Квантовые вычисления и криптовалюты: угрозы и решения

Квантовые вычисления представляют собой наиболее значимую долгосрочную криптографическую угрозу для криптовалют. Хотя современные квантовые компьютеры слишком малы и подвержены ошибкам, чтобы взломать криптографию, защищающую Bitcoin и другие блокчейны, технология развивается быстро. Понимание природы угрозы, реалистичных сроков и разрабатываемых мер защиты необходимо всем, кто принимает решения о долгосрочном хранении криптовалюты.

Это руководство дает технически обоснованную оценку последствий квантовых вычислений для безопасности криптовалют — что действительно под угрозой, что нет и какие шаги можно предпринять уже сегодня.

Основы квантовых вычислений

Классические и квантовые вычисления

Классические компьютеры обрабатывают информацию в виде битов — каждый бит равен либо 0, либо 1. Квантовые компьютеры используют кубиты, которые могут одновременно находиться в суперпозиции 0 и 1. Когда кубиты запутаны, операции над одним кубитом могут влиять на другие, что позволяет выполнять некоторые вычисления экспоненциально быстрее, чем при любом классическом подходе.

Важный нюанс: Квантовые компьютеры не быстрее классических во всех задачах. Ускорение достигается только для определенных типов задач, для которых существуют квантовые алгоритмы. Во многих вычислительных задачах от квантовых вычислений нет выгоды.

Задачи, важные для криптовалют

Для криптовалют релевантны два квантовых алгоритма:

Алгоритм Шора — Эффективно решает задачи факторизации целых чисел и дискретного логарифмирования. Это напрямую угрожает криптографии на эллиптических кривых (ECDSA, Schnorr), используемой для подписи криптовалютных транзакций.
Алгоритм Гровера — Обеспечивает квадратичное ускорение поиска в неструктурированных базах данных. Это влияет на хеш-функции (SHA-256, RIPEMD-160) и симметричное шифрование, фактически уменьшая их битовую стойкость вдвое.

Чему угрожают квантовые компьютеры

Цифровые подписи на эллиптических кривых (ECDSA)

Bitcoin, Ethereum и большинство других криптовалют используют ECDSA с кривой secp256k1 для подписи транзакций. Безопасность ECDSA основана на задаче дискретного логарифмирования на эллиптической кривой (ECDLP): имея открытый ключ (точку на кривой), вычислительно невозможно получить закрытый ключ (скалярный множитель).

Алгоритм Шора может эффективно решать ECDLP на достаточно большом квантовом компьютере. Это означает:

Имея открытый ключ, квантовый компьютер может вывести закрытый ключ.
Имея закрытый ключ, атакующий может подделывать подписи транзакций и красть средства.

Это основная квантовая угроза для криптовалют.

Когда раскрывается открытый ключ?

Угроза от алгоритма Шора применима только тогда, когда атакующему известен открытый ключ. В Bitcoin открытый ключ раскрывается в разное время в зависимости от типа адреса:

Address Type	Public Key Exposure	Quantum Risk
P2PKH (Legacy, 1...)	Раскрывается при трате	Под угрозой после первой траты
P2SH (3...)	Раскрывается при трате	Под угрозой после первой траты
P2WPKH (bc1q...)	Раскрывается при трате	Под угрозой после первой траты
P2TR (Taproot, bc1p...)	Раскрывается в самом адресе	Под угрозой сразу
Pay-to-Public-Key (P2PK)	Открытый ключ — это адрес	Под угрозой сразу

Ключевой вывод: Bitcoin-адреса, использующие pay-to-public-key-hash (P2PKH, P2SH, P2WPKH), не раскрывают открытый ключ до момента подписания транзакции с этого адреса. До этого в блокчейне виден только хеш открытого ключа, и алгоритм Шора не может обратить хеш.

Однако как только вы тратите с адреса (раскрывая открытый ключ в транзакции), открытый ключ навсегда остается в блокчейне. Атакующий с квантовым компьютером сможет затем вывести закрытый ключ и украсть оставшиеся средства на этом адресе.

Адреса Taproot (P2TR) раскрывают открытый ключ напрямую (адрес кодирует модифицированный открытый ключ, а не хеш). Это означает, что адреса Taproot теоретически более уязвимы к квантовой атаке, чем адреса на основе хеша, хотя модификация ключа добавляет небольшое усложнение.

Адреса с наибольшим риском

Монеты Сатоши — Ранний Bitcoin использовал формат Pay-to-Public-Key (P2PK), где открытый ключ И ЕСТЬ адрес. Примерно 1,1 млн BTC в предположительно принадлежащих Сатоши монетах находятся в формате P2PK и напрямую уязвимы.
Повторно используемые адреса — Любой адрес, который использовался для отправки транзакции, имеет раскрытый открытый ключ. Средства, отправленные на него после этого, уязвимы.
Адреса Taproot — Открытый ключ виден в адресе.
Долго неподтвержденные транзакции — Если транзакция долго находится в mempool до подтверждения, квантовый атакующий может извлечь открытый ключ из транзакции и попытаться первым создать конфликтующую транзакцию с выведенным закрытым ключом.

Что НЕ под угрозой (или под меньшей угрозой)

Алгоритмы хеширования (SHA-256, RIPEMD-160)

Алгоритм Гровера дает квадратичное ускорение для поиска прообраза хеша, фактически уменьшая битовую стойкость вдвое:

SHA-256: стойкость 256 бит становится 128 бит против квантовой атаки.
RIPEMD-160: стойкость 160 бит становится 80 бит против квантовой атаки.

Стойкость 128 бит все еще считается высокой (требует 2^128 операций), и текущие защиты на основе хешей не находятся под непосредственной угрозой со стороны квантовых вычислений.

Майнинг Bitcoin (Proof of Work)

Алгоритм Гровера теоретически может дать ускорение для майнинга (поиска nonce, дающего хеш ниже целевого), но преимущество лишь квадратичное (корень квадратный), а экономика квантового майнинга пока не оправдывает огромную стоимость квантового оборудования. Механизм корректировки сложности также компенсировал бы любое ускорение майнинга.

Симметричное шифрование (AES)

Алгоритм Гровера уменьшает эффективную длину ключа симметричных шифров вдвое (AES-256 становится эквивалентен стойкости AES-128). AES-256 с квантовой стойкостью 128 бит остается надежным.

Сроки: когда квантовые компьютеры станут угрозой?

Текущее состояние квантовых вычислений (2025)

По состоянию на 2025 год крупнейшие квантовые компьютеры имеют примерно 1,000-1,500 физических кубитов. Однако это «шумные» кубиты с высокой частотой ошибок. Чтобы запустить алгоритм Шора против secp256k1:

Оценочно требуется: Примерно 2,500 логических кубитов.
Нужно физических кубитов: Из-за издержек коррекции ошибок требуется примерно 1-20 млн физических кубитов (в зависимости от качества кубитов и схемы коррекции ошибок).
Текущий разрыв: Нам не хватает примерно 3-4 порядков величины до достаточного числа физических кубитов нужного качества.

Оценки сроков от экспертов

Source	Estimate for Cryptographically Relevant QC	Year
NIST	«Не в следующем десятилетии, возможно в следующих двух»	2035-2045
IBM Quantum Roadmap	100K+ кубитов к 2033 (само по себе недостаточно)	N/A
Google Quantum AI	Значимые этапы в коррекции ошибок к 2030	N/A
Разные академические оценки	15-30 лет до возможности взлома ECDSA	2040-2055
Пессимистичный сценарий	Неожиданный прорыв ускоряет сроки	2030-2035

Консенсус среди криптографов: угроза реальна, но не немедленная. Большинство оценок предполагают 15-30 лет до способности квантовых компьютеров взламывать ECDSA. Однако прогресс в квантовых вычислениях иногда опережал ожидания, поэтому самоуспокоенность недопустима.

Угроза «собери сейчас, расшифруй позже»

Хотя сегодня квантовые компьютеры не могут взломать ECDSA, противник может уже сейчас записывать все данные блокчейна с намерением использовать их, когда появятся нужные квантовые мощности. В Bitcoin все когда-либо раскрытые открытые ключи (из транзакций) навсегда записаны в блокчейне. Эти данные нельзя защитить задним числом.

Эта стратегия «собери сейчас, расшифруй позже» означает, что любые раскрытые сегодня открытые ключи могут стать уязвимыми через 15-30 лет. Для долгосрочных накоплений это актуальная угроза.

Постквантовая криптография (PQC)

Постквантовые стандарты NIST

NIST много лет ведет процесс стандартизации постквантовых криптографических алгоритмов. Первые стандарты были финализированы в 2024 году:

ML-KEM (ранее CRYSTALS-Kyber)

Механизм инкапсуляции ключей на основе решеток (для шифрования/обмена ключами):

Основан на задаче Module Learning With Errors (MLWE).
Для этой задачи не известен эффективный квантовый алгоритм.
Относительно небольшие размеры ключей и быстрые операции.

ML-DSA (ранее CRYSTALS-Dilithium)

Схема цифровой подписи на основе решеток:

Основана на задачах Module Learning With Errors и Short Integer Solution.
Потенциальная замена ECDSA в криптовалютах.
Размеры подписей больше, чем у ECDSA (~2,400 байт против ~72 байт).

SLH-DSA (ранее SPHINCS+)

Схема цифровой подписи на основе хешей:

Безопасность полностью основана на свойствах хеш-функций.
Не опирается на математические структуры, которые могут быть уязвимы для квантовых атак.
Очень большие подписи (~17,000-49,000 байт), но крайне консервативные предпосылки безопасности.
Полезна как резервный вариант, если предположения о безопасности решеток будут опровергнуты.

Постквантовые подписи vs. ECDSA

Property	ECDSA (secp256k1)	ML-DSA (Dilithium)	SLH-DSA (SPHINCS+)
Квантовая устойчивость	Нет	Да	Да
Размер открытого ключа	33 байта	~1,312 байт	~32-64 байта
Размер подписи	~72 байта	~2,420 байт	~17,000-49,000 байт
Скорость проверки	Быстро	Быстро	Медленнее
Скорость генерации ключей	Быстро	Быстро	Средне
Математическая основа	DLP на эллиптической кривой	Решетчатые задачи	Хеш-функции

Значительное увеличение размера подписей — главная проблема для внедрения в блокчейнах. Размер блоков Bitcoin ограничен, и более крупные подписи означают меньше транзакций в блоке.

Последствия для конкретных криптовалют

Bitcoin

Ответ Bitcoin на квантовые вычисления, вероятно, будет включать:

Новые типы адресов — Софтфорк с введением нового типа адресов, использующего постквантовые подписи (аналогично обновлениям SegWit или Taproot).
Период миграции — Пользователям нужно будет перевести средства со старых (квантово-уязвимых) адресов на новые (квантово-устойчивые).
Агрегация подписей — Исследования по агрегации постквантовых подписей для уменьшения их размера в блокчейне.
Адреса на основе хеша остаются полезными — Неиспользованные адреса P2PKH (где открытый ключ никогда не раскрывался) обеспечивают квантовую устойчивость за счет защиты хешем.

Сообщество Bitcoin активно обсуждает постквантовые предложения, хотя конкретные сроки внедрения пока не установлены.

Ethereum

Ethereum сталкивается с похожими трудностями:

Аккаунты Ethereum всегда раскрывают открытый ключ после первой транзакции (открытый ключ восстанавливается из подписей ECDSA через ecrecover).
Модель аккаунтов Ethereum и паттерн повторного использования адресов означают, что у большинства активных аккаунтов открытые ключи уже раскрыты.
Более гибкий механизм обновлений Ethereum (хардфорки) может позволить более быстрое внедрение постквантовых подписей.
Большие размеры подписей PQC менее критичны в Ethereum из-за другой структуры блока и модели gas.

Vitalik Buterin обсуждал квантовую устойчивость как долгосрочный приоритет для Ethereum, а абстракция аккаунта (ERC-4337) дает путь к поддержке произвольных схем подписи.

Другие блокчейны

Некоторые блокчейны проактивно работают над квантовой устойчивостью:

QRL (Quantum Resistant Ledger) — Спроектирован с нуля с использованием подписей на основе хешей (XMSS).
Algorand — Опубликовал исследования по интеграции постквантовых подписей.
IOTA — Использует одноразовые подписи Winternitz (на основе хешей, квантово-устойчивые), но с практическими ограничениями.

Что можно сделать уже сегодня

1. Используйте типы адресов, защищенные хешем

Для Bitcoin используйте адреса P2PKH, P2SH или P2WPKH (которые раскрывают только хеш открытого ключа), а не P2TR (Taproot), если квантовая устойчивость в приоритете. Однако как только вы тратите с любого адреса, открытый ключ раскрывается.

2. Никогда не используйте адреса повторно

Используйте новый адрес для каждой транзакции. После траты с адреса переведите любой остаток средств на новый, неиспользованный адрес. Это гарантирует, что ваш открытый ключ раскрыт минимально возможное время. HD Wallet (BIP-44) упрощают это, автоматически генерируя новые адреса.

3. Минимизируйте время раскрытия открытого ключа

Для крупных холодных хранилищ рассмотрите сценарий, при котором:

Средства поступают на адрес, открытый ключ которого никогда не раскрывался.
Когда нужно потратить, вы переводите все средства одной транзакцией (не оставляя остатка на раскрытом адресе).
Сдача отправляется на новый, нераскрытый адрес.

Это минимизирует окно, в течение которого атакующий может использовать известный открытый ключ.

4. Следите за развитием постквантовых решений

Будьте в курсе:

прогресса стандартизации постквантовой криптографии в NIST;
предложений по обновлению протоколов Bitcoin и Ethereum, связанных с квантовой устойчивостью;
достижений в аппаратуре квантовых вычислений и коррекции ошибок;
потенциальных софтфорков или хардфорков, вводящих квантово-устойчивые типы адресов.

Когда появятся квантово-устойчивые типы адресов, оперативно мигрируйте свои активы.

5. Рассмотрите квантово-устойчивую защиту seed phrase

Сама ваша seed phrase защищена PBKDF2 и хешированием SHA-512, которые квантовые компьютеры не могут эффективно взломать (алгоритм Гровера дает только квадратичное ускорение для хеширования). Seed phrase с энтропией 256 бит сохраняет 128-битную стойкость против квантовой атаки, что считается достаточным.

Инструмент SafeSeed

SafeSeed Seed Phrase Generator генерирует seed phrase с энтропией 256 бит, которые сохраняют высокую безопасность даже при будущих квантовых угрозах для хеширования. В сочетании с правильным управлением адресами (без повторного использования, с адресами, защищенными хешем) ваше холодное хранение на основе seed phrase может быть подготовлено к квантовой эпохе.

Распространенные заблуждения

«Квантовые компьютеры взломают Bitcoin за одну ночь»

Неверно. Даже когда квантовые компьютеры станут достаточно мощными, чтобы запускать алгоритм Шора против ECDSA, атака требует значительного времени вычислений на каждый открытый ключ и нацеливается на конкретные уязвимые адреса. Сеть Bitcoin получит заблаговременное предупреждение (этапы развития квантовых вычислений отслеживаются публично) и внедрит постквантовые обновления до реализации угрозы.

«Вся криптовалюта одинаково уязвима»

Неверно. Уязвимость зависит от того, раскрыт ли открытый ключ. Средства на неиспользованных адресах P2PKH защищены хеш-функциями, устойчивыми к квантовым атакам. Средства на адресах, которые уже участвовали в транзакциях (открытый ключ виден), более уязвимы.

«Нужно перейти на квантово-устойчивую криптографию уже сейчас»

Срочной необходимости нет. По большинству оценок угроза находится в горизонте 15-30 лет. Постквантовые криптографические стандарты все еще развиваются, и преждевременное внедрение может создать новые уязвимости (из-за недостаточно проанализированных алгоритмов). Однако информированность и планирование нужно начинать уже сейчас.

«Квантовые вычисления сделают криптовалюту бесполезной»

Неверно. Квантовые вычисления — это криптографический вызов, а не экзистенциальная угроза. Те же квантово-безопасные алгоритмы, которые будут защищать банковскую сферу, военную связь и интернет-безопасность, будут защищать и криптовалюту. Блокчейны обновят схемы подписи так же, как раньше обновляли типы адресов и возможности скриптов.

«128-битной стойкости против квантовых атак недостаточно»

В обозримом будущем 128-битная стойкость считается более чем достаточной криптографическим сообществом. Постквантовые стандарты NIST построены вокруг уровней безопасности 128 бит. Взлом 128-битной стойкости требует 2^128 операций, что остается далеко за пределами любых прогнозируемых вычислительных возможностей.

Проблема миграции

Самая значимая практическая проблема — не сам криптографический алгоритм, а процесс миграции:

Неактивные кошельки — Средства в кошельках, чьи владельцы потеряли ключи, умерли или забросили монеты (оценочно 3-4 млн BTC), нельзя мигрировать. Они станут уязвимыми, когда квантовые компьютеры созреют.
Монеты Сатоши — Около 1,1 млн BTC на предположительно принадлежащих Сатоши адресах P2PK нельзя перевести на квантово-устойчивые адреса, если Сатоши (кто бы это ни был) больше не активен.
Координация — Софтфорк или хардфорк, требующий от всех пользователей миграции средств на новые типы адресов, является масштабной координационной задачей.
Дефицит времени — Если квантовые вычисления будут развиваться быстрее ожидаемого, окно для миграции может оказаться некомфортно коротким.

Некоторые предложения включают внедрение «карантинного» периода: после определенной высоты блока транзакции с квантово-уязвимых типов адресов будут ограничены или потребуют дополнительного доказательства владения. Это крайне спорно и, вероятно, встретит сильное сопротивление сообщества.

Исследования и будущие направления

Агрегация подписей для PQC

Одна из активных областей исследований — агрегация нескольких постквантовых подписей для уменьшения их размера on-chain. Для подписей на основе решеток изучаются техники, аналогичные тому, как подписи Schnorr позволяют агрегацию ключей (MuSig2).

Квантовое распределение ключей (QKD)

Некоторые исследователи предлагали использовать квантовое распределение ключей для криптовалют, но в целом это считается непрактичным для децентрализованных сетей (QKD требует прямых оптических каналов между участниками).

Гибридные схемы

Гибридные схемы подписи, сочетающие ECDSA с постквантовым алгоритмом, обеспечивают защиту и от классических, и от квантовых атак. Если хотя бы один алгоритм остается безопасным, гибридная схема безопасна. Это позволяет постепенный переход без полной ставки на безопасность относительно новых постквантовых алгоритмов.

Zero-Knowledge Proofs

Системы доказательств с нулевым разглашением (например, STARKs), основанные на хеш-функциях, а не на криптографии эллиптических кривых, по своей природе квантово-устойчивы. Их растущее использование для масштабирования блокчейнов (zkRollups) также повышает квантовую устойчивость.

FAQ

Могут ли квантовые компьютеры взломать Bitcoin?

Не сегодня. Текущие квантовые компьютеры слишком малы и шумны, чтобы запускать алгоритмы, необходимые для взлома криптографии Bitcoin. Даже самые оптимистичные оценки говорят, что криптографически значимые квантовые компьютеры появятся через 15-30 лет. Когда это произойдет, Bitcoin, вероятно, уже перейдет на квантово-устойчивые схемы подписи.

Сколько кубитов нужно, чтобы взломать Bitcoin?

Оценки различаются, но для взлома ECDSA secp256k1 потребуется примерно 2,500 логических кубитов, что эквивалентно примерно 1-20 млн физических кубитов при текущих технологиях коррекции ошибок. Крупнейшие квантовые компьютеры в 2025 году имеют примерно 1,000-1,500 физических кубитов.

Защищена ли моя криптовалюта от квантовых компьютеров?

В обозримом будущем (10-20+ лет) — да. Если вы соблюдаете лучшие практики — используете адреса, защищенные хешем, избегаете повторного использования адресов и надежно храните seed phrase — ваши средства хорошо защищены. Когда появятся квантово-устойчивые типы адресов, мигрируйте свои активы.

Что такое постквантовая криптография?

Постквантовая криптография — это криптографические алгоритмы, разработанные для устойчивости к атакам как классических, так и квантовых компьютеров. NIST стандартизировал несколько алгоритмов PQC (ML-KEM, ML-DSA, SLH-DSA), основанных на математических задачах, которые квантовые компьютеры не могут эффективно решать, например решетчатых задачах и свойствах хеш-функций.

Нужно ли перестать использовать адреса Taproot из-за квантового риска?

Квантовый риск для адресов Taproot теоретический и относится к отдаленному будущему. Практические преимущества Taproot (меньше комиссии, лучше приватность, расширенные скриптовые возможности) перевешивают квантовый риск в текущем использовании. Однако для очень долгосрочного холодного хранения (20+ лет) адреса, защищенные хешем (P2WPKH), дают дополнительный уровень квантовой устойчивости.

Повлияют ли квантовые вычисления на Ethereum?

Да, Ethereum использует ту же криптографию ECDSA, что и Bitcoin, и сталкивается с похожими квантовыми угрозами. Модель аккаунтов Ethereum означает, что у большинства активных аккаунтов открытые ключи уже раскрыты. Однако механизмы обновления Ethereum (хардфорки, абстракция аккаунта) дают пути для внедрения постквантовых подписей. Фонд Ethereum признал квантовую устойчивость долгосрочным приоритетом.

Является ли SHA-256 квантово-безопасным?

SHA-256 значительно более устойчив к квантовым атакам, чем ECDSA. Алгоритм Гровера снижает эффективную стойкость SHA-256 с 256 до 128 бит, что остается чрезвычайно высоким уровнем. SHA-256 считается квантово-безопасным в обозримом будущем.

Что произойдет с потерянными/заброшенными Bitcoin, когда появятся квантовые компьютеры?

Средства на адресах с раскрытыми открытыми ключами (из прошлых транзакций), которые владельцы не могут мигрировать, станут уязвимы для квантовой атаки. Сюда входят оценочные ~1,1 млн BTC Сатоши и примерно 3-4 млн BTC в потерянных кошельках. Как сообщество Bitcoin будет обращаться с этими монетами (если вообще будет), остается открытым и спорным вопросом.

Основы квантовых вычислений​

Классические и квантовые вычисления​

Задачи, важные для криптовалют​

Чему угрожают квантовые компьютеры​

Цифровые подписи на эллиптических кривых (ECDSA)​

Когда раскрывается открытый ключ?​

Адреса с наибольшим риском​

Что НЕ под угрозой (или под меньшей угрозой)​

Алгоритмы хеширования (SHA-256, RIPEMD-160)​

Майнинг Bitcoin (Proof of Work)​

Симметричное шифрование (AES)​

Сроки: когда квантовые компьютеры станут угрозой?​

Текущее состояние квантовых вычислений (2025)​

Оценки сроков от экспертов​

Угроза «собери сейчас, расшифруй позже»​

Постквантовая криптография (PQC)​

Постквантовые стандарты NIST​

ML-KEM (ранее CRYSTALS-Kyber)​

ML-DSA (ранее CRYSTALS-Dilithium)​

SLH-DSA (ранее SPHINCS+)​

Постквантовые подписи vs. ECDSA​

Последствия для конкретных криптовалют​

Bitcoin​

Ethereum​

Другие блокчейны​

Что можно сделать уже сегодня​

1. Используйте типы адресов, защищенные хешем​

2. Никогда не используйте адреса повторно​

3. Минимизируйте время раскрытия открытого ключа​

4. Следите за развитием постквантовых решений​

5. Рассмотрите квантово-устойчивую защиту seed phrase​

Распространенные заблуждения​

«Квантовые компьютеры взломают Bitcoin за одну ночь»​

«Вся криптовалюта одинаково уязвима»​

«Нужно перейти на квантово-устойчивую криптографию уже сейчас»​

«Квантовые вычисления сделают криптовалюту бесполезной»​

«128-битной стойкости против квантовых атак недостаточно»​

Проблема миграции​

Исследования и будущие направления​

Агрегация подписей для PQC​

Квантовое распределение ключей (QKD)​

Гибридные схемы​

Zero-Knowledge Proofs​

FAQ​

Могут ли квантовые компьютеры взломать Bitcoin?​

Сколько кубитов нужно, чтобы взломать Bitcoin?​

Защищена ли моя криптовалюта от квантовых компьютеров?​

Что такое постквантовая криптография?​

Нужно ли перестать использовать адреса Taproot из-за квантового риска?​

Повлияют ли квантовые вычисления на Ethereum?​

Является ли SHA-256 квантово-безопасным?​

Что произойдет с потерянными/заброшенными Bitcoin, когда появятся квантовые компьютеры?​

Related Guides​