Bitcoin и риск квантовых вычислений
Недавние новости показали, что Китай вполне может оказаться впереди в гонке за самый мощный квантовый компьютер с недавно анонсированным 66-кубитным компьютером под названием Zuchongzhi. Этот компьютер предположительно может обрабатывать в 10 миллионов раз быстрее, чем самый быстрый цифровой компьютер, и, вероятно, усугубит существующие опасения по поводу безопасности инфраструктуры блокчейна и перспективы «квантового превосходства», когда квантовое устройство может решить проблему, которую не может решить ни один классический компьютер. решить за любое практическое время.
Трудно взломать криптографические алгоритмы (шифрование)
Современные криптографические алгоритмы, такие как те, которые используются для онлайн-транзакций, могут быть взломаны, по сути, повторяющимися догадками, но их безопасность проистекает из крайне непрактичного времени, которое требуется для этого. Использование так называемого метода грубой силы, когда обычный компьютер перебирает все возможные ключи, пока не будет найден правильный, является сложной задачей. Например, 128-битное шифрование имеет 340 ундециллионов (36 нулей) вариантов. Чтобы представить это в контексте, компьютеру, который может проверять 1 триллион ключей в секунду, потребуется 10,79 квинтиллиона лет (Computerworld), что в 785 миллионов раз превышает принятый в настоящее время возраст Вселенной. 128-битное шифрование раньше было стандартом, но во время фурора WikiLeaks в 2013 году стало очевидно, что спецслужбы якобы могут взломать варианты этих кодов хоть и в нетрадиционной форме. В результате произошел переход на 256-битное шифрование.
Другие непрактичные альтернативы
Существуют известные альтернативы атаке грубой силы, которые касаются общей компьютерной безопасности. Акустический криптоанализ использует метод прослушивания процессора компьютера с помощью микрофона. Используя этот метод, аналитики смогли обойти очень высокие уровни шифрования. Некоторые 256-битные стандарты шифрования, такие как AES, в настоящее время можно взломать за пять минут с помощью антенны, которая измеряет выходную мощность шифрующего компьютера. Однако эти методы непрактичны из-за необходимости, чтобы измерительное оборудование находилось в непосредственной близости от компьютера, выполняющего работу по шифрованию. Интересно, что большинство современных методов взлома включают прослушивание или перехват сигналов, поступающих в процессе шифрования. Из-за распределенного характера Bitcoin эти методы нельзя было использовать.
Квантовые компьютеры изменят все
Непрактичность методов взлома является причиной того, что эти формы взлома, к счастью, не распространены, но это может измениться в ближайшие 5-10 лет. Квантовые компьютеры отличаются от традиционных компьютеров тем, что улучшения происходят не за счет увеличения тактовой частоты, а за счет астрономического сокращения количества шагов, необходимых для выполнения определенных вычислений. По сути, они используют свойства квантовой механики для поиска шаблонов в большом количестве, что делает некоторые современные методы шифрования очень уязвимыми. При наличии достаточно мощного квантового компьютера большинство форм шифрования с открытым ключом, обычно используемых в повседневных транзакциях через электронные устройства, теоретически могут быть взломаны квантовыми компьютерами в течение нескольких минут с использованием алгоритма Шора или Гровера.
Только правительственные администрации и военные, которые часто используют гораздо более безопасное симметричное шифрование, останутся защищенными от квантовых вычислений, но для этого требуется, чтобы ключи были надежно доставлены на каждый сайт, участвующий в коммуникации, с курьерами, переносящими запертые портфели, таким образом, не практичное решение для повседневного использования. безопасность.
Хорошо известно, что Bitcoin использует криптографию SHA-256 для майнинга и для запутывания открытого ключа в процессе транзакции, и поэтому он должен быть безопасным в постквантовом мире. Однако это не так просто. Из-за сложной структуры Bitcoin теоретически существует несколько способов, которыми его безопасность может быть скомпрометирована.
Эллиптическая кривая уязвимости
Bitcoin-транзакции используют отдельный 256-битный алгоритм цифровой подписи на основе эллиптических кривых (ECDSA) для авторизации переводов, метод, который обычно используется для большей части интернет-безопасности. В то время как ECDSA, используемый в Bitcoinе, является 256-битным, схема подписи эквивалентна 128-битной, поскольку хакеру нужно будет использовать только один закрытый ключ со средствами на 256-битной кривой. Именно на этом сосредоточено большинство академических исследований по этому вопросу.
Квантовые атаки на Bitcoin резюмируют, как можно скомпрометировать ECDSA:
«Эффективная квантовая атака будет заключаться в поиске закрытого ключа, когда открытый ключ раскрывается после трансляции подписанной транзакции в сеть. Это позволит злоумышленнику подписать новую транзакцию, используя закрытый ключ, выдавая себя за владельца ключа. Пока квантовый злоумышленник может гарантировать, что его транзакция будет помещена в блокчейн до подлинной транзакции, он может по существу «украсть» транзакцию и направить недавно созданный неизрасходованный вывод транзакции (UTXO) в любую учетную запись, которую он выберет».
Использование этого подхода, вероятно, потребует, чтобы квантовый компьютер был в состоянии решить задачу за то же время, что и 10-минутный интервал блока Bitcoin.
Ранние пользователи Bitcoin получали оплату с использованием технологии P2PK (Pay-to-Public-Key), при которой пользователям платили непосредственно за их открытые ключи, поэтому ранние открытые ключи Bitcoin известны, а это означает, что ранние и часто богатые адреса Bitcoin более уязвимы для этой формы атаки.
Более поздние адреса используют формат адреса P2PKH (Pay-to-Public-Key-Hash), где адреса скрыты за двумя криптографическими хэшами (SHA-256 и RIPEMD-160) при создании новых UTXO, что делает их менее уязвимыми для атаки. Подавляющее большинство UTXO — это P2PKH. Интересно, что недавнее обновление Bitcoin Taproot снова сделает открытые ключи общедоступными, что говорит о том, что разработчики Bitcoin не слишком обеспокоены риском публично известных открытых ключей.
Атака 51%
В процессе майнинга Bitcoinов Proof of Work (PoW) используется вышеупомянутый алгоритм криптографического хеширования SHA-256, который, как мы знаем, не поддастся взлому в постквантовом мире. Хотя теоретически атака 51% может произойти, когда субъект или скоординированная группа участников может получить достаточную мощность майнинга, чтобы позволить им перезаписать часть блокчейна или отменить свои собственные транзакции, что приведет к возможности двойного расходования.
Вполне вероятно, что квантовые компьютеры будут настолько широко распространены в будущем, что ни один квантовый агент не сможет доминировать в майнинге PoW. Таким образом, это, вероятно, имеет большее значение для майнеров, чем сам протокол, просто снижая стоимость хеширования и увеличивая сложность майнинга. Медленный переход к более совершенным технологиям по мере их появления является наиболее вероятным результатом, что является стандартной практикой сегодня, когда выпускается новое оборудование.
Энергопотребление квантовых компьютеров теоретически намного ниже, чем у традиционных компьютеров, из-за их гораздо более эффективного способа решения определенных математических задач. В документе, написанном Национальной лабораторией возобновляемых источников энергии, предполагается, что энергопотребление квантового компьютера сильно отличается от энергопотребления традиционной компьютерной системы, поскольку в нем преобладает энергия, используемая для системы охлаждения, а не для электронных схем. Алан Хо из Google Quantum AI сказал, что для питания и охлаждения одного из их квантовых компьютеров требуется 25 кВт.
Есть и другие инициативы, где такое агрессивное охлаждение может не понадобиться, но их прогресс отстает от основных подходов к сверхпроводникам. Таким образом, хотя мощность схемы, вероятно, будет ниже, экстремальные требования к охлаждению значительно повышают требования к мощности.
Мы считаем, что сочетание затрат на разработку и технических возможностей для запуска квантовой системы говорит о том, что технически и экономически нецелесообразно конкурировать с майнерами ASIC в настоящее время, а возможно, и никогда.
Когда квантовые компьютеры смогут взломать 128-битную криптографию?
Возможно, ключевым препятствием на пути к надежному квантовому превосходству является квантовая декогеренция . Говоря менее технически, квантовые компьютеры очень чувствительны к шуму окружающей среды, и по мере увеличения размеров и мощности систем становится все труднее оградить их от этого шума. Декогеренция приводит к ошибкам при потере информации, и хотя надежность квантовых компьютеров повышается, они следуют довольно линейной тенденции повышения надежности. По сути, сегодняшние квантовые компьютеры слишком примитивны, чтобы взломать 128-битную криптографию в настоящее время, но постепенно совершенствующиеся системы предполагают, что в какой-то момент в будущем они смогут это сделать.
Мнения по поводу того, когда именно квантовые компьютеры смогут взломать 128-битную криптографию, разделились, причем оценки варьируются от следующих 5 до 20 лет, хотя консенсус составляет около 15 лет. Google заявил в недавнем блоге, что за десятилетие они создадут компьютер на 1 миллион кубитов, хотя не совсем ясно, будет ли он достаточно мощным или стабильным, чтобы угрожать инфраструктуре Bitcoin-кошелька. По словам Селии Мерцбахер из Консорциума квантового экономического развития, примерно к 2035 году квантовые компьютеры будут достаточно надежны, чтобы взломать существующие стандарты шифрования, что согласуется с мнением Национального института стандартов и технологий (NIST). Другие исследователи снова по-прежнему скептически относятся к жизнеспособности крупномасштабных квантовых компьютеров.
Что Bitcoin и другие криптоактивы могут сделать для борьбы с этой угрозой?
Разрабатываются постквантовые алгоритмы, которые устраняют риск, который квантовые компьютеры представляют для безопасности, и некоторые из этих подходов разрабатывались в течение многих лет. Примерами являются криптография на основе решеток, многовариантная криптография и криптография на основе хэшей, но они обычно предполагают некоторый компромисс, будь то более высокая стоимость, более высокая вычислительная мощность или больший сетевой трафик. Некоторые предложенные постквантовые системы шифрования увеличат размер ключа с нескольких тысяч бит до 1 миллиона бит. Это явно нецелесообразно или необходимо для протокола Bitcoin.
Чтобы смягчить такие атаки, Имперский колледж предложил софт-форк со «схемой фиксации-задержки-раскрытия, которая обеспечивает безопасный перевод средств в квантово-устойчивые кошельки». Протокол позволяет пользователям выполнить первый шаг по переводу средств еще до развертывания обновления, поскольку необходимые функции уже существуют в Bitcoinе. Изменения в коде требуются только на этапе раскрытия информации о переходе, и они могут быть реализованы в виде софт-форка, позволяющего пользователям обновляться по своему усмотрению».
Этот подход работает, но по-прежнему оставляет уязвимыми существующие ECDSA UTXO, особенно те, где ключи кошелька общеизвестны. Монеты, связанные с этими открытыми ключами, должны быть перемещены их владельцами добровольно, иначе они останутся уязвимыми для достаточно мощного квантового компьютера. Если закрытые ключи этих открытых ключей будут утеряны, они, скорее всего, останутся на месте и станут своего рода наградой для создателей квантовых компьютеров. Простая альтернатива — перевести средства из уязвимых UTXO на адреса с квантовой защитой.
Существующая финансовая инфраструктура подвержена большему риску, чем Bitcoin
Если квантовые компьютеры будут масштабироваться, как некоторые ожидают, мы будем в гонке со временем, чтобы развернуть постквантовую криптографию до того, как появятся квантовые компьютеры. В этом смысле 15 лет кажется достаточным временем для подготовки. Однако, по оценкам, на изменение существующей криптографической инфраструктуры потребуется не менее 10 лет. Это влечет за собой изменение всех существующих систем, использующих криптографию с открытым ключом, включая большинство электронных устройств, подключенных к Интернету.
Мы уже начинаем видеть инициативы, используемые ETSI (Европейским институтом стандартов телекоммуникаций), которые пытаются стандартизировать подход к постквантовой криптографии. Необходимо будет разработать другие инициативы для модификации существующих подключенных устройств и разработки архитектуры для новых квантово-безопасных устройств и программного обеспечения. В настоящее время квантовые компьютеры представляют собой растущую угрозу безопасности в Интернете, которая может иметь серьезные пагубные экономические последствия для организаций, которые не принимают немедленных мер для снижения рисков.
В итоге
Понятно, что использование квантовых технологий для эксплуатации протокола Bitcoin теоретически возможно. Однако на практике это исключительно сложно осуществить, и это было бы нетривиально, даже если бы появились действительно достаточно мощные квантовые компьютеры.
Подобные эксплойты существуют и для других средств сбережения, и, возможно, лучшей аналогией являются хранилища золота. Золотые хранилища, как правило, невероятно безопасны, с очень сложной защитой, но есть теоретические способы, которыми можно украсть золото из них. Эти методы потребуют значительных ресурсов, возможно, с помощью государственного субъекта, но на самом деле это маловероятно. Bitcoin похож в том, что он теоретически уязвим для атак, но до тех пор, пока эти теории не станут реальностью, он остается очень безопасным. Преимущество Bitcoin перед золотом в этом примере заключается в том, что его можно программировать и модифицировать, чтобы предотвратить любые будущие угрозы безопасности.
Из-за широкого использования 128-битной криптографии квантовые вычисления представляют гораздо большую угрозу для значительной части существующей криптографической инфраструктуры, на которую полагаются электронные коммерции и банковские услуги для повседневных транзакций. Учитывая такое широкое использование в системно значимых организациях, любая уязвимость, проявляемая квантовыми вычислениями, может иметь гораздо более серьезные последствия для действующей финансовой инфраструктуры, чем для Bitcoin.
Держим Вас в курсе событий! Подписывайтесь на Фридман клаб в соцсетях и наш Телеграм канал, чтобы всегда быть в курсе самых последних и горячих новостей @like_freedman
Автор: Ньют Саламандр, аналитик Freedman Сlub Crypto News
