¿Las criptomonedas deberían temer a la computación cuántica?

Cosas que saber:

– La computación cuántica, una tecnología de punta, tiene un inmenso potencial para revolucionar la computación con su poder computacional inigualable. – La computación cuántica, a pesar de estar al menos a varios años de un gran avance, se percibe como una amenaza importante para la criptografía debido a sus inmensas capacidades de procesamiento de datos. – El impacto potencial de la computación cuántica en la criptografía y los sistemas seguros como la prueba de trabajo de Bitcoin debe considerarse cuidadosamente. Como la puerta de entrada a la criptografía más segura del mundo, estas preguntas fundamentales merecen toda la atención de Ledger.

Computación cuántica: el próximo gran salto tecnológico

Los ordenadores que utilizamos a diario procesan información en base a “bits”. Un bit solo puede contener uno de los siguientes valores: 0 o 1, y se pueden unir para crear una pieza de código binario. Hoy en día, todo lo que hacemos con una computadora, desde enviar correos electrónicos y mirar videos hasta compartir música, es posible gracias a esas cadenas de dígitos binarios. 

La naturaleza binaria de las computadoras tradicionales impone limitaciones en su poder de cómputo. Estas computadoras solo realizan operaciones un paso a la vez y luchan por simular con precisión los problemas del mundo real. Por el contrario, el mundo físico opera en base a amplitudes en lugar de dígitos binarios, lo que lo hace mucho más complejo. Aquí es donde entran en juego las computadoras cuánticas.

En 1981, Richard Feynman dijo que “la naturaleza no es clásica, y si quieres hacer una simulación de la naturaleza, será mejor que la hagas mecánica cuántica”. En lugar de manipular bits, la computación cuántica utiliza "bits cuánticos" o qubits, lo que le permite procesar datos de una manera mucho más eficiente. Los qubits pueden ser cero, uno y, lo que es más importante, una combinación de cero y uno.

La computación cuántica se encuentra en la encrucijada de la física y la informática. Para poner las cosas en perspectiva, una computadora cuántica de 500 qubits requeriría más bits clásicos que… la cantidad de átomos en todo el universo.

¿Es Quantum una amenaza para la criptografía?

La criptografía de clave pública, también conocida como criptografía asimétrica, constituye la base de la seguridad de las criptomonedas. Se trata de una combinación de una clave pública (accesible para todos) y una clave privada. Las capacidades de cálculo rápido de los qubits aumentan el potencial para romper el cifrado y alterar la seguridad de la industria de las criptomonedas si la computación cuántica continúa avanzando.

Es necesario considerar de cerca dos algoritmos: el de Shor y el de Grover. Ambos algoritmos son teóricos porque actualmente no hay ninguna máquina que los implemente, pero como verá, la implementación potencial de estos algoritmos podría ser perjudicial para la criptografía.

Por un lado, el algoritmo cuántico de Shor (1994), llamado así por Peter Shor, permite factorizar números enteros grandes o resolver el problema del logaritmo discreto en tiempo polinomial. Este algoritmo podría romper la criptografía de clave pública con una computadora cuántica lo suficientemente potente. El algoritmo de Shor rompería la gran mayoría de la criptografía asimétrica que se usa hoy en día, ya que se basa en RSA (que depende del problema de factorización de enteros) y la criptografía de curva elíptica (que depende del problema del logaritmo discreto en un grupo de curva elíptica). 

Por otro lado, el algoritmo de Grover (1996) es un algoritmo de búsqueda cuántica ideado por Lov Grover en 1996, que puede usarse para resolver problemas de búsqueda no estructurada. El algoritmo de Grover hace mella significativa en la seguridad de las primitivas simétricas, pero no es insuperable. Por lo general, se recomienda duplicar la longitud de la clave para compensar la complejidad de la raíz cuadrada de esta ruptura. Usar AES256 en lugar de AES128 se considera suficiente, pero debe tenerse en cuenta que esta regla general solo a veces puede ser válido para todos los cifrados[5]. En cuanto a las funciones hash, que son parte del paisaje de las primitivas simétricas, se cree que no tienen impacto en la resistencia a la colisión. Sin embargo, los investigadores encontraron instancias del problema donde esto es falso[6] (búsqueda de preimagen de objetivos múltiples, por ejemplo).

En esencia, ambos algoritmos presentan peligros potenciales para la criptografía. El algoritmo de Shor simplifica el proceso de factorización de grandes números, lo que facilita descubrir una clave privada conectada a una clave pública, y el algoritmo de Grover es capaz de comprometer el hashing criptográfico de manera más eficiente que las computadoras actuales.

¿Cuándo surgirán las computadoras cuánticas que rompen el cifrado?

Repasemos algunos de los últimos experimentos y veamos qué tan rápido va la investigación. La primera computadora cuántica real aún está lejos, pero eso no impide que una carrera global alcance la "supremacía cuántica". Para Ayal Itzkovitz, socio gerente de un fondo de capital de riesgo centrado en la tecnología cuántica, “si hace tres años no sabíamos si era posible construir una computadora de este tipo, ahora ya sabemos que habrá computadoras cuánticas que podrán hacer algo diferente de las computadoras clásicas”. 

Un evento del que probablemente todos hayan oído hablar fue el "experimento de supremacía cuántica" de Google en 2019 utilizando un dispositivo con 54 qubits. En 2021, el Universidad de Ciencia y Tecnología de China resolvió un cálculo más complejo usando 56 qubits, llegando a 60 qubits más tarde. Su objetivo era realizar un cálculo que no involucrara el algoritmo de Shor que demostraría igualmente una aceleración cuántica sobre la computación clásica.

Por definición, estos experimentos no muestran progreso hacia romper la criptografía porque fueron diseñados para evitar el tamaño y la complejidad de realizar la factorización de enteros cuánticos. Sin embargo, muestran que construir más qubits en una computadora cuántica ya no es difícil, con diferentes soluciones de hardware disponibles. Los qubits del chip 'Sycamore' de Google son fundamentalmente diferentes de los fotones de la USTC. En general, se considera que el siguiente paso vital para llegar a una computadora que rompa el cifrado es construir qubits de cómputo tolerante a fallas y de corrección de errores. 

Estado de BSI del desarrollo de computadoras cuánticas [1] muestra lo lejos que están las computadoras cuánticas actuales de romper un logaritmo discreto de 160 bits (la línea azul más baja en la siguiente imagen). La abscisa muestra cómo la reducción de la tasa de error a través de mejoras puras de hardware o la computación tolerante a fallas ayuda a alcanzar tales niveles de computación sin escalar drásticamente la cantidad de qubits disponibles (eje y).

La implementación del algoritmo de Shor de manera escalable requiere un cálculo tolerante a fallas en unos pocos miles de qubits lógicos: 2124 qubits como mínimo para romper una curva elíptica de 256 bits como la secp256k1 de bitcoin, Desde Circuitos cuánticos mejorados para logaritmos discretos de curva elíptica[7]. Un qubit 'lógico' en un sistema de este tipo se compone de varios qubits diseñados para funcionar como una versión con corrección de errores de un solo qubit.

Mil qubits lógicos se traducen aproximadamente en varios millones de qubits, cubriendo el tamaño de un campo de fútbol. Recientemente se realizó una demostración práctica de tal cálculo tolerante a fallas en Control tolerante a fallas de un qubit con corrección de errores[2], donde un solo qubit lógico cuya probabilidad de error es menor que la de los qubits que lo componen. Se espera que la mejora de esta área siga rápidamente, ya que se convertirá en el foco. 

El progreso en esta dirección se traducirá directamente en una amenaza concreta para la criptografía de clave pública. Por último, otra posibilidad de progreso rápido puede provenir de mejoras puramente algorítmicas o descubrimientos solo de hardware. Estado de BSI del desarrollo de computadoras cuánticas[1] explica: “Puede haber descubrimientos disruptivos que cambiarían drásticamente [el estado actual del conocimiento], siendo los principales algoritmos criptográficos que se pueden ejecutar en máquinas sin corrección de errores a corto plazo o avances dramáticos en la tasa de error. de algunas plataformas.” En otras palabras, no es solo un problema de poder construir computadoras grandes con muchos qubits (en realidad, construir más qubits de manera confiable no es el enfoque principal, la computación tolerante a fallas lo es), sino también un problema algorítmico y posiblemente una investigación material. uno.

Mientras escribíamos este artículo, IBM publicó sus resultados en un chip de 127 qubits con una tasa de error de 0.001 y planea emitir un chip de 433 qubits el próximo año y un chip de 1121 qubits en 2023. 

Con todo, sigue siendo difícil predecir qué tan rápido cobrará vida una computadora cuántica. Aún así, podemos confiar en la opinión de expertos en la materia: Un marco de estimación de recursos para ataques cuánticos contra funciones criptográficas: desarrollos recientes[3] y Encuesta de expertos sobre riesgo cuántico[4] muestran que muchos expertos están de acuerdo en que en 15 a 20 años, deberíamos tener una computadora cuántica disponible.

Citando Un marco de estimación de recursos para ataques cuánticos contra funciones criptográficas: desarrollos recientes [3] a modo de resumen:

“Los esquemas de clave pública implementados actualmente, como RSA y ECC, están completamente rotos por el algoritmo de Shor. Por el contrario, los parámetros de seguridad de los métodos simétricos y las funciones hash se reducen, como máximo, en un factor de dos por los ataques conocidos, por búsquedas de "fuerza bruta" utilizando el algoritmo de búsqueda de Grover. Todos esos algoritmos requieren máquinas cuánticas tolerantes a fallas a gran escala, que aún no están disponibles. La mayoría de la comunidad de expertos está de acuerdo en que es probable que se conviertan en realidad dentro de 10 a 20 años”.

Ahora que hemos examinado por qué los algoritmos cuánticos podrían dañar la criptografía, analicemos los riesgos sustanciales que implican los campos cripto y Web3. 

Quantum: ¿Qué riesgos para las criptomonedas?

El caso de Bitcoin:

Comencemos con el análisis de Pieter Wuille del problema de Bitcoin, a veces considerado "seguro cuántico" debido a que las direcciones son hash de claves públicas y por lo tanto no exponerlas.

No poder descifrar una clave privada de Bitcoin basándose en la suposición de que los hash lo hacen imposible también se basa en nunca revelar la clave pública, sea cual sea el medio, lo que ya es incorrecto para muchas cuentas.

Refiriéndose a otro hilo, Pieter Wuille da una idea del impacto de tener el ~37% de los fondos expuestos (en ese momento) robados. Bitcoin probablemente se derrumbaría, e incluso sin estar expuesto, todos los demás también perderían.

El punto crucial aquí es la mención de que el progreso hacia la construcción de una computadora cuántica será incrementales: se invierten públicamente miles de millones de dólares en este campo y cualquier mejora repercute en todo el mundo, como demostró el experimento de supremacía cuántica de Google.

Esto significa que terminar con fondos en riesgo llevará tiempo y las soluciones alternativas se pueden presentar correctamente. Uno puede imaginar la creación de una bifurcación de la cadena utilizando algoritmos criptográficos poscuánticos para firmar y permitir que las personas transfieran sus fondos a esa nueva cadena desde la antigua una vez que la noticia de una computadora cuántica razonablemente robusta parezca inminente.

El caso de Ethereum:

El caso de Ethereum es interesante ya que ETH 2.0 incluye un plan de respaldo para una falla catastrófica en EIP-2333.

En caso de que se rompan las firmas BLS de ETH2, lo que sucedería al mismo tiempo que ECDSA, ya que ambos son igualmente vulnerables frente al algoritmo de Shor, se ejecutará una bifurcación dura de la cadena de bloques antes de que se sospeche que el algoritmo está comprometido. Luego, los usuarios revelan una preimagen de su clave que solo los propietarios legítimos pueden poseer. Esto excluye las claves recuperadas rompiendo una firma BLS. Con esa preimagen, firman una transacción específica que les permite pasar a la bifurcación dura y utilizar nuevos algoritmos poscuánticos.

Este no es un cambio a una cadena poscuántica todavía, pero proporciona una escotilla de escape. Más información esta página.

Firmas poscuánticas:

Se podrían mejorar algunas cosas con respecto al cambio a un esquema de firma poscuántico para su uso en una criptomoneda. Los finalistas actuales del NIST tienen requisitos de memoria bastante grandes. Cuando el tamaño de la firma no es excesivamente mayor que el de una ECDSA, el tamaño de la clave pública aumenta el tamaño de los bloques y las tarifas asociadas.  

Nombre del candidato	Tamaño
Rainbow	58.3 kB
Dilitio	3.5 kB
halcón	1.5 kB
GeMSS	352 kB
Picnic	12 kB
SPHINCS +	7 kB

El algoritmo Falcon fue diseñado para minimizar el tamaño de la clave pública y la firma. Sin embargo, sus 1563 bytes todavía están lejos de los 65 bytes que alcanza actualmente ECDSA.

Las técnicas criptográficas pueden reducir el tamaño de los bloques, como agregar varias firmas juntas. Este [esquema de firma múltiple] (https://eprint.iacr.org/2020/520) para la firma GeMSS hace exactamente eso y reduce el costo de almacenamiento por firma a algo aceptable, a pesar de la gran tarifa única de una firma GeMSS. .

Amenazas al hardware criptográfico:

Los tamaños de las firmas también afectan las carteras de hardware donde la memoria está muy limitada: un Ledger Nano S tiene 320 KB de memoria Flash disponibles y solo 10 Kilobytes de RAM. Si de repente necesitáramos usar firmas Rainbow, generar la clave pública de forma nativa no sería factible.

Sin embargo, dado que toda la comunidad criptográfica se ve afectada por el problema, incluida la banca, las telecomunicaciones y la industria de la identidad, que constituyen la mayor parte del mercado de chips seguros, esperamos que el hardware se adapte rápidamente a la necesidad de un algoritmo poscuántico. hardware amigable y eliminar esa memoria (o, a veces, el rendimiento) todos juntos a tiempo.

Las consecuencias de esos quiebres son la caída del sistema bancario actual, las telecomunicaciones y los sistemas de identidad como los pasaportes. ¿Qué hacer ante un futuro tan apocalíptico? No temas, o un poco, ya que los criptógrafos lo tienen cubierto.

¿Existe una cura, doctor?

Mientras que nuestras computadoras actuales necesitarían miles de años para descifrar la criptografía de clave pública, las computadoras cuánticas completamente desarrolladas lo harían en minutos u horas. Inevitablemente, se necesitarán estándares de "seguridad cuántica" para contrarrestar esta amenaza y garantizar la seguridad de nuestras futuras transacciones financieras y comunicaciones en línea.

Ya se está trabajando en lo que comúnmente se denomina “criptografía poscuántica” eso podría posiblemente ser “compatible con las computadoras de hoy, pero que también será capaz de resistir los ataques de las computadoras cuánticas en el futuro”. La criptografía poscuántica lleva los algoritmos y los estándares matemáticos al siguiente nivel al tiempo que permite la compatibilidad con las computadoras actuales.

La competencia NIST creado solo para la ocasión ya llegó a su tercera ronda y produjo una lista de posibles candidatos para la estandarización. El Conferencia de seguridad post-cuántica se lanzó en 2006 para estudiar primitivas criptográficas que resistirían ataques cuánticos conocidos.

Los cimientos de esta investigación se derivan de las advertencias de los expertos de que los datos cifrados ya corren el riesgo de verse comprometidos, ya que se espera que surjan las primeras computadoras cuánticas prácticas dentro de los próximos 15 años.
Este tipo de ataque se conoce como "acumular datos ahora, atacar después", donde una gran organización almacena información cifrada de otras partes que desea descifrar y espera hasta que una computadora cuántica lo suficientemente poderosa le permita hacerlo. Esta es la misma preocupación de este artículo, por ejemplo, “A EE. UU. le preocupa que los piratas informáticos estén robando datos hoy para que las computadoras cuánticas puedan descifrarlos en una década.“, pero no dice qué podrían estar haciendo los actores a nivel estatal en la misma línea. Tienen muchos más recursos y almacenamiento disponible.

Pensamientos Finales

La velocidad exacta a la que las comunicaciones cifradas se volverán vulnerables a la investigación cuántica sigue siendo difícil de determinar.

Una cosa es segura: aunque se están logrando avances significativos en la computación cuántica, todavía estamos lejos de poseer la capacidad de descifrar la criptografía con estas máquinas. La probabilidad de un avance repentino que resulte en el diseño de una computadora de este tipo es mínima, lo que nos da tiempo para prepararnos para su llegada. Si ocurriera de la noche a la mañana, las ramificaciones serían desastrosas y afectarían no solo a las criptomonedas, sino a una amplia gama de sectores. 

Afortunadamente, las soluciones, incluida la criptografía poscuántica, están disponibles para hacer frente a la amenaza, pero la industria de la criptografía aún tiene que ver la urgencia de invertir en estas medidas. 

El mercado de criptomonedas debe monitorear de cerca los desarrollos cuánticos. Con respecto al hardware, hay pocos motivos de preocupación ya que anticipamos el desarrollo de nuevos elementos seguros para satisfacer la demanda. Es crucial mantenerse al tanto de los últimos avances en versiones de canal lateral y resistentes a fallas de estos algoritmos, a fin de proporcionar una implementación confiable para nuestros usuarios.

Referencias:

[1]: Estado de BSI del desarrollo de computadoras cuánticas

[2]: Control tolerante a fallas de un qubit con corrección de errores

[3]: Un marco de estimación de recursos para ataques cuánticos contra funciones criptográficas: desarrollos recientes

[4]: Encuesta de expertos sobre riesgo cuántico

[5]: Más allá de las aceleraciones cuadráticas en ataques cuánticos a esquemas simétricos

[6]: Un algoritmo de búsqueda de colisión cuántica eficiente e implicaciones en la criptografía simétrica

[7]: Circuitos cuánticos mejorados para logaritmos discretos de curva elíptica

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
• Fuente: https://www.ledger.com/blog/should-crypto-fear-quantum-computing