Kvantové počítače a ohrozenie Bitcoinu: Riziko prelomovej technológie
Podľa odhadov je približne štvrtina všetkých Bitcoinov vystavená riziku kvantového útoku, pretože sú viazané na verejné kľúče, ktoré boli zverejnené na blockchaine. Táto skutočnosť vyvoláva hlbšie obavy: je ohrozená celistvosť bezpečnostného modelu Bitcoinu?
Predstavte si, že sa jedného dňa zobudíte a zistíte, že váš bitcoinový zostatok je nulový. Nielen na vašom offline úložisku, ale aj na burzových účtoch. Všetko je preč, milióny UTXO „zmizli“ cez noc v tichom, koordinovanom útoku.
Hoci scenár znie extrémne, takáto udalosť by nebola len krádežou. Bola by to priama ofenzíva proti hodnote Bitcoinu, ktorá by signalizovala, že jeho kryptografia už nie je bezpečná. Štátny aktér by sa o niečo takéto mohol pokúsiť nielen preto, aby ukradol mince, ale aj aby zámerne zničil dôveru a spôsobil chaos.
Nie každý útočník by konal verejne. Ten, ktorý je viac motivovaný vlastným ziskom, by mohol zvoliť opačný prístup. S prístupom ku kvantovému počítaču by mohol potichu zamerať staršie UTXO a odsávať mince zo zabudnutých alebo neaktívnych peňaženiek. Jeho cieľom by bolo získať čo najviac predtým, ako si to zvyšok sveta uvedomí.
Bez ohľadu na to, či je útok hlasný alebo tichý, rýchly alebo pomalý, výsledok je viac-menej rovnaký. Predpoklady, ktoré zabezpečujú Bitcoin, už v post-kvantovom svete neplatia. Matematika, ktorá od začiatku chránila Bitcoin, môže byť prelomená strojom, ktorý nikto z nás ešte nevidel, ale o ktorom vieme, že je teoreticky možný.
Čo kvantové počítače dokážu prelomiť?
Kvantový počítač nie je len rýchlejšia verzia počítačov, ktoré máme dnes. Je to zásadne odlišný typ stroja. Pre väčšinu úloh by nebol oveľa rýchlejší ako bežný počítač. Ale pre veľmi špecifické problémy by bol dostatočne silný na to, aby prelomal mnohé bezpečnostné prvky.
Digitálne podpisy Bitcoinu, vrátane Schnorr a ECDSA, sa spoliehajú na takzvaný problém diskrétneho logaritmu. Predstavte si to ako jednosmernú matematickú ulicu. Je ľahké ísť jedným smerom, ale extrémne ťažké vrátiť sa späť. Môžete použiť súkromný kľúč na generovanie verejného kľúča alebo podpisu, ale urobiť opak, odvodiť súkromný kľúč z verejného kľúča, je prakticky nemožné. Preto môžete bezpečne zdieľať svoj verejný kľúč na blockchaine, pretože pre nikoho nie je realizovateľné ho zrekonštruovať a získať tak váš súkromný kľúč.
Ale s dostatočne veľkým kvantovým počítačom sa tento predpoklad rúca. Pomocou Shor’s algoritmu by kvantový útočník mohol vyriešiť problém diskrétneho logaritmu. A táto „jednosmernosť“ už neplatí. Keď má útočník k dispozícii akýkoľvek verejný kľúč na blockchaine, môže odvodiť jeho zodpovedajúci súkromný kľúč.
Ťažké rozhodnutia, veľké kompromisy
Neexistujú tu dokonalé riešenia. Akýkoľvek plán na obranu Bitcoinu proti kvantovým útokom zahŕňa veľké kompromisy. Niektoré sú technické, iné spoločenské. Všetky sú náročné.
Jednou z možností je zaviesť nový typ výstupu, ktorý používa výlučne post-kvantové podpisy. Namiesto spoliehania sa na diskrétne logaritmy, ktoré kvantové počítače dokážu prelomiť, by ste mince zamkli pomocou kvantovo bezpečných podpisových schém od začiatku. Každý, kto posiela finančné prostriedky na túto adresu, vie, že si vyberá silnejšiu, bezpečnosť budúcnosti.
Veľký kompromis je tu veľkosť. Väčšina post-kvantových podpisov je obrovská a často sa meria v kilobajtoch namiesto bajtov. To znamená, že post-kvantové podpisy môžu byť 40-600 krát väčšie ako súčasné podpisy Bitcoinu. Ak sa podpis ECDSA/Schnorr zmestí do textovej správy, post-kvantový podpis môže byť rovnako veľký ako malá digitálna fotografia. Ich vysielanie stojí viac a viac sa ukladá na blockchaine. HD peňaženky, multisig nastavenia a dokonca aj základná správa kľúčov sa stávajú zložitejšími alebo nemusia vôbec fungovať. S prahovými podpismi s post-kvantovými podpismi sa stále zaoberá výskum.
Podobný návrh na prechod na plne post-kvantové systémy pochádza od Jamesona Coppa, ktorý navrhol pevné štvorročné migračné okno. Po zavedení post-kvantových podpisov dajte bitcoinovému ekosystému niekoľko rokov na to, aby sa „otočil“ do kvantovo bezpečných výstupov. Potom sa mince, ktoré neboli presunuté, považujú za stratené. Ide o agresívny prístup, ale stanovuje jasný termín a dáva sieti čas na prispôsobenie sa predtým, ako nastane kríza.
Dovtedy, kým sa hrozba nestane reálnejšou, by sme sa radšej spoliehali na kryptografiu, ktorej už dôverujeme. Ak sa však všetci zhodneme na tom, že Bitcoin si vyžaduje plán, aký bude?
Nikto sa nechce ponáhľať riskovať Bitcoin s neoverenými predpokladmi. Namiesto toho, aby sa presadzovalo niečo úplne nové, Bitcoin už môže mať zabudovaný východiskový bod. Taproot!
Skrytá post-kvantová bezpečnosť Taprootu
Taproot, predstavený v roku 2021, je známy predovšetkým svojím zlepšením súkromia a efektívnosti. Mnohí používatelia si neuvedomujú, že by mohol byť aj základom pre hladší prechod do post-kvantového sveta.
Každý výstup Taprootu obsahuje spočiatku skrytú sadu alternatívnych podmienok pre míňanie. Tieto alternatívne cesty skriptu sa nikdy nezverejnia, pokiaľ sa nepoužijú. V súčasnosti sa väčšina mincí Taprootu míňa pomocou podpisov Schnorr, ale tieto skryté cesty sa dajú použiť takmer na čokoľvek. To zahŕňa aj kontroly post-kvantového (PQ) podpisu.
Myšlienka, že vnútorná štruktúra Taprootu by mohla odolať kvantovým útokom, siaha až k Mattovi Corallovi, ktorý ju ako prvý spropagoval. A nedávno Tim Ruffing z Blockstream Research publikoval prácu, ktorá dokazuje, že tento prístup je skutočne bezpečný: záložné cesty vnútri Taprootu môžu zostať dôveryhodné, aj keď sú Schnorr a ECDSA prelomené.
To otvára dvere k jednoduchej, no účinnej ceste aktualizácie.
Krok 1: Pridanie Post-kvantových Opcodeov
Prvým krokom je zavedenie podpory pre post-kvantové podpisy v Bitcoin Scripte. To by sa mohlo dosiahnuť pridaním nových opcodeov, ktoré umožňujú skriptom Taproot overovať PQ podpisy pomocou algoritmov, ktoré sa v súčasnosti štandardizujú a vyhodnocujú.
Používatelia by tak mohli začať vytvárať výstupy Taprootu s dvoma cestami na míňanie:
- Cesta s kľúčom by na denné používanie stále používala rýchle a efektívne podpisy Schnorr.
- Cesta skriptu by obsahovala post-kvantovú zálohu, ktorá by sa zobrazila iba v prípade potreby.
Z krátkodobého hľadiska sa nič nemení. Mince sa správajú rovnako. Ale ak sa objaví kvantová hrozba, záloha je už na mieste.
Krok 2: Otočenie Vypínača
Neskôr, ak sa vyvinie veľký kvantový počítač a riziko sa stane reálnym, Bitcoin by mohol zakázať míňanie mincí pomocou Schnorr a ECDSA.
Tento „vypínač“ by chránil sieť tým, že by zabránil krádeži mincí z ohrozených výstupov. Pokiaľ používatelia presunuli svoje mince na aktualizované výstupy Taprootu, ktoré obsahovali post-kvantové zálohy, tieto mince by zostali bezpečné a použiteľné.
Prechod nevyhnutne spôsobí určité problémy, ale dúfajme, že bude menej rušivý ako „naháňačka na poslednú chvíľu“. A vďaka skrytým cestám skriptu v Taproote sa väčšina tejto práce môže uskutočniť potichu vopred.
Príprava Bez Paniky
Neexistuje žiadny „odpočítavací čas“ pre kvantovú hrozbu. Netušíme, kedy k tomuto prelomovému objavu v kvantovom výpočte dôjde. Môže to byť o desať rokov, alebo oveľa bližšie. Nikto nevie.
Nič z toho nie je jednoduché. Stále existujú otvorené otázky o tom, ktoré post-kvantové algoritmy by sme mali používať, ako ich urobiť dostatočne efektívnymi pre Bitcoin a ako zachovať základné funkcie, ako sú prahové multisig a odvodenie kľúčov. Ale najdôležitejšie je začať. Ideálne nie po postavení prvého kryptograficky relevantného kvantového počítača, ale teraz, kým je systém stále bezpečný a k dispozícii sú cesty aktualizácie.
Povolením podpory post-kvantových podpisov v rámci Bitcoin Scriptu dáme používateľom čas na prípravu. Vzdelávanie môže prebiehať postupne, bez paniky a používatelia môžu začať migrovať mince vlastným tempom. Ak budeme čakať príliš dlho, túto výhodu stratíme. Aktualizácie vykonané pod stresom zriedka prebiehajú hladko.
Práca Tima Ruffinga načrtáva možnú cestu vpred. Plán, ktorý využíva nástroje, ktoré Bitcoin už má.
Kiara Bickers
