Что касается квантовой угрозы для Bitcoin и блокчейнов, существует два основных мнения: (1) Квантовая угроза не будет актуальна еще долго, поэтому нет необходимости в срочных действиях. (2) Квантовая угроза уже актуальна, и нам нужно действовать срочно. Для справки, настоящие квантовые физики и эксперты по безопасности все больше склоняются к миру (2). Люди, которые считают, что мы находимся в мире (1), либо вооружены неверными фактами, неверными предположениями, либо просто не хотят критически мыслить о последствиях. 🧵

1/ Экспонат 1: Последний блог Google от Хартмута Невена (руководителя @GoogleQuantumAI) и Кента Уокера (руководителя по общественным делам Google/Alphabet) описывает переход к постквантовой криптографии как срочный, системный, требующий координированных действий сейчас для "ускорения прогресса" и принятия.

2/ Аргумент Google прост: квантовые компьютеры сломают криптографию, обеспечивающую безопасность интернета. Текущие криптографические методы зависят от задач, которые классические компьютеры не могут решить эффективно. Квантовые компьютеры разрушают эту парадигму и не будут "всегда на расстоянии десятилетия".

3/ И они не просто теоретизируют. Исследователи Google только что опубликовали работу, показывающую, что для взлома 2048-битного RSA шифрования требуется ~1 миллион шумных кубитов, а не миллиарды, как предполагалось ранее. Требования к ресурсам падают быстрее, чем ожидалось, таким образом, временные рамки сжимаются.

4/ (Кстати, для комментаторов, которые могут указать, что Bitcoin не использует RSA, я заранее отвечаю, что ECDSA может быть легче сломать, чем RSA-2048, потому что алгоритм Шора работает за время, полиномиальное по длине ключа, а ключи эллиптической кривой гораздо короче, чем ключи RSA, что потенциально делает это еще более срочным).

5/ Вопрос: Почему Google будет активно инвестировать в ускорение внедрения постквантовой криптографии для своих систем, если они скептически относятся к прогрессу в области квантовых технологий? Ответ: Они видят свои собственные кривые возможностей и действуют соответственно.

6/ Даже если предположить, что то, что доступно публично, является передовым (это не так), позиция Google рациональна: готовьтесь к возможности, прежде чем она появится, потому что, как только она появится, вы уже будете позади. Классическая оборонительная позиция. Это касается не только Google. Ведущие компании, которые придают приоритет безопасности (такие как @Cloudflare и @Apple), ставят постквантовую безопасность в приоритет в своих дорожных картах. Какую причину они имеют придавать этому приоритет, которой у нас нет?

7/ Приложение 2: Скотт Ааронсон, один из самых известных скептиков квантовых вычислений и физик, известный тем, что критикует квантовый хайп, признал подлинный прогресс, достигнутый за последние два года, подчеркивая неопределенность в отношении будущих сроков. @preskill также сделал аналогичные наблюдения. Вот Скотт:

8/ Когда люди на этом уровне, которые построили свою репутацию на скептицизме по отношению к квантовым технологиям и академической честности, говорят, что прогресс реален и сроки могут ускоряться, это должно заставить всех задуматься. Ставить безопасность триллионов активов на "это будет медленно" - безрассудно.

9/ Экспонат 3: Правительство США обязало все критически важные системы перейти на постквантовую криптографию к 2030 году. NIST утвердил стандарты PQC в 2024 году. NSA, очевидно, является важным фактором, определяющим эти сроки, работая, исходя из разведки угроз. Если они требуют миграции к 2030 году, это может означать, что они видят временные рамки возможностей, которые оправдывают эту срочность. Возможно, они знают то, чего не знаем мы.

10/ Короче говоря, экспертное мнение людей, которые действительно занимаются созданием квантовых компьютеров, или организаций, которые имеют много на кону, таково: прогресс ускорился, сроки неопределенны, подготовка необходима, и ставки высоки.

11/ Теперь сравните это с лагерем "ничего не делать". Их доказательства часто являются самореферентными, полностью игнорируют экспертов в области квантовой физики и повторяют эмпирически неверные утверждения в эхо-камере. Пример: отчет @coinshares (опубликованный в тот же день, что и блог Google, упомянутый выше). Давайте разберем ошибки в этом посте, так как это иллюстративный пример.

12/ Ошибка #1: Автор утверждает, что только ~1,6M BTC уязвим, и, возможно, 10,200 BTC способны вызвать рыночные колебания. Математика здесь просто неверна.

13/ Факт: Считается, что сущность, которую считают Сатоши, владеет 1,096,152 BTC на 21,924 адресах. Все уязвимы. И это не только адреса P2PK. Любой адрес, который подписал транзакцию хотя бы раз (и оставил остаточные средства там), уязвим для квантовой атаки. Это касается многих из крупнейших адресов BTC на сегодняшний день.

14/ Мы поддерживаем постоянно обновляемый трекер уязвимостей Bitcoin к квантовым угрозам здесь: Сравните с отличным техническим отчетом @ChaincodeLabs о квантовых угрозах для Bitcoin здесь: В любом случае, уровень уязвимости гораздо больше, чем предполагает отчет @coinshares.

15/ Ошибка #2: Их "доказательство" того, что квантовые технологии далеки, — это цитата технического директора Ledger. Я уважаю этого человека и ничего против него не имею, но это чистое обращение к авторитету с очевидным уклоном. Если квантово-устойчивые подписи будут приняты, каждое существующее устройство @Ledger потенциально станет устаревшим. Так что учитывайте стимулы и источник. По крайней мере, мы должны признать, что это одна точка зрения, и одна, возможно, "выбранная" для подтверждения предвзятости.

16/ Ошибка #3: Хотя неэксперты консультируются по их экспертизе в области квантовых технологий, не предпринимается попытка понять усилия или сложности, уникальные для применения постквантовых решений к существующей, уже развернутой блокчейн-системе. К ним относятся: - миллионы распределенных ключей, которые необходимо мигрировать по отдельности - отсутствие централизованного органа для принятия решений - владение активами полностью на основе цифровой подписи (без резервного варианта)

17/ Согласно рецензируемым исследованиям, блокчейн BTC должен быть отключен на 76 дней, чтобы обработать транзакции миграции для существующего набора UTXO. Это лучший случай.

18/ Ошибка #4: Автор отвергает всех, кто поднимает вопрос о квантовых угрозах, как "мошенников." Если квантовый компьютер, способный разрушить криптографическую основу $ триллионов цифровых активов, не является серьезной проблемой, я не знаю, что ею является. Карикатурить исследователей и создателей как мошенников — это саморазрушительно.

19/ Даже если вы примете утверждение о "10 годах" за чистую монету (хотя есть веские причины этого не делать), это кажется далеким, пока вы не осознаете, что это: - оптимистичная оценка, которая сейчас уже несколько лет как устарела, и требования к ресурсам падают быстрее, чем предсказывалось, и - техническая сложность миграции этих систем значительно более сложна, чем ожидают люди.

20/ Хорошая новость в том, что мы можем решить эту проблему. Блокчейны могут адаптироваться. Постквантовая криптография существует. Но игнорирование предупреждений от квантовых экспертов, потому что угроза кажется далекой, — это именно то, как вы окажетесь неподготовленным.

21/ Люди любят определенность. К сожалению, единственная определенность относительно криптографически значимых квантовых компьютеров заключается в том, что они сломают Bitcoin и почти каждую другую сеть цифровых активов. Предсказать, когда именно этот момент наступит, — это глупое занятие. Но нет причин, по которым он не мог бы наступить раньше, чем ожидалось, так же как прогресс в области AI неоднократно опровергал пессимистичные временные рамки благодаря экспоненциальному развитию.

22/ Я бы предпочел, чтобы безопасность блокчейнов не основывалась на предположении, что прогресс в квантовых вычислениях будет медленным. /Конец

Что касается квантовых временных линий, я лично думаю, что существует разрыв, потому что люди не понимают нелинейность прогресса здесь. Проще говоря, квантовые компьютеры либо не смогут делать ничего криптографически значимого (сегодня), либо они смогут выполнять все развернутые классические асимметричные алгоритмы. Нет причин инвестировать в создание системы для промежуточного варианта. Ключевое различие между одним и другим — это способность к коррекции ошибок. **Вот почему** вы видите все эти инвестиции и усилия, прикладываемые к этому. Потому что, как только это будет решено, масштабирование этих систем до криптографической значимости не будет таким уж сложным. Ничего, а затем все сразу.

@reardencode @dallairedemers @Ethan_Heilman Также есть все основания полагать, что по мере развития событий, есть гораздо меньше причин публично освещать состояние искусства. На самом деле, это может уже происходить.