Чи буде Біткойн зламаний Квантовим комп'ютером у 2030 році?

Автор: Tiger Research

Упорядник: AididiaoJP, Foresight News

Прогрес у квантових обчисленнях створює нові ризики безпеки для блокчейн-мереж. Цей розділ має на меті дослідити технології, спрямовані на боротьбу з квантовими загрозами, а також розглянути, як Bitcoin та Ethereum готуються до цієї зміни.

Основні моменти

Сценарій Q-Day, тобто сценарій, коли квантові комп'ютери зможуть зламати криптографію блокчейну, ймовірно, настане протягом 5-7 років. BlackRock також зазначив цей ризик у своїх документах на申请 ETF на біткойн.

Постквантова криптографія забезпечує захист від квантових атак на трьох рівнях безпеки: шифрування зв'язку, підписання транзакцій та збереження даних.

Компанії, такі як Google і AWS, вже почали впроваджувати постквантову криптографію, але біткойн і ефір все ще перебувають на стадії ранніх обговорень.

Нова технологія викликає незнайомі проблеми

Якщо квантовий комп'ютер зможе за кілька хвилин зламати гаманець біткоїнів, чи зможе блокчейн зберегти свою безпеку?

Основою безпеки блокчейну є захист приватного ключа. Щоб вкрасти чиїсь біткойни, зловмисник повинен отримати приватний ключ, що на даний момент неможливо здійснити з існуючими обчислювальними можливостями. В мережі видимий лише публічний ключ, і навіть за допомогою суперкомп'ютера, щоб вивести приватний ключ з публічного, знадобиться кілька сотень років.

Квантові комп'ютери змінили цю ризикову ситуацію. Класичні комп'ютери обробляють 0 або 1 послідовно, тоді як квантові системи можуть одночасно обробляти обидва стани. Ця здатність теоретично робить можливим виведення приватного ключа з публічного.

Експерти оцінюють, що квантові комп'ютери, здатні зламати сучасну криптографію, можуть з'явитися приблизно в 2030 році. Цей очікуваний момент називається D-Qay, що вказує на те, що до фактичної атаки залишилося ще п'ять-сім років.

Джерело: SEC

Регулятори та основні установи вже усвідомлюють цей ризик. У 2024 році Національний інститут стандартів і технологій США ввів стандарти постквантової криптографії. BlackRock також зазначив у своїх документах заявки на біткоїн ETF, що прогрес у квантових обчисленнях може загрожувати безпеці біткоїна.

Квантові обчислення більше не є віддаленою теоретичною проблемою. Це стало технічною проблемою, яка потребує практичної підготовки, а не сподівань на припущення.

Квантові обчислення виклики безпеці блокчейну

Щоб зрозуміти, як працюють блокчейн-транзакції, розгляньте простий приклад: Ekko відправляє Ryan 1 BTC.

Коли Екко створює транзакцію з заявою “Я надсилаю Райану свій 1 BTC”, він повинен додати унікальний підпис. Цей підпис може бути створений лише за допомогою його приватного ключа.

Тоді Райан та інші вузли в мережі використовують публічний ключ Екко, щоб перевірити, чи є цей підпис дійсним. Публічний ключ є інструментом, який може перевірити підпис, але не може відтворити його. Якщо приватний ключ Екко залишається конфіденційним, ніхто не може підробити його підпис.

Це становить основу безпеки транзакцій у блокчейні.

Приватний ключ може генерувати публічний ключ, але публічний ключ не може розкривати приватний ключ. Це реалізується за допомогою алгоритму цифрового підпису на основі еліптичних кривих, який базується на криптографії еліптичних кривих. ECDSA залежить від математичної асиметрії, тобто обчислення в одному напрямку є простим, тоді як зворотне обчислення є обчислювально складним.

З розвитком квантових обчислень цей бар'єр поступово слабшає. Ключовим елементом є квантові біти.

Класичний комп'ютер обробляє 0 або 1 послідовно. Квантові біти можуть одночасно представляти два стани, що дозволяє здійснювати масштабні паралельні обчислення. Маючи достатню кількість квантових бітів, квантовий комп'ютер може завершити обчислення, на які класичному комп'ютеру знадобиться десятиліття, за кілька секунд.

Існує два квантових алгоритми, які безпосередньо загрожують безпеці блокчейну.

Алгоритм Шора забезпечує спосіб виведення приватного ключа з публічного ключа, що послаблює публічну криптографію. Алгоритм Гровера знижує ефективну міцність хеш-функцій шляхом прискорення брутального пошуку.

Алгоритм Шора: пряма крадіжка активів

Сьогодні більшість інтернет-безпеки залежить від двох систем криптографії з відкритим ключем: RSA та ECC.

Сьогодні більшість інтернет-безпеки покладається на дві системи публічного ключа: RSA та ECC. Вони захищаються від зовнішніх атак, використовуючи складні математичні проблеми, такі як розкладення на прості множники та дискретний логарифм. Блокчейн використовує той самий принцип, заснований на алгоритмі цифрового підпису з еліптичними кривими ECC.

З урахуванням наявної обчислювальної потужності, для зламу цих систем знадобляться десятиліття, тому їх вважають практично безпечними.

Алгоритм Шора змінив це. Квантовий комп'ютер, що виконує алгоритм Шора, може швидко виконувати розкладання великих цілих чисел та обчислення дискретного логарифма, ця здатність може зламати RSA та ECC.

Використовуючи алгоритм Шора, квантовий зловмисник може вивести приватний ключ з публічного ключа і безперешкодно переміщати активи на відповідних адресах. Будь-яка адреса, яка коли-небудь надсилала транзакції, піддається ризику, оскільки її публічний ключ стає видимим в блоці. Це призведе до сценарію, в якому мільйони адрес можуть одночасно опинитися під загрозою.

Алгоритм Гровера: перехоплення транзакцій

Безпека блокчейну також залежить від симетричного шифрування (такого як AES) та хеш-функцій (таких як SHA-256).

AES використовується для шифрування файлів гаманця та даних транзакцій, знайти правильний ключ потрібно спробувати всі можливі комбінації. SHA-256 підтримує регулювання складності доказу роботи, шахтарі повинні неодноразово шукати хеш-значення, що відповідає встановленим умовам.

Ці системи виходять з припущення, що коли транзакція чекає в мемпулі, інші користувачі не мають достатньо часу, щоб проаналізувати або підробити її до того, як вона буде упакована в блок.

Алгоритм Гровера послаблює це припущення. Він використовує квантову суперпозицію для прискорення процесу пошуку та знижує ефективний рівень безпеки AES та SHA-256. Квантовий зловмисник може аналізувати транзакції в мемпулі в режимі реального часу та генерувати підроблену версію, яка використовує той самий вхід (UTXO), але перенаправляє вихід на іншу адресу.

Це призводить до ризику перехоплення транзакцій зловмисниками, оснащеними квантовими комп'ютерами, що призводить до перенаправлення коштів на непередбачені напрямки. Виведення коштів з біржі та звичайні перекази можуть стати поширеними цілями для таких перехоплень.

постквантова криптографія

У епоху квантових обчислень, як підтримувати безпеку блокчейну?

Майбутні блокчейн-системи повинні залишатися безпечними під час квантових атак, використовуючи криптографічні алгоритми. Ці алгоритми називаються постквантовими криптографічними технологіями.

Національний інститут стандартів і технологій США вже представив три основні стандарти PQC, а спільнота біткоїна та ефіру обговорює їх прийняття як основи для довгострокової безпеки.

Kyber: захист комунікації між вузлами

Kyber є алгоритмом, який призначений для безпечного обміну симетричними ключами між двома сторонами в мережі.

Традиційні методи підтримки інтернет-інфраструктури, такі як RSA та ECDH, протягом тривалого часу піддаються атакам алгоритму Шора і мають ризик вразливості в квантовому середовищі. Kyber вирішує цю проблему, використовуючи математичну задачу на основі решіток (відомою як Module-LWE), яка вважається стійкою навіть до квантових атак. Ця структура може запобігти перехопленню або розшифровці даних під час передачі.

Kyber захищає всі комунікаційні канали: HTTPS з'єднання, API біржі та повідомлення від гаманця до вузла. У межах блокчейн-мережі вузли також можуть використовувати Kyber для обміну даними про транзакції, запобігаючи моніторингу або витоку інформації третіх сторін.

Насправді Kyber відновив безпеку мережевого транспортного шару для епохи квантових обчислень.

Dilithium: перевірка підпису транзакції

Дилітій - це алгоритм цифрового підпису, який використовується для перевірки того, що транзакцію створено законним власником приватного ключа.

Власність блокчейну залежить від моделі ECDSA “підписувати за допомогою приватного ключа, перевіряти за допомогою публічного ключа”. Проблема полягає в тому, що ECDSA легко піддається атакам алгоритму Шора. Доступаючи до публічного ключа, квантовий зловмисник може вивести відповідний приватний ключ, що дозволяє підробляти підписи та красти активи.

Dilithium уникає цього ризику, використовуючи структуру на основі граток, яка поєднує Module-SIS та LWE. Навіть якщо зловмисник проаналізує відкритий ключ та підпис, закритий ключ не може бути виведений, і цей дизайн залишається безпечним від квантових атак. Використання Dilithium може запобігти підробці підписів, витяганню закритих ключів та крадіжці масових активів.

Він захищає як право власності на активи, так і достовірність кожної транзакції.

SPHINCS+: зберігання довгострокових записів

SPHINCS+ використовує багаторівневу структуру хеш-дерева. Кожен підпис перевіряється шляхом у цьому дереві, і оскільки окреме значення хешу не може бути обернене для отримання його вхідних даних, ця система залишається безпечною навіть проти квантових атак.

Коли угода Екко та Райана буде додана в блок, запис стане постійним. Це можна порівняти з відбитком документа.

SPHINCS+ перетворює кожну частину транзакції на хеш-значення, створюючи унікальний шаблон. Якщо в документі зміниться навіть один символ, його відбиток повністю зміниться. Також зміна будь-якої частини транзакції змінить весь підпис.

Навіть через кілька десятиліть будь-яка спроба змінити угоду між Ekko та Ryan буде миттєво виявлена. Хоча підпис, згенерований SPHINCS+, відносно великий, він ідеально підходить для фінансових даних або державних записів, які повинні залишатися перевіреними протягом тривалого часу. Квантовим комп'ютерам буде важко підробити або скопіювати цей відбиток.

Отже, технологія PQC забезпечує трирівневий захист від квантових атак у стандартному переказі 1 BTC: Kyber для шифрування зв'язку, Dilithium для перевірки підписів, SPHINCS+ для забезпечення цілісності записів.

Біткойн та Ефіріум: різні шляхи, одна мета

Біткоїн підкреслює незмінність, тоді як ефір віддає перевагу адаптивності. Ці дизайнерські концепції формуються подіями минулого і впливають на те, як кожна мережа реагує на загрози квантових обчислень.

Біткойн: захист існуючого ланцюга шляхом мінімізації змін

Наголос на незмінності біткоїна можна простежити до події перевищення вартості 2010 року. Хакер скористався вразливістю, створивши 184 мільярди BTC, а спільнота скасувала цю угоду за допомогою м'якого хардфорку протягом п'яти годин. Після цього термінового заходу принцип “підтверджені угоди ніколи не можуть бути змінені” став основою ідентичності біткоїна. Ця незмінність підтримує довіру, але також ускладнює швидкі структурні зміни.

Ця концепція продовжується в підході біткоїна до квантової безпеки. Розробники погоджуються, що оновлення є необхідним, але заміна всього ланцюга через хард-форк вважається занадто ризикованою для консенсусу в мережі. Тому біткоїн досліджує можливість поступового переходу через змішану міграційну модель.

Джерело: bip360.org

Ця концепція продовжується в методах біткоїна щодо квантової безпеки. Розробники погоджуються, що оновлення є необхідним, але повна заміна ланцюга шляхом жорсткого хардфорку вважається занадто ризикованою для консенсусу в мережі. Тому біткоїн досліджує поступовий перехід через змішану модель міграції.

Якщо буде прийнято, користувачі зможуть одночасно використовувати традиційні адреси ECDSA та нові адреси PQC. Наприклад, якщо фонди Ekko зберігаються на старій адресі біткойна, він може поетапно перенести їх на адресу PQC, коли наближається Q-Day. Оскільки мережа одночасно розпізнає два формати, безпека підвищується, не вимагаючи руйнівного переходу.

Виклики все ще великі. Мільйони гаманців потрібно перенести, і наразі немає чітких рішень для гаманців з втраченими приватними ключами. Різні думки в спільноті також можуть підвищити ризик розгалуження ланцюга.

Ефіріум: швидкий перехід через гнучку архітектуру

Принципи адаптивності Ethereum походять з хакерської атаки на DAO у 2016 році. Коли було вкрадено близько 3,6 мільйона ETH, Віталік Бутерін та Фонд Ethereum виконали жорсткий форк, щоб скасувати це викрадення.

Це рішення розділило спільноту на Ethereum (ETH) та Ethereum Classic (ETC). З того часу адаптивність стала визначальною рисою Ethereum і ключовим фактором його здатності здійснювати швидкі зміни.

Джерело: web3edge

В історії всі користувачі Ethereum покладалися на зовнішні рахунки, які могли відправляти транзакції лише за допомогою алгоритму підпису ECDSA. Оскільки кожен користувач покладається на одну й ту ж модель криптографії, зміна схеми підпису вимагала б жорсткого хард-форка по всій мережі.

EIP-4337 змінив цю структуру, дозволяючи рахункам функціонувати як смарт-контракти. Кожен рахунок може визначати свою власну логіку перевірки підпису, що дозволяє користувачам використовувати альтернативні схеми підпису без необхідності змінювати всю мережу. Алгоритми підпису тепер можна замінювати на рівні рахунку, а не через оновлення на рівні протоколу.

На цій основі з'явилися деякі пропозиції, що підтримують впровадження PQC:

EIP-7693: Введення змішаних шляхів міграції, що підтримують поступовий перехід на PQC підпис, зберігаючи при цьому сумісність з ECDSA.

EIP-8051: Застосування стандарту NIST PQC в ланцюзі для тестування підписів PQC в реальних мережевих умовах.

EIP-7932: дозволяє протоколу одночасно розпізнавати та перевіряти кілька алгоритмів підпису, що дозволяє користувачам вибирати улюблений метод.

У практиці користувачі, які використовують гаманці на основі ECDSA, можуть перейти на гаманці PQC на основі Dilithium, коли загроза з боку квантових комп'ютерів стає актуальною. Цей перехід відбувається на рівні облікового запису і не вимагає заміни всієї ланцюга.

Отже, біткойн прагне інтегрувати PQC паралельно, зберігаючи свою поточну структуру, в той час як ефір переосмислює свою модель облікових записів для безпосереднього прийняття PQC. Обидва переслідують одну й ту ж мету - стійкість до квантових загроз, але біткойн покладається на обережну еволюцію, тоді як ефір використовує структурні інновації.

Коли блокчейн все ще обговорюється, світ уже змінився.

Глобальна інтернет-інфраструктура почала переходити до нових стандартів безпеки.

Платформи Web2, які підтримуються централізованим ухваленням рішень, діють швидко. Google з квітня 2024 року за замовчуванням увімкне післяквантовий обмін ключами в браузері Chrome і впровадить його на мільярдах пристроїв. Microsoft оголосила про план міграції на рівні всієї організації, метою якого є повне впровадження PQC до 2033 року. AWS почне використовувати гібридний PQC наприкінці 2024 року.

Блокчейн стикається з різними ситуаціями. BIP-360 біткоїна все ще обговорюється, тоді як EIP-7932 ефіру був поданий кілька місяців тому, але ще не має публічної тестової мережі. Віталік Бутерін вже окреслив прогресивний шлях міграції, але поки що неясно, чи вдасться завершити перехід до того, як квантові атаки стануть практично здійсненними.

Згідно з доповіддю Deloitte, приблизно 20% до 30% адрес біткоїнів вже розкрили свої публічні ключі. Вони наразі є безпечними, але як тільки квантові комп'ютери стануть досконалими в 2030-х роках, вони можуть стати мішенню. Якщо в мережі на тому етапі спробувати жорсткий форк, ймовірність розколу буде дуже високою. Обіцянка біткоїна щодо незмінності, хоча й є основою його ідентичності, робить швидкі зміни складними.

Врешті-решт, квантові обчислення поставили не лише технічні виклики, але й виклики управління. Web2 вже почав перехід. Блокчейн все ще обговорює, як почати. Визначальним питанням буде не те, хто першим зробить крок, а хто зможе безпечно завершити перехід.