Квантові комп'ютери з часом зможуть зламати криптографічні методи, які сьогодні захищають Етеріум та більшість інших цифрових систем. На цій сторінці пояснюється, що це означає, як мережа завчасно розробляє вдосконалення для зменшення цього ризику, і що вам потрібно знати.
Чому постквантова криптографія має значення
Етеріум покладається на кілька форм , щоб підтримувати безпеку мережі та захищати кошти користувачів. Найважливішими з них є:
- Алгоритм цифрового підпису на еліптичних кривих (ECDSA): криптографія, що використовується для підпису транзакцій. Від цього залежить безпека вашого акаунта в Етеріумі.
- Підписи BLS: використовуються для досягнення щодо стану мережі.
- Поліноміальні фіксації KZG: використовуються для у дорожній карті масштабування Етеріуму.
- Системи доведення з нульовим розголошенням (ZK-proof): використовуються ролапами та іншими застосунками для перевірки обчислень позамережево.
Усі вони покладаються на математичні структури, такі як абелеві групи, які є складними для класичних комп'ютерів, але можуть бути ефективно розв'язані квантовим комп'ютером за допомогою алгоритму Шора (opens in a new tab).
Коли квантові комп'ютери стануть загрозою для Етеріуму?
У березні 2026 року Google Quantum AI опублікував дослідження, за оцінками якого для зламу 256-бітної криптографії на еліптичних кривих (типу, який Етеріум використовує для підписів акаунтів) може знадобитися приблизно 1200 логічних кубітів. Попередні оцінки вказували на значно вищу цифру. Google встановив внутрішній дедлайн до 2029 року для переходу власних систем на постквантову криптографію.
Сучасне квантове обладнання далеке від таких масштабів і працює з кількома тисячами зашумлених фізичних кубітів. Логічні кубіти (які виправляють помилки та виконують надійні обчислення) потребують багатьох фізичних кубітів кожен. Розрив між сучасним обладнанням і тим, що необхідно для зламу криптографії Етеріуму, залишається значним, але він скорочується швидше, ніж багато хто очікував. Варто зазначити, що Національний інститут стандартів і технологій США (NIST) планує визнати ECDSA застарілим до 2030 року та заборонити його використання до 2035 року.
Це не є неминучою загрозою. Але криптографічні переходи тривають роками, а модель безпеки Етеріуму розроблена так, щоб служити століттями. Відповіддю Етеріуму є дорожня карта Lean Ethereum — цілеспрямована багаторічна місія з перебудови Етеріуму на основі примітивів, які витримають будь-яку криптографічну загрозу.
Чотири сфери, вразливі до квантових атак
У лютому 2026 року Віталік Бутерін опублікував дорожню карту (opens in a new tab), в якій визначив чотири окремі сфери криптографії Етеріуму, що потребують постквантових оновлень. Кожна з них має свої виклики та різні шляхи вирішення.
1. Підписи BLS на рівні консенсусу
Що це робить: протокол в Етеріумі використовує підписи BLS для агрегації голосів від сотень тисяч валідаторів. BLS дозволяє об'єднати багато підписів в один, зберігаючи ефективність мережі.
Чому це вразливо: підписи BLS покладаються на спарювання еліптичних кривих, які квантовий комп'ютер може зламати.
Підхід: дорожня карта Lean Consensus включає розробку двох взаємодоповнюючих інструментів:
- leanXMSS: Етеріум замінить підписи BLS на leanXMSS — схему підписів на основі хешів для валідаторів. Підписи на основі хешів вважаються квантово-безпечними, оскільки вони покладаються лише на безпеку хеш-функцій, які квантові комп'ютери послаблюють, але не ламають.
- leanVM: мінімальна zkVM (віртуальна машина з нульовим розголошенням) для агрегації підписів на основі SNARK. Оскільки підписи на основі хешів значно більші (приблизно 3000 байтів порівняно з 96 байтами для BLS), перехід на leanXMSS призведе до створення значно більшого обсягу даних на слот. Щоб вирішити цю проблему, leanVM діє як механізм агрегації, стискаючи дані у 250 разів. Це зберігає переваги ефективності від об'єднання багатьох підписів в один, навіть після переходу на квантово-безпечні схеми.
2. Доступність даних: фіксації KZG
Що це робить: поліноміальні фіксації KZG гарантують, що дані (зокрема дані з ролапів) доступні в мережі без необхідності для кожного вузла завантажувати їх повністю.
Чому це вразливо: фіксації KZG покладаються на спарювання еліптичних кривих — ту саму математичну структуру, яку можуть атакувати квантові комп'ютери.
Поточне пом'якшення: фіксації KZG використовують «довірене налаштування», де багато учасників зробили внесок у випадковість. Поки хоча б один учасник був чесним і знищив свій секрет, налаштування є безпечним, навіть проти квантових комп'ютерів, які намагаються здійснити зворотну розробку постфактум.
Довгострокове рішення: замінити KZG на квантово-безпечну схему фіксації. Двома провідними кандидатами є:
- Фіксації на основі STARK: покладаються на хеш-функції, а не на еліптичні криві. Вже використовуються в деяких ZK-ролапах.
- Фіксації на основі решіток: покладаються на складність задач на решітках, які вважаються квантово-стійкими.
Обидва підходи все ще досліджуються на предмет ефективності та практичності в масштабах Етеріуму.
3. Підписи акаунтів: ECDSA
Що це робить: кожен стандартний акаунт в Етеріумі (зовнішній акаунт, або ) використовує ECDSA на кривій secp256k1 для підпису транзакцій. Саме це захищає ваші кошти.
Чому це вразливо: для будь-якого акаунта, який надіслав транзакцію, відкритий ключ розкривається ончейн. Квантовий комп'ютер міг би вивести приватний ключ із цих розкритих даних відкритого ключа.
Важливий нюанс: акаунти, які лише отримували етер і ніколи не надсилали транзакцій, не розкрили свій відкритий ключ. Видимою є лише адреса (хеш відкритого ключа), що забезпечує певний додатковий захист.
Підхід: замість єдиної міграції в масштабах усього протоколу, Етеріум планує використати абстракцію облікового запису (зокрема EIP-8141, що розглядається для хардфорку Hegotá у другій половині 2026 року), щоб надати користувачам гнучкість підписів. Окремі акаунти зможуть перейти на постквантову схему підпису, не чекаючи зміни всього протоколу.
Це прагматичний підхід. Користувачі та гаманці, які хочуть отримати постквантовий захист раніше, можуть прийняти його добровільно, тоді як ширша міграція відбуватиметься з часом.
4. Доведення з нульовим розголошенням на рівні застосунків
Що це робить: системи доведення з нульовим розголошенням використовуються ролапами рівня 2 (l2) та іншими застосунками для перевірки обчислень без розкриття базових даних.
Чому це вразливо: багато популярних систем доведення з нульовим розголошенням (SNARK, що використовують спарювання еліптичних кривих) покладаються на квантово-вразливі припущення.
Підхід: STARK, які покладаються на хеш-функції, а не на еліптичні криві, вже є квантово-стійкими і використовуються кількома ролапами. Природне впровадження систем на основі STARK в екосистемі вже забезпечує постквантову безпеку на рівні застосунків.
Стандарти NIST
У серпні 2024 року Національний інститут стандартів і технологій США (NIST) фіналізував три стандарти постквантової криптографії (opens in a new tab). Вони мають значення, оскільки надають усій технологічній індустрії, включно з Етеріумом, спільний набір перевірених алгоритмів для розробки, замість того, щоб кожен проєкт винаходив власні.
| Стандарт | Назва | Тип | Варіант використання |
|---|---|---|---|
| FIPS 203 | ML-KEM | На основі решіток | Інкапсуляція ключів (обмін ключами) |
| FIPS 204 | ML-DSA (Dilithium) | На основі решіток | Цифрові підписи |
| FIPS 205 | SLH-DSA (SPHINCS+) | На основі хешів | Цифрові підписи |
Ці стандарти забезпечують основу для постквантового переходу ширшої індустрії. Робота Етеріуму базується на них і розширює їх, приділяючи особливу увагу унікальним викликам децентралізованої мережі, де ефективність та агрегація мають значення.
Підхід Фундації Ethereum
Фундація Ethereum сформувала спеціальну команду з постквантової безпеки в січні 2026 року під керівництвом Томаса Коратже (Thomas Coratger). Робота команди публічно відстежується на pq.ethereum.org (opens in a new tab).
Поточна діяльність (станом на квітень 2026 року)
- Щотижневі devnet-мережі для інтероперабельності: понад 10 команд клієнтів беруть участь у регулярному тестуванні постквантової інтероперабельності, зокрема Лайтхаус, Grandine, Zeam, Ream Labs та PierTwo.
- Премія Poseidon: дослідницька премія в розмірі 1 мільйона доларів США, спрямована на вдосконалення криптографічних примітивів на основі хешів.
- Реалізації з відкритим вихідним кодом: leanXMSS, leanVM, leanSpec (Python), leanSig (Rust) та leanMultisig доступні в організації leanEthereum на GitHub (opens in a new tab).
- 2-й щорічний ретрит з постквантових досліджень (PQ Research Retreat): запланований на 9–12 жовтня 2026 року в Кембриджі, Велика Британія.
- Узгодження з NIST: робота Етеріуму базується на стандартах постквантової криптографії, фіналізованих NIST у серпні 2024 року (таких як ML-KEM, ML-DSA та SLH-DSA).
Етапи міграції
Команда окреслила серію оновлень протоколу для поступового впровадження постквантової криптографії в Етеріум. Це планові етапи, а не гарантовані зобов'язання. Назви та порядок можуть змінюватися.
| Етап | Що впроваджується |
|---|---|
| I* | Реєстр постквантових (PQ) ключів. Валідатори можуть реєструвати постквантові відкриті ключі поряд з існуючими ключами BLS. |
| J* | Прекомпіляції для перевірки підписів PQ. Смартконтракти та гаманці можуть нативно перевіряти підписи PQ. |
| L* | Атестації PQ та доведення рівня консенсусу в реальному часі через leanVM. Валідатори починають використовувати підписи PQ для консенсусу. |
| M* | Повна агрегація підписів PQ та безпечні для PQ фіксації блобів. |
Ціль: структуровані етапи форків спрямовані на завершення створення основної постквантової інфраструктури приблизно до 2029 року. Повна міграція рівня виконання та екосистеми триватиме й після цього.
Що потрібно робити користувачам?
Зараз: нічого. Ваші кошти в безпеці. Жоден сучасний квантовий комп'ютер не може загрожувати криптографії Етеріуму.
У майбутньому: коли постквантові схеми підписів отримають широку підтримку в Етеріумі (очікується після хардфорку Hegotá та впровадження EIP-8141), вам потрібно буде перевести свій акаунт на квантово-безпечні підписи. Програмне забезпечення гаманця допоможе вам здійснити цей перехід.
Якщо ваш акаунт ніколи не надсилав транзакцій (тобто ваш відкритий ключ не був розкритий ончейн), він має додатковий рівень захисту. Але з часом усі акаунти повинні будуть мігрувати.
Питання про те, як поводитися з неактивними гаманцями (акаунтами, власники яких можуть не знати про необхідність міграції), є відкритою темою для управління. Спільнота Етеріуму ще не досягла консенсусу щодо цього.
Поширені запитання
Додаткові матеріали
- pq.ethereum.org (opens in a new tab) — Фундація Ethereum
- Проєкт постквантової криптографії (opens in a new tab) — Privacy Stewards of Ethereum (PSE)
- Стандарти постквантової криптографії NIST (opens in a new tab) — NIST
- Захист криптовалюти шляхом відповідального розкриття квантових вразливостей (opens in a new tab) — Google Quantum AI
- Квантові рубежі можуть бути ближчими, ніж здається (opens in a new tab) — Google
- KZG та довірені налаштування
- Ресурси воркшопу leanVM + PQ з Lean Week Cambridge (2025) (opens in a new tab) — Lean Ethereum
- Дзвінки ACD Breakout щодо транзакційних підписів PQ (opens in a new tab) — Фундація Ethereum
- Дзвінки ACD Breakout щодо інтероперабельності PQ (opens in a new tab) — Фундація Ethereum
- Плейлист на YouTube: Lean Ethereum та постквантова безпека (opens in a new tab) — Фундація Ethereum
- Панельне інтерв'ю про постквантову стійкість (opens in a new tab) — Подкаст Bankless
- Абстракція облікового запису в Етеріумі
- strawmap.org (opens in a new tab) — Архітектура EF
- У суперпозиції: аналіз індустрії квантових обчислень (opens in a new tab) — Саніл Сріні (Saneel Sreeni)
Останнє оновлення сторінки: 9 квітня 2026 р.
