Квантово-устойчивая криптография — это набор алгоритмов, которые должны выдержать атаку не только обычного сервера, но и будущего мощного квантового компьютера. В этой статье разберём, откуда появилась эта угроза, почему она особенно нервирует блокчейны, что на самом деле внедряет NEAR и почему подготовку начинают до появления машины, которая ещё не умеет массово взламывать ключи.
Почему тема всплыла именно сейчас
В обычной финансовой инфраструктуре криптография живёт почти незаметно. Банк проверяет подпись, браузер договаривается о защищённом соединении, платёжная система подтверждает транзакцию. Пользователь видит кнопку, а под ней работает математика: RSA, эллиптические кривые, хеш-функции, цифровые подписи.
В блокчейне эта математика видна сильнее. Монеты и токены принадлежат не фамилии в реестре, а ключу. Если злоумышленник сможет получить приватный ключ или подделать подпись, он не просто прочитает чужое сообщение. Он сможет подписать перевод так, будто его сделал настоящий владелец.
Пока классические компьютеры не могут эффективно решать задачи, на которых держится современная публичная криптография. Но в 1994 году математик Питер Шор показал алгоритм, который на достаточно мощном квантовом компьютере способен резко ускорить факторизацию и дискретное логарифмирование. А это как раз фундамент RSA и многих схем на эллиптических кривых.
Отсюда и появился термин post-quantum cryptography, или PQC. Это не “квантовая криптография” с фотонами и отдельными каналами связи, а обычные программные алгоритмы, которые работают на классических компьютерах, но строятся на задачах, для которых не найдено такого же разрушительного квантового алгоритма, как алгоритм Шора для RSA и ECC.
Главные причины, по которым криптосообщество не хочет ждать последнего момента:
- Миграция ключей занимает годы. В блокчейне нужно обновить протокол, кошельки, SDK, валидаторов, биржи, кастодианов и пользователей.
- Публичные ключи уже лежат в истории сети. В некоторых моделях адресов ключ раскрывается после первой исходящей транзакции, и эта информация остаётся навсегда.
- Подписи нельзя заменить одной настройкой. Новый алгоритм меняет размер подписи, формат транзакций, нагрузку на узлы и требования к кошелькам.
- Атака может выглядеть легитимно. Если подпись корректна, сеть не увидит “взлом” в привычном смысле — она увидит валидную транзакцию.
Что такое квантовый компьютер и почему его ещё нет в нужном виде
Квантовый компьютер использует кубиты. В отличие от обычного бита, который принимает значение 0 или 1, кубит может находиться в квантовом состоянии, которое удобнее описывать как суперпозицию. Это не магическая “параллельность всего”, а очень строгая физическая модель: квантовые состояния эволюционируют, взаимодействуют, дают интерференцию и затем измеряются.
Для криптографии важна не красивая картинка с цилиндром в лаборатории, а способность долго и точно выполнять конкретный алгоритм. Здесь нынешние системы пока упираются в несколько инженерных стен.
Кубиты шумные. Они теряют состояние, ошибаются при операциях, зависят от температуры, материалов, управляющей электроники и архитектуры. Чтобы получить один устойчивый логический кубит, часто нужно много физических кубитов и сложная коррекция ошибок. Поэтому “у компании есть 100 или 1000 кубитов” ещё не означает “она может взломать блокчейн”. Важнее, сколько логических кубитов доступно, как долго они живут и сколько корректных операций можно выполнить подряд.
IBM в своей дорожной карте говорит о движении к fault-tolerant quantum computing: системам, где ошибка не просто уменьшается, а контролируется на протяжении длинных вычислений. Google с процессором Willow показала важный результат в коррекции ошибок, но это всё ещё не тот класс машины, который можно направить на массовый взлом современных цифровых подписей. Нужна не демонстрация эффекта, а надёжная, масштабируемая, повторяемая вычислительная платформа.
Поэтому фраза “квантовый компьютер ещё не изобретён” звучит одновременно верно и неточно. Квантовые компьютеры существуют в лабораториях и облачных сервисах. Не существует криптографически релевантного квантового компьютера — машины, которая достаточно велика и устойчива, чтобы практически ломать RSA, ECDSA или EdDSA на реальных параметрах.
Откуда появилась квантово-устойчивая криптография
Постквантовая криптография выросла из двух встречных процессов. С одной стороны, физики и инженеры постепенно улучшали квантовое железо. С другой — криптографы заранее искали алгоритмы, которые не опираются на уязвимые для Шора задачи.
Наиболее заметный официальный рубеж случился в августе 2024 года: NIST утвердил первые три федеральных стандарта постквантовой криптографии. В набор вошли ML-KEM для обмена ключами, ML-DSA для цифровых подписей и SLH-DSA как hash-based схема подписи. Это не значит, что криптография “закончилась” и все ответы найдены. Но у индустрии появился нормальный ориентир: не просто академические кандидаты, а стандартизованные алгоритмы для миграции.
Если упростить, сегодняшние PQC-схемы опираются на другие семейства задач:
- решётки — многомерные математические структуры, на которых основаны ML-KEM и ML-DSA;
- хеш-функции — более консервативная база для схем вроде SLH-DSA, где безопасность строится вокруг свойств хеша;
- коды, изогении и другие направления — часть исследуется дальше, часть уже отсеивается, потому что криптоанализ не стоит на месте.
Опасение здесь честное: “устойчивая” не означает “вечная”. Это означает “считается устойчивой к известным квантовым и классическим атакам на текущем уровне науки”. В криптографии так почти всегда: алгоритм живёт, пока его математическая база и реализация выдерживают проверку.
Что именно может сломать квантовая атака
Главный удар приходится по публичной криптографии. RSA, ECDSA, EdDSA и родственные схемы удобны потому, что публичный ключ можно раскрыть, а приватный оставить тайным. Классический компьютер не может быстро восстановить приватный ключ из публичного. Достаточно мощный квантовый компьютер с алгоритмом Шора теоретически меняет это равновесие.
Симметричная криптография вроде AES страдает меньше. Алгоритм Гровера даёт квантовое ускорение перебора, но это не такой драматичный обвал, как у RSA и ECC. Поэтому практический ответ часто проще: использовать более длинные ключи, например AES-256. Для цифровых подписей такой лёгкой замены нет.
| Слой | Что делает сейчас | Квантовый риск | Как готовятся |
|---|---|---|---|
| Цифровая подпись | Подтверждает, что транзакцию подписал владелец ключа | Восстановление приватного ключа из публичного для уязвимых схем | Добавляют ML-DSA, hash-based подписи или гибридные схемы |
| Обмен ключами | Помогает сторонам договориться о секрете в TLS, VPN и других протоколах | Перехват сегодня с расшифровкой позже | Переходят на ML-KEM и гибридные режимы |
| Хеширование | Связывает блоки, адреса, Merkle-деревья и коммитменты | Ускоренный перебор, но не мгновенный крах | Увеличивают параметры и проверяют конкретную конструкцию |
| Кошельки и кастодианы | Хранят и используют приватные ключи | Компрометация старых ключей и несовместимость новых форматов | Делают ротацию ключей, новые устройства и поддержку PQ-подписей |
Почему “собирать сейчас, расшифровать потом” относится не только к шпионам
Для переписки и банковских архивов часто обсуждают сценарий harvest now, decrypt later: злоумышленник записывает зашифрованный трафик сегодня, а расшифровывает его через годы, когда появится подходящая машина. Для блокчейна угроза немного другая, потому что транзакции и так публичны. Здесь ценность не в скрытом сообщении, а в публичных ключах, старых подписях, адресах и возможности атаковать кошелёк после того, как его ключ стал известен сети.
У разных блокчейнов это устроено по-разному. Где-то адрес — это хеш публичного ключа, и сам публичный ключ раскрывается только при трате. Где-то модель аккаунта делает ключи и разрешения более гибкими. Но базовая мысль одна: если сеть не умеет мигрировать ключи спокойно, квантовая угроза превращается не в одномоментную катастрофу, а в долгую операционную проблему.
Показательный соседний сюжет — дискуссия о защите Bitcoin от квантовых атак. На FinTerminal уже выходил материал о том, как BitMEX предлагает гибкий подход к защите BTC. Важен не только выбор подписи, но и то, как убедить миллионы участников сети перейти на новые правила без потери средств и доверия.
Что NEAR пытается сделать раньше других
В мае 2026 года вокруг NEAR снова появилась волна интереса к постквантовой теме. Коротко новость уже разбиралась в материале о внедрении постквантовой криптографии NEAR. Для лонгрида важнее не ценовая реакция токена, а техническая логика.
Судя по публичным описаниям обновления, команда Near One делает ставку на поддержку постквантовой схемы цифровой подписи ML-DSA, то есть стандарта FIPS 204. Практический смысл — дать сети возможность принимать и проверять подписи, которые не завязаны на классическую эллиптическую кривую. Это не мгновенное превращение всей экосистемы в “неуязвимую”, а первый слой совместимости.
У NEAR для такой миграции есть полезная особенность: аккаунт не обязан быть навсегда привязан к одному ключу. В официальной документации NEAR описывает модель access keys: у аккаунта может быть несколько ключей с разными правами, а ключи можно добавлять и удалять. Эта архитектура даёт больше пространства для ротации: пользователь или сервис может добавить новый тип ключа, протестировать подпись, затем убрать старый ключ, когда кошельки и инфраструктура готовы.
Это принципиально отличается от ситуации, где адрес и публичный ключ почти одно и то же, а смена криптографии требует болезненной миграции адресов. У NEAR остаются сложности, но сама модель аккаунта лучше подходит для crypto-agility — способности менять криптографические примитивы без полной перестройки пользовательской идентичности.
Но как можно внедрять защиту, если мы не знаем будущий квантовый компьютер
Это самый сильный скептический вопрос. Если квантового компьютера нужного уровня нет, откуда уверенность, что ML-DSA или другая схема выдержит именно тот компьютер, который появится через пять, десять или пятнадцать лет?
Полной уверенности нет. И хорошая криптография не должна притворяться, что она есть.
Но внедрение PQC строится не на гадании о бренде будущего процессора. Оно строится на известных классах алгоритмов и математических задач. Мы знаем, почему алгоритм Шора опасен для RSA и ECC. Мы знаем, какие задачи он решает эффективно. Мы знаем, что для решёток и hash-based подписей нет известного квантового алгоритма с таким же разрушительным эффектом. Этого достаточно, чтобы начать миграцию от явно уязвимых схем к менее уязвимым.
Правильная аналогия — не “построить бункер под неизвестную бомбу”, а “заменить замок, про который уже известно, что у будущего инструмента будет подходящая отмычка”. Новый замок тоже нужно проверять. Возможно, его будут усиливать, менять параметры или комбинировать со старым замком в гибридной схеме. Но ждать демонстрационного взлома — худшая стратегия для инфраструктуры, где ключи и подписи живут годами.
Для NEAR внедрение до появления криптографически релевантного квантового компьютера решает четыре задачи:
- проверить формат транзакций и подписи на реальных клиентах, а не в последнюю неделю перед паникой;
- подготовить кошельки и аппаратные устройства, потому что пользовательская инфраструктура обновляется медленнее протокола;
- понять цену новых подписей для размера транзакций, газа, валидации и хранения;
- дать разработчикам привычку к ротации ключей, чтобы переход стал операцией, а не чрезвычайным событием.
Мини-чекер: насколько блокчейн готов к постквантовой миграции
Этот чекер не оценивает цену токена и не обещает абсолютную безопасность. Он помогает понять, есть ли у сети практическая база для перехода на новые подписи: гибкость аккаунтов, поддержка кошельков, тестирование стандартизованных схем и понятный план для старых ключей.
1. Можно ли добавить новый тип ключа без смены всей учётной записи?
Этот пункт важен, потому что постквантовая миграция почти всегда начинается с ротации ключей, а не с мгновенной замены всей сети.
2. Используется ли стандартизованный или близкий к стандарту PQC-алгоритм?
Стандарт не гарантирует вечной защиты, но снижает риск самодельной криптографии и даёт совместимость с внешней инфраструктурой.
3. Готовы ли кошельки, SDK и кастодианы?
Даже лучший алгоритм бесполезен, если пользователь не может безопасно подписать транзакцию в реальном кошельке.
Как читать результат: 0-2 балла — миграция пока декларативная; 3-4 балла — есть технический задел, но много зависимостей; 5-6 баллов — сеть ближе к практической crypto-agility. NEAR выглядит сильнее многих проектов именно по первому пункту, потому что его модель access keys лучше приспособлена к замене ключей.
Какие опасения остаются даже после PQC-апгрейда
Первое опасение — размер и стоимость. Постквантовые подписи часто крупнее привычных подписей на эллиптических кривых. Для блокчейна это не мелочь: больше байтов в транзакции, больше данных для передачи, хранения и проверки. Даже если вычислительно всё проходит, экономика сети может измениться.
Второе — совместимость. Кошельки, браузерные расширения, мобильные приложения, аппаратные устройства, RPC-провайдеры, биржи и кастодианы должны понимать новый формат. Пользователь может быть готов, а его кошелёк — нет. Или наоборот: кошелёк поддерживает новый ключ, но биржа ещё не принимает такие транзакции.
Третье — ложное чувство безопасности. Проект может объявить “quantum-resistant”, а на деле защитить только один слой. Например, транзакционная подпись стала новой, но мосты, мультисиги, старые ключи, MPC-сервисы или off-chain авторизация остались на классических схемах. Для реальной безопасности нужно смотреть на весь маршрут: от генерации ключа до подтверждения операции.
Четвёртое — криптоанализ самих новых схем. История PQC уже знает кандидатов, которые выглядели перспективно, а потом ломались быстрее ожиданий. Поэтому зрелый подход — это не один “вечный” алгоритм, а возможность обновляться снова.
Почему блокчейнам сложнее, чем банкам и VPN
У банка есть центр принятия решений. Он может обновить серверы, заменить сертификаты, обязать клиентов перейти на новую версию приложения и постепенно отключить старые протоколы. Это неприятно, но управляемо.
У публичного блокчейна нет единого начальника для всех кошельков и пользователей. Даже если команда ядра подготовила обновление, остаются валидаторы, биржи, маркетмейкеры, DeFi-протоколы, аппаратные кошельки, старые аккаунты, забытые адреса и пользователи, которые появятся через год после миграции.
Поэтому NEAR интересен не тем, что “первым победил квантовые компьютеры”. Такой фразы лучше избегать. Он интересен как пример сети, которая пытается встроить постквантовую совместимость в живой блокчейн заранее, пока есть время тестировать без угрозы массовой паники.
Если упростить, хороший сценарий для NEAR выглядит так: сначала поддержка PQ-подписей в тестовой среде, затем интеграция в кошельки и инструменты разработчика, потом понятная ротация ключей для пользователей и сервисов, затем постепенное повышение требований к критичным аккаунтам. Плохой сценарий — громкий маркетинг без совместимости на уровне кошельков и без плана для старых ключей.
Что это значит для пользователя NEAR
Обычному пользователю не нужно срочно бежать и “спасать” аккаунт от квантового компьютера. Такой машины, которая завтра массово украдёт токены через восстановление приватных ключей, сейчас нет. Но пользователю стоит понимать, что в будущем безопасность будет зависеть не только от seed-фразы, но и от способности кошелька поддерживать новые типы подписей.
Практически это сводится к нескольким привычкам:
- следить за обновлениями основного кошелька и не использовать заброшенные приложения;
- разделять ключи по назначению, если сеть и кошелёк это позволяют;
- не держать крупные суммы на аккаунтах, где ключи давно раскрыты и не ротируются;
- проверять, поддерживает ли кастодиан или биржа новые форматы подписи;
- не верить токенам и проектам, которые продают “полную квантовую неуязвимость” без технических деталей.
Для разработчика NEAR вопрос шире. Нужно думать, какие ключи использует приложение, как оно выдаёт function-call permissions, что будет со старыми интеграциями, как контракт или сервис переживёт смену алгоритмов подписи. Постквантовая миграция — это не только cryptography upgrade, но и продуктовая задача: пользователь не должен потерять доступ из-за того, что безопасность стала “правильнее”.
Зачем тогда всё это, если угрозы ещё нет
Потому что угроза для криптографии появляется раньше, чем готовый атакующий компьютер. Она появляется в момент, когда становится понятно: текущая схема имеет известный теоретический путь к взлому, а замена потребует долгой координации.
Блокчейны особенно чувствительны к таким переходам. Их история публична, старые решения нельзя просто стереть, а пользователи часто не читают технические предупреждения. Если ждать, пока квантовый компьютер станет практическим, поздно будет не потому, что все ключи мгновенно украдут, а потому что экосистема не успеет договориться, обновиться и спокойно перевести критичные аккаунты.
NEAR в этой истории выглядит не как проект, который знает устройство будущего квантового компьютера. Он выглядит как проект, который делает ставку на готовность к смене криптографии. Это более трезвая и полезная позиция. Сильная сторона NEAR — гибкая модель аккаунтов и ключей. Слабое место любой такой инициативы — зависимость от кошельков, устройств, разработчиков и дисциплины пользователей.
Квантово-устойчивая криптография не отменяет риск. Она покупает время и управляемость. Для финансовой инфраструктуры это уже много: когда неизвестность нельзя убрать, её нужно хотя бы превратить в план миграции, который можно проверить до того, как он станет вопросом выживания сети.
FAQ
Квантово-устойчивая криптография и квантовая криптография — одно и то же?
Нет. Квантовая криптография обычно использует физические квантовые свойства, например для распределения ключей. Квантово-устойчивая криптография — это программные алгоритмы для обычных компьютеров, которые должны выдерживать атаки будущих квантовых машин.
Можно ли считать ML-DSA окончательным решением?
Нет. ML-DSA — стандартизованная и серьёзно проверенная схема цифровой подписи, но криптография не даёт пожизненных гарантий. Поэтому важна не только конкретная схема, но и возможность сети заменить её, если криптоанализ или практика потребуют нового перехода.
Квантовый компьютер уже может взломать Bitcoin, NEAR или банковские подписи?
Публичных доказательств существования криптографически релевантной квантовой машины сейчас нет. Лабораторные квантовые компьютеры существуют, но им не хватает масштаба, устойчивых логических кубитов и длинных последовательностей надёжных операций для таких атак.
Почему NEAR может быть удобнее для миграции, чем некоторые другие сети?
У NEAR аккаунты могут иметь несколько access keys с разными правами, а ключи можно добавлять и удалять. Это не решает все проблемы, но упрощает ротацию и тестирование новых типов подписи по сравнению с моделями, где идентичность жёстко привязана к одному ключу или адресу.
