Офіційне повідомлення Google Quantum AI: кількість квантових бітів, необхідних для розкриття біткойн-шифрування, знизилася у 20 разів

Автор: Ryan Babbush & Hartmut Neven, Google Quantum AI

Переклад: Deep Tide TechFlow

Deep Tide: Це першоджерело обговорення сьогоднішньої квантової загрози; це не переказ у ЗМІ, а офіційний технічний блог, опублікований у співавторстві директором із досліджень квантових алгоритмів Google Quantum AI та VP Engineering.

Єдиний ключовий висновок: раніше оцінена кількість фізичних квантових бітів, потрібних для злому біткоїн-еліптичнокривої криптографії, тепер зменшилась приблизно в 20 разів. Google також оприлюднив матеріали для верифікації у форматі «zero-knowledge proofs» («доказів із нульовим знанням»), що дозволяє третім сторонам перевірити висновки без розкриття деталей атаки — саме така форма розкриття також заслуговує на увагу.

Повний текст нижче:

31 березня 2026 року

Ryan Babbush, директор із досліджень квантових алгоритмів Google Quantum AI; Hartmut Neven, інженерний віцепрезидент Google Quantum AI, Google Research

Ми досліджуємо нову модель, щоб прояснити майбутні можливості квантових комп’ютерів щодо злому, а також окреслити кроки, які слід вжити, щоб зменшити його вплив.

Оцінка квантових ресурсів

Квантові комп’ютери мають потенціал розв’язувати проблеми, які раніше були нерозв’язними, включно із застосуваннями у хімії, відкритті ліків та енергетиці. Однак масштабні квантові комп’ютери, пов’язані з криптографією (CRQC), також можуть зламувати нині широко використовувану криптографію з відкритим ключем, яка захищає конфіденційну інформацію та різні інші системи. У тому числі уряди та установи різних країн, зокрема Google, роками працюють над подоланням цього виклику безпеці. З огляду на подальший прогрес науки й технологій CRQC поступово стає реальністю, що потребує переходу до постквантової криптографії (PQC — post-quantum cryptography) — саме тому ми нещодавно запропонували графік міграції на 2029 рік.

У нашій науковій роботі ми поділилися найновішими оцінками «квантових ресурсів» (тобто кількості квантових бітів і квантових вентилів), потрібних для задачі дискретного логарифму на еліптичних кривих розміром 256 бітів (ECDLP-256), що лежить в основі злому еліптичнокривої криптографії. Ми виражаємо оцінку ресурсів через число логічних квантових бітів (квантових бітів з корекцією помилок, які складаються з сотень фізичних квантових бітів) та число вентилів Toffoli (базової операції, що має високу «цінність» на квантових бітах і є одним із головних чинників часу виконання для багатьох алгоритмів).

Зокрема, ми склали два квантові кола (послідовності квантових вентилів) для реалізації алгоритму Шора проти ECDLP-256: одне використовує менш ніж 1200 логічних квантових бітів і 90 млн Toffoli-вентилів, інше — менш ніж 1450 логічних квантових бітів і 70 млн Toffoli-вентилів. Ми оцінюємо, що за стандартними припущеннями щодо апаратних можливостей, узгодженими з частково флагманськими квантовими процесорами Google, ці схеми можуть бути виконані на надпровідних квантових бітах CRQC із менш ніж 500 тис. фізичних квантових бітів за лічені хвилини.

Це скорочення приблизно в 20 разів кількості фізичних квантових бітів, потрібних для злому ECDLP-256, і це продовження тривалого процесу оптимізації — коли квантові алгоритми компілюють у контур із корекцією помилок.

Захист криптовалют за допомогою постквантової криптографії

Більшість технологій блокчейну та криптовалют нині покладаються на ECDLP-256 для забезпечення безпеки ключових аспектів. Як ми обговорювали у нашій роботі, PQC — це зрілий шлях для забезпечення безпеки блокчейнів у постквантовому світі; вона може гарантувати довгострокову життєздатність криптовалют і цифрової економіки в умовах наявності CRQC.

Ми наводимо приклади постквантових блокчейнів і випадки експериментального розгортання PQC на блокчейнах, які спочатку мали квантові вразливості. Ми зазначаємо, що хоча вже існують здійсненні варіанти на кшталт PQC, їхнє впровадження потребує часу, що підвищує актуальність негайних дій.

Ми також пропонуємо додаткові рекомендації для спільноти криптовалют, щоб покращити безпеку та стабільність у короткостроковій і довгостроковій перспективі, зокрема: уникати розкриття або повторного використання гаманців, які містять уразливості, а також потенційні варіанти політик для проблеми застарілих (викинутих) криптовалют.

Наш спосіб розкриття вразливостей

Розкриття вразливостей безпеки — це суперечлива тема. З одного боку, позиція «не розкривати» вважає, що публікація вразливостей дорівнює наданню атакувальникам інструкції для дій. З іншого боку, рух «повного розкриття» вважає, що коли громадськість дізнається про вразливості безпеки, це одночасно допомагає їй залишатися насторожі й вживати заходів самозахисту, а також стимулює роботу з безпечного виправлення. У сфері безпеки комп’ютерів ця дискусія вже звелася до набору компромісних підходів: «відповідальне розкриття» та «скоординоване розкриття вразливостей». Обидва підходи пропонують розкривати вразливості за умови встановлення періоду заборони (moratorium/відтермінування), щоб уражені системи мали час на впровадження безпечних виправлень. Університетська CERT/CC Карнегі-Меллона та проєкт Google Project Zero — провідні дослідницькі організації з безпеки — застосовували варіанти відповідального розкриття із чіткими граничними строками, і цей підхід також був прийнятий як міжнародний стандарт ISO/IEC 29147:2018.

У технологіях блокчейну розкриття вразливостей безпеки також ускладнюється ще одним специфічним чинником: криптовалюти — це не просто децентралізовані системи обробки даних. Вартість їхніх цифрових активів походить як від цифрової безпеки мережі, так і від довіри громадськості до системи. Паралельно з тим, як на рівні цифрової безпеки можливі атаки з боку CRQC, довіра громадськості також може бути підточена техніками страху, невизначеності й сумнівів (FUD — fear, uncertainty, and doubt). Тому навіть не наукова, безпідставна оцінка ресурсів квантового алгоритму для злому ECDLP-256 може сама по собі становити атаку на систему.

Ці міркування формують наш обережний підхід до розкриття оцінок ресурсів квантових атак у технологіях блокчейну, що спираються на еліптичнокриву криптографію. По-перше, ми знижуємо ризик FUD-етики, чітко окреслюючи ті сфери, де блокчейн є стійким до квантових атак, і фокусуючись на прогресі, досягнутому у безпеці постквантових блокчейнів. По-друге, не розкриваючи базові квантові кола, ми підтверджуємо нашу оцінку ресурсів, публікуючи сучасну криптографічну конструкцію під назвою «zero-knowledge proofs» («докази з нульовим знанням»), яка дозволяє третім сторонам перевірити наші твердження у ситуації, коли ми не розкриваємо чутливі деталі атак.

Ми запрошуємо до подальшого обговорення з квантовою спільнотою, спільнотою з безпеки, спільнотою криптовалют і спільнотою політиків, щоб досягти консенсусу щодо майбутніх стандартів відповідального розкриття.

Завдяки цій роботі наша мета — підтримати довгостроковий здоровий розвиток екосистеми криптовалют і технологій блокчейну, які дедалі більшою мірою займають важливе місце в цифровій економіці. У перспективі ми сподіваємося, що наш підхід до відповідального розкриття зуміє запустити важливий діалог між дослідниками з квантових обчислень і ширшою громадськістю, а також дасть взірці, які можна запозичити для напряму досліджень з квантового криптоаналізу.