На этой неделе, Google опубликовала исследование, в котором предполагалось, что достаточно мощный квантовый компьютер сможет взломать основную криптографию биткоина менее чем за девять минут — на одну минуту быстрее среднего времени подтверждения блока биткоина. Некоторые аналитики считают, что такая угроза может стать реальностью к 2029 году.
Ставки высоки: Около 6,5 млн биткоинов, стоимостью в сотни миллиардов долларов, находятся на адресах, которые квантовый компьютер мог бы напрямую атаковать. Некоторые из этих монет принадлежат псевдонимному создателю биткойна, Сатоши Накамото. Кроме того, потенциальный компромисс нанес бы ущерб основным принципам биткойна – «доверяй коду» и «звуковые деньги».
Вот как выглядит эта угроза, а также предложения, рассматриваемые для её смягчения.
Два способа, которыми квантовая машина может атаковать биткоин
Давайте сначала разберём уязвимость, прежде чем обсуждать предложения.
Безопасность биткоина основана на одностороннем математическом соотношении. При создании кошелька генерируются приватный ключ и секретное число, на основе которых выводится публичный ключ.
Расходование биткоин-токенов требует подтверждения владения приватным ключом, не раскрывая его, а используя для генерации криптографической подписи, которую сеть может проверить.
Эта система надежна, поскольку современным компьютерам потребовались бы миллиарды лет, чтобы взломать криптографию на эллиптических кривых — в частности, алгоритм цифровой подписи на эллиптических кривых (ECDSA) — с целью восстановления приватного ключа по публичному ключу. Таким образом, блокчейн считается вычислительно невозможным для компрометации.
Однако в будущем квантовый компьютер сможет превратить одностороннюю улицу в двухстороннюю, вычисляя ваш приватный ключ из публичного и выводя ваши монеты.
Публичный ключ подвергается раскрытию двумя способами: через монеты, находящиеся бездействующими в блокчейне (атака с длительным экспонированием), или через монеты в движении либо транзакции, ожидающие в мемпуле (атака с коротким экспонированием).
Адреса с оплатой по открытому ключу (P2PK) (используемые Сатоши и ранними майнерами) и Taproot (P2TR), текущий формат адреса, активированный в 2021 году, уязвимы к атаке с длительным раскрытием. Монеты на этих адресах не нужно перемещать, чтобы раскрыть их открытые ключи; раскрытие уже произошло и доступно для прочтения любым человеком на Земле, включая будущих квантовых атакующих. Примерно 1,7 млн BTC находятся на старых адресах P2PK — включая монеты Сатоши.
Короткая экспозиция связана с мемпулом — залом ожидания неподтверждённых транзакций. Пока транзакции находятся там в ожидании включения в блок, ваш открытый ключ и подпись видны всей сети.
Квантовый компьютер мог бы получить доступ к этим данным, но у него будет лишь короткий промежуток времени — до подтверждения транзакции и её погружения под дополнительными блоками — чтобы вычислить соответствующий приватный ключ и использовать его.
Инициативы
BIP 360: Удаление открытого ключа
Как отмечалось ранее, каждый новый адрес биткоина, созданный с использованием Taproot сегодня, навсегда раскрывает публичный ключ в блокчейне, предоставляя будущему квантовому компьютеру постоянную цель.
Предложение по улучшению биткоина BIP 360 устраняет публичный ключ, навсегда встроенный в блокчейн и видимый всем, внедряя новый тип выхода под названием Pay-to-Merkle-Root (P2MR).
Напомним, что квантовый компьютер анализирует публичный ключ, восстанавливает точную структуру приватного ключа и создает рабочую копию. Если удалить публичный ключ, у атаки не останется исходных данных для работы. Между тем, все остальное, включая платежи через Lightning, мультиподписные настройки и другие функции биткоина, остается без изменений.
Однако, если будет реализовано, это предложение защитит лишь новые монеты, поступающие в обращение. 1,7 млн BTC, уже находящихся на старых уязвимых адресах, представляют собой отдельную проблему, которая рассматривается в других приведённых ниже предложениях.
SPHINCS+ / SLH-DSA: основанные на хешах постквантовые подписи
SPHINCS+ — это постквантовая схема цифровой подписи, основанная на хеш-функциях, которая избегает квантовых рисков, присущих эллиптической кривой криптографии, используемой в биткойне. В то время как алгоритм Шора угрожает ECDSA, хеш-ориентированные конструкции, такие как SPHINCS+, не считаются столь уязвимыми.
Схема была стандартизирована Национальным институтом стандартов и технологий (NIST) в августе 2024 года как FIPS 205 (SLH-DSA) после многолетнего общественного рассмотрения.
Компромисс в области безопасности — это размер. В то время как текущие подписи биткоина занимают 64 байта, подписи SLH-DSA имеют размер 8 килобайт и более. Таким образом, внедрение SLH-DSA резко увеличит спрос на пространство в блоках и повысит комиссии за транзакции.
В результате появились такие предложения, как SHRIMPS (еще одна схема подписи на основе хэширования, устойчивая к квантовым атакам) и SHRINCS уже были введён для уменьшения размера подписей без ущерба для постквантовой безопасности. Обе разработки основаны на SHPINCS+ и стремятся сохранить его гарантию безопасности в более практичной, компактной форме, подходящей для использования в блокчейне.
Схема Commit/Reveal Тэджа Драйи: Аварийный тормоз для мемпула
Это предложение, мягкий форк, предложенный соавтором Lightning Network Тэджем Драйджей, направлен на защиту транзакций в мемпуле от будущих квантовых атак. Это достигается путем разделения исполнения транзакции на два этапа: Commit и Reveal.
Представьте, что вы информируете контрагента о том, что отправите ему электронное письмо, а затем действительно отправляете это письмо. Первое — это фаза обязательства, а второе — этап раскрытия.
В блокчейне это означает, что вы сначала публикуете зашифрованный отпечаток вашего намерения — всего лишь хэш, который не раскрывает ничего о транзакции. Блокчейн навсегда фиксирует этот отпечаток времени. Позже, когда вы транслируете фактическую транзакцию, ваш открытый ключ становится видимым — и да, квантовый компьютер, наблюдающий за сетью, может вывести из него ваш приватный ключ и подделать конкурирующую транзакцию, чтобы украсть ваши средства.
Но эта поддельная транзакция немедленно отклоняется. Сеть проверяет: есть ли у этой расходной операции предварительное обязательство, зарегистрированное в блокчейне? У вас есть. У злоумышленника нет — он создал её всего несколько мгновений назад. Ваш заранее зарегистрированный отпечаток является вашим алиби.
Проблема, однако, заключается в увеличении стоимости из-за разделения транзакции на две фазы. Таким образом, это описывается как промежуточный мост, практичный для внедрения, пока сообщество работает над созданием квантовой защиты.
Hourglass V2: Замедление расходования старых монет
Предложено разработчиком Хантером Бистом, Hourglass V2 нацеливается на квантовую уязвимость, связанную примерно с 1,7 млн BTC, хранящихся в старых, уже скомпрометированных адресах.
В предложении признается, что эти монеты могут быть украдены в будущем квантовом атаке, и предлагается замедлить утечку, ограничив продажи одним биткоином за блок, чтобы избежать катастрофической массовой ликвидации за одну ночь, способной обрушить рынок.
Аналогия — банковская паника: вы не можете остановить людей от снятия средств, но можете ограничить темп снятий, чтобы предотвратить внезапный крах системы за ночь. Предложение вызывает споры, поскольку даже это ограничение воспринимается некоторыми в сообществе биткоина как нарушение принципа, что ни одна внешняя сторона не может вмешиваться в ваше право тратить свои монеты.
Заключение
Эти предложения еще не активированы, и децентрализованное управление Bitcoin, охватывающее разработчиков, майнеров и операторов узлов, означает, что внедрение любого обновления, вероятно, займет время.
Тем не менее, постоянный поток предложений, появившихся до опубликованного на этой неделе отчёта Google, свидетельствует о том, что эта проблема давно находится в поле зрения разработчиков, что может помочь смягчить опасения рынка, пишет coindesk.com.
