Будет ли Биткойн взломан Квантовым компьютером в 2030 году?

Автор: Tiger Research

Составитель: AididiaoJP, Форсайт-новости

Прогресс в квантовых вычислениях приносит новые угрозы безопасности для блокчейн-сетей. Этот раздел направлен на изучение технологий, предназначенных для противодействия квантовым угрозам, и на анализ того, как Bitcoin и Ethereum готовятся к этому изменению.

Ключевые моменты

Сценарий Q-Day, при котором квантовые компьютеры смогут взломать криптографию блокчейна, ожидается в течение 5-7 лет. BlackRock также указал на этот риск в своих документах по заявке на ETF на биткойн.

Постквантовая криптография обеспечивает защиту от квантовых атак на трех уровнях безопасности: шифрование связи, подпись транзакций и хранение данных.

Компании, такие как Google и AWS, уже начали внедрять постквантовую криптографию, но биткойн и эфириум все еще находятся на стадии ранних обсуждений.

Новая технология вызывает незнакомые проблемы

Если квантовый компьютер сможет взломать биткойн-кошелек за несколько минут, сможет ли блокчейн сохранить свою безопасность?

Ключевой аспект безопасности блокчейна заключается в защите частных ключей. Чтобы похитить чьи-то биткойны, злоумышленник должен получить частный ключ, что на существующем уровне вычислительных мощностей на самом деле невозможно. В сети виден только публичный ключ, и даже с использованием суперкомпьютера, чтобы вывести частный ключ из публичного, потребуется сотни лет.

Квантовые компьютеры изменили эту ситуацию с рисками. Классические компьютеры обрабатывают 0 или 1 последовательно, в то время как квантовые системы могут обрабатывать оба состояния одновременно. Эта способность теоретически делает возможным получение закрытого ключа из открытого.

Эксперты предполагают, что квантовые компьютеры, способные взломать современную криптографию, могут появиться примерно в 2030 году. Этот ожидаемый момент называется Q-Day, что указывает на то, что до момента, когда реальные атаки станут возможными, осталось еще пять-семь лет.

Источник: SEC

Регуляторы и крупнейшие учреждения уже осознали этот риск. В 2024 году Национальный институт стандартов и технологий США внедрит стандарты постквантовой криптографии. BlackRock также отметила в своих заявлениях о заявке на ETF на биткойн, что прогресс в области квантовых вычислений может угрожать безопасности биткойна.

Квантовые вычисления больше не являются далекой теоретической проблемой. Это стало технической проблемой, требующей практической подготовки, а не надежд на гипотезы.

Квантовые вычисления ставят под угрозу безопасность блокчейна

Чтобы понять, как работают блокчейн-транзакции, рассмотрим простой пример: Ekko отправляет 1 BTC Райану.

Когда Экко создает транзакцию с заявлением “Я отправляю 1 BTC Райану”, он должен приложить уникальную подпись. Эта подпись может быть сгенерирована только с использованием его закрытого ключа.

Затем Райан и другие узлы в сети используют публичный ключ Экко, чтобы проверить, действительна ли эта подпись. Публичный ключ подобен инструменту, который может проверить подпись, но не может ее заново создать. Пока закрытый ключ Экко остается в секрете, никто не сможет подделать его подпись.

Это составляет основу безопасности транзакций в блокчейне.

Приватный ключ может генерировать публичный ключ, но публичный ключ не может раскрыть приватный ключ. Это достигается с помощью алгоритма цифровой подписи на основе эллиптической кривой, который основан на эллиптической криптографии. ECDSA зависит от математической асимметрии, где вычисление в одном направлении очень простое, а обратное вычисление вычислительно невозможно.

С развитием квантовых вычислений этот барьер начинает ослабевать. Ключевым элементом являются квантовые биты.

Классический компьютер обрабатывает 0 или 1 последовательно. Кубиты могут одновременно представлять два состояния, что позволяет выполнять массивные параллельные вычисления. Имея достаточное количество кубитов, квантовый компьютер может завершить вычисления, которые классическому компьютеру потребовались бы десятилетия, всего за несколько секунд.

Существует два квантовых алгоритма, которые представляют непосредственную угрозу безопасности блокчейна.

Алгоритм Шора предоставляет способ выведения закрытого ключа из открытого ключа, ослабляя тем самым открытую криптографию. Алгоритм Гровера снижает эффективную стойкость хэш-функций, ускоряя перебор.

Алгоритм Шора: прямая кража активов

В настоящее время большая часть интернет-безопасности зависит от двух систем шифрования с открытым ключом: RSA и ECC.

Сегодня большинство интернет-безопасности зависит от двух систем с открытым ключом: RSA и ECC. Они защищают от внешних атак, используя сложные математические задачи, такие как разложение на множители и дискретный логарифм. Блокчейн использует тот же принцип через алгоритм цифровой подписи на основе ECC.

С учетом существующих вычислительных мощностей, взлом этих систем займет десятки лет, поэтому они считаются практически безопасными.

Алгоритм Шора изменил это. Квантовый компьютер, выполняющий алгоритм Шора, может быстро выполнять разложение больших целых чисел и вычисления дискретного логарифма, что дает возможность взламывать RSA и ECC.

С использованием алгоритма Шора квантовый атакующий может вывести закрытый ключ из открытого ключа и произвольно перемещать активы на соответствующем адресе. Любой адрес, который когда-либо отправлял транзакцию, подвергается риску, поскольку его открытый ключ становится видимым в блокчейне. Это приведет к ситуации, когда миллионы адресов могут одновременно подвергнуться риску.

Алгоритм Гровера: перехват транзакций

Безопасность блокчейна также зависит от симметричного шифрования (например, AES) и хеш-функций (например, SHA-256).

AES используется для шифрования файлов кошельков и данных транзакций; для нахождения правильного ключа необходимо попробовать все возможные комбинации. SHA-256 поддерживает регулировку сложности доказательства работы, и майнерам необходимо многократно искать хэш-значения, соответствующие установленным условиям.

Эти системы предполагают, что когда транзакция ожидает в пуле памяти, у других пользователей нет достаточно времени, чтобы проанализировать или подделать её до того, как она будет упакована в блок.

Алгоритм Гровера ослабляет это предположение. Он использует квантовую суперпозицию для ускорения процесса поиска и снижает эффективный уровень безопасности AES и SHA-256. Квантовые атакующие могут в реальном времени анализировать транзакции в пуле памяти и генерировать поддельную версию, которая использует те же входные данные (UTXO), но перенаправляет выход на другой адрес.

Это приводит к риску перехвата транзакций злоумышленниками, оснащенными квантовыми компьютерами, что приводит к перемещению средств на непредвиденные направления. Вывод с биржи и обычные переводы могут стать распространенными целями для таких перехватов.

Постквантовая криптография

Как поддерживать безопасность блокчейна в эпоху квантовых вычислений?

Будущие блокчейн-системы должны поддерживать безопасные криптографические алгоритмы даже под воздействием квантовых атак. Эти алгоритмы называются постквантовыми криптографическими технологиями.

Национальный институт стандартов и технологий США предложил три основных стандарта PQC, и сообщества Биткойна и Эфириума обсуждают возможность их принятия в качестве долгосрочной основы безопасности.

Kyber: Защита связи между узлами

Kyber — это алгоритм, предназначенный для безопасного обмена симметричными ключами между двумя сторонами в сети.

Традиционные методы поддержки интернет-инфраструктуры, такие как RSA и ECDH, долгое время подвержены атакам алгоритма Шора и имеют риск уязвимости в квантовой среде. Kyber решает эту проблему, используя математическую задачу, основанную на решетках (известную как Module-LWE), которая считается устойчивой даже к квантовым атакам. Эта структура предотвращает перехват или расшифровку данных в процессе передачи.

Kyber защищает все пути связи: HTTPS соединения, API биржи и сообщения от кошелька к узлу. Внутри блокчейн-сети узлы также могут использовать Kyber для совместного использования данных о транзакциях, предотвращая мониторинг или извлечение информации третьими лицами.

На самом деле, Kyber восстановил безопасность сетевого транспортного уровня для эпохи квантовых вычислений.

Дилитий: Проверка подписи транзакции

Дилитий — это алгоритм цифровой подписи, используемый для проверки того, что транзакция была создана законным обладателем приватного ключа.

Владение блокчейном зависит от модели ECDSA “подписывайте с помощью закрытого ключа, проверяйте с помощью открытого ключа”. Проблема заключается в том, что ECDSA легко поддается атакам алгоритма Шора. Получив доступ к открытому ключу, квантовый злоумышленник может вывести соответствующий закрытый ключ, что позволяет ему подделывать подписи и красть активы.

Dilithium использует основанную на решетках структуру, которая сочетает в себе Module-SIS и LWE, чтобы избежать этого риска. Даже если злоумышленник проанализирует открытый ключ и подпись, закрытый ключ не может быть выведен, и этот дизайн остается безопасным от квантовых атак. Применение Dilithium может предотвратить подделку подписей, извлечение закрытых ключей и массовую кражу активов.

Он защищает как право собственности на активы, так и подлинность каждой транзакции.

SPHINCS+: сохранение долгосрочных записей

SPHINCS+ использует многоуровневую структуру хеш-дерева. Каждая подпись проверяется по определенному пути в дереве, и поскольку отдельное хеш-значение не может быть обратным образом вычислено, чтобы выяснить его входные данные, эта система остается безопасной даже против квантовых атак.

Когда сделки Экко и Райана добавляются в блок, запись становится постоянной. Это можно сравнить с отпечатком документа.

SPHINCS+ преобразует каждую часть транзакции в хэш-значение, создавая уникальный шаблон. Если в документе изменится даже один символ, его отпечаток полностью изменится. Точно так же изменение любой части транзакции изменит всю подпись.

Даже спустя десятилетия, любые попытки изменить сделки Ekko и Ryan будут немедленно обнаружены. Несмотря на то, что подписи, генерируемые SPHINCS+, относительно велики, они идеально подходят для финансовых данных или государственных записей, которые должны оставаться проверяемыми в долгосрочной перспективе. Квантовым компьютерам будет трудно подделать или скопировать этот отпечаток.

В целом, технология PQC создает трехуровневую защиту от квантовых атак при стандартном переводе в 1 BTC: Kyber используется для шифрования связи, Dilithium для проверки подписи, а SPHINCS+ для обеспечения целостности записей.

Биткойн и Эфириум: разные пути к одной цели

Биткойн подчеркивает неизменность, в то время как Эфириум ставит приоритет на адаптивность. Эти проектные идеи были сформированы событиями прошлого и влияют на то, как каждая сеть справляется с угрозами квантовых вычислений.

Биткойн: защита существующей цепи путем минимизации изменений

Подчёркивание необратимости биткойна восходит к инциденту с переоценкой ценностей в 2010 году. Хакер использовал уязвимость для создания 184 миллиарда BTC, и сообщество за пять часов отменило эту транзакцию с помощью мягкого форка. После этого экстренного действия принцип “подтвержденные транзакции никогда не могут быть изменены” стал основой идентичности биткойна. Эта необратимость поддерживала доверие, но также затрудняла быстрые структурные изменения.

Эта концепция продолжает существовать в методах биткойна по обеспечению квантовой безопасности. Разработчики согласны с тем, что обновление необходимо, но полная замена цепочки через хард-форк считается слишком рискованной для консенсуса сети. Поэтому биткойн исследует возможность постепенного перехода через смешанную модель миграции.

Источник: bip360.org

Эта концепция продолжается в методах биткойна по обеспечению квантовой безопасности. Разработчики согласны, что обновления необходимы, но полная замена цепи через жесткий форк считается слишком рискованной для консенсуса сети. Поэтому биткойн исследует постепенный переход через смешанную модель миграции.

Если будет принято, пользователи смогут одновременно использовать традиционные адреса ECDSA и новые адреса PQC. Например, если средства Ekko хранятся на старом биткойн-адресе, он может постепенно переместить их на адрес PQC по мере приближения Q-Day. Поскольку сеть одновременно распознает оба формата, безопасность повышается, и не требуется принудительный разрушительный переход.

Вызовы все еще велики. Миллионы кошельков требуют миграции, и пока нет четкого решения для кошельков с потерянными приватными ключами. Разные мнения в сообществе также могут увеличить риск форка цепи.

Эфириум: быстрое преобразование через гибкую архитектуру

Принцип адаптивности Ethereum возник в результате хакерской атаки на DAO в 2016 году. Когда было украдено около 3,6 миллиона ETH, Виталик Бутерин и фонд Ethereum произвели硬分叉, чтобы отменить это воровство.

Это решение разделило сообщество на Ethereum (ETH) и Ethereum Classic (ETC). С тех пор адаптивность стала решающей характеристикой Ethereum и ключевым фактором его способности к быстрому внедрению изменений.

Источник: web3edge

На протяжении всей истории все пользователи Ethereum полагались на внешние счета, которые могли отправлять транзакции только с помощью алгоритма подписи ECDSA. Поскольку каждый пользователь полагался на одну и ту же криптографическую модель, изменение схемы подписи требовало жесткого форка по всей сети.

EIP-4337 изменила эту структуру, позволяя аккаунтам функционировать как смарт-контракты. Каждый аккаунт может определить свою собственную логику проверки подписи, что позволяет пользователям использовать альтернативные схемы подписи без необходимости изменения всей сети. Алгоритмы подписи теперь могут заменяться на уровне аккаунта, а не через обновления на уровне протокола.

На этой основе уже появились некоторые предложения, поддерживающие использование PQC:

EIP-7693: Введение смешанного пути миграции, поддерживающего поэтапный переход к подписи PQC при сохранении совместимости с ECDSA.

EIP-8051: Применение стандартов NIST PQC в цепочке для тестирования подписей PQC в реальных сетевых условиях.

EIP-7932: позволяет протоколу одновременно распознавать и проверять несколько алгоритмов подписи, что позволяет пользователям выбирать предпочитаемый метод.

На практике пользователи, использующие кошельки на основе ECDSA, могут перейти на кошельки PQC на основе Dilithium, когда угроза квантовых вычислений станет актуальной. Этот переход происходит на уровне учетной записи и не требует замены всей цепочки.

В общем, Биткойн стремится параллельно интегрировать PQC, сохраняя свою текущую структуру, в то время как Эфириум переосмысляет свою учетную модель для прямого включения PQC. Оба стремятся к одной и той же цели — устойчивости к квантовым вычислениям, но Биткойн полагается на консервативную эволюцию, тогда как Эфириум использует структурные инновации.

Пока блокчейн все еще обсуждается, мир уже изменился.

Глобальная инфраструктура интернета уже начала переходить к новым стандартам безопасности.

Веб-2 платформы, поддерживаемые централизованными решениями, действуют быстро. Google с апреля 2024 года по умолчанию включает квантовый обмен ключами в браузере Chrome и развертывает его на миллиардах устройств. Microsoft объявила о плане миграции на уровне всей организации с целью полного внедрения PQC до 2033 года. AWS начнет использовать смешанное PQC в конце 2024 года.

Блокчейн сталкивается с различными ситуациями. BIP-360 для Биткойна все еще обсуждается, в то время как EIP-7932 для Эфириума был подан несколько месяцев назад, но пока нет публичной тестовой сети. Виталик Бутерин уже изложил путь постепенной миграции, но пока неясно, удастся ли завершить переход до того, как квантовые атаки станут практически осуществимыми.

Согласно отчету Deloitte, примерно 20% до 30% адресов биткойнов уже раскрыли свои публичные ключи. В настоящее время они безопасны, но как только квантовые компьютеры станут зрелыми в 2030-х годах, они могут стать целью. Если сеть в этот период попытается осуществить хард-форк, вероятность раскола будет очень высокой. Обязательство биткойна к неизменности, хотя и является основой его идентичности, также делает быстрые изменения трудными.

В конечном итоге квантовые вычисления представляют собой как технологические, так и управленческие вызовы. Web2 уже начал переход. Блокчейн все еще обсуждает, как начать. Решающий вопрос будет не в том, кто первым начнет действовать, а в том, кто сможет безопасно завершить переход.