Quantum computing και κρυπτογραφία: Δύο νέες έρευνες μειώνουν δραστικά τους πόρους για να σπάσει το ECC

Στις 31 Μαρτίου 2026 δημοσιεύθηκαν δύο ανεξάρτητα whitepapers που συμφωνούν στο ίδιο συμπέρασμα: η κατασκευή ενός κβαντικού υπολογιστή ικανού να σπάσει elliptic-curve cryptography δεν απαιτεί τους πόρους που θεωρούνταν απαραίτητοι μέχρι πρόσφατα. Έρευνα από Caltech και το quantum startup Oratomic κατέληξε ότι η κρυπτογραφία που προστατεύει τα wallets Bitcoin και Ether θα μπορούσε να σπάσει με μόλις 10.000 physical qubits, πολύ κάτω από προηγούμενες εκτιμήσεις εκατοντάδων χιλιάδων. Ταυτόχρονα, η Google Quantum AI δημοσίευσε ένα 57σέλιδο whitepaper που αποδεικνύει ότι οι quantum πόροι για να σπάσει το ECC που προστατεύει το Bitcoin, το Ethereum και ουσιαστικά κάθε μεγάλο cryptocurrency είναι κατά μια τάξη μεγέθους μικρότεροι από ό,τι εκτιμούσαμε. Το paper, που συν-υπογράφουν ερευνητές από το Ethereum Foundation και το Stanford University, παρουσιάζει δύο βελτιστοποιημένα quantum circuits για την επίλυση του 256-bit Elliptic Curve Discrete Logarithm Problem (ECDLP-256) στην καμπύλη secp256k1.

Neutral atoms και optical tweezers: η προσέγγιση του Caltech

Η ομάδα του Caltech, με επικεφαλής τους Dolev Bluvstein και Madelyn Cain, ανέπτυξε αρχιτεκτονική quantum computer βασισμένη σε neutral atom qubits και προηγμένους κώδικες error correction γνωστούς ως quantum low-density parity-check (qLDPC) codes. Οι προσομοιώσεις τους δείχνουν ότι αυτή η αρχιτεκτονική θα μπορούσε να σπάσει ECC-256 σε λίγες μέρες με μόλις 26.000 qubits. Η βασική διαφορά αυτής της προσέγγισης από τις superconducting αρχιτεκτονικές έγκειται στο πώς αλληλεπιδρούν τα qubits μεταξύ τους: στα neutral atom συστήματα, κάθε qubit μπορεί να επικοινωνεί με οποιοδήποτε άλλο qubit, και όχι μόνο με τους άμεσους γείτονές του σε ένα 2D grid. Η ομάδα του Oratomic χρησιμοποιεί τα quantum circuits της Google για να σπάσει το 256-bit ECC, και αποδεικνύει ότι ένα neutral-atom setup, με atoms που ελέγχονται από laser ως qubits, θα μπορούσε να τα εκτελέσει με περίπου το 1/50 των qubits που εκτιμούσε η Google.

Οι εκτιμώμενες απαιτήσεις για την εκτέλεση του αλγορίθμου Shor, της quantum μεθόδου για να σπάσει public-key encryption, έχουν πέσει κατά πέντε τάξεις μεγέθους σε δύο δεκαετίες, από περίπου 1 δισεκατομμύριο physical qubits το 2012 σε περίπου 10.000 σήμερα. Αξίζει να σημειωθεί ότι χρησιμοποιώντας ως βάση τα quantum circuits της Google, ένας neutral-atom quantum computer με περίπου 26.000 qubits θα μπορούσε να σπάσει ECC-256 σε περίπου 10 μέρες, ενώ RSA-2048 θα απαιτούσε περίπου 102.000 qubits και τρεις μήνες.

Το paper της Google: 9 λεπτά, 500.000 physical qubits, και κρυφός αλγόριθμος

Η Google εκφράζει τις εκτιμήσεις της σε αριθμό logical qubits (error-corrected qubits που αποτελούνται από εκατοντάδες physical qubits) και Toffoli gates (ακριβές βασικές πράξεις πάνω σε qubits που αποτελούν τον κύριο παράγοντα για τον χρόνο εκτέλεσης πολλών αλγορίθμων). Συγκεκριμένα, η εταιρεία έχει συντάξει δύο quantum circuits που υλοποιούν τον αλγόριθμο Shor για ECDLP-256: ένα που χρησιμοποιεί λιγότερα από 1.200 logical qubits και 90 εκατομμύρια Toffoli gates, και ένα άλλο με λιγότερα από 1.450 logical qubits και 70 εκατομμύρια Toffoli gates. Σύμφωνα με τις εκτιμήσεις, αυτά τα circuits μπορούν να εκτελεστούν σε superconducting qubit CRQC με λιγότερα από 500.000 physical qubits σε λίγα λεπτά.

Το κρίσιμο στοιχείο του paper της Google είναι η επίδραση στο Bitcoin. Ο αλγόριθμος Shor μπορεί να "προετοιμαστεί" εκ των προτέρων, δηλαδή το πρώτο μισό της υπολογιστικής διαδικασίας, που εξαρτάται μόνο από σταθερές παραμέτρους της καμπύλης, μπορεί να υπολογιστεί εκ των προτέρων. Μόλις αποκαλυφθεί ένα συγκεκριμένο public key, η υπόλοιπη υπολογιστική διαδικασία διαρκεί περίπου εννέα λεπτά. Ο μέσος χρόνος ανά block στο Bitcoin είναι δέκα λεπτά. Υπό ιδανικές συνθήκες, η Google εκτιμά πιθανότητα περίπου 41% ένας primed quantum computer να εξάγει ένα private key πριν επιβεβαιωθεί μια Bitcoin συναλλαγή. Παρόλα αυτά, αυτά τα στοιχεία προϋποθέτουν ένα μοντέλο ευνοϊκό για τον επιτιθέμενο: ένα μόνο signature ως στόχο, γρήγορη διάδοση public key, και καμία προστασία σε επίπεδο δικτύου. Περιγράφουν θεωρητική δυνατότητα υπό ιδανικές συνθήκες, όχι επιχειρησιακή βεβαιότητα.

Zero-knowledge proof αντί για δημοσίευση circuits: μια νέα πολιτική disclosure

Σε μια κίνηση που έχει προκαλέσει αντιπαράθεση στους κύκλους της ασφάλειας, η Google δεν δημοσιοποίησε τον αλγόριθμο. Αντ' αυτού, δημοσίευσε έναν λεγόμενο zero-knowledge proof, ο οποίος επιτρέπει σε εξωτερικούς ερευνητές να επαληθεύσουν τον αλγόριθμο χωρίς να μάθουν πώς λειτουργεί. Σύμφωνα με τους ερευνητές, αυτή η επιλογή οφείλεται στο ότι "η πρόοδος στο quantum computing έχει φτάσει σε σημείο όπου είναι συνετό να σταματήσουμε να δημοσιεύουμε λεπτομέρειες βελτιωμένης quantum κρυπτανάλυσης, για να αποφύγουμε κακή χρήση." Κριτική, όμως, δεν άργησε να εμφανιστεί. Ο Matt Green, καθηγητής κρυπτογραφίας στο Johns Hopkins University, δήλωσε χαρακτηριστικά ότι θεωρεί αλαρμιστική την εκτίμηση για άμεσο κίνδυνο ασφάλειας από αλγόριθμο που απαιτεί υπολογιστή που δεν υπάρχει ακόμη, και το χαρακτήρισε περισσότερο ως "PR trick" παρά ως σοβαρή ανησυχία.

Επίσης έντονη είναι η κριτική για τη στόχευση της Google αποκλειστικά στον χώρο των cryptocurrencies, αγνοώντας ευρύτερες εφαρμογές. Ο Brian LaMacchia, cryptography engineer που επέβλεψε τη μετάβαση της Microsoft στο post-quantum από το 2015 έως το 2022, δήλωσε ότι "ενώ τα CRQCs αποτελούν απειλή για blockchain-based τεχνολογίες, είναι απλώς ένα από τα πολλά συστήματα που πρέπει να μεταβούν γρήγορα σε post-quantum cryptography", εκφράζοντας έκπληξη για το γεγονός ότι η Google εστιάζει σε policy frameworks για προβλήματα μοναδικά στο cryptocurrency space αντί για τη γενική απειλή που ταυτόχρονα αφορά TLS, ψηφιακά πιστοποιητικά και κάθε σύστημα που χρησιμοποιεί public-key cryptography.

Το hardware gap: η απόσταση μεταξύ θεωρίας και πραγματικότητας

Τα αποτελέσματα αφορούν θεωρητικές εκτιμήσεις πόρων για μηχανήματα που δεν υπάρχουν ακόμη. Ο μεγαλύτερος superconducting quantum processor που έχει κατασκευαστεί μέχρι σήμερα είναι ο IBM Condor με 1.121 physical qubits (Δεκέμβριος 2023). Η IBM έχει από τότε απομακρυνθεί από τον αριθμό raw qubits ως μετρική, εστιάζοντας σε modular error-corrected αρχιτεκτονικές. Το Google Willow έχει 105 physical qubits (Δεκέμβριος 2024). Η επίθεση που περιγράφεται στο paper απαιτεί λιγότερα από 500.000 physical qubits υπό συγκεκριμένο μοντέλο, και ακόμα και ο Condor απέχει 446x από αυτό το κατώφλι, χωρίς να υλοποιεί την fault-tolerant error correction που η επίθεση προϋποθέτει. Ο τρέχων fault-tolerant roadmap της IBM στοχεύει περίπου 200 logical qubits έως το 2029 με το σύστημα Starling, πολύ κάτω από τα 1.200 έως 1.450 logical qubits που χρειάζεται η επίθεση.

Παρά το hardware gap, η Google έχει θέσει εσωτερική προθεσμία για το 2029 για τη δική της μετάβαση σε post-quantum cryptography, ένα σήμα με ιδιαίτερο βάρος δεδομένου ότι οι ίδιοι ερευνητές της Google παράγουν τις εκτιμήσεις που ορίζουν την απειλή. Σύμφωνα με τον ερευνητή του Ethereum Justin Drake, έναν εκ των συν-υπογραφόντων του paper της Google, υπάρχει τουλάχιστον 10% πιθανότητα ένας quantum computer να ανακτήσει ένα secp256k1 ECDSA private key έως το 2032. Ανεξάρτητα από τις διαφωνίες για το χρονοδιάγραμμα, οι περισσότερες blockchain τεχνολογίες και cryptocurrencies βασίζονται στο ECDLP-256 για κρίσιμες πτυχές της ασφάλειάς τους, και η μετάβαση σε post-quantum cryptography αντιπροσωπεύει έναν καλά κατανοητό δρόμο προς post-quantum blockchain ασφάλεια.

Πηγές

• Ars Technica: Quantum computers need vastly fewer resources than thought to break vital encryption
• Google Research Blog: Safeguarding cryptocurrency by disclosing quantum vulnerabilities responsibly
• CoinDesk: A quantum computer may need just 10,000 qubits to empty your crypto wallets, researchers say
• The Quantum Insider: Q-Day Just Got Closer: Three Papers in Three Months Are Rewriting the Quantum Threat Timeline
• SecurityWeek: Google Slashes Quantum Resource Requirements for Breaking Cryptocurrency Encryption
• Encryptorium (Medium): Google's quantum threat to Bitcoin: what the paper actually says