Google: квантовые компьютеры могут взломать Bitcoin в 20 раз быстрее, чем ожидалось

Google опубликовал научную работу, которая уже заставила сообщество криптоэнтузиатсов нервничать. Исследователи из квантового подразделения компании заявили, что взлом RSA-шифрования, на котором зиждется безопасность не только банковских систем, но и криптокошельков, потребует в 20 раз меньше ресурсов, чем считалось ранее.

«Переход на квантово-устойчивые криптосистемы требует чёткого понимания стоимости квантовых атак», — написал Крейг Гидни, исследователь Google Quantum. «В 2019 году мы оценивали, что для факторизации 2048-битного RSA-числа потребуется 20 миллионов шумных кубитов и около восьми часов. Сейчас же мы снижаем этот порог до менее миллиона кубитов и менее недели вычислений».

Эта переоценка — как гром среди ясного неба для тех, кто до недавнего времени считал, что настоящая угроза криптографии от квантовых компьютеров — дело далёкого будущего. Увы, не всё так радужно.

Квантовый скачок Google: меньше кубитов, больше проблем

Секрет прорыва — в двух вещах: новых алгоритмах и более умной коррекции ошибок. Команда смогла ускорить модульные возведения в степень (сердце RSA) почти вдвое. Также была внедрена новая схема коррекции ошибок, утроившая плотность логических кубитов. Это позволило упаковать больше полезных операций в тот же физический объём.

Но это ещё не всё. В ход пошла так называемая выращиваемая магия (magic state cultivation) — замысловатая техника, позволяющая выращивать особые состояния кубитов (так называемые T-состояния), делающие сложные вычисления надёжнее и дешевле по ресурсам.

Всё это в совокупности позволило Google нарисовать совсем другой ландшафт квантовых рисков. И если раньше речь шла о фантастических ресурсах, теперь это уже выглядит как реально достижимый горизонт.

Почему холдерам Bitcoin стоит волноваться?

Хотя Google изучал RSA, а Bitcoin использует эллиптическую криптографию (ECC), математика под капотом схожая. Главное — квантовые компьютеры с алгоритмом Шора потенциально ломают обе схемы. Причём, если взлом RSA стал проще в 20 раз, то и до ECC, возможно, не так уж далеко.

Более того, уже есть те, кто хочет взломать Bitcoin прямо сейчас. Исследовательская группа Project 11 объявила награду — почти $85,000 — за успешный взлом упрощённого варианта Bitcoin-шифрования с помощью квантового железа. Пока они тестируют диапазон ключей от 1 до 25 бит, что смешно по сравнению с 256-битной защитой настоящего BTC, но всё начинается с малого.

«Безопасность Bitcoin зиждется на эллиптической криптографии. Квантовые компьютеры, способные запускать алгоритм Шора, в итоге её сломают», — заявили представители Project 11.

Шире, чем Bitcoin: глобальные риски и срочная миграция

Проблема выходит далеко за рамки криптовалют. RSA и её братья обеспечивают безопасную коммуникацию для банков, интернета, электронной подписи и почти всей цифровой инфраструктуры. То есть недоброжелатели уже могут перехватывать зашифрованные данные с расчётом расшифровать их позже, когда появится нужный квантовый ресурс.

Google уже начал переход на постквантовые алгоритмы, шифруя внутренний и браузерный трафик с помощью ML-KEM — нового стандарта постквантовой криптографии. Национальный институт стандартов США (NIST) рекомендовал отказаться от уязвимых алгоритмов к 2030 году, но свежие расчёты Google намекают: ждать столько нельзя.

Планы индустрии и горизонт угроз

IBM нацелена на квантовый суперкомпьютер с 100,000 кубитами к 2033 году. Quantinuum обещает полноценную отказоустойчивую машину уже к 2029. А теперь, когда выяснилось, что нужно всего-то миллион кубитов для взлома RSA, эти сроки внезапно стали выглядеть гораздо тревожнее.

Надо признать: текущее поколение квантовых устройств пока не тянет — у них низкое время когерентности (порядка минут), и они не умеют держать вычисления без ошибок часами. Но темп ускоряется. И если раньше можно было отшучиваться про квантовый Апокалипсис, то сейчас шутки заканчиваются.

Реакция криптосообщества: тревога и готовность

В криптосреде уже началась подготовка. Разработчики Solana представили квантово-устойчивый «холодный»кошелёк с хешевыми подписями, а Виталик Бутерин предложил жёсткий форк Ethereum в случае наступления квантового коллапса.

Скорее всего, до первого настоящего взлома блокчейна квантами мы увидим обновления протоколов, массовые форки и гонку за стойкостью.