10/ Opatrnost je na místě: Rainbow (založené na MQ) a SIKE/SIDH (založené na izogenii) byly klasicky porušeny během procesu NIST. Předčasné nasazení se může obrátit proti vám.

11/ Web PKI usiluje o šifrování – nejdříve, podpisy – právě z těchto důvodů. Blockchainy by měly následovat tento příklad.

12/ zkSNARKs? Dobrá zpráva: i SNARKi mimo PQ mají postkvantové nulové znalosti. O svědkovi není nic odhaleno, ani kvantovým protivníkům. Co se stává zranitelným po CRQC, je spolehlivost (falšování nových falešných důkazů), nikoli důvěrnost nebo spolehlivost předchozích důkazů.

13/ Klíčový bod: v následujících letech budou chyby a implementační útoky (side-channels, fault injection) větším rizikem než CRQC. To platí pro SNARKy, schémata agregace podpisů a dokonce i pro samotné podpisy. Investujte do auditů, fuzzingu a formálních metod.

Speciální výzvy Bitcoinu: pomalé řízení, žádná pasivní migrace a netriviální opuštěná nabídka na vysoce hodnotných, kvantově zranitelných adresách.

15/ Není snadné řešení. Bitcoin musí hrozbu brát vážně — ne proto, že by CRQC přišly před rokem 2030, ale protože řešení těchto převážně netechnických otázek vyžaduje roky koordinace.

16/ Co dělat: ✅ Nasazujte hybridní PQ šifrování nyní ✅ Používejte hybridní hash podpisy tam, kde je velikost přijatelná (aktualizace firmwaru/softwaru) ✅ U blockchainů: nespěchejte s PQ podpisy – ale plánujte migrační trasy

17/ Řetězce ochrany soukromí, které šifrují transakční detaily, by měly upřednostňovat PQ šifrování (nebo návrhy vyhýbající se dešifrovatelným tajemstvím na řetězci), aby se snížilo riziko HNDL. Řetězce zaměřené na podpisy mohou postupně zavádět PQ podpisy, jak se agregační techniky a implementace vyvíjejí.

18/ Udržujte si nadhled: paradoxně časté oznámení kvantových milníků ≠ blízkost CRQC. Zdůrazňují, kolik mostů ještě není třeba překročit.

19/ Závěr: naléhavost přiřadit k reálným hrozbám. Šifrování: naléhavé (HNDL). Podpisy: záměrné. SNARKs: majetek ZK zůstává bezpečný; Zdraví je po CRQC zranitelné. A především bakterie zůstávají větším krátkodobým rizikem.