Я не впевнений, що більшість людей у сфері приватності повністю знають про атаку «збирай зараз, розшифровуй пізніше». Ми постійно кажемо, що до того часу, як перший зрілий квантовий комп'ютер запустить алгоритм Шора на реальному кейсі. Постквантова безпека — це не розкіш майбутнього, особливо для систем конфіденційності. Модель загроз уже змінилася: супротивникам сьогодні не потрібен квантовий комп'ютер, щоб зламати ваші дані завтра. Їм просто потрібно його зібрати. Кожна зашифрована транзакція, повідомлення або доказ, що потрапляє у публічний мемпул або ланцюжок, може бути заархівована безстроково. У момент, коли з'являється достатньо потужна квантова машина, все, що зашифровано за класичними припущеннями еліптичної кривої, стає відкритим текстом. Це проблема «тепер розшифрувати пізніше», і вона тихо знищує гарантію, що «зашифровано сьогодні означає приватне назавжди». Протоколи конфіденційності мають розглядати це як першокласне обмеження дизайну. Якщо ваша система покладається на ECDH, підписи secp256k1 для отримання ключів або будь-яке шифрування на основі еліптичних кривих у вашому шарі конфіденційності, ви вже піддаєте користувачів відкладеному витоку. Ми любимо думати, що приватність — це миттєва властивість, але насправді вона міцна: вона має витримувати час, розвиток апаратного забезпечення та супротивників із довгою пам'яттю та дешевим сховищем. Ось чому постквантова безпека набагато важливіша для приватності, ніж для загальної автентифікації чи консенсусу. Підпис можна обертати. Ключ валідатора можна мігрувати. Але шифротексти, опубліковані, стають постійними. І «розшифрування» — це не помилка, яку можна виправити. (Візуально: Пітер Шор)