Щодо квантової загрози для біткоїна та блокчейнів, існує два загальні погляди: (1) Квант не буде актуальним ще довго, тому терміновість не потреба. (2) Квант уже актуальний, і нам потрібно діяти терміново. Для довідки, справжні квантові фізики та експерти з безпеки дедалі частіше опиняються у світі (2). Люди, які вірять, що ми у світі (1), або озброєні поганими фактами, або поганими припущеннями, або просто не хочуть критично мислити про їхній вплив. 🧵

1/ Приклад 1: Останній блог-пост Google, написаний Гартмутом Невеном (керівником @GoogleQuantumAI) та Кентом Вокером (керівником відділу зв'язків з громадськістю Google/Alphabet) подає перехід до постквантової криптографії як терміновий, системний, що зараз вимагає скоординованих дій для «прискорення прогресу» та впровадження.

2/ Аргумент Google простий: квантові комп'ютери зламають криптографію, яка забезпечує безпеку інтернету. Сучасні криптографічні методи базуються на задачах, які класичні комп'ютери не можуть ефективно розв'язати. Quantum порушує цю парадигму і не буде «назавжди через десятиліття».

3/ І вони не просто теоретизують. Дослідники Google щойно опублікували дослідження, які показали, що зламати 2048-бітне RSA-шифрування потребує ~1 мільйона гучних кубітів, а не мільярдів, які раніше оцінювалися. Вимоги до ресурсів знижуються швидше, ніж очікувалося, тому часова лінія стискається.

4/ (До речі, для коментаторів, які можуть вказати, що Bitcoin не використовує RSA, я заздалегідь відповідаю, що ECDSA може бути легше зламати, ніж RSA-2048, оскільки алгоритм Шора працює за часом поліноміальним за довжиною ключа, а ключі з еліптичною кривою набагато коротші за RSA, що потенційно робить це ще більш нагальним).

5/ Питання: Чому Google мала б інвестувати значні кошти у прискорення впровадження постквантової криптографії у власних системах, якщо вони були обережні щодо квантового прогресу? Відповідь: Вони бачать власні криві можливостей і діють відповідно.

6/ Навіть якщо припустити, що публічне — це найсучасніший (а це не так), позиція Google раціональна: готуйтеся до можливості до її появи, бо коли вона вже з'явиться, ви вже відстаєте. Класична захисна поза. Це стосується не лише Google. Провідні компанії, які надають пріоритет безпеці (як @Cloudflare і @Apple), ставлять у свої дорожні карти безпеку після квантової безпеки. Яка у них причина ставити це на перше місце, а ми цього не робимо?

7/ Приклад 2: Скотт Ааронсон, один із найвідоміших скептиків квантових обчислень і фізик, відомий тим, що викриває квантовий ажіотаж, визнає справжній прогрес за останні два роки, наголошуючи на невизначеності щодо майбутніх часових ліній. @preskill робив подібні спостереження. Ось Скотт:

8/ Коли люди на такому рівні, які побудували свою репутацію на квантовому скептицизмі та академічній чесності, кажуть, що прогрес реальний, а терміни можуть прискорюватися, це має змусити всіх задуматися. Ставити на безпеку трильйонів активів на «буде повільно» — це безрозсудно.

9/ Приклад 3: Уряд США зобов'язав усі критичні системи перейти на постквантову криптографію до 2030 року. NIST затвердив стандарти PQC у 2024 році. NSA, безумовно, є одним із головних чинників у встановленні цих дедлайнів, працюючи у зворотному напрямку від розвідки про загрози. Якщо їм потрібна міграція до 2030 року, вони потенційно бачать терміни, які виправдовують таку терміновість. Вони можуть знати те, чого не знаємо ми.

10/ Коротко кажучи, експертний консенсус серед людей, які фактично створюють квантові комп'ютери, або від організацій, які мають багато ризиків, такий: прогрес прискорився, терміни невизначені, підготовка є необхідною, а ставки високі.

11/ Тепер порівняйте це з табором «нічого не робить». Їхні докази часто є самореферентними, повністю ігнорують квантових експертів і повторюють емпірично хибні твердження в ехо-камері. Кейс-стаді: @coinshares звіт (опублікований того ж дня, що й блог-пост Google, згаданий вище). Давайте розберемо помилки в тому дописі як ілюстративний приклад.

12/ Помилка #1: Автор стверджує, що вразливими є лише ~1,6 млн BTC, а можливо 10 200 BTC здатні спричинити потрясіння ринку. Математика тут просто неправильна.

13/ Факт: Лише суб'єкт, який вважається Satoshi, володіє 1 096 152 BTC на 21 924 адресах. Всі вразливі. І це не лише P2PK-адреси. Будь-яка адреса, яка підписала транзакцію один раз (і залишила там залишкові кошти), є вразливою до квантової атаки. Це включає багато найбільших адрес BTC сьогодні.

14/ Ми підтримуємо постійно оновлюваний трекер квантово-вразливого біткоїна тут: Порівняйте @ChaincodeLabs відмінним технічним звітом про квантові загрози для Bitcoin тут: У будь-якому випадку вплив значно більший, ніж свідчить @coinshares звіт.

15/ Помилка #2: Їхній «доказ» того, що квантова технологія далеко, — це цитата від технічного директора Ledger. Я поважаю цю людину і не маю до неї нічого проти, але це чиста апеляція до авторитету з очевидною упередженістю. Якщо будуть прийняті квантово-стійкі підписи, кожен існуючий пристрій @Ledger потенційно стане застарілим. Тож розгляньте стимул і подумайте про джерело. Принаймні слід визнати, що це єдина точка зору, і потенційно «вибрана» для підтверджувальної упередженості.

16/ Помилка #3: Хоча не експерти консультуються щодо їхньої експертизи в квантовій сфері, не робиться спроб оцінити зусилля чи складність, унікальні для застосування постквантових рішень до існуючого, вже впровадженого блокчейну. До них належать: - мільйони розподілених ключів, кожен з яких потрібно мігрувати окремо - відсутність централізованих повноважень для прийняття рішень - володіння активами повністю на основі цифрового підпису (без запасного варіанту)

17/ Згідно з рецензованими дослідженнями, блокчейн BTC має бути припинений на 76 днів, щоб обробляти міграційні транзакції для існуючого набору UTXO. Це найкращий варіант.

18/ Помилка #4: Автор відкидає всіх, хто підвищує обізнаність про квантові загрози, як «шахраїв». Якщо квантовий комп'ютер, який руйнує криптографічну основу трильйонів доларів у цифрових активах, не є серйозною проблемою, то я не знаю, що тоді. Карикатурувати дослідників і будівельників як шахраїв — це саморуйнівно.

19/ Навіть якщо прийняти твердження про «10 років відмовлення» буквально (а є вагомі причини цього не робити), це здається відстороненим, поки не усвідомиш, що це: - оптимістична оцінка, якій вже кілька років, а потреба в ресурсах зменшується швидше, ніж прогнозувалося, і - технічний виклик міграції цих систем значно складніший, ніж очікують.

20/ Добра новина в тому, що ми можемо вирішити цю проблему. Блокчейни можуть адаптуватися. Існує постквантова криптографія. Але ігнорування попереджень квантових експертів через те, що загроза здається далекою, — це саме те, як ви опиняєтеся неготовими.

21/ Людям подобається впевненість. На жаль, єдина впевненість щодо криптографічно значущих квантових комп'ютерів — це те, що вони зламають Bitcoin та майже всі інші мережі цифрових активів. Передбачати, коли саме настане цей момент — марна справа. Але немає причин, чому він не міг з'явитися раніше, ніж очікувалося, так само як прогрес ШІ неодноразово кидав виклик песимістичним термінам через експоненціальне зростання.

22/ Я б волів, щоб безпека блокчейнів не базувалася на припущенні, що прогрес у квантових обчисленнях буде повільним. /Кінець

Щодо квантових часових ліній, я особисто вважаю, що існує розрив, полягає в тому, що люди не розуміють нелінійність прогресу тут. Простіше кажучи, квантові комп'ютери або не зможуть зробити щось криптографічно значуще (сьогодні), або зможуть виконувати всі класичні асиметричні алгоритми. Немає сенсу вкладати гроші у створення системи середньої середини. Ключова різниця між одним і іншим — це можливість корекції помилок. **Ось чому ти бачиш стільки інвестицій і зусиль, які вкладаються туди. Бо коли це буде розкрито, масштабування цих систем до криптографічної релевантності не буде таким складним. Нічого, і все одразу.

@reardencode @dallairedemers @Ethan_Heilman Також є всі підстави вважати, що з розвитком справи стає все менше причин популяризувати сучасний стан. Насправді, це вже може відбуватися.