Устойчив ли Zcash к квантовым вычислениям? Мнения экспертов

Дебаты на X на этой неделе обнажили ключевой вопрос для он-чейн конфиденциальности: когда квантовые компьютеры смогут взломать криптографию на эллиптических кривых (ECC), смогут ли они ретроактивно деанонимизировать каждую транзакцию, когда-либо совершенную с приватными монетами, такими как Zcash?

Ник Картер, соучредитель Coin Metrics и партнер Castle Island Ventures, утверждал, что ответ фактически положительный для большинства приватных монет. "Для приватных монет, даже если они перейдут на постквантовые криптографические схемы, все исторические транзакции до этого перехода могут быть расшифрованы", - сказал он 30 октября 2025 года. "Так что все исторические транзакции будут лишены конфиденциальности через >~5 лет. Все построено на ECC."

Точка зрения Картера основана на принципе "собирай сейчас, расшифровывай потом". Атакующим не нужно взламывать вас сегодня. Они просто копируют данные сейчас и взламывают их, когда квантовые технологии станут достаточно мощными. На блокчейнах эта проблема усугубляется, потому что данные уже публичны и постоянны. "Блокчейны уникально плохи для квантовых технологий, потому что обычно квантовая проблема заключается в 'собирай сейчас, расшифровывай потом', поэтому противники должны заранее собирать трафик, но блокчейны просто... публикуют... всё... навсегда."

Он особо предупредил, что даже если приватная монета обновится до квантово-устойчивых подписей в будущем, старая активность всё равно будет раскрыта, как только ECC падёт. "Хотя приватные монеты могут принять постквантовые подписи, поймите, что все ранее скрытые адреса, связи между адресами и т.д. будут раскрыты, как только ECC будет взломан", - сказал Картер. "И очевидно, что всё находится на цепочке, так что вам даже не нужно собирать трафик сегодня."

Является ли Zcash уже квантово-устойчивым?

Это утверждение вызвало отпор со стороны сторонников Zcash, которые утверждают, что Zcash структурно отличается от таких монет, как Monero.

Мерт Мумтаз (Helius) согласился, что предупреждение Картера применимо к "многим приватным монетам, таким как Monero", но сказал, что это "не обязательно верно для конфиденциальности zcash, учитывая продвинутый opsec". Он признал, что "продвинутый opsec не является нормой", но сказал, что если его соблюдать, пользователи Zcash "получают определенные гарантии в отношении утечки информации". Он также сказал, что "некоторые вещи находятся в разработке, чтобы сделать это еще сильнее", указывая на исследования инженера Zcash Шона Боуи.

Позиция Боуи заключается в том, что полностью защищенный пул Zcash просто не помещает критическую информацию об отправителе/получателе в реестр в первую очередь. "Нет такого квантового компьютера или мощного ИИ, который сможет оглянуться на блокчейн Zcash через 1000 лет и выяснить, кто совершил каждую полностью защищенную транзакцию", - сказал Боуи в июле этого года. "Эта информация, среди прочего, никогда даже не касается реестра. Она уже исчезла". Его условие ясно: "Чтобы быть уверенным в своей конфиденциальности, вы должны начать с использования защищенного Zcash. Вы почти не можете начать иначе".

Картер частично признает это. "Zec определенно впереди всех, когда дело доходит до квантовой готовности, не отрицаю этого", - сказал он. Но он назвал формулировку "уже квантово-устойчивый" нереалистичной на практике.

Он утверждал, что долгосрочная история конфиденциальности Zcash зависит от очень сильных предположений, которые часто нарушаются в реальном мире: "предполагается, что публичный ключ никогда не будет известен. предполагается: отсутствие сбора метаданных, отсутствие утечек ключей обмена, идеальная конфиденциальность метаданных".

Он добавил, что защищенные пулы Zcash — Sprout, Sapling, Orchard — все еще "полагаются на ECC для обмена ключами, ключей просмотра, проверки доказательств, которые все будут взломаны" под воздействием мощного квантового противника. Его вывод: "нереалистично говорить, что конфиденциальность zec идеально устойчива к квантовым атакам. связи между адресами навсегда закодированы в блокчейне, вы и Шон это знаете. принцип 'храни сейчас, расшифровывай потом' все еще применим".

Другими словами: создатели Zcash говорят, что если вы остаетесь полностью защищенными, сама цепь не предоставит квантовым атакующим четкую карту того, кто кому платил. Картер говорит, что в реальном мире пользователи допускают утечки, биржи допускают утечки, метаданные утекают — и как только ECC будет взломан, этих утечек плюс постоянный реестр достаточно, чтобы в любом случае раскрыть конфиденциальность.

Последнее замечание: когда его спросили напрямую, Картер отрицал владение ZEC. "Нет".

На момент публикации ZEC торговался по цене 366 $.