Демократия ставок, более быстрое подтверждение транзакций, устойчивость к квантовым атакам… Каково будущее Эфириума?
Сценарист: Виталик Бутерин
Составитель: Алекс Лю, Foresight News
Особая благодарность Джастину Дрейку, Сяо-Вэй Вану, @antonttc, Андерсу Элоуссону и Франческо за их отзывы и обзоры.
Изначально под «слиянием» подразумевалось самое важное событие в истории протокола Ethereum с момента его запуска: долгожданный и с трудом завоеванный переход от Proof of Work (PoW) к Proof of Stake (PoS). Сегодня Ethereum представляет собой стабильную и функционирующую систему доказательства доли уже почти два полных года, и эта система доказательства доли показала себя чрезвычайно хорошо с точки зрения стабильности, производительности и предотвращения рисков централизации. Тем не менее, есть еще некоторые важные области, где доказательство заинтересованности нуждается в улучшении.
Моя дорожная карта на 2023 год разбивает ее на несколько частей: улучшение технических функций, таких как стабильность, производительность и доступность для небольших валидаторов, а также экономические изменения, устраняющие риски централизации. Первый получил название «Слияние», а второй стал частью «Бича».
В этой статье основное внимание будет уделено части «Слияние»: где еще можно улучшить технический дизайн Proof of Stake и каковы способы достижения этой цели?
Это не исчерпывающий список того, что может сделать доказательство доли, скорее, это список идей, которые активно рассматриваются;
Окончательность единого слота и демократизация ставок
Какую проблему мы пытаемся решить?
Сегодня для завершения блока требуется 2-3 эпохи (~ 15 минут), а для того, чтобы стать стейкером, требуется 32 ETH. Первоначально это был компромисс, позволяющий сбалансировать три цели:
Максимизировать количество валидаторов, которые могут участвовать в стейкинге (это напрямую означает минимизацию минимального количества ETH, необходимого для стейкинга).
Минимизируйте время до завершения
Минимизируйте накладные расходы на запуск узла, в данном случае стоимость загрузки, проверки и ретрансляции всех других подписей валидатора.
Эти три цели находятся в противоречии друг с другом: чтобы сделать возможной экономическую завершенность (это означает: злоумышленнику потребуется сжечь много ETH, чтобы отменить финализированный блок), вам нужно, чтобы каждый валидатор каждый раз, когда происходит финализация, подписывал оба сообщения. Так что если у вас много валидаторов, то вам либо нужно много времени для обработки всех их подписей, либо вам нужны очень мощные узлы для одновременной обработки всех подписей.
Эти три цели находятся в противоречии друг с другом: чтобы сделать возможной экономическую завершенность (это означает: злоумышленнику потребуется сжечь много ETH, чтобы подделать финализированные блоки), вам нужно, чтобы каждый валидатор каждый раз, когда происходит финализация, подписывал оба сообщения. Так что если у вас много валидаторов, то вам либо нужно много времени для обработки всех их подписей, либо вам нужны очень мощные узлы для одновременной обработки всех подписей.
Обратите внимание, что все это обусловлено ключевой целью Ethereum: обеспечение того, чтобы даже успешные атаки дорого обходились злоумышленнику. Именно это подразумевается под термином «экономическая завершенность». Если у нас нет этой цели, то мы можем решить эту проблему, случайным образом выбрав комитет для доработки каждого блока. Сети, которые не пытаются достичь экономической завершенности, такие как Algorand, часто именно это и делают. Но проблема с этим подходом в том, что если злоумышленник контролирует 51% валидаторов, то он может выполнить атаку (восстановить финализированные блоки, подвергнуть цензуре или задержать финализацию) с очень низкими затратами: просто контролировать свои узлы, некоторые узлы в . Внутри комитета человека могут обнаружить за участие в атаке и наказать, будь то рубка или социально скоординированный софт-форк. Это означает, что злоумышленник может неоднократно атаковать цепочку несколько раз, теряя лишь небольшую часть своей ставки во время каждой атаки. Следовательно, если мы хотим экономической окончательности, простой подход на основе комитетов не будет работать, и, на первый взгляд, нам действительно необходимо полное участие валидатора.
В идеале мы хотим сохранить экономическую завершенность, одновременно улучшая статус-кво в двух областях:
Завершайте фрагменты в одном слоте (в идеале сохраните или даже сократите текущую продолжительность в 12 секунд) вместо 15 минут.
Разрешить валидаторам делать ставки с помощью 1 ETH (вместо 32 ETH)
Первая цель преследует две цели, обе из которых можно рассматривать как «приведение свойств Ethereum в соответствие со свойствами (более централизованных) цепочек L1, ориентированных на производительность».
Во-первых, это гарантирует, что все пользователи Ethereum действительно получат выгоду от более высокого уровня гарантий безопасности, достигнутого благодаря механизму окончательности. Сегодня большинство пользователей не делают этого, потому что не хотят ждать 15 минут; при финализации с одним слотом пользователи видят свою транзакцию завершенной почти сразу после ее подтверждения. Во-вторых, это упрощает протокол и окружающую инфраструктуру, поскольку пользователям и приложениям не придется беспокоиться о возможности разворота цепочки (за исключением относительно редкого случая утечки бездействия).
Вторая цель связана с желанием поддержать одиночных стейкеров. Опрос за опросом неоднократно показывает, что главное, что мешает большему количеству людей делать ставки в одиночку, — это минимум 32 ETH. Снижение минимума до 1 ETH решит эту проблему, а другие проблемы станут доминирующим фактором, ограничивающим индивидуальные ставки.
Существует проблема: цели более быстрой финализации и более демократизированного размещения ставок противоречат цели минимизации накладных расходов. Фактически, именно этот факт является единственной причиной, по которой мы не начинаем с однослотовой окончательности. Однако недавние исследования предлагают некоторые возможные пути решения этой проблемы.
Что это такое и как это работает?
Завершение в одном слоте предполагает использование алгоритма консенсуса для финализации блоков в слоте. Сама по себе это несложная цель: многие алгоритмы, такие как консенсус Tendermint, уже делают это. Одним из необходимых свойств, уникальных для Ethereum, которое Tendermint не поддерживает, является утечка бездействия, которая позволяет цепочке продолжать работу и в конечном итоге восстанавливаться, даже если более 1/3 валидаторов отключаются от сети. К счастью, эта проблема решена: уже есть предложения по изменению консенсуса в стиле Tendermint для устранения утечек неактивности.
Ведущее предложение окончательности с одним слотом
Более сложная часть проблемы заключается в том, чтобы выяснить, как заставить финальность одного слота работать с очень большим количеством валидаторов, не неся при этом чрезвычайно высоких накладных расходов оператора узла. Для этого есть несколько ведущих решений:
Вариант 1: Грубая сила — работать над улучшением протокола агрегации подписей, возможно, с использованием ZK-SNARK, который, по сути, позволит нам обрабатывать подписи от миллионов валидаторов на слот.
Хорн, один из предложенных вариантов улучшения протоколов агрегации.
Вариант 2: Орбитальные комитеты. Новый механизм, который позволяет случайно выбранным комитетам среднего размера отвечать за завершение цепочки, но таким образом, чтобы сохранить искомые свойства стоимости атаки.
Один из способов думать об Orbit SSF заключается в том, что он открывает пространство компромисса между двумя вариантами, начиная от x=0 (комитет в стиле Альгоранда, отсутствие экономической окончательности) до x=1 (статус-кво Эфириума), с чем-то посередине. «Эфириум по-прежнему обладает достаточной экономической завершенностью, чтобы быть очень безопасным, но в то же время нам нужна только случайная выборка валидаторов среднего размера для участия в каждом слоте, чтобы получить преимущества в эффективности».
Orbit использует уже существующую неоднородность в размерах депозитов валидаторов, чтобы добиться как можно большей экономической завершенности, сохраняя при этом роль небольших валидаторов. Кроме того, Orbit использует медленную ротацию комитетов, чтобы обеспечить высокую степень перекрытия между соседними кворумами, тем самым гарантируя, что ее экономическая целесообразность остается в пределах смены комитетов.
Вариант 3: Двухуровневая ставка — механизм, в котором есть два класса стейкеров: один с более высокими требованиями к депозиту, а другой с более низкими требованиями к депозиту. Только более высокие уровни депозитов непосредственно участвуют в обеспечении экономической завершенности. Существуют различные предположения относительно того, каковы именно права и обязанности нижних уровней депозитов (см., например, пост о ставках Rainbow). Общие идеи включают в себя:
Право делегировать стейкинг стейкеру более высокого уровня.
Некоторые случайные стейкеры низкого уровня должны сертифицировать и завершить каждый блок.
Право создавать списки включения
Какова связь с существующими исследованиями?
Пути к завершению одного слота (2022 г.): https://notes.ethereum.org/@vbuterin/single_slot_finality Пути к завершению одного слота (2022 г.)
Конкретное предложение по протоколу завершения одного слота для Ethereum (2023 г.): https://eprint.iacr.org/2023/280 Завершение одного слота Ethereum.
Orbit SSF: https://ethresear.ch/t/orbit-ssf-solo-staking-friendly-validator-set-management-for-ssf/19928
Дальнейший анализ механизмов в стиле Orbit: https://ethresear.ch/t/vorbit-ssf-with-circular-and-spiral-finality-validator-selection-and-distribution/20464. Дальнейший анализ механизмов в стиле Orbit.
Рог, протокол агрегации подписей (2022 г.): https://ethresear.ch/t/horn-collecting-signatures-for-faster-finality/14219 Рог, протокол агрегации подписей (2022 г.)
Объединение подписей для крупномасштабного консенсуса (2023 г.): https://ethresear.ch/t/signature-merging-for-large-scale-consensus/17386?u=asn Объединение подписей для крупномасштабного консенсуса (2023 г.)
Протокол агрегации подписей, предложенный Ховратовичем и др.: https://hackmd.io/@7dpNYqjKQGeYC7wMlPxHtQ/BykM3ggu0#/ Протокол агрегации подписей, предложенный Ховратовичем и др.
Агрегация подписей на основе STARK (2022 г.): https://hackmd.io/@vbuterin/stark_aggregation Агрегация подписей на основе STARK (2022 г.)
Ставка Rainbow: https://ethresear.ch/t/unbundling-stake-towards-rainbow-stake/18683 Ставка Rainbow
Что еще нужно сделать, на какие компромиссы нужно пойти?
На выбор есть четыре основных возможных пути (мы также можем выбрать гибридный путь):
поддерживать статус-кво
Жестокая ССФ
Орбита SSF
SSF с двумя уровнями ставок
(1) означает ничего не делать и оставить все как есть, но это ухудшит безопасность Ethereum и ухудшит свойства централизации.
(2) Используйте передовые технологии для насильственного решения проблем. Для этого необходимо агрегировать большое количество подписей (более 1 миллиона) за очень короткое время (5-10 секунд). Один из способов понять этот подход заключается в том, что он предполагает минимизацию сложности системы за счет полного учета сложности инкапсуляции.
(3) Избегайте «продвинутых методов» и решайте проблемы путем разумного переосмысления допущений протокола: мы ослабили требование «экономической окончательности», чтобы стремиться к тому, чтобы атаки были дорогостоящими, но признаем, что стоимость атак может быть ниже, чем сегодня, в 10 раз дороже. атаки (например, стоимость атаки составила $2,5 млрд вместо $25 млрд). Принято считать, что Эфириум сегодня имеет гораздо большую экономическую завершенность, чем нужно, и основные риски безопасности лежат в другом месте, так что, возможно, это приемлемая жертва.
Основная задача — убедиться, что механизм Orbit безопасен и обладает нужными нам свойствами, а затем полностью формализовать и реализовать его. Кроме того, EIP-7251 (увеличение максимального действительного баланса) позволяет добровольно консолидировать баланс валидатора, что немедленно снижает накладные расходы на проверку цепочки в некоторой степени и эффективно служит начальной фазой развертывания Orbit.
(4) Он избегает умных размышлений и передовых технологий, но создает двухуровневую систему ставок, которая по-прежнему рискует централизацией. Риск во многом зависит от конкретных прав, приобретенных на более низких уровнях ставок. Например:
Если стейкерам более низкого уровня необходимо делегировать свои права на аттестацию стейкерам более высокого уровня, то делегирование может быть централизованным, поэтому в итоге мы получаем два высокоцентрализованных уровня ставок.
Если для утверждения каждого блока требуется случайная выборка нижних уровней, то злоумышленник может потратить очень небольшое количество ETH, чтобы предотвратить окончательность.
Уровень доказательства мог бы оставаться централизованным, если бы заинтересованные стороны нижнего уровня могли создавать только списки включения, и в этот момент атака 51% на уровень доказательства могла бы самостоятельно подвергать списки включения цензуре.
Можно комбинировать несколько стратегий, например:
1 + 2): Добавить Орбиту без доработки одного слота
(1 + 3): используйте методы грубой силы, чтобы уменьшить минимальный размер депозита без финализации одного слота. Требуемая степень полимеризации в 64 раза меньше, чем в чистом случае (3), поэтому задача упрощается.
(2 + 3): Используйте консервативные параметры (например, комитет валидаторов 128 тысяч вместо 8 или 32 тысяч) для Orbit SSF и используйте технологии, чтобы сделать его сверхэффективным.
(1 + 4): добавить радужные ставки без финализации одного слота
Как он взаимодействует с другими частями дорожной карты?
Помимо других преимуществ, завершенность одного слота снижает риск некоторых типов многоблочных MEV-атак. Кроме того, в мире окончательности с одним слотом конструкция разделения проверяющего и предлагающего и другие внутрипротокольные конвейеры производства блоков требуют другой конструкции.
Слабость стратегий грубой силы заключается в том, что они затрудняют сокращение времени слота.
Единые тайные выборы лидера
Какую проблему мы пытаемся решить?
Сегодня заранее известно, какой именно валидатор предложит следующий блок. Это создает дыру в безопасности: злоумышленник может отслеживать сеть, определять, какие валидаторы соответствуют каким IP-адресам, и выполнять DoS-атаку на каждый валидатор, когда валидатор собирается предложить блок.
Что это такое и как это работает?
Лучший способ решить проблему DoS — скрыть информацию о том, какой валидатор сгенерирует следующий блок, по крайней мере, до тех пор, пока блок не будет фактически сгенерирован. Обратите внимание, что это легко сделать, если мы удалим требование «единого»: одно из решений — позволить любому создать следующий блок, но потребовать, чтобы randao Reveal было менее 2 (256) / N. В среднем этому требованию будет соответствовать только один валидатор, но иногда их будет два и более, а иногда и ноль. Объединение требований «конфиденциальности» с требованиями «единства» всегда было сложной проблемой.
Протокол выборов единого секретного лидера решает эту проблему, используя некоторые криптографические методы для создания «слепого» идентификатора валидатора для каждого валидатора, а затем предоставляя многим предлагающим возможность перетасовать пул слепых идентификаторов (аналогично методу mixnet). В каждом слоте выбирается случайный слепой идентификатор. Только владелец скрытого идентификатора может создать действительное доказательство для предложения блока, но никто другой не знает, какому валидатору соответствует этот скрытый идентификатор.
Какова связь с существующими исследованиями?
Статья Дэна Бонеха (2020 г.): https://eprint.iacr.org/2020/025.pdf Статья Дэна Бонеха (2020 г.)
Whisk (конкретное предложение для Ethereum, 2022 г.): https://ethresear.ch/t/whisk-a-practical-shuffle-based-ssle-protocol-for-ethereum/11763 Whisk (конкретное предложение для Ethereum, 2022 г.)
Единый тег выборов тайного лидера на ethresear.ch: https://ethresear.ch/tag/single-secret-leader-election Единый тег выборов тайного лидера на ethresear.ch
Упрощенный SSLE с использованием кольцевых подписей: https://ethresear.ch/t/simplified-ssle/12315 Упрощенный SSLE с использованием кольцевых подписей
Что еще нужно сделать, на какие компромиссы нужно пойти?
На самом деле, все, что осталось — это найти и реализовать достаточно простой протокол, чтобы мы могли легко реализовать его в основной сети. Мы высоко ценим Ethereum как довольно простой протокол и не хотим дальнейшего усложнения. Реализации SSLE, которые мы видели, добавили сотни строк канонического кода и ввели новые предположения в сложной криптографии. Поиск достаточно эффективных квантово-устойчивых реализаций SSLE также является открытой проблемой.
В конечном итоге может случиться так, что как только мы сделаем решительный шаг и введем механизмы для универсальных доказательств с нулевым разглашением в протоколе Ethereum на уровне L1 (например, деревья состояний, ZK-EVM) по другим причинам, дополнительная сложность, вносимая SSLE, снизится до минимума. достаточно.
Другой вариант — вообще не рассматривать SSLE и использовать внепротокольные средства защиты (например, на уровне p2p) для решения проблем DoS.
Как он взаимодействует с другими частями дорожной карты?
Если мы, например, добавим механизм разделения доказывающего и предлагающего (APS). Билеты выполнения, тогда выполнение блоков (т. е. блоков, содержащих транзакции Ethereum) не потребует SSLE, поскольку мы можем положиться на специализированных создателей блоков. Однако мы все равно получим пользу от консенсусных блоков SSLE (т. е. блоков, содержащих сообщения протокола, таких как аттестации, возможно, фрагментов, содержащих списки и т. д.).
Более быстрое подтверждение транзакции
Какую проблему мы пытаемся решить?
Имеет смысл дальнейшее сокращение времени подтверждения транзакций Ethereum с 12 секунд, например, до 4 секунд. Это улучшит взаимодействие с пользователем при использовании L1 и накопительных пакетов на основе, а также повысит эффективность протокола defi. Это также облегчит децентрализацию L2, поскольку позволит большому классу приложений L2 работать на основе накопительных пакетов, тем самым уменьшая потребность L2 в создании собственного децентрализованного заказа на основе комитетов.
Что это такое и как это работает?
Уменьшите время интервала, например 8 или 4 секунды. Это не обязательно означает 4 секунды на финализацию: по сути, финализация требует трех раундов связи, поэтому мы могли бы сделать каждый раунд связи отдельным блоком, который, по крайней мере, будет предварительно подтвержден через 4 секунды.
Разрешить предлагающим выдавать предварительные подтверждения во время процесса выделения слотов. В крайнем случае, предлагающий может добавить транзакции, которые он видит в реальном времени, в свой собственный блок и немедленно опубликовать сообщение предварительного подтверждения для каждой транзакции («Моя первая транзакция была 0x1234...», «Моя вторая транзакция 0x5678»). ..."). Ситуацию, когда предлагающий выдает два противоречивых подтверждения, можно решить двумя способами: (i) сократить предлагающего или (ii) использовать доказывающего для голосования по более раннему подтверждению.
Какова связь с существующими исследованиями?
Предварительные подтверждения на основе: https://ethresear.ch/t/based-preconfirmations/17353
Обязательства предлагающего, обеспечиваемые протоколом (PEPC): https://ethresear.ch/t/unbundling-pbs-towards-protocol-enforced-proposer-commitments-pepc/13879 Обязательства предлагающего, обеспечиваемого протоколом (PEPC)
Сдвинутые периоды в параллельных цепочках (идея 2018 года для достижения низкой задержки): https://ethresear.ch/t/staggered- periods/1793 Сдвинутые периоды в параллельных цепочках (идея 2018 года для достижения низкой задержки)
Что еще нужно сделать, на какие компромиссы нужно пойти?
Неясно, практично ли сокращение времени слота. Даже сегодня заинтересованным сторонам во многих частях мира сложно получить доказательства достаточно быстро. Попытка использовать 4-секундный интервал несет в себе риск централизации валидаторов и делает непрактичным стать валидатором за пределами нескольких развитых регионов из-за задержки. В частности, переход на 4-секундные временные интервалы требует уменьшения ограничения задержки сети («дельта») до двух секунд.
Недостаток метода предварительного подтверждения предлагающего заключается в том, что он значительно сокращает время включения в среднем, но не в худшем случае: если текущий предлагающий работает хорошо, транзакция будет предварительно подтверждена за 0,5 секунды вместо 6. секунды включены (в среднем), но если текущий предлагающий не в сети или работает плохо, вам все равно придется подождать целых 12 секунд, прежде чем будет запущен следующий слот и будет обслужен новый предлагающий.
Кроме того, вопрос о том, как стимулировать предварительное подтверждение, также остается открытым. У предлагающих есть стимул максимизировать свои варианты как можно дольше. Если орган по сертификации подписывает предварительное подтверждение своевременности, то отправитель транзакции может обусловить часть комиссии немедленным предварительным подтверждением, но это возложит дополнительное бремя на орган по сертификации и потенциально затруднит для него дальнейшую деятельность. работает как нейтральная «тупая труба».
С другой стороны, если мы не попытаемся сделать это и сохранить время финализации на уровне 12 секунд (или дольше), экосистема будет уделять больше внимания механизму предварительного подтверждения L2, и взаимодействия между L2 займут больше времени.
Как он взаимодействует с другими частями дорожной карты?
Предварительное подтверждение на основе предлагающего фактически основано на механизме разделения доказывающего и предлагающего (APS), таком как билеты выполнения. В противном случае давление на обычных валидаторов, требующих предоставления предварительных подтверждений в реальном времени, может оказаться слишком концентрированным.
Насколько коротким может быть время слота, также зависит от структуры слота, которая во многом зависит от версии APS, которую мы в конечном итоге реализуем, списка включения и т. д. Некоторые структуры слотов содержат меньше раундов и, следовательно, более удобны для коротких времен слотов, но в других местах у них есть компромиссы.
Другие области исследований
51% восстановление после атаки
Часто предполагается, что если произойдет атака 51% (включая криптографически недоказуемые атаки, такие как цензура), сообщество соберется вместе, чтобы реализовать софт-форк меньшинства, чтобы гарантировать, что хорошие парни выиграют, а плохие парни получат утечку информации или сокращение бездействия. Однако такая чрезмерная зависимость от социального измерения, возможно, вредна для здоровья. Мы можем попытаться уменьшить зависимость от социального слоя, максимально автоматизировав процесс восстановления.
Полная автоматизация невозможна, потому что если бы она была возможна, это считалось бы отказоустойчивым алгоритмом консенсуса >50%, и мы уже знаем (очень строгие) математически доказуемые ограничения таких алгоритмов. Но мы можем добиться частичной автоматизации: например, клиент может автоматически отказаться принимать финализированную цепочку или даже выбранную форком голову, если клиент видел достаточно длинную транзакцию. Основная цель — сделать так, чтобы плохие парни в атаке не смогли, по крайней мере, одержать быструю и чистую победу.
Повысить порог кворума
Сегодня, если его поддержат держатели 67% акций, блок будет окончательно оформлен. Некоторые считают, что это слишком радикально. За всю историю Эфириума произошел только один (очень краткий) сбой окончательности. Если этот процент увеличится, например, до 80%, то количество добавленных стадий незавершенности будет относительно небольшим, но Эфириум приобретет свойства безопасности: в частности, многие из наиболее спорных ситуаций приведут к временной приостановке окончательности. Это кажется гораздо более здоровым, чем немедленная победа «не той стороны», независимо от того, является ли это злоумышленником или клиентом с ошибками.
Это также отвечает на вопрос: «Каково значение отдельного залогодателя?» Сегодня большинство стейкеров делают ставки через майнинговые пулы, и маловероятно, что один стейкер получит 51% поставленных ETH. Однако если мы будем усердно работать, то достижение отдельными заинтересованными лицами кворума, чтобы заблокировать меньшинство, особенно если кворум составляет 80% (поэтому для блокировки меньшинства необходим кворум в размере всего 21%), кажется достижимым. Пока отдельные участники не согласны с атакой 51% (либо путем отмены окончательности, либо путем проверки), такая атака не приведет к «чистой победе», и у отдельных участников будет стимул помочь организовать софт-форк меньшинства.
Обратите внимание, что существует взаимодействие между порогом кворума и механизмом Orbit: если мы в конечном итоге будем использовать Orbit, то что именно означает «21% стейкеров», будет более сложным вопросом и будет частично зависеть от распределения валидаторов.
квантовое сопротивление
В настоящее время Metaculus полагает, что, хотя и с широкими погрешностями, квантовые компьютеры могут начать взламывать криптографию где-то в 2030-х годах:
Эксперты по квантовым вычислениям, такие как Скотт Ааронсон, также недавно начали более серьезно относиться к возможности эффективной работы квантовых компьютеров в среднесрочной перспективе. Это имеет последствия для всей дорожной карты Ethereum: это означает, что каждая часть протокола Ethereum, которая в настоящее время опирается на эллиптические кривые, потребует некоторой замены на основе хеш-функции или другой квантово-устойчивой замены. В частности, это означает, что мы не можем предполагать, что когда-либо сможем полагаться на превосходные свойства агрегации BLS для обработки подписей от больших наборов валидаторов. Это оправдывает консерватизм предположений, касающихся эффективности конструкции с доказательством заинтересованности, и является причиной для более активной разработки квантовоустойчивых альтернатив.
