V očekávání "Dne Q". Jakou odpověď kvantovým počítačům připravují vývojáři bitcoinu
\u003ct-196/\u003e\u003ct-197/\u003e\u003ct-198/\u003e
10. prosince odborníci z Google Quantum AI představili nový kvantový čip Willow. Tato událost opět vzbudila mezi kryptokomunitou obavy o kvantovou hrozbu pro bitcoin - téma, které bylo občas zmiňováno i dříve.
Zdá se však, že po vydání Google "kvantového FUD" začali brát mnohem vážněji. Tak už 18. prosince byla nabídce na aktualizaci bitcoinu (BIP) s názvem Pay to Quantum Resistant Hash (P2QRH) přiděleno číslo (BIP-360).
Spolu s týmem bitcoinového mixéru Mixer.Money zkoumáme, jak se vývojáři připravují na "Den Q" - možný moment v budoucnu, kdy by první kryptoměna mohla být zranitelná vůči kvantovým útokům.
V čem spočívá kvantová hrozba
Bitcoinový protokol používá kryptografii s veřejným klíčem pro provádění transakcí. Při vytváření nové peněženky se generuje pár klíčů - veřejný a soukromý, které jsou mezi sebou matematicky propojeny. Soukromý klíč by měl být uchováván v tajnosti, zatímco veřejný je dostupný všem. Tento systém umožňuje vytváření digitálních podpisů pomocí soukromého klíče. Ty může ověřit kdokoli, kdo má odpovídající veřejný klíč.
Bezpečnost spojení je založena na jednosměrné funkci: veřejný klíč může být snadno získán ze soukromého, ale ne naopak. Nicméně v roce 1994 matematik Peter Shor publikoval kvantový algoritmus, který může tento princip narušit. Jakákoli organizace, která má kryptoanalytičně relevantní kvantový počítač (Cryptoanalytically-Relevant Quantum Computer, CRQC), může použít algoritmus k získání soukromého klíče z odpovídajícího veřejného.
V této souvislosti autor BIP-360 pod pseudonymem Hunter Beast zdůraznil, že zabránění zjevení veřejného klíče na blockchainu je důležitým krokem k zajištění kvantové bezpečnosti.
Už v roce 2019 bitcoinový vývojář Peter Welle předpokládal, že kvůli odhalení veřejného klíče na blockchainu může být ohroženo přibližně 37% emise. Důvody jsou získání kryptoměny přímo na veřejné klíče nebo opakované používání adres.
V raných verzích softwaru bylo možné mince získat dvěma způsoby:
Pay-to-Public-Key (P2PK). Samotný veřejný klíč slouží jako adresa příjemce. Mince, které byly vytěženy zakladatelem bitcoinu Satoshim Nakamotem, jsou uchovávány na takových peněženkách a mohou být ohroženy CRQC.
Pay-to-Public-Key-Hash (P2PKH). Adresa příjemce se skládá z hashe veřejného klíče, takže ten není odhalen on-chain přímo.
Dokud z P2PKH adresy nebyly provedeny žádné převody, její veřejný klíč se nezobrazuje na blockchainu. Ten se stane známým teprve v okamžiku, kdy jeho majitel odešle mince.
Po převodu adresu není doporučeno používat k přijímání bitcoinů. Moderní peněženky jsou navrženy tak, aby generovaly novou adresu pro každou transakci, i když to bylo provedeno hlavně z důvodů ochrany soukromí, nikoli kvantové odolnosti.
Nicméně v roce 2024 běžní uživatelé, stejně jako kryptoměnové burzy a custodial služby uchovávají stovky tisíc bitcoinů na opakovaně používaných adresách.
Long-range. Veřejný klíč je znám, což útočníkům poskytuje neomezený čas na jeho prolomení;
Short-range. Tento útok musí být proveden rychle, dokud je transakce v mempoolu.
Poslední typ útoku se stává možným díky odhalení veřejného klíče v okamžiku utrácení mincí. K jeho úspěšnému provedení jsou zapotřebí silné CRQC, protože musí být proveden v krátkém časovém úseku. V počátečních fázích vývoje CRQC jsou pravděpodobnější útoky Long-range, kde je veřejný klíč znám předem.
Útoky Short-range jsou zranitelné na jakékoli transakce v mempoolu, zatímco Long-range míří na:
P2PK (mince Satoshi, CPU těžaři);
opakovaně použité adresy (jakýkoli typ);
rozšířené veřejné klíče peněženek (také známé jako xpub);
Taproot adresy (začínají na bc1p).
Tabulka níže informuje uživatele bitcoinu, zda jsou jejich mince zranitelné vůči útoku Long-range:
V rozhovoru Unchained Hunter Beast vysvětlil, v čem spočívá zranitelnost Taproot adres:
„Bohužel, Taproot obsahuje on-chain krátkou verzi veřejného klíče - x-koordinační bod eliptické křivky. Těchto informací je dost na to, aby bylo možné obnovit celý veřejný klíč.“
Štít Satoshi
Coinbase transakce na veřejné klíče (P2PK) pokračují až do bloku #200 000. Na většině z nich je uloženo 50 BTC.
Hunter Beast nazývá tyto mince "štítem Satoshi". Podle jeho názoru lze jakékoli adresy s balančním stavem pod 50 BTC považovat za ekonomicky nevhodné pro útok.
„Z tohoto důvodu se doporučuje těm, kdo chtějí být připraveni na kvantovou nouzovou situaci, uchovávat na jednom nevyužívaném adrese Native SegWit (P2WPKH, bc1q) ne více než 50 BTC. Předpokládá se, že útočník je motivován finančními důvody, a nikoli například státem, který se snaží podkopat důvěru v bitcoin,“ tvrdí.
QuBit
BIP-360 může být prvním návrhem v rámci QuBit - softforku, který zajišťuje odolnost první kryptoměny vůči kvantovým útokům.
„Kubit je základní jednotka kvantových výpočtů a velké písmeno B označuje bitcoin. Název QuBit také do určité míry rýmuje se SegWit,“ uvádí se v BIP-360.
Návrh zavádí nový typ adres, které začínají na bc1r. P2QRH se navrhuje implementovat nad P2TR, kombinující klasické Schnorrové podpisy s postkvantovou kryptografií.
„Taková hybridní kryptografie umožňuje neztrácet úroveň bezpečnosti v případě zranitelnosti jednoho z používaných algoritmů podpisu. Klíčový rozdíl mezi P2QRH a P2TR spočívá v tom, že P2QRH kóduje hash veřejného klíče. To je významné odchýlení od toho, jak funguje Taproot, ale je to nezbytné, aby se zabránilo odhalení veřejných klíčů on-chain,“ tvrdí autor BIP-360.
V P2QRH se používá algoritmus HASH256 k hashování veřejného klíče. To umožňuje snížit velikost nových výstupů a zvýšit bezpečnost, protože samotný veřejný klíč není odhalen on-chain.
BIP-360 navrhuje zavedení FALCON podpisů. Po jejich schválení se plánuje přidat SQIsign a další postkvantové algoritmy: SPHINCS+, CRYSTALS-Dilithium. Ve specifikaci SQIsign se uvádí, že tento algoritmus má nejmenší celkovou velikost mezi známými postkvantovými schématy.
FALCON je přibližně čtyřikrát větší než SQIsign a 20krát než Schnorrové podpisy.
„FALCON je konzervativnější přístup než SQIsign. Jeho použití bylo nedávno schváleno NIST, což usnadňuje implementaci díky dosažení konsensu v akademické komunitě. Nicméně i podpisy SQIsign jsou přibližně pětkrát větší než Schnorrové podpisy. To znamená, že k udržení současné propustnosti transakcí bude pravděpodobně třeba zvýšit witness discount v softforku QuBit. To bude uvedeno v budoucím BIP QuBit,“ uvádí se v návrhu.
Kryptosystémy založené na hashích jsou konzervativnější a časem prověřené. Kryptografie na mřížkách je relativně nová a přináší nové bezpečnostní předpoklady do bitcoinu, ale její podpisy jsou menší a mohou být některými považovány za adekvátní alternativu k hashovým podpisům. Algoritmus SQIsign je mnohem menší, avšak je založen na nové formě kryptografie a v době publikace nebyl ještě schválen NIST ani širší komunitou.
Podle BIP-360 je zahrnutí čtyř kryptosystémů dáno potřebou podpory hybridní kryptografie, zejména pro velké výběry jako jsou studené peněženky burz. Pro přijetí aktualizace bude vyvinuta knihovna podobná libsecp256k1.
Hunter Beast připouští, že po implementaci P2QRH vznikne potřeba adres Pay to Quantum Secure (P2QS):
„Existuje rozdíl mezi kryptografií, která je prostě odolná vůči kvantovým útokům, a kryptografií chráněnou pomocí specializovaného kvantového vybavení. P2QRH jsou odolné vůči kvantovým útokům, zatímco P2QS jsou kvantově bezpečné. K jejich podepisování bude vyžadováno specializované kvantové vybavení, ale zároveň budou používány veřejné klíče, které lze ověřit klasickými prostředky. K realizaci P2QS budou zapotřebí další BIP.“
Zatímco vybavení pro kvantovou kryptografii nezískalo široké uplatnění, mohou kvantově odolné adresy sloužit jako přijatelný dočasný řešení.
Kvantový přechod
V říjnu 2024 odborníci z Kent University zveřejnili studii, ve které se vypočítává čas potřebný pro převod bitcoinů na kvantově odolné adresy.
„Vypočítali jsme dolní hranici celkového času potřebného k výše uvedenému přechodu. Ta činí 1827,96 hodin (nebo 76,16 dne). Také ukazujeme, že přechod musí být dokončen před příchodem kvantových zařízení, která by mohla prolomit ECDSA, aby byla zajištěna bezpečnost bitcoinu,“ uvádí se ve studii.
Ve své prezentaci na konferenci Future of Bitcoin 2024 CTO Casa Jameson Lopp vypočítal, že k migraci všech UTXO bude zapotřebí alespoň 20 500 bloků (nebo 142 dní).
„Ale pravděpodobně mnohem více, protože to je nejoptimističtější scénář, ve kterém je síť bitcoinu používána výhradně pro migraci. Taková očekávání jsou bezpochyby nerealistická. Proces může trvat roky. Musíme být konzervativní a počítat s tím, že to může trvat mnoho let,“ tvrdí Lopp.
Dospěl k závěru, že i když kvantová hrozba se zdá být vzdálenou perspektivou, je lepší začít o ní hovořit „dříve než později“.
Závěry
Během své existence se bitcoin setkal s různými FUD: útokem 51%, zákazy ze strany úřadů, konkurencí altcoinů a hrozbou kvantových počítačů. Tato témata jsou pravidelně diskutována v komunitě, ale zatím první kryptoměna prokázala odolnost vůči různým výzvám.
„Po přijetí ETF a vzdělávacích videí BlackRock o bitcoinu už nikdo nemluví o zákazech. Obavy z útoku 51% byly vždy přehnané a jeho vliv na síť je velmi omezený,“ poznamenávají zástupci Mixer.Money.
Kvantová hrozba má hlubší charakter, ale navrhovaný softfork QuBit ukazuje, že vývojáři jsou dobře informováni o ní. V roadmapě Etherea je také zohledněna kvantová odolnost a bitcoinová komunita si může z těchto vývojů vzít užitečné lekce.
„Je však třeba poznamenat, že pro kvantový přechod Etherea stačí další hard fork. V bitcoinu je to složitější: zde nejsou hard forky a bitcoiny Satoshi nelze jednoduše zmrazit - to by podkopalo základní principy první kryptoměny,“ tvrdí v Mixer.Money.
Zůstává nejasná možná budoucnost "štítu Satoshi" a dalších mincí, které nepřejdou na kvantově odolné adresy. Bitcoinový vývojář Luke Dash Jr. věří, že v budoucnu je možné je považovat za ekvivalent těžby.
„Nakonec 37% nabídky, těžené kvantovými počítači, se neliší od 37%, těženého ASIC těžaři,“ prohlásil.
\u003ct-291/\u003e