Квантовый компьютер VS блокчейн и криптовалюты. Часть I. Инфографика

640 КБ должно хватить всем. Б. Гейтс? 

Мифов о квантовом компьютере (КК) чуть ли не больше, чем о блокчейне, а причина та же: никто не хочет разбираться. Почти никто. Порой — совсем. Никто. 

Когда-то, 22 года назад, сделал выбор между правом и теоретической физикой, но последняя навсегда осталась хобби: труды Каку, Хокинга и других — до сих пор занимают ⅓ библиотеки. И поэтому крайне странно слушать выпады критиков, которые явно уроки прогуливали, а теперь пытаются наверстать упущенное острыми словами, сложенными по шаблонам хайп-индустрии. 

Так попробуем же сегодня охватить разные аспекты КК с точки зрения его возможного (!) взаимодействия с блокчейном (и прочими ДРС) и криптовалютами. И начнём, как часто прежде, с вопросов и источников.

И да, предупрежу: это больше компиляция, чем полностью авторская статья, н на сей шаг пошёл умышленно, потому как мне сейчас важнее донести полярность мнений по проблематике, а не высказаться лишь самому. 

Кто виноват? Спекулянты

Если есть в этом мире зло большее, чем спекуляции, — покажите его мне. Вот и КК компьютер как очередной “убийца” блокчейна недаром становился в хайп 2017-го и антихайп 2018-2019 гг. Цитирую: “по криптовалютным форумам и телеграм-чатам упорно продолжают курсировать слухи о том, что причиной недавнего внушительного проседания курса BTC стала новость о достижении компанией Google квантового превосходства. Эта новость, изначально размещенная на сайте NASA, а затем распространенная The Financial Times, случайно совпала по времени с внезапным падением мощности сети Биткоин. Многие решили, что это совпадение означало взлом и заставило трейдеров сбросить изрядное количество биткоинов. Мол, из-за этого курс монеты был подтоплен на целых 1500 “мёртвых президентов США”. Слух упорно не хочет умирать и подпитывается твердой убеждённостью общественности в том, что развитие квантовых вычислений — есть гарантированная смерть блокчейнов и криптовалют”. Но и сегодня спор продолжился, а не завершился, поэтому — попробуем вникнуть глубже. 

Коротко о том, что было до

Вот несколько трудов, где упоминается про КК:

1. Первая часть бесплатной книги о Web 3.0;
2. Краткие заметки о КК на Golos:
   1. Часть первая;
   2. Часть вторая;
   3. Часть третья;
3. Блокчейн будущего: презентация в Санкт-Петербурге в 2018 году;
4. Квантовый компьютер на пальцах; 
5. КК в положительном русле:
   1. Смена парадигмы и архитектуры;
   2. Атаки будущего и темпография;
6. Основной вопрос от 09.06.2017 года.

Из “не своих” русско- и на англоязычных источников рекомендую:

1. Самое подробное описание технологий противостояния КК на русском языке: https://habr.com/ru/post/409985/;
2. КК на сверхпроводниках;
3. КК и криптовалюты:
   1. Разбор на Хабре;
   2. На Binance.Academy;
4. Атака 51 с помощью КК;
5. Очень подробный разбор от битновостей;
6. Когда-то это интервью было общедоступным: https://republic.ru/posts/84961. 
7. Крайне важные материалы:
   1. Противостояние Биткоина и КК: https://arxiv.org/pdf/1710.10377v1.pdf; 
   2. Атака 51 и КК: https://arxiv.org/pdf/1707.04344.pdf;
   3. Подписи:
      1. https://eprint.iacr.org/2017/965.pdf; 
      2. https://eprint.iacr.org/2011/484.pdf; 
   4. Пример применения алгоритма Шора: https://eax.me/shors-algorithm/; 
   5. О защите биткоинов от КК (и не только): https://avs.scitation.org/doi/10.1116/5.0073075; 
   6. Классификация криптоалгоритмов: https://habr.com/ru/post/336578/; 
8. Квантовая криптография.

Риски

КК применяют для вычислений квантовую суперпозицию и квантовую запутанность. 

Рисков, связанных с КК несколько, но главный из них состоит в том, что “Квантовые компьютеры — мощные машины, которые могут решать сложные уравнения гораздо быстрее, чем обычные компьютеры. Некоторые эксперты полагают, что они способны взламывать системы шифрования за считанные минуты, в то время как обычным компьютерам на это потребовалось бы несколько тысяч лет. Это ставит под угрозу большую часть современной инфраструктуры цифровой безопасности, включая криптографию, лежащую в основе Биткоина и криптовалюты в целом”. 

Но это и есть решение главной проблемы, которое нужно понять и принять сразу: КК-атаки касаются НЕ только криптовалют, а вообще всей инфраструктуры цифровой экономики. И превосходство здесь принесёт больше вреда, чем пользы. 

Следующий посыл заключается вот в чём: “Хотя квантовые вычисления всё ещё находятся в самом начале своего жизненного цикла, правительства и некоторые частные компании, такие как Microsoft и Google, работают над их развитием и повсеместным внедрением. И уже сейчас появляются прогнозы, что в течение десятилетия КК могут стать достаточно мощными, чтобы взламывать криптографическую защиту смартфонов, банковских систем и даже криптовалютных кошельков”. 

И это беда уже многих прогнозов, не только по КК: 

1. Люди, включая экспертов (в осном — в кавычках) не принимают во внимание, с одной стороны — экспоненциальный рост, с другой — разного рода боковые тренды: поэтому в Космос мы полетели лишь в 1960-х, а все рассказы об AI из 1980-х актуальны до сих пор;
2. К тому же КК — это дорого и под него ведь надо ещё… да-да, придумать задачи (об этом — ниже). На сегодня же определены лишь общие контуры, в частности, “для работы квантовых компьютеров требуются квантовые алгоритмы. Из наиболее известных квантовых алгоритмов можно выделить три: 
   1. Шора (разложения числа на простые множители):
   2. Гровера (решение задачи перебора, быстрый поиск в неупорядоченной базе данных);
   3. Дойча-Йожи (ответ на вопрос, постоянная или сбалансированная функция)”.
   4. Но можно и сильно больш: https://habr.com/ru/post/596491/. 

Какие же решения есть?

Очевидное — (пост) квантовый форк блокчейн-решений. Защитит ли он всех HODL-еров? Нет, если они не мигрируют на новый уровень защиты, но в целом решение видится простым и перспективным для 75-90% пользователей: “по оценкам аналитиков Deloitte, если бы квантовый компьютер уже существовал, перед ним было бы уязвимо примерно 4 млн ВТС — 21% от общего количества добытых монет” (79% — входит в диапазон выше).

Глубже, лучше, но сложнее — создание криптографически защищённых темпоральных капсул, описанных мной в темпографии. 

Из примитивного же — разработка стандартов (пост) квантового шифрования, которая уже в 2024 гг. должна бы появиться в США, а значит — и везде по миру. 

Главное, изучить манифесты шифропанков и криптоанархистов и понять, что они — не просто документы, а Конституция XXI века: для каждого жителя планеты Земля. 

Ещё одна надуманная проблема — брутфорс. Цитирую: “расчёты английских учёных показывают, что для взлома криптовалют на основе алгоритма SHA-256 за один день потребуется КК с 13 миллионами кубитов. Если сократить время до одного часа, то количество кубитов вырастает до 317 миллионов. За 10 минут Биткоин сможет взломать только КК с 1,9 миллиардами кубитов”. Ниже расскажу, что на сегодня даже 150 кубитов — уже достижение. 150, но не 1 900 000 000. 

Приведу ещё одну известную цитату: “годовая энергия, излучаемая Солнцем, равняется 1.21×1041 эрга. Этого достаточно, чтобы обеспечить 2.7×1056 переключений бита идеального компьютера; то есть, этого достаточно для перебора 187-битного шифрования за год. Хорошо. Предположим, мы построим сферу Дайсона вокруг Солнца и будем улавливать и копить ВСЮ солнечную энергию 32 года подряд, без каких либо потерь. В этом случае, мы сможем обеспечить энергией компьютер, который позволит нам досчитать до 2192. Заметим, что это мы просто перебираем биты. У нас не останется энергии ни на что другое, чтобы совершать с этими битами хоть какие-либо полезные вычисления. Предположим, мы не ограничимся и нашим Солнцем. Обычная сверхновая дает что-то вроде  1051 эрг (при этом в сотни раз большее количество энергии выделяется в виде нейтрино, её мы не учитываем из-за практических сложностей конвертации этой энергии). Если вся эта энергия пойдёт на одну сверх-большую вычислительную оргию, мы сможем перебрать 219-битный ключ полностью, от начала и до конца. Эти цифры не имеют ничего общего с технологией реальных устройств; это просто максимум перебора при идеальной эффективности, которую позволяют нам законы термодинамики. Они показывают нам, что атака перебором на  256-битный ключ неосуществима, пока компьютеры делаются из обычной материи и находятся в нашем пространстве”. 

Поэтому, как ни странно на первый взгляд, ASIC эффективней КК в прямом подборе и в конкретной, узко специализированной задаче. Хотя это и не очевидно на первый же взгляд. 

Но самый большой риск — сама архитектура КК: “удерживать кубиты в суперпозиции и запутанности между собой крайне трудно. Они могут находиться в таком состоянии только при идеальной изоляции от окружающей среды. Иначе кубиты «портятся» — из квантовых битов они превращаются в обычные, лишаясь своей особой связи между собой и принимая конкретное значение — нуль или единицу. Таковы законы микромира, которые описывает квантовая механика”. 

И отсюда возникает, пожалуй, главный вывод: “КК применим ко всем вычислениям, но встаёт вопрос, всюду ли можно достигать экспоненциального ускорения. В разложении чисел на простые — можно. Есть хорошо ускоряемый алгоритм Шора… Есть алгоритм Гровера, который позволяет обращать функции на КК, но не экспоненциально, а квадратично. Можно ли решать переборные задачи на КК экспоненциально быстро и, например, победить проблему равенства классов P и NP — пока неизвестно”.

Поэтому — попробуем просто взглянуть, а что же на рынке есть, что хоть как-то подпадает под сам КК и под борьбу с ним. Начнём с конца в сей раз.

ДРС vs. КК

ArQit

Краткое описание таково: “симметричные ключи надежно защищены от любых атак, включая квантовые вычисления. Но до сих пор не существовало безопасного и эффективного способа их распространения. Arqit предоставляет вам метод создания таких ключей в масштабе, безопасно, на любом типе конечного устройства. Продукт компании Arqit, Quantum Cloud — симметричное шифрование, созданное в облаке”.

IOTA

Как ни странно, но да. Почему? Ответ может звучать следующим образом: “новая технология распределённых бухгалтерских книг, Internet of Things Architecture (IOTA), имеет свой подход к этой угрозе. IOTA использует квантово-устойчивую криптографию для защиты сети и предотвращения кражи злоумышленниками токенов IOTA. (В частности) IOTA позволяет устройствам свободно общаться между собой и своим окружением без участия человека. Распределённая бухгалтерская книга IOTA уникальна тем, что пары открытых и закрытых ключей не должны быть одинаковыми. Вместо того чтобы новые транзакции записывались по цепочке, они попадают в запутанную сеть. Это должно задержать КК на некоторое время, но это не постоянное решение, поскольку нам еще предстоит увидеть весь потенциал КК. Гонка к более безопасным, более надёжным распределённым бухгалтерским книгам началась…”.

HyperCash

Коротко звучит так: “Децентрализованная кроссплатформенная криптовалюта с открытым исходным кодом. Предназначена для облегчения обмена информацией между блокчейн и НЕ-блокчейн сетями. Высокозащищённая сеть, использующая технологию квантово-устойчивой подписи”. Один из интересных проектов. 

Starkware

Даже в простейшем виде подход этот звучит не очень дружелюбно для многих пользователей: “STARK — система доказательств. Она использует передовую криптографию для обеспечения полилогарифмических ресурсов проверки и размера доказательства, с минимальными и постквантово-безопасными предположениями”. К тому же — это ZK-механики, а моё отношение к ним, возможно, вы уже знаете. Если нет, то коротко: за ними — ближайшее (среднесрочно) будущее.

Uranium-X

Один из самых амбициозных проектов с дорожной картой до 2030 года, который при этом явно пилится энтузиастами, плюющими на маркетинге https://urx.zone. Судя же по гитхабу: https://github.com/barrystyle/UraniumX — пилился. Но идеи внутри заложены интересные тем не менее.

Theqrl.org 

Аббревиатура расшифровывается как: Quantum Resistant Ledger. “В нем используются алгоритмы постквантовой-криптографии: расширенная подпись Винтерница со структурой XMSS”. Пожалуй, это самый известный проект по теме, но за последнее время новостей от него всё меньше.

Пока на нём остановлюсь и перейдут к обратной стороне — к самим КК: коротким списком. 

А что и кто есть на рынке КК?

КК делают:

1. Государства (на самом деле — подбирают к рукам разработки ряда учёных и их групп): РФ, Великобритания, Китай, США, Япония, другие. Впрочем, потребуется много оговорок по каждой стороне, поэтому ограничусь открытым списком;
2. Компании: IBM, Google, Intel, другие. Аналогично. 

КК есть разных типов, изучить их можно по примерам:

1. Honeywell: https://www.honeywell.com/us/en/company/quantum  — Honeywell Quantum Solutions и Cambridge Quantum объединились, чтобы создать Quantinuum — крупнейшую в мире интегрированную компанию по квантовым вычислениям;
2. IonQ: одна из фишек — “квантовые” батареи для электромобилей;
3. Xanadu: “железо” для фотонных КК и open-source тулкит;
4. PsiQuantum: попытка построить универсальный КК: “другие (компании) фокусируются на промежуточных этапах, таких как «квантовое превосходство» и Noisy Intermediate Scale Quantum (NISQ), стремясь построить небольшие, шумные системы и надеясь, что они окажутся полезными. В PsiQuantum мы решили сосредоточиться на конечной цели: крупномасштабном квантовом компьютере общего назначения с исправлением ошибок. Это направило нас по другому пути, с другой базовой технологией — фотоникой — и другой командой”.
5. Цзючжан — одно из шумных детищ Китая;
6. Quix — заявления у компании схожие с рядом предыдущих: “в QuiX Quantum мы решаем проблемы, недоступные современным вычислительным технологиям, с помощью наших масштабируемых, подключаемых и воспроизводимых решений для квантовых вычислений. Наши квантовые фотонные процессоры являются самыми мощными в мире и представляют собой проверенную рынком платформу, которую выбирают разработчики квантовых технологий по всему миру”;
7. Sycamore: название квантового процессора Google, состоящего из 54 кубит;
8. Eagle: IBM-овский чип для КК;
9. Orca Computing…

Есть и другие и этот список для профи — запутанный и не классифицированный соответственно, для не профи — сложный. Поэтому пока просто ограничусь примерами, чтобы стало ясно, что КК — не теория, а вполне себе практика. Пусть и разрозненная. 

Нужно понимать, что “поставщики КК также предоставляют платформы разработки и документацию для языков и инструментов вычислений. IBM уже представила программную платформу для квантовых вычислений с открытым исходным кодом под названием Qiskit. А Microsoft выпустила инструмент бесплатного разработчика вычислительной техники на языке Q# и симулятор квантовых вычислений. Над разработкой ПО для квантовых компьютеров работают также 1QBit, Cambridge Quantum Computing, QSimulate, Rahko, Zapata и другие компании”. Примеры:

1. https://www.qiskit.org 
2. https://azure.microsoft.com/ru-ru/resources/development-kit/quantum-computing/ 

Поэтому, если хочется осмыслить полную историю КК и как следствие — классификацию, то все данные давно внесли в Wiki многие до меня, изучайте:

1. https://ru.wikipedia.org/wiki/Хронология_квантовых_вычислений 
2. https://ru.wikipedia.org/wiki/Квантовый_компьютер 

Но всё же покажу важные даты из практики:

• На 09.07.2021 MIT представил КК на 256 кубитов (с огромным числом оговорок);
• На 16.11.2021 вышел КК от IBM на 127 кубитов;
• На 23.10.2019 у Google был компьютер в 53 кубита (см. доп. ссылку);
• На 09.01.2018 Intel продемонстрировал КК на 49 кубитов. 

Проще говоря, по заявкам Google и других разработчиков КК график прироста кубитов в КК будет следующим (на логарифмической шкале):

Отсюда-то и берут начало основы квантовой мифологии:

1. Скажем, часто приводят в пример D-Wave с 5000 кубитами на борту, но фактически это узкоспециализированная “машина”, которая на широкой практике мало что даёт. Впрочем, ближе к 2020-м всё же стали делать оговорки такого типа: “все действующие устройства — это лишь экспериментальные системы, которые умеют решать только специально подобранные задачи. Использовать их для универсальных произвольных задач пока нельзя”. Или вот так: “по словам физика Хуана Хосе Гарсиа Риполя … КК не подходит для выполнения повседневных задач”. 
2.  “Томлинсон (и с ним — Ченг) вообще категоричен о будущем биткойна и остальных криптовалют и считает, что они обречены,ибо полноценный квантовый компьютер сможет вычислить приватный ключ из публичного за несколько минут”, — но учёта мер противодействия при этом “исследователи” никогда не называют. При этом  Андерсен Ченг специализируется в кибербезопасности, а Мартин Томлинсон — профессор Центра безопасности, коммуникаций и сетевых исследований Плимутского университета.
3. Или вот такой пример: “… когда КК решит конкретную проблему – что-нибудь из квантовой химии, например: предскажет свойства какой-нибудь сложной молекулы. Уверен, после подобного все будут говорить о существовании КК уже без всяких натяжек**”. А пока? Давайте сделаем первые выводы.

Сей час

Есть три важные даты нынче:

• “2023 год станет переломным — ошибки квантовых компьютеров станут экспоненциально уменьшаться с помощью программного обеспечения, а не только благодаря техническим усовершенствованиям”;
• “Тем не менее, IBM стремится создать к 2024 году чип квантовых вычислений на 1000 кубитов под названием Condor… Темпы инноваций в области квантовых вычислений трудно предсказать, но можно поспорить на биткойн, что хакеры будут следить за последними разработками”, — отсюда рождается проблема 2027, о которой поговорим отдельно;
• в 2029-ом Гугл ожидает КК с теми самыми 1 000 000 кубитов. Сразу же процитирую: “По подсчетам команды Уэббера, для взлома сети за день потребуется 13 миллионов кубитов. Пока самый мощный квантовый компьютер от IBM насчитывает всего 127 кубитов. Но цифры продолжают расти, а наблюдатели допускают, что устройства относительно быстро преодолеют отметку в 300 миллионов кубитов”.

Пока же мысли следующие:

КК будут развиваться и за 10 лет могут пройти дорогу экспоненциального роста числа используемых кубитов и даже выйти на коммерческий формат использования, но это не отменяет:

1. Излишний информационный шум (мусор даже) вокруг них;
2. Провалы прошлых лет и даже десятилетий;
3. Дороговизну технологии;
4. Архитектурные, организационные и даже правовые проблемы.

Последний пункт лучше всего обозначен здесь: “осуществление квантовой операции состоит из нескольких логических глав: приведение кубитов (аналогов “нулей и единиц” в современных компьютерах) в определенные исходные состояния, объединение их в запутанные системы, изолирование этих систем от влияния внешних помех, считывание результатов квантового расчета. И каждая из них имеет свои сложности, связанные с преодолением естественных для такой системы препятствий для получения результата с требуемой точностью”. 

Если взять противостояние КК vs. Bitcoin, то станет ясным, что:

1. Майнинг в основном устойчив к КК современных типов, особенно если учесть, что есть понятие сложности и никто не мешает изменить её перерасчёт с 2016 блоков на меньшее число, например; 
2. Фактически на сегодня из всех слоёв шифрования от КК опасность распространяется на Elliptic Curve Digital Signature Algorithm (ECDSA), но точно не на SHA256, если говорим о каких-то “лобовых” атаках. И даже  RipeMD160 находится в относительной безопасности;
3. К тому же предложений по взлому приватных ключей уже есть:
   1. Пойти примитивным, но эффективным путём: увеличить размер приватного ключа: квантовым компьютерам понадобится слишком много времени на их взлом; делать платежи “одноразовыми” (хотя тут проблема в UTXO);
   2. Или чуть более сложным — использовать более надёжный алгоритм шифрования (например, SHA-512 вместо SHA256);
   3. Или совсем не простым: перейти на постквантовую криптографию. 

Полный разбор подходов по ссылке и список выглядеть может так:

• криптография на основе хешей;
• криптография на основе кода;
• криптография на основе матрицы;
• криптография, основанная на многомерных квадратичных системах;
• криптография на базе секретного ключа.

Проблемы же всё равно остаются теми же:

Декогеренция и вся физика в целом, лежащая в основании КК:

1. Жизнь кубита в 2022 году составляет порой — 5 секунд: и этого уже не мало, но всё же блок Bitcoin — это 10 минут, напомню;
2. Управление множеством кубитов: “Управление одним кубитом обычно отрицательно влияет на другой из-за одновременного воздействия управляющих импульсов”. 

Специфика задач для КК (“атакующий с мощным КК может получить закрытый ключ из открытого ключа, но не может получить сам открытый ключ из биткойн-адреса. Ведь биткоин-адрес проходит через несколько однонаправленных хэш функций, устойчивых против квантовых вычислений”): 1) Соотношение цены и прироста вычислительных мощностях; 2) Зависимость всей цифровой инфраструктуры от КК в будущем.

Уровни защиты обозначил бы так:

• Примитивные практики: удлинение приватного ключа, ввод нового типа шифрования и т.д.;
• Простые (условно) практики: доработка алгоритма сложности, введение (пост) квантового шифрования. Примеры расширены:
  • https://ru.wikipedia.org/wiki/Подпись_Лэмпорта
  • https://ru.wikipedia.org/wiki/Подпись_Меркла 
• Сложные практики: полный (пост) квантовый хардфорк и т.п.;
• Экспертные практики: создание хронокапсул с (пост) квантовым шифрованием.

При этом из трёх типов квантовых компьютеров опасен на самом деле лишь последний тип — универсальный КК:

Ещё раз! Опасность представляет для блокчейна и криптовалют именно последний тип. Но, если уж фантазировать, то давайте до конца:

1. Пусть некая Корпорация или Государство создали Полноценный Универсальный КК (ПУКК);
2. Пусть ПУККе запустили AI (ИИ), который стал круче всех фантазий “Превосходства”, Sky Net-а из “Терминатора” и подобных программ, включая “Сферу”; 
3. Так ли тогда важен взлом блокчейна для всех нас в период квантового апокалипсиса?.. 

Если же упростить модель до примитивов, то можно получить следующую картину:

Но и у этой проблемы есть решение, которое уже озвучивал в трудах о темпографии и которой вернёмся позже, а пока

До! Встречи во второй части. 

P.S. Дополнительные источники

1. Исследование Делойт по КК (англ. яз.): интересно в первую очередь расчётом уязвимых биткоинов (около 4 000 000 на момент проведения анализа);
2. Белая книга QRL: описывает фактически все основные риски КК для блокчейна и/или криптовалют;
3. Статья по атакам КК на блокчейн: интерес вызывает, скажем, отсылка к другому материалу, где идёт расчёт на 2018 год, который показывает, что АСИК S9 эффективней КК (в моменте);
4. Как зарождаются новые методы (подходы) относительно КК? Ответ на этот вопрос есть вот в этом описании: https://arxiv.org/pdf/1707.04344.pdf — очень подробном, но очень не простом;
5. Очень коротко и внятно о квантовом превосходстве и фотонном КК соответственно;
6. Ещё один показательный пример (200 секунд на задачу для КК против 10 000 лет на классическом компьютере) квантового превосходства;
7. Что такое квантовый отжиг применительно к КК и как его использовать? 
8. О разнице между КК и суперкомпьютерами классическими.