Moet Crypto Quantum Computing vrezen?

Dingen om te weten:

- Quantumcomputing, een geavanceerde technologie, heeft een enorm potentieel voor een revolutie in de berekening met zijn ongeëvenaarde rekenkracht. – Quantumcomputing wordt, ondanks dat het nog minstens enkele jaren verwijderd is van een grote doorbraak, gezien als een aanzienlijke bedreiging voor cryptografie vanwege de enorme mogelijkheden voor gegevensverwerking. – De potentiële impact van quantumcomputing op cryptografie en veilige systemen zoals Bitcoin's proof-of-work moet zorgvuldig worden overwogen. Als 's werelds veiligste toegangspoort tot crypto, verdienen dergelijke fundamentele vragen de volledige aandacht van Ledger.

Quantumcomputing: de volgende grote technologische sprong

De computers die we dagelijks gebruiken verwerken informatie op basis van “bits”. Een bit kan slechts één van de volgende waarden bevatten: 0 of 1, en kan aan elkaar worden geregen om een ​​stuk binaire code te maken. Tegenwoordig is alles wat we met een computer doen, van het verzenden van e-mails en het bekijken van video's tot het delen van muziek, mogelijk dankzij zulke reeksen binaire cijfers. 

De binaire aard van traditionele computers legt beperkingen op aan hun rekenkracht. Deze computers voeren bewerkingen slechts stap voor stap uit en hebben moeite om problemen uit de echte wereld nauwkeurig te simuleren. De fysieke wereld werkt daarentegen op basis van amplitudes in plaats van binaire cijfers, waardoor het veel complexer wordt. Dit is waar kwantumcomputers in het spel komen.

In 1981 zei Richard Feynman dat "de natuur niet klassiek is, en als je een simulatie van de natuur wilt maken, kun je die beter kwantummechanisch maken." In plaats van bits te manipuleren, gebruikt kwantumcomputing "kwantumbits" of qubits, waardoor het gegevens op een veel efficiëntere manier kan verwerken. Qubits kunnen nul, één en vooral een combinatie van nul en één zijn.

Quantum computing bevindt zich op het kruispunt van natuurkunde en informatica. Om de zaken in perspectief te plaatsen: een kwantumcomputer van 500 qubit zou meer klassieke bits nodig hebben dan... het aantal atomen in het hele universum.

Is Quantum een ​​bedreiging voor cryptografie?

Public-key cryptografie, ook wel asymmetrische cryptografie genoemd, vormt de basis van cryptocurrency-beveiliging. Het gaat om een ​​combinatie van een publieke sleutel (voor iedereen toegankelijk) en een private sleutel. De snelle berekeningsmogelijkheden van qubits verhogen het potentieel voor het doorbreken van codering en het verstoren van de beveiliging van de cryptocurrency-industrie als kwantumcomputing doorgaat.

Twee algoritmen moeten goed worden overwogen: die van Shor en die van Grover. Beide algoritmen zijn theoretisch omdat er momenteel geen machine is om ze te implementeren, maar zoals u zult zien, kan de mogelijke implementatie van deze algoritmen schadelijk zijn voor cryptografie.

Aan de ene kant maakt Shor's (1994) kwantumalgoritme, genoemd naar Peter Shor, het mogelijk om grote gehele getallen te ontbinden of het discrete logaritmeprobleem in polynomiale tijd op te lossen. Dit algoritme zou cryptografie met openbare sleutels kunnen doorbreken met een voldoende krachtige kwantumcomputer. Het algoritme van Shor zou de overgrote meerderheid van de asymmetrische cryptografie die tegenwoordig wordt gebruikt, doorbreken, aangezien het is gebaseerd op RSA (vertrouwend op het integer-factorisatieprobleem) en Elliptic Curve Cryptography (afhankelijk van het discrete logaritme-probleem in een elliptische curve-groep). 

Aan de andere kant is het algoritme van Grover (1996) een kwantumzoekalgoritme dat in 1996 door Lov Grover is bedacht en dat kan worden gebruikt om ongestructureerde zoekproblemen op te lossen. Het Grover-algoritme vormt een aanzienlijke deuk in de beveiliging van symmetrische primitieven, maar is niet onoverkomelijk. Over het algemeen wordt geadviseerd om de sleutellengte te verdubbelen om de vierkantswortelcomplexiteit van deze breuk te compenseren. Het gebruik van AES256 in plaats van AES128 wordt als voldoende beschouwd, maar er moet worden opgemerkt dat deze vuistregel is mogelijk slechts soms geldig voor alle cijfers[5]. Wat betreft hash-functies, die deel uitmaken van het landschap van de symmetrische primitieve, wordt aangenomen dat deze geen invloed heeft op de weerstand tegen botsingen. Onderzoekers vonden echter voorbeelden van het probleem waar dit is niet waar[6] (bijvoorbeeld zoeken naar voorafbeeldingen met meerdere doelen).

In wezen vormen beide algoritmen potentiële gevaren voor cryptografie. Het algoritme van Shor vereenvoudigt het proces van het ontbinden van grote getallen, waardoor het gemakkelijker wordt om een ​​privésleutel te ontdekken die is verbonden met een openbare sleutel, en het algoritme van Grover is in staat om cryptografische hashing efficiënter te compromitteren dan huidige computers.

Wanneer zullen versleutelingsbrekende kwantumcomputers verschijnen?

Laten we enkele van de nieuwste experimenten doornemen en kijken hoe snel het onderzoek gaat. De eerste echte kwantumcomputer blijft ver weg, maar dat weerhoudt een wereldwijd ras er niet van om "kwantumsuprematie" te bereiken. Voor Ayal Itzkovitz, managing partner in een op kwantum gericht durfkapitaalfonds, “als we drie jaar geleden niet wisten of het helemaal mogelijk was om zo'n computer te bouwen, weten we nu al dat er kwantumcomputers zullen zijn die in staat zullen zijn om iets anders doen dan klassieke computers.” 

Een evenement waar waarschijnlijk iedereen van heeft gehoord, was het 'quantum supremacy-experiment' van Google in 2019 met een apparaat met 54 qubits. In 2021 zal de Universiteit voor Wetenschap en Technologie van China loste een complexere berekening op met 56 qubits en bereikte later 60 qubits. Het doel was om een ​​berekening uit te voeren waarbij het algoritme van Shor niet betrokken was en die evenzeer een kwantumversnelling ten opzichte van klassieke computers zou aantonen.

Per definitie tonen deze experimenten geen vooruitgang in de richting van het doorbreken van cryptografie, omdat ze zijn ontworpen om de omvang en complexiteit van het uitvoeren van factorisatie van kwantumgetallen te vermijden. Ze laten echter zien dat het bouwen van meer qubits in een kwantumcomputer niet langer moeilijk is, met verschillende beschikbare hardware-oplossingen. De 'Sycamore'-chipqubits van Google verschillen fundamenteel van de fotonen van de USTC. De volgende essentiële stap om naar een computer te gaan die de codering breekt, wordt algemeen beschouwd als het bouwen van fouttolerante berekeningen en foutcorrigerende qubits. 

BSI's status van kwantumcomputerontwikkeling [1] laat zien hoe ver de huidige kwantumcomputers zijn verwijderd van het breken van een discrete logaritme van 160 bits (de laagste blauwe lijn in de volgende afbeelding). De abscis laat zien hoe het verminderen van het foutenpercentage door pure hardwareverbeteringen, of fouttolerante computers, helpt om dergelijke computerniveaus te bereiken zonder het aantal beschikbare qubits (y-as) drastisch te vergroten.

Het implementeren van het algoritme van Shor op een schaalbare manier vereist een fouttolerante berekening op een paar duizend logische qubits: minimaal 2124 qubits om een ​​256-bits elliptische curve zoals secp256k1 van bitcoin te doorbreken, oppompen van Verbeterde kwantumcircuits voor elliptische kromme discrete logaritmen[7]. Een 'logische' qubit in zo'n systeem is samengesteld uit verschillende qubits die zijn ontworpen om te werken als een foutgecorrigeerde versie van een enkele qubit.

Duizend logische qubits vertalen zich ruwweg in enkele miljoenen qubits, ter grootte van een voetbalveld. Een praktische demonstratie van een dergelijke fouttolerante berekening is onlangs gemaakt in Fouttolerante controle van een foutgecorrigeerde qubit[2], waarbij een enkele logische qubit is waarvan de foutkans lager is dan die van de qubits waaruit deze is gemaakt. De verbetering van dit gebied zal naar verwachting snel volgen, aangezien dit de focus zal worden. 

Vooruitgang in deze richting zal zich direct vertalen in een concrete bedreiging voor cryptografie met openbare sleutels. Ten slotte kan een andere mogelijkheid voor snelle vooruitgang voortkomen uit puur algoritmische verbeteringen of alleen hardware-ontdekkingen. BSI's status van kwantumcomputerontwikkeling[1] legt uit: "Er kunnen ontwrichtende ontdekkingen zijn die [de huidige kennis] drastisch zouden veranderen, de belangrijkste zijn cryptografische algoritmen die kunnen worden uitgevoerd op machines die op korte termijn niet voor fouten worden gecorrigeerd of dramatische doorbraken in het foutenpercentage van sommige platforms.” Met andere woorden, het is niet alleen een probleem om grote computers met veel qubits te kunnen bouwen (het betrouwbaar bouwen van meer qubits is niet de belangrijkste focus, fouttolerante computers wel), maar ook een algoritmische en mogelijk een materiaalonderzoek. een.

Terwijl we dit artikel aan het schrijven waren, publiceerde IBM zijn resultaten op een 127-qubit-chip met een foutenpercentage van 0.001, en is van plan om volgend jaar een 433-qubit-chip uit te geven, en een 1121-qubit-chip in 2023. 

Al met al blijft het moeilijk te voorspellen hoe snel een quantumcomputer tot leven komt. Toch kunnen we vertrouwen op de mening van experts ter zake: Een resourceschattingskader voor kwantumaanvallen op cryptografische functies - recente ontwikkelingen[3] en Expertenquête over kwantumrisico[4] laten zien dat veel experts het erover eens zijn dat we over 15 tot 20 jaar een quantumcomputer beschikbaar moeten hebben.

citeren Een resourceschattingskader voor kwantumaanvallen op cryptografische functies - recente ontwikkelingen [3] als samenvatting:

“De momenteel in gebruik zijnde publieke sleutelschema's, zoals RSA en ECC, worden volledig verbroken door het algoritme van Shor. Daarentegen worden de beveiligingsparameters van symmetrische methoden en hash-functies door de bekende aanvallen met hoogstens een factor twee gereduceerd – door "brute force"-zoekopdrachten met behulp van het zoekalgoritme van Grover. Al die algoritmen vereisen grootschalige, fouttolerante kwantummachines, die nu nog niet beschikbaar zijn. De meeste deskundigen zijn het erover eens dat ze waarschijnlijk binnen 10 tot 20 jaar werkelijkheid zullen worden.”

Nu we hebben onderzocht waarom kwantumalgoritmen de cryptografie zouden kunnen schaden, gaan we de substantiële risico's voor de crypto- en Web3-velden analyseren. 

Quantum: welke risico's voor cryptocurrencies?

De Bitcoin-zaak:

Laten we beginnen met Pieter Wuille's analyse van het probleem voor Bitcoin, dat soms als "kwantumveilig" wordt beschouwd omdat adressen hashes van openbare sleutels en deze dus niet bloot te leggen.

Het niet kunnen breken van een privésleutel van Bitcoin op basis van de veronderstelling dat hashes het onmogelijk maken, is ook afhankelijk van het nooit bekendmaken van iemands openbare sleutel, op welke manier dan ook, wat al verkeerd is voor veel accounts.

Verwijzend naar een andere thread, geeft Pieter Wuille een idee van de impact van de diefstal van ongeveer 37% van de blootgestelde fondsen (destijds). Bitcoin zou waarschijnlijk tanken, en zelfs onbelicht, verliest iedereen ook.

Het cruciale punt hier is de vermelding dat de voortgang naar het bouwen van een kwantumcomputer zal zijn incrementele: miljarden dollars worden publiekelijk in dit veld geïnvesteerd en elke verbetering resoneert wereldwijd, zoals het experiment met kwantumsuprematie van Google aantoonde.

Dit betekent dat het tijd kost om te eindigen met risicovolle fondsen en dat alternatieve oplossingen correct kunnen worden opgemaakt. Je kunt je voorstellen dat je een fork van de keten opzet met behulp van post-kwantumcryptografische algoritmen voor het ondertekenen en mensen in staat stelt hun geld over te maken naar die nieuwe keten van het oude zodra nieuws over een redelijk krachtige kwantumcomputer op handen is.

De Ethereum-zaak:

Het geval van Ethereum is interessant omdat ETH 2.0 een back-upplan bevat voor een catastrofale storing in EIP-2333.

In het geval dat de BLS-handtekeningen van ETH2 breken, wat tegelijkertijd met ECDSA zou gebeuren, aangezien ze beide even kwetsbaar zijn in het licht van het algoritme van Shor, zal een hard fork van de blockchain worden uitgevoerd voordat wordt vermoed dat het algoritme is gecompromitteerd. Vervolgens onthullen gebruikers een voorafbeelding van hun sleutel die alleen legitieme eigenaren kunnen bezitten. Dit sluit sleutels uit die zijn opgehaald door een BLS-handtekening te verbreken. Met die preimage ondertekenen ze een specifieke transactie waardoor ze naar de hard fork kunnen gaan en nieuwe post-kwantumalgoritmen kunnen gebruiken.

Dit is nog geen overstap naar een post-kwantumketen, maar het biedt een ontsnappingsluik. Wat meer informatie hier.

Post-kwantumhandtekeningen:

Een paar dingen kunnen worden verbeterd met betrekking tot het overschakelen naar een post-kwantumhandtekeningschema voor gebruik in een cryptocurrency. De huidige NIST-finalisten hebben vrij grote geheugenvereisten. Wanneer de grootte van de handtekening niet onredelijk groter is dan die van een ECDSA, vergroot de grootte van de openbare sleutel de blokgrootte en de bijbehorende kosten.  

Naam van de kandidaat	Maat
Regenboog	58.3 kB
dilithium	3.5 kB
valk	1.5 kB
GeMSS	352 kB
Picknick	12 kB
SPHINCS +	7 kB

Het Falcon-algoritme is ontworpen om de grootte van de openbare sleutel en handtekening te minimaliseren. De 1563 bytes zijn echter nog ver verwijderd van de 65 bytes die ECDSA momenteel bereikt.

Cryptografische technieken kunnen blokgroottes verkleinen, zoals het samenvoegen van meerdere handtekeningen. Dit [multisignature-schema](https://eprint.iacr.org/2020/520) voor de GeMSS-handtekening doet precies dat en verlaagt de opslagkosten per handtekening tot iets acceptabels, ondanks de enorme eenmalige kosten van een GeMSS-handtekening .

Bedreigingen voor cryptografische hardware:

Signature-groottes hebben ook invloed op hardware-wallets waar het geheugen zeer beperkt is: een Ledger Nano S heeft 320 KB Flash-geheugen beschikbaar en slechts 10 kilobytes RAM. Als we plotseling Rainbow-handtekeningen zouden moeten gebruiken, zou het niet haalbaar zijn om de openbare sleutel op een native manier te genereren.

Aangezien echter de hele cryptografische gemeenschap door het probleem wordt getroffen, inclusief de bank-, telecommunicatie- en identiteitsindustrie, die het grootste deel van de markt voor veilige chips vormen, verwachten we dat hardware zich snel zal aanpassen aan de behoefte aan post-kwantumalgoritmen. vriendelijke hardware en verwijder dat geheugen (of soms prestatie) allemaal samen op tijd.

De gevolgen van die breuken zijn de ondergang van het huidige banksysteem, telecommunicatie en identiteitssystemen zoals paspoorten. Wat te doen in het licht van zo'n apocalyptische toekomst? Wees niet bang, of een beetje, want cryptografen hebben het onder de knie.

Is er een remedie, dokter?

Terwijl onze huidige computers duizenden jaren nodig zouden hebben om cryptografie met openbare sleutels te doorbreken, zouden volledig ontwikkelde kwantumcomputers dit in minuten of uren doen. Standaarden voor "kwantumbeveiliging" zullen onvermijdelijk nodig zijn om deze dreiging tegen te gaan en de veiligheid van onze toekomstige financiële transacties en online communicatie te waarborgen.

Er wordt al gewerkt aan wat gewoonlijk "postkwantumcryptografie" wordt genoemd dat zou mogelijk zijn “compatibel met de huidige computers, maar die in de toekomst ook in staat zullen zijn om aanvallers van kwantumcomputers te weerstaan.” Post-kwantumcryptografie brengt algoritmen en wiskundige standaarden naar een hoger niveau en maakt tegelijkertijd compatibiliteit met huidige computers mogelijk.

De NIST-competitie die speciaal voor de gelegenheid is gemaakt, heeft de derde ronde al bereikt en heeft een lijst opgesteld met potentiële kandidaten voor standaardisatie. De Conferentie over post-kwantumbeveiliging werd al in 2006 gelanceerd om cryptografische primitieven te bestuderen die bekende kwantumaanvallen zouden weerstaan.

De basis van dit onderzoek komt voort uit waarschuwingen van experts dat versleutelde gegevens al het risico lopen gecompromitteerd te worden, aangezien de eerste praktische kwantumcomputers naar verwachting binnen de komende 15 jaar zullen verschijnen.
Dit soort aanval staat bekend als "nu data verzamelen, later aanvallen", waarbij een grote organisatie versleutelde informatie opslaat van andere partijen die het wil breken en wacht tot een krachtig genoeg kwantumcomputer dit toestaat. Dit is dezelfde zorg van dit artikel, bijvoorbeeld: “De VS maken zich zorgen dat hackers vandaag gegevens stelen, zodat kwantumcomputers deze binnen tien jaar kunnen kraken“, maar het zegt niet wat actoren op staatsniveau in dezelfde geest zouden kunnen doen. Ze hebben veel meer bronnen en opslagruimte beschikbaar.

Sluiting Gedachten

De exacte snelheid waarmee versleutelde communicatie kwetsbaar wordt voor kwantumonderzoek blijft moeilijk te bepalen.

Eén ding is zeker: hoewel er aanzienlijke vooruitgang wordt geboekt op het gebied van kwantumcomputing, zijn we nog lang niet in staat cryptografie met deze machines te kraken. De kans op een plotselinge doorbraak die resulteert in het ontwerp van zo'n computer is minimaal, waardoor we tijd hebben om ons voor te bereiden op de komst ervan. Als het van de ene op de andere dag zou gebeuren, zouden de gevolgen rampzalig zijn en niet alleen cryptocurrencies treffen, maar een breed scala aan sectoren. 

Gelukkig zijn er oplossingen beschikbaar, waaronder post-kwantumcryptografie, om de dreiging aan te pakken, maar de crypto-industrie moet de urgentie nog inzien om in deze maatregelen te investeren. 

De markt voor cryptocurrency moet de kwantumontwikkelingen nauwlettend volgen. Met betrekking tot hardware is er weinig reden tot bezorgdheid, aangezien we anticiperen op de ontwikkeling van nieuwe beveiligingselementen om aan de vraag te voldoen. Het is cruciaal om op de hoogte te blijven van de nieuwste ontwikkelingen in side-channel en foutbestendige versies van deze algoritmen, om onze gebruikers een betrouwbare implementatie te bieden.

Referenties:

[1]: BSI's status van kwantumcomputerontwikkeling

[2]: Fouttolerante controle van een foutgecorrigeerde qubit

[3]: Een resourceschattingskader voor kwantumaanvallen op cryptografische functies - recente ontwikkelingen

[4]: Expertenquête over kwantumrisico

[5]: Voorbij kwadratische versnellingen in kwantumaanvallen op symmetrische schema's

[6]: Een efficiënt Quantum Collision-zoekalgoritme en implicaties voor symmetrische cryptografie

[7]: Verbeterde kwantumcircuits voor elliptische kromme discrete logaritmen

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• Platoblockchain. Web3 Metaverse Intelligentie. Kennis versterkt. Toegang hier.
• Bron: https://www.ledger.com/blog/should-crypto-fear-quantum-computing