22 октября 2025 года Google сообщила о достижении «верифицируемого квантового преимущества»: алгоритм Quantum Echoes на чипе Willow показал многократное ускорение относительно лучших классических суперкомпьютеров на специально поставленной задаче. Формально это не «взлом шифрования», но новость мгновенно вернула на повестку вопрос: что это значит для криптографии, на которой держится биткоин, и когда условный «Q-Day» может стать реальностью.

Ниже — подробный разбор без хайпа: где мы реально находимся в квантовых вычислениях, какие компоненты стека биткоина потенциально уязвимы, какие сроки обсуждают исследователи и что уже сейчас может сделать индустрия и держатели BTC. Для базовых терминов см. наши материалы в вики: цифровая подпись, приватный ключ, UTXO, адрес, биткоин.

Что именно заявила Google — и почему это важно, но не повод для паники

В публикациях Google говорится, что новое вычислительное задание для измерения «out-of-time-order correlators» (OTOCs) реализовано как алгоритм Quantum Echoes и выполнено на процессоре Willow, продемонстрировав «верифицируемое квантовое преимущество». Ключевые элементы заявления: 1) речь о задаче, где квантовый чип объективно быстрее лучших классических алгоритмов; 2) результат проходит проверку и воспроизводимость; 3) заявлен масштаб ускорения порядка «в тысячи раз» против топовых суперкомпьютеров. Это шаг к «полезным» квантовым вычислениям в задачах материаловедения и моделирования молекул, но не инструмент, который «завтра» взломает подписи биткоина.

Журналисты и научные авторы подчёркивают: квантовое преимущество показано на узком классе задач; от этого до универсального квантового компьютера с достаточной коррекцией ошибок — серьёзная дистанция. Даже Google ранее отдельно акцентировала, что нынешние чипы ещё не способны взламывать современную криптографию; для этого потребуются на порядки большие системы с миллионами «физических» кубитов и зрелой коррекцией ошибок.

Какая криптография используется в биткоине — и что «атакует» квант

Два столпа: подписи и хеши

Стек безопасности биткоина держится на двух принципах: асимметричные подписи и симметричное хеширование. Подписи — это ECDSA на кривой secp256k1 (с 2021 года также используется Schnorr в рамках Taproot), а хеши — это SHA-256 (включая двойной SHA-256 для блоков и адресов). Подробности см. в нашей вики: цифровая подпись, адрес, биткоин.

Shor против Grover: почему угрозы разные

Квантовый алгоритм Шора теоретически решает задачи факторизации и дискретного логарифмирования «быстро» (полиномиально), что ставит под угрозу классические схемы на эллиптических кривых — в том числе ECDSA. Именно поэтому в долгосрочной перспективе под риск попадает «подписьная» часть стека BTC. В отличие от этого, алгоритм Гровера даёт квадратичное ускорение «поиска», то есть снижает эффективную стойкость симметричных примитивов примерно вдвое, что компенсируется увеличением длины ключей или параметров — поэтому SHA-256 и PoW не находятся под немедленной угрозой «сломать завтра».

Итог: в «квантовой» повестке биткоина основной риск — уязвимость подписей (ECDSA/Schnorr), а не хеш-функций SHA-256. Это подтверждают и рамочные документы NIST по миграции к постквантовой криптографии.

Сколько «квантов» нужно, чтобы сломать secp256k1

Оценки ресурсов от исследователей

Классические работы (Roetteler, Naehrig, Svore, Lauter, 2017) оценивают требования Шора для дискретного логарифма на эллиптических кривых порядка тысяч логических кубитов и огромного бюджета логических операций. Ключевой нюанс — «логические» кубиты нужно реализовать поверх огромных массивов «физических» кубитов для коррекции ошибок, что умножает реальные требования на порядки. Таким образом, «2–3 тысячи логических кубитов» превращаются в миллионы и десятки миллионов физических — уровень технологий, до которого индустрии ещё предстоит дойти.

Почему прогресс в теориях ≠ готовность «ломать завтра»

Даже по «близкой» задаче факторизации RSA в последние годы публиковались оптимизации (Gidney–Ekerå и обновления 2025 года), снижающие теоретические оценки ресурсов. Но это не означает, что существующие системы способны выполнить эти алгоритмы на практике: «железо» всё ещё находится в эре сотен–тысяч физических кубитов с ограниченной коррекцией, а до «миллионников» — много инженерных барьеров.

Где сегодня реальная граница возможностей квантовых чипов

Современные процессоры (включая Willow) демонстрируют успехи в узких, хорошо сформулированных задачах (как в Quantum Echoes), а также в улучшении качества логических операций и схем коррекции ошибок. Но для криптографии критичны не «демонстрации преимущества на одной задаче», а масштабируемость вычислений с очень низкой ошибкой и огромным «пространством» для выполнения алгоритма Шора. Собственно, Google в публичных комментариях ранее признавалась: Willow «не ломает» современную криптографию; это технологический этап на пути к полезным вычислениям, а не инструмент атаки на ECDSA.

Вывод здесь консервативный: мы наблюдаем впечатляющий научный прогресс, который усиливает мотивацию индустрии ускорять «миграцию на постквант», но реального риска для биткоина «в этом году/следующем году» эти новости не создают.

Где в биткоине образуются реальные «квантовые» риски

Адреса с раскрытым публичным ключом

Квантовый противник в первую очередь будет охотиться за UTXO, у которых публичный ключ уже раскрыт в блокчейне: исторические P2PK-выходы (ранние транзакции), повторно используемые адреса или любые выходы, которые уже тратились — в момент траты скрипт публикует подпись и публичный ключ. Поэтому базовая гигиена кошельков (не переиспользовать адреса, минимизировать раскрытия) остаётся актуальной уже сегодня. См. вики: UTXO, адрес, приватный ключ.

Сценарий «Q-Day»: как он выглядит в практике

Самый часто обсуждаемый сценарий — условный «Q-Day», когда становится возможной атака Шора на параметрах secp256k1. Если к этому моменту часть средств всё ещё «лежит» на адресах с раскрытым публичным ключом, они попадают под повышенный риск. Однако это не «внезапная смерть сети»: как показывает опыт других протоколов, возможна поэтапная миграция выходов на новые типы скриптов/подписей, гибридные решения и переходные окна. Важен заблаговременный план и инструменты миграции на уровне кошельков и бирж.

SHA-256 и майнинг: почему паниковать не о чем

Алгоритм Гровера понижает эффективную стойкость хешей, но это не равно «мгновенно сломать PoW». Компенсация — увеличение параметров/сложности, а также возможная корректировка протокольных параметров при необходимости. В ближайшей перспективе хеш-компонент биткоина гораздо менее уязвим, чем подписи.

Что делает индустрия: NIST, стандарты PQC и дорожная карта миграции

Что стандартизировано

NIST завершил основной пакет постквантовых стандартов: для шифрования/кей-менеджмента — Kyber (ML-KEM), для подписей — Dilithium (ML-DSA), а также Falcon и SPHINCS+. Это «кирпичи», на которых строится миграция в корпоративной и публичной инфраструктуре — от TLS и документов до приложений и кошельков.

Как это может прийти в биткоин

• Добавление новых типов выходов со «стойкими к квантам» подписями (PQC) — как самостоятельных, так и гибридных (ECDSA+PQC), чтобы обеспечить обратную совместимость.
• Поэтапная миграция UTXO при поддержке кошельков и бирж: инструменты «перевыпуска» на новые адреса/скрипты, UX-подсказки и «светофоры» безопасности.
• Анализ компромиссов по размеру подписи/весу транзакций и влиянию на пропускную способность сети.

Сроки здесь политико-технические: даже при отсутствии немедленной угрозы исследователи рекомендуют начинать подготовку экосистемы «заранее», синхронно с корпоративной миграцией отрасли на PQC. См. справочный FAQ по миграции от NIST.

Практика: что уже сейчас может сделать держатель BTC

1. Не переиспользуйте адреса; генерируйте новый адрес на каждый приём. См. кратко: адрес.
2. Минимизируйте раскрытия публичного ключа — тратьте аккуратно, не «засвечивайте» ненужные выходы. См. UTXO.
3. Отдельно храните «долгосрочные» средства (холодные кошельки). См. приватный ключ.
4. Следите за апдейтами кошелька и новостями разработчиков ядра относительно новых типов выходов/подписей.
5. Планируйте «пере-сигнатуру» активов в будущем, если экосистема начнёт фазовую миграцию на PQC-выходы.

Ответы на частые вопросы

Сломает ли «квантовый прорыв» Google подписи биткоина в ближайшее время?

Нет. Показано преимущество на конкретной научной задаче (OTOCs) с верифицируемым результатом. До практических атак на ECDSA нужен скачок на порядки в качестве и масштабе квантового «железа» и коррекции ошибок.

Сколько ресурсов нужно, чтобы сломать secp256k1 по Шору?

Оценки говорят о тысячах логических кубитов и гигантском бюджете логических операций. С учётом коррекции ошибок требования в физических кубитах кратно выше.

Значит ли это, что SHA-256 в опасности?

Нет в краткосрочной перспективе. Grover снижает эффективную стойкость «вдвое», что компенсируется увеличением параметров. Риск-зона — подписи, а не хеш-функции.

Какие адреса в сети уязвимее всего?

Те, у кого публичный ключ уже раскрыт в блокчейне (исторические P2PK, повторно используемые адреса, уже траченные выходы). Гигиена: не переиспользовать адреса, вовремя переводить активы на более современные типы выходов. См. адрес, UTXO.

Помогают ли Taproot/Schnorr?

Они не «постквантовые», но улучшают приватность/эффективность и дают гибкость для будущих сценариев. Для PQC нужны новые подписи/скрипты.

Когда ждать PQ-подписи в биткоине?

Исследования и обсуждения идут; NIST уже стандартизовал базовые алгоритмы. Практическая реализация в L1 потребует времени: нужно согласовать типы выходов, UX в кошельках и миграцию наследуемых UTXO.

Чем этот «прорыв» отличается от прежних заявлений о «квантовом превосходстве»

• Речь о «верифицируемом преимуществе» — результат можно проверять, что сближает демонстрацию с реальными научно-прикладными задачами.
• Класс задач — измерение OTOCs, моделирование молекул и материалов; это важно для химии/фарма/материаловедения, но не равно «ломать криптографию».
• Заявленное ускорение («тысячи раз») относится к конкретному бенчмарку, а не ко всем видам вычислений.

Маршрут миграции отрасли к постквантовой криптографии

Что уже происходит

Большие вендоры и инфраструктурные игроки выстраивают планы по переходу на PQC в корпоративных сетях и публичном интернете. На стороне открытого ПО появляются библиотеки для Dilithium/Kyber, пилотируются гибридные схемы (классика + PQC) в протоколах обмена ключами. Биржи и кастодианы проводят ревью своих HSM-процессов и политик ротации ключей, готовясь к многостадийной замене.

Что важно для экосистемы биткоина

• Дорожные карты клиентов/кошельков с поддержкой новых типов выходов и сценариев «переподписания» (re-sign) UTXO.
• Инструкции для пользователей «на случай X»: как безопасно «переехать» на PQ-выходы, как проверять состояние UTXO и что делать с «засвеченными» адресами.
• Метрики прогресса: качество логических кубитов, «глубина» алгоритмов, темпы редукции оценок ресурса Шора в рецензируемых публикациях.

Сроки: когда «квантовый риск» станет практической угрозой

Оценки сильно расходятся и зависят от темпов инженерного прогресса в коррекции ошибок, масштабировании «физических» кубитов и компоновке больших квантовых машин. Публикации и индустриальные комментарии сходятся в одном: до атак на уровне ECDSA нам всё ещё нужно преодолеть несколько крупных технологических барьеров. При этом теоретические работы (включая оптимизации для RSA) напоминают: окно на подготовку лучше не тратить — миграция в больших системах занимает годы.

Отсюда рекомендация для биткоин-экосистемы — готовиться «на берегу»: стандарты NIST есть, инструменты появляются, а значит, у нас есть шанс перейти к гибридным и PQ-схемам без цейтнота. Для базовых понятий и памятки по гигиене ключей см. наши вики-страницы: приватный ключ, цифровая подпись, UTXO, биткоин.

Коротко: что важно запомнить

• Заявление Google — большой научный шаг: «верифицируемое квантовое преимущество» на конкретной задаче. Но это не «взлом биткоина завтра».
• Главная зона риска для BTC в долгосроке — подписи (ECDSA/Schnorr), а не SHA-256/PoW.
• Переход на постквантовые подписи — вопрос времени и координации экосистемы. База уже заложена стандартами NIST.
• Пользователям полезно уже сейчас соблюдать гигиену адресов/ключей и следить за апдейтами кошельков и ядра.

Дополнение для «продвинутых»: почему «логические» и «физические» кубиты — это пропасть

Когда в статьях говорят «нужно ~2–3 тыс. логических кубитов для Шора на ECDLP», важно помнить: логический кубит — это «виртуальный», исправляемый от ошибок кубит, собранный из множества физических кубитов с помощью кодов коррекции ошибок. Чтобы один логический кубит работал достаточно долго для выполнения глубокой квантовой цепочки, требуется колоссальная избыточность «железа». Именно поэтому текущие чипы на сотни физических кубитов нельзя напрямую сравнивать с теоретическими оценками для Шора — разрыв по масштабу пока драматический.

Перспектива десяти лет: как может выглядеть «квантовый-готовый» биткоин

• Появление новых типов выходов с PQ-подписями и гибридными схемами (для обратной совместимости).
• Массовая миграция UTXO на «квантово-стойкие» адреса с поддержкой основных кошельков и кастодианов.
• Рекомендации регуляторов и инфраструктуры (банки, платёжные сети) синхронно переводят критичные процессы на PQC.
• Исчезновение практики переиспользования адресов; «гигиена» станет нормой интерфейсов кошельков по умолчанию.

Эта траектория согласуется с логикой крупных миграций Интернета (TLS 1.3, IPv6, SHA-1→SHA-2/3): нет «волшебной кнопки», но есть собранный пакет стандартов, планов и инструментов, который при должной координации позволяет перейти на следующий уровень безопасности без паники и форс-мажоров.

Итог

Алгоритм Quantum Echoes и демонстрация «верифицируемого квантового преимущества» на чипе Willow — объективный прогресс, ускоряющий приход «полезных» квантовых вычислений в науку и индустрию. Для биткоина это не сигнал «бежать» — это напоминание, что постквантовая повестка не абстракция и что у индустрии есть окно, чтобы сделать миграцию на PQ-подписи плановой и безопасной. Соблюдайте базовую гигиену ключей, не переиспользуйте адреса, следите за апдейтами кошельков и ядра — и читайте наши справки: цифровая подпись, приватный ключ, UTXO, адрес, биткоин.

Ключевые источники для углубления: публикации Google и Nature по Quantum Echoes/Willow; базы NIST по PQC; классические оценки ресурсов для Шора на ECDLP (Roetteler et al.) и последние теоретические апдейты по RSA (Gidney–Ekerå). Для читателя они важны как «маяки», по которым удобно отслеживать реальный прогресс, не путая научные демонстрации с угрозами практической безопасности.

Вопросы и ответы

Что именно показала Google и почему это не «взлом биткоина»?

Google продемонстрировала «верифицируемое квантовое преимущество» на узкой научной задаче (измерение определённых корреляторов). Это значимый исследовательский шаг, но он не даёт практического инструмента для атаки на подписи биткоина. До такого уровня нужны совершенно иные масштабы аппаратуры и коррекции ошибок.

Угрожает ли новый результат ECDSA/secp256k1 уже сейчас?

Нет. Риск для подписей в биткоине связан с алгоритмом Шора, однако текущие квантовые процессоры далеки от параметров, необходимых для практической реализации такой атаки.

Сколько ресурсов потребуется, чтобы сломать подписи биткоина?

Порядка нескольких тысяч логических кубитов и огромный бюджет операций. С учётом коррекции ошибок это означает миллионы и десятки миллионов физических кубитов — уровень, которого сегодня не существует.

Что уязвимее: подписи или SHA-256/майнинг?

Основная зона риска — подписи (ECDSA/Schnorr). Хеш-функции и Proof-of-Work при необходимости компенсируются параметрами (алгоритм Гровера даёт лишь квадратичное ускорение перебора), поэтому угрозы для майнинга краткосрочно минимальны.

Какие адреса под ударом первыми?

UTXO, где публичный ключ уже раскрыт в блокчейне: исторические P2PK-выходы, повторно используемые адреса, любые траченные выходы. Базовая гигиена — не переиспользовать адреса и аккуратно тратить средства. См. наши справки: адрес, UTXO.

Помогают ли Taproot/Schnorr против квантовых атак?

Они не являются постквантовыми алгоритмами. Однако улучшают приватность и эффективность, а также расширяют сценарии скриптов — это пригодится при проектировании гибридных (ECDSA + PQC) или чисто PQ-схем в будущем.

Что такое постквантовая криптография (PQC) и какие стандарты релевантны?

PQC — алгоритмы, стойкие к известным квантовым атакам. В качестве базовых стандартов уже выбраны: Kyber (для KEM/обмена ключами) и Dilithium (подписи), также Falcon и SPHINCS+. Это строительные блоки для будущих протоколов и кошельков.

Как PQ-подписи могут появиться в биткоине: нужен хардфорк?

Вариантов несколько: новые типы выходов, гибридные подписи (классика + PQC), переходные окна для миграции UTXO. Финальная форма (софтфорк/хардфорк) — предмет консенсуса сообщества и технического дизайна. Критично обеспечить совместимость кошельков и понятный UX миграции.

Что уже сейчас делать держателям BTC?

Не переиспользовать адреса, минимизировать раскрытие публичного ключа, держать долгосрочные средства в «холоде», следить за обновлениями кошелька и новостями разработчиков. База терминов: приватный ключ, цифровая подпись.

Когда может наступить условный «Q-Day»?

Точных дат нет. Исследования прогрессируют, но разрыв между демонстрациями на узких задачах и атакой на ECDSA всё ещё огромен. Поэтому стратегия отрасли — готовиться заранее (стандарты, библиотеки, UX-миграции), а не ждать дедлайна.

Влияет ли квантовый прогресс на Lightning Network?

Lightning использует те же криптографические примитивы для ключей и подписей, что и базовый слой. Значит, долгосрочные меры (гибридные/PQ-подписи, миграция ключей) должны учитываться и в протоколах второго уровня.

Что должны делать биржи и кастодианы уже сегодня?

Аудит политик управления ключами (HSM), план перехода на гибридные/PQ-схемы, совместимость кошельков и API, инструменты массовой миграции UTXO и «переподписания» активов клиентов, подготовка справок для пользователей.

Можно ли «спрятаться» за длиной seed-фразы от квантового компьютера?

Seed-фраза — это лишь способ воспроизвести ключи. Квантовый риск относится к математике подписи (ECDSA), а не к вашей мнемонике. Гигиена seed по-прежнему обязательна, но вопрос PQ-стойкости решается на уровне протокольных алгоритмов подписей.

Если появятся PQ-адреса, нужно будет «перевыпускать» все монеты?

Скорее всего, экосистема предложит поэтапную миграцию: новые типы выходов, инструменты «переезда» средств, переходные правила. Задача — избежать цейтнота и дать пользователям понятный маршрут обновления безопасности.