Google Quantum AI официально объявила: количество квантовых битов, необходимых для взлома криптографии биткоина, снизилось в 20 раз

Авторы: Ryan Babbush & Hartmut Neven, Google Quantum AI

Перевод: Deep Tide TechFlow

Deep Tide в двух словах: это первоисточник дискуссии о квантовых угрозах дня, а не пересказ в СМИ; это официальный технический блог, совместно опубликованный Директором по квантовым исследованиям в Google Quantum AI и VP Engineering.

Единственный ключевой вывод: ранее оцененное число физических квантовых битов, необходимых для взлома биткоинной эллиптической кривой криптографии, теперь уменьшилось примерно в 20 раз. Одновременно Google выпустил валидационные материалы в формате «доказательств с нулевым разглашением», позволяющие третьим сторонам проверить выводы без раскрытия деталей атаки — такой способ раскрытия сам по себе тоже заслуживает внимания.

Полный текст ниже:

31 марта 2026 г.

Ryan Babbush, Директор по квантовым алгоритмическим исследованиям в Google Quantum AI; Hartmut Neven, Заместитель генерального директора по инженерии в Google Quantum AI, Google Research

Мы изучаем новую модель, чтобы прояснить возможности взлома криптографии будущими квантовыми компьютерами, и описываем, какие шаги следует предпринять, чтобы снизить их влияние.

Оценки квантовых ресурсов

Квантовые компьютеры, как ожидается, смогут решать ранее нерешаемые задачи, включая применения в химии, поиске лекарств и энергетике. Однако крупномасштабные криптографические связанные квантовые вычисления (CRQC) также способны взламывать широко используемую сейчас публично-ключевую криптографию, которая защищает конфиденциальную информацию и различные системы. Правительства и организации разных стран, включая Google, годами сталкиваются с этой проблемой безопасности. По мере дальнейшего научно-технического прогресса CRQC постепенно становится реальностью, что требует перехода к постквантовой криптографии (PQC — Post-Quantum Cryptography) — и именно поэтому мы недавно предложили временную шкалу миграции на 2029 год.

В нашем white paper мы публикуем последние оценки «квантовых ресурсов» (то есть количества квантовых битов и квантовых вентилей), необходимых для задачи дискретного логарифма на эллиптических кривых на 256 бит (ECDLP-256), которая лежит в основе взлома эллиптической кривой криптографии. Мы выражаем оценку ресурсов через логические квантовые биты (ошибочно-корректирующие квантовые биты, состоящие из сотен физических квантовых битов) и число вентилей Toffoli (базовых операций, которые требуют дорогой стоимости на квантовых битах и являются одним из основных факторов, определяющих время выполнения многих алгоритмов).

Конкретно говоря, мы скомпилировали два квантовых контура (последовательности квантовых вентилей) для реализации алгоритма Шора против ECDLP-256: один использует менее 1200 логических квантовых битов и 90 миллионов Toffoli-вентилей, а другой — менее 1450 логических квантовых битов и 70 миллионов Toffoli-вентилей. Мы оцениваем, что при стандартных предположениях о вычислительных возможностях аппаратуры, согласованных с частью флагманских квантовых процессоров Google, эти контуры могут быть выполнены на менее чем 500 тысячах физических квантовых битов в сверхпроводящих CRQC за считанные минуты.

Это примерно 20-кратное снижение числа физических квантовых битов, необходимых для взлома ECDLP-256, и продолжение длительного процесса оптимизации, в ходе которого квантовые алгоритмы компилируются в отказоустойчивые контуры.

Защита криптовалют с помощью постквантовой криптографии

Большинство блокчейн-технологий и криптовалют сегодня опираются на ECDLP-256, чтобы обеспечивать безопасность ключевых аспектов. Как мы обсуждали в нашей статье, PQC — это зрелый путь к обеспечению безопасности блокчейнов в постквантовом мире: она может обеспечить долгосрочную жизнеспособность криптовалют и цифровой экономики при наличии CRQC.

Мы приводим примеры постквантовых блокчейнов и случаи экспериментального развертывания PQC в блокчейнах, в которых ранее имелись квантовые уязвимости. Мы отмечаем, что, хотя PQC и другие выполнимые решения уже существуют, их внедрение требует времени, что усиливает остроту и безотлагательность действий.

Мы также предлагаем криптовалютному сообществу дополнительные рекомендации, чтобы улучшать безопасность и стабильность в краткосрочной и долгосрочной перспективе, включая: избегание раскрытия или повторного использования адресов кошельков, в которых есть уязвимости, а также потенциальные варианты политик в отношении проблем с обесцененными/выведенными из обращения криптовалютами.

Наш подход к раскрытию уязвимостей

Раскрытие уязвимостей безопасности — спорная тема. С одной стороны, позиция «не раскрывать» считает, что публикация уязвимостей равнозначна предоставлению злоумышленникам руководства к действию. С другой стороны, движение «полного раскрытия» полагает, что информирование широкой публики о проблемах безопасности одновременно позволяет ей сохранять настороженность и предпринимать меры самозащиты, а также стимулирует работы по исправлению безопасности. В области компьютерной безопасности этот спор уже свелся к набору компромиссных подходов, известных как «ответственное раскрытие» и «координированное раскрытие уязвимостей». Оба подхода предполагают раскрытие уязвимостей при установлении периода запрета (time window), давая затронутым системам время на выпуск исправлений безопасности. Такие ведущие организации по исследованию безопасности, как CERT/CC при Университете Карнеги — Меллона и Project Zero от Google, применяют варианты ответственного раскрытия с жесткими дедлайнами; этот подход был также принят в качестве международного стандарта ISO/IEC 29147:2018.

Раскрытие уязвимостей безопасности в блокчейн-технологиях дополнительно усложняется особым фактором: криптовалюта — это не просто децентрализованная система обработки данных. Ценность ее цифровых активов проистекает не только из цифровой безопасности сети, но и из доверия публики к системе. Даже если на цифровом уровне безопасности возможна атака с помощью CRQC, доверие публики может быть подорвано страхом, неопределенностью и сомнениями (FUD) — и, следовательно, даже не научные, необоснованные оценки ресурсов для квантового алгоритма, направленного на взлом ECDLP-256, сами по себе могут стать атакой на систему.

Эти соображения направляют наш осторожный подход к ответственному раскрытию оценок квантовых ресурсов для атак на блокчейн-технологии, основанные на эллиптической кривой криптографии. Во-первых, мы снижаем риски FUD, четко определяя, какие именно области невосприимчивы к квантовым атакам для блокчейнов, и подробно рассказывая о прогрессе, достигнутом в безопасности постквантовых блокчейнов. Во-вторых, не раскрывая лежащие в основе квантовые контуры, мы подтверждаем наши оценки, публикуя один из передовых криптографических конструкций под названием «доказательство с нулевым разглашением», что позволяет третьим сторонам проверить наши утверждения без того, чтобы мы раскрывали чувствительные детали атаки.

Мы приглашаем к дальнейшему обсуждению с сообществами по квантам, безопасности, криптовалютам и политике, чтобы прийти к консенсусу по требованиям к будущему ответственному раскрытию.

Посредством этой работы наша цель — поддержать долгосрочно здоровое развитие экосистемы криптовалют и блокчейн-технологий, которые в цифровой экономике занимают все более важное место. В перспективе мы надеемся, что наш подход к ответственному раскрытию вызовет важный диалог между исследователями в области квантовых вычислений и более широкой публикой, а также предоставит воспроизводимую модель для исследовательской области квантового криптоанализа.