" Недавние прорывы в области квантовых вычислений заставили рыночных комментаторов снова заявить, что будущее Биткоина находится под угрозой. Квантовый чип Willow от Google и его способность значительно сокращать количество ошибок при увеличении количества кубитов являются новейшим источником возникновения страха, неуверенности и сомнений относительно перспектив выживания Биткоина в мире постквантовых вычислений.
Основная проблема заключается в том, что достаточно продвинутый квантовый компьютер сможет взломать различные формы криптографии, используемые в сети Биткоин (и многих других криптовалютах), фактически сделав систему непригодной для использования и бесполезной.
Например, кто-то может атаковать сеть с помощью атаки 51% путем майнинга с помощью квантового компьютера или украсть монеты, хранящиеся на адресах, более легко угадывая связанные с ними закрытые ключи.
Так является ли это реальной и неминуемой угрозой? И что могут сделать разработчики, если потребуется, чтобы исправить эту широко обсуждаемую проблему?
По словам давнего исследователя Bitcoin Итана Хейлмана, сохранение криптографии Биткоина в безопасности от квантовых компьютеров и других потенциальных угроз станет для разработчиков бесконечной битвой.
«Биткоин должен защищать средства людей в течение поколений, — говорит Хейлман. — История криптографии — это история изменений и адаптации к новым атакам, более быстрым компьютерам и лучшим алгоритмам. Поэтому главная задача для тех, кто работает над криптографией Биткоина, заключается в следующем: как защитить монеты в течение десятилетий или даже столетий, учитывая изменчивую природу криптографической безопасности?»
Является ли квантовый компьютер Willow от Google угрозой для Биткоина в 2024 году?
Первое, что следует отметить относительно потенциальной угрозы, которую квантовые компьютеры представляют для Биткоина, — это то, что эта проблема на данный момент сильно преувеличена. Willow — один из лидеров в области квантовых вычислений, созданных на данный момент, но он и близко не подходит к тому, что нужно, чтобы угрожать криптографии, используемой в Биткоине.
Маркетинговое изображение Willow. Источник: Google.
Согласно исследованию, проведенному в 2022 году компанией Universal Quantum, которая является дочерней компанией, связанной с Университетом Сассекса, квантовому компьютеру с 13 миллионами кубитов потребуется день, чтобы взломать закрытый ключ, связанный с уязвимым адресом биткоина.
У Willow от Google всего 105 кубитов.
Действительно, сами Google заявили The Verge, что Willow не представляет угрозы для современной криптографии.
Кроме того, генеральный директор Nvidia Дженсен Хуанг заявил, что «очень полезные квантовые компьютеры», вероятно, появятся еще через двадцать лет, что подразумевает, что их применение в реальном мире будет ограничено в течение некоторого времени.
В недавнем выпуске подкаста Bitcoin Brainstorm от ARK Invest соучредитель и генеральный директор Blockstream Адам Бэк также успокоил тех, кто утверждает, что квантовая угроза Биткоину неизбежна.
«Возникает соблазн предложить некоторым из них пари, потому что они говорят, что нам следует быть осторожнее к 2028 году — типа, ни за что», — сказал он.
Банда рассуждает о квантовых компьютерах и биткоинах. Источник: ARK Invest/YouTube.
Однако потенциальная угроза, которую представляют для Биткоина квантовые вычисления, давно известна, и обсуждения ее — или, по крайней мере, дискуссии вокруг теоретического взлома алгоритма SHA-256, используемого в процессе майнинга — восходят к тому времени, когда создатель Биткоина Сатоши Накамото все еще участвовал в проекте. При необходимости можно внедрять обновления до квантово-устойчивых адресов Биткоина или другие изменения в криптографии, используемой в Биткоине. Кстати, это проблема не только Биткоина, поскольку криптография, используемая в традиционной банковской системе, также уязвима для атак со стороны квантовых компьютеров и в настоящее время представляет собой гораздо большую цель.
Когда квантовые компьютеры сломают биткоин? По прогнозам экспертов — в 2030–2035 году
Разработчики Биткоина и другие заинтересованные стороны в целом скептически и осторожно относятся к потенциальной угрозе.
«Я просто хочу убедиться, что мы думаем об этом правильно, — сказала генеральный директор ARK Invest Кэти Вуд в недавнем эпизоде Bitcoin Brainstorm, посвященном квантовым вычислениям. — Я не хочу исключать никаких возможностей, потому что я действительно считаю, что технологии развиваются все быстрее и быстрее».
Хотя в квантовых вычислениях все еще есть довольно много различных инноваций, которые необходимо сделать, чтобы они стали серьезной угрозой для Биткоина, имеет смысл начать обсуждать этот вопрос более серьезно уже сегодня.
Большинство экспертов не рассматривают квантовые вычисления как угрозу криптографии, используемой в Биткоине, как минимум, до 2030-х годов. В частности, Национальный институт стандартов и технологий (NIST) рекомендует перейти на новые криптографические системы к 2035 году, чтобы снизить риски прямой секретности, связанные с будущими квантовыми угрозами.
Однако Биткоин все равно будет в безопасности при этом уровне угрозы, поскольку на него не влияют риски прямой секретности, по словам главного технологического директора Ledger Шарля Гийеме.
Кроме того, дорожная карта квантовых вычислений IBM указывает на несколько тысяч кубитов к 2033 году. Это все еще намного меньше миллионов кубитов, которые, вероятно, потребуются для взлома криптографии Биткоина.
Аналитики из Bernstein по-прежнему считают, что квантовая угроза Биткоину возникнет через десятилетия. Действительно, оценки разработчиков Биткоина и отраслевых специалистов относительно того, когда квантовые вычисления будут представлять реальную угрозу, широки, и некоторые называют квантовые вычисления откровенным мошенничеством.
В недавнем обсуждении квантового сопротивления в почтовой рассылке Bitcoin Development даются оценки от десятилетия или двух до «не при моей жизни». Несмотря на это, все чаще звучит призыв отнестись к этому вопросу серьезно прямо сейчас, поскольку последние достижения указывают на то, что дальнейший прогресс может быть лишь вопросом времени на данном этапе.
«Я думаю, что сегодня сообщение должно быть таким: да, однозначно, беспокойтесь об этом сейчас, — недавно написал ученый-теоретик Скотт Ааронсон. — Имейте план».
Общее количество подверженных опасности биткоинов не так велико, как вы могли бы подумать.Источник: Deloitte.
Хорошей новостью является то, что около 75% всех биткоин-кошельков уже защищены от потенциальных атак из-за типа адреса, на котором они хранятся, согласно предыдущему исследованию бухгалтерского гиганта Deloitte. В частности, адреса P2PK и повторно используемые адреса P2PKH являются типами адресов, которые уязвимы для квантовых атак. Конечно, неиспользуемые повторно адреса P2PKH также станут уязвимыми, поскольку квантовые компьютеры станут более мощными, поскольку их подписанные транзакции можно будет просматривать в мемпуле до их подтверждения (при условии, что транзакции не выполняются вне диапазона и не отправляются напрямую майнеру). Тем не менее, уже есть по крайней мере одно предложение в разработке по обновлению Биткоина для устранения этой угрозы.
Квантовая устойчивость Биткоина: текущая защита и будущие решения
Существуют две ключевые области беспокойства вокруг алгоритмов, которые созданы специально для использования с квантовыми компьютерами, которые дают им огромные преимущества по сравнению с текущими методами взлома шифрования, обнаруженными в традиционных компьютерах. Одна из них называется алгоритмом Гровера и может быть использована через квантовый компьютер для получения непреодолимого преимущества в процессе майнинга Биткоина и полной централизации системы учета Биткоина до такой степени, что сеть может быть эффективно атакована или подвергнута цензуре с помощью атаки 51%.
Во-вторых, алгоритм Шора может быть использован в определенных типах схем подписей Биткоина для кражи средств, хранящихся на адресах. Алгоритм Шора обеспечивает экспоненциальный рост по сравнению с традиционными методами и является более непосредственной угрозой. В частности, кошельки могут подготовиться к угрозе, которая сегодня угрожает безопасности биткоин-адресов, без необходимости вносить какие-либо изменения в правила консенсуса Биткоина, что, как известно, является довольно медленным и сложным процессом.
В конечном итоге потребуется софт-форк, чтобы активировать изменение правила консенсуса для квантовой устойчивости в сети. Однако подготовка может быть сделана задолго до того, как станет очевидной какая-либо квантовая угроза для Биткоина. Процесс будет заключаться в том, что кошельки начнут иметь дополнительную схему квантовой безопасности, развернутую в программном обеспечении кошелька в ближайшем будущем. Затем узлы в сети Биткоин могут отключить предыдущие схемы квантовой безопасности и потребовать использования новых схем квантовой устойчивости через софтфорк, как только угроза квантовых компьютеров станет неизбежной.
QuBit: предлагаемое квантово-устойчивое обновление Биткоина
Черновик предложения по улучшению Bitcoin (BIP), известный как QuBit, от псевдонима Hunter Beast, представляет новый тип адреса, Pay to Quantum Resistant Hash (P2QRH), который использует различные квантово-устойчивые схемы подписи для защиты от атак, применяющих алгоритм Шора. Новый тип адреса может поставляться с 16-кратной скидкой с точки зрения стоимости пространства блока, обеспечивая экономический стимул для пользователей переходить на квантово-устойчивые адреса.
Похожий экономический стимул ранее использовался для продвижения принятия адресов Segregated Witness в сети.
План QuBit включает четыре этапа: квантово-устойчивый стандарт адресов, совместимый с Taproot квантово-устойчивый стандарт адресов, софтфорк и квантово-безопасный стандарт адресов.
Работа Hunter Beast над P2QRH была профинансирована Surmount Systems, которая является инициативой по защите Bitcoin от потенциальных угроз, связанных с квантовыми вычислениями.
Адреса P2QRH делают квантовую атаку на конкретный адрес неэкономичной, а не невозможной, подобную роль играть в Биткоине майнинг Proof-of-Work.
По словам Hunter Beast, создание адресов, полностью защищенных квантовыми методами, потребует дальнейшего развертывания квантового вычислительного оборудования среди пользователей Биткоина. Однако это обновление также может быть в конечном итоге реализовано в виде софтфорка в более поздний срок. Дальнейшие меры защиты процесса майнинга будут реализованы еще позже и не будут рассматриваться как релевантное соображение в настоящее время.
Встречайте квантовое сопротивление. Источник: GitHub/cryptoquick.
Примечательно, что P2QRH не реализует конкретный квантово-устойчивый алгоритм хеширования. Вместо этого пользователи могут выбирать из нескольких поддерживаемых стандартов, включая SPHINCS+-256f и FALCON-1024. Квантово-устойчивые схемы подписей все еще относительно новы и непроверены, поэтому сложно определить лучший вариант для интеграции в Биткоин. Кроме того, наиболее надежные схемы подписей, как правило, являются и самыми большими, что может привести к новым проблемам масштабируемости.
Альтернативные решения: защита на основе OP_CAT и STARK
Также существует потенциал для новых опкодов, таких как OP_CAT, который является ранее деактивированным опкодом, который некоторые разработчики хотели бы видеть повторно активированным в Биткоин, чтобы включить квантово-устойчивые адреса в Биткоин.
Джонас Ник из Blockstream недавно опубликовал код для экспериментального инструмента, который можно использовать для генерации квантово-устойчивых подписей с использованием опкодов, которые потенциально могут быть повторно активированы с помощью предложения Great Script Restoration.
Однако, как и любое изменение в Bitcoin, OP_CAT может рассматриваться как спорный, и существуют потенциальные проблемы централизации, связанные с включением максимальной извлекаемой стоимости (MEV), связанной с ним.
«OP_CAT можно использовать для реализации постквантовой криптографии в Биткоине, но это было бы ужасно неэффективно с точки зрения размера транзакции», — рассказал Hunter Beast.
Соавтор OP_CAT Итан Хейлман соглашается, что предложение Beast, скорее всего, будет реализовано до того, как возникнет проблема:
«Развертывание OP_CAT было бы полезным инструментом во время криптографического кризиса. Тем не менее, я думаю, что мы должны решить и, вероятно, решим эту проблему с помощью выделенных квантово-устойчивых выходов, таких как QuBit (BIP-360), задолго до возникновения любого такого кризиса».
Существуют компромиссы, сделанные с QuBit, такие как эффективное снижение мощности транзакций в блокчейне Биткоин, но многие считают это более приемлемым, поскольку это действует как строгое усиление безопасности.
Из-за большего размера квантово-устойчивых транзакций также были обсуждения о потенциальном объединении добавления квантово-устойчивых подписей с увеличением размера блока.
Существует также возможность использования масштабируемых прозрачных аргументов знаний (STARKs), которые являются технологией доказательства с нулевым разглашением (ZK), как еще одного пути для привнесения квантовой устойчивости в Биткоин, что принесло бы дополнительные преимущества конфиденциальности и масштабируемости. Эта функциональность может быть включена через OP_CAT или другой операционный код специально для проверки доказательств ZK.
«Поддержка STARK в Bitcoin может позволить майнерам неинтерактивно объединять квантово-устойчивые подписи в один STARK, заменяя подписи одним STARK», — сказал Хейлман. — Это устранит главный недостаток таких схем подписей и также может иметь преимущества конфиденциальности. Многие люди, включая меня, изучают этот вопрос, но эта работа пока еще на ранней стадии, и такие изменения не так уж просты и легки».
Исследователь биткоинов Итан Хейлман. Источник: LinkedIn.
Тем не менее, STARK более практичны для более гибких и податливых криптосистем, таких как Ethereum или Solana.
Действительно, создатель Ethereum Виталик Бутерин ранее высказывал мнение об использовании STARK в квантовой чрезвычайной ситуации. Что касается потенциала использования STARK или других методов для устойчивости к квантовым вычислениям даже для не обновленных адресов (как обрисовал Бутерин), Hunter Beast утверждает:
«Это может быть возможно... Единственная проблема с этим подходом заключается в том, что хотя добавление кодов операций ZK является софтфорком, скорее всего, будет мало согласия о том, какие из них добавлять, и даже если таковые будут, чтобы это работало. Им также нужно будет отключить все транзакции, которые не совершаются с помощью современных HD-кошельков (тех, которые принимают мнемонические фразы и создают новые адреса каждый раз, когда они используются). Жестко закодированный закрытый ключ не будет работать, и также неясно, как это будет работать с мультиподписью. Так что нет, это не совсем практично».
Биткоинеры ценят стабильность и последовательность, поэтому изменения, скорее всего, будут медленными и постепенными. Но поскольку подготовка уже ведется, несмотря на отсутствие явной угрозы, вполне вероятно, что с этой проблемой можно будет справиться своевременно.
Реальность потенциальной угрозы, которую квантовые вычисления представляют для биткоина, недавно хорошо резюмировал генеральный директор Blockstream Адам Бэк на X:
«Я думаю, что квантовая готовность — это правильный баланс: не то чтобы есть какой-либо текущий риск, и не то чтобы он был вероятен в этом десятилетии или, возможно, в следующем, — сказал Бэк. — Но быть готовым — это нормально».
