Czy kryptowaluty powinny bać się komputerów kwantowych?

Rzeczy, które warto wiedzieć:

– Obliczenia kwantowe, najnowocześniejsza technologia, mają ogromny potencjał zrewolucjonizowania obliczeń dzięki niezrównanej mocy obliczeniowej. – Obliczenia kwantowe, mimo że do wielkiego przełomu dzieli ich co najmniej kilka lat, są postrzegane jako istotne zagrożenie dla kryptografii ze względu na ogromne możliwości przetwarzania danych. – Należy dokładnie rozważyć potencjalny wpływ obliczeń kwantowych na kryptografię i bezpieczne systemy, takie jak dowód pracy Bitcoina. Jako najbezpieczniejsza na świecie brama do kryptowalut, takie fundamentalne pytania zasługują na pełną uwagę Ledgera.

Obliczenia kwantowe: następny wielki skok technologiczny

Komputery, z których korzystamy na co dzień, przetwarzają informacje na podstawie „bitów”. Bit może zawierać tylko jedną z następujących wartości: 0 lub 1 i można go ze sobą połączyć, aby utworzyć fragment kodu binarnego. Dzisiaj wszystko, co robimy z komputerem, od wysyłania e-maili i oglądania filmów po dzielenie się muzyką, jest możliwe dzięki takim ciągom cyfr binarnych. 

Binarny charakter tradycyjnych komputerów nakłada ograniczenia na ich moc obliczeniową. Te komputery wykonują operacje tylko krok po kroku i mają trudności z dokładnym symulowaniem rzeczywistych problemów. W przeciwieństwie do tego świat fizyczny działa w oparciu o amplitudy, a nie cyfry binarne, co czyni go znacznie bardziej złożonym. Tu do gry wkraczają komputery kwantowe.

W 1981 roku Richard Feynman powiedział, że „przyroda nie jest klasyczna i jeśli chcesz stworzyć symulację natury, lepiej zrób ją mechaniczną kwantowo”. Zamiast manipulować bitami, obliczenia kwantowe wykorzystują „bity kwantowe” lub kubity, umożliwiając przetwarzanie danych w znacznie bardziej wydajny sposób. Kubity mogą być zerem, jedynką i, co najważniejsze, kombinacją zera i jedynki.

Obliczenia kwantowe znajdują się na skrzyżowaniu fizyki i informatyki. Aby spojrzeć na to z innej perspektywy, 500-kubitowy komputer kwantowy wymagałby więcej klasycznych bitów niż… liczba atomów w całym wszechświecie.

Czy Quantum jest zagrożeniem dla kryptografii?

Kryptografia klucza publicznego, zwana również kryptografią asymetryczną, stanowi podstawę bezpieczeństwa kryptowalut. Obejmuje kombinację klucza publicznego (dostępnego dla wszystkich) i klucza prywatnego. Szybkie możliwości obliczeniowe kubitów zwiększają potencjał łamania szyfrowania i zakłócania bezpieczeństwa branży kryptowalut, jeśli obliczenia kwantowe będą nadal się rozwijać.

Należy dokładnie rozważyć dwa algorytmy: Shora i Grovera. Oba algorytmy są teoretyczne, ponieważ obecnie nie ma maszyny do ich implementacji, ale jak zobaczysz, potencjalna implementacja tych algorytmów może być szkodliwa dla kryptografii.

Z jednej strony algorytm kwantowy Shora (1994), nazwany na cześć Petera Shora, umożliwia rozkładanie na czynniki dużych liczb całkowitych lub rozwiązywanie problemu logarytmu dyskretnego w czasie wielomianowym. Algorytm ten mógłby złamać kryptografię klucza publicznego za pomocą wystarczająco wydajnego komputera kwantowego. Algorytm Shora złamałby ogromną większość używanej obecnie kryptografii asymetrycznej, ponieważ jest oparty na RSA (opierając się na problemie faktoryzacji liczb całkowitych) i kryptografii krzywej eliptycznej (w zależności od problemu logarytmu dyskretnego w grupie krzywych eliptycznych). 

Z drugiej strony algorytm Grovera (1996) jest algorytmem wyszukiwania kwantowego opracowanym przez Lova Grovera w 1996 roku, który może być używany do rozwiązywania nieustrukturyzowanych problemów wyszukiwania. Algorytm Grovera poważnie osłabia bezpieczeństwo prymitywów symetrycznych, ale nie jest nie do pokonania. Ogólnie zaleca się podwojenie długości klucza, aby zrekompensować pierwiastkową złożoność tego przerwania. Używanie AES256 zamiast AES128 jest uważane za wystarczające, ale należy zauważyć, że ta praktyczna zasada może tylko czasami być ważne dla wszystkich szyfrów[5]. Jeśli chodzi o funkcje mieszające, które są częścią pejzażu prymitywu symetrycznego, uważa się, że nie ma to wpływu na odporność na kolizje. Jednak badacze znaleźli przypadki problemu, gdzie to nieprawda[6] (na przykład wielocelowe wyszukiwanie preimage).

Zasadniczo oba algorytmy stanowią potencjalne zagrożenie dla kryptografii. Algorytm Shora upraszcza proces rozkładania dużych liczb na czynniki, ułatwiając odkrycie klucza prywatnego połączonego z kluczem publicznym, a algorytm Grovera jest w stanie naruszyć haszowanie kryptograficzne bardziej efektywnie niż obecne komputery.

Kiedy pojawią się komputery kwantowe łamiące szyfrowanie?

Przyjrzyjmy się niektórym z najnowszych eksperymentów i zobaczmy, jak szybko postępują badania. Pierwszy prawdziwy komputer kwantowy pozostaje daleko, ale to nie przeszkadza globalnej rasie w osiągnięciu „supremacji kwantowej”. Dla Ayala Itzkovitza, partnera zarządzającego w funduszu VC skoncentrowanym na kwantach, „jeśli trzy lata temu nie wiedzieliśmy, czy zbudowanie takiego komputera jest w ogóle możliwe, teraz już wiemy, że będą komputery kwantowe, które będą w stanie robić coś innego niż klasyczne komputery”. 

Jednym z wydarzeń, o którym prawdopodobnie wszyscy słyszeli, był „eksperyment supremacji kwantowej” Google w 2019 roku przy użyciu urządzenia z 54 kubitami. W 2021 r Uniwersytet Nauki i Technologii Chin rozwiązał bardziej złożone obliczenia przy użyciu 56 kubitów, osiągając później 60 kubitów. Jego celem było wykonanie obliczeń bez użycia algorytmu Shora, które w równym stopniu wykazałyby przyspieszenie kwantowe w porównaniu z klasycznymi obliczeniami.

Z definicji te eksperymenty nie wykazują postępu w kierunku złamania kryptografii, ponieważ zostały zaprojektowane tak, aby uniknąć rozmiaru i złożoności wykonywania kwantowej faktoryzacji liczb całkowitych. Pokazują jednak, że zbudowanie większej liczby kubitów w komputerze kwantowym nie jest już trudne, przy dostępnych różnych rozwiązaniach sprzętowych, Kubity chipowe „Sycamore” firmy Google zasadniczo różnią się od fotonów USTC. Następnym ważnym krokiem do uzyskania komputera łamiącego szyfrowanie jest ogólnie uważane za zbudowanie odpornych na błędy obliczeń i kubitów z korekcją błędów. 

Stan rozwoju komputerów kwantowych BSI [1] pokazuje, jak daleko od złamania 160-bitowego logarytmu dyskretnego (najniższa niebieska linia na poniższym obrazie) są obecne komputery kwantowe. Odcięta pokazuje, w jaki sposób zmniejszenie współczynnika błędów poprzez ulepszenia czysto sprzętowe lub przetwarzanie odporne na błędy pomaga osiągnąć takie poziomy obliczeniowe bez drastycznego skalowania liczby dostępnych kubitów (oś y).

Implementacja algorytmu Shora w skalowalny sposób wymaga obliczeń odpornych na błędy na kilku tysiącach kubitów logicznych: co najmniej 2124 kubitów, aby przełamać 256-bitową krzywą eliptyczną, taką jak secp256k1 bitcoina, od Ulepszone obwody kwantowe dla dyskretnych logarytmów krzywych eliptycznych[7]. Kubit „logiczny” w takim systemie składa się z kilku kubitów zaprojektowanych do pracy jako skorygowana o błędy wersja pojedynczego kubitu.

Tysiąc kubitów logicznych przekłada się z grubsza na kilka milionów kubitów, pokrywających rozmiar boiska do piłki nożnej. Niedawno przeprowadzono praktyczną demonstrację takiego odpornego na uszkodzenia obliczenia Odporna na błędy kontrola kubitu z korekcją błędów[2], gdzie pojedynczy kubit logiczny, którego prawdopodobieństwo błędu jest mniejsze niż kubitów, z których się składa. Oczekuje się, że poprawa tego obszaru nastąpi szybko, ponieważ stanie się on przedmiotem zainteresowania. 

Postęp w tym kierunku bezpośrednio przełoży się na konkretne zagrożenie dla kryptografii klucza publicznego. Wreszcie, inną możliwością szybkiego postępu mogą być czysto algorytmiczne ulepszenia lub odkrycia wyłącznie sprzętowe. Stan rozwoju komputerów kwantowych BSI[1] wyjaśnia: „Mogą wystąpić przełomowe odkrycia, które radykalnie zmieniłyby [obecny stan wiedzy], z których głównymi są algorytmy kryptograficzne, które można uruchomić na maszynach nieskorygowanych w krótkim czasie lub dramatyczne przełomy w poziomie błędów niektórych platform”. Innymi słowy, nie jest to tylko problem z możliwością budowania dużych komputerów z dużą ilością kubitów (w rzeczywistości niezawodne budowanie większej liczby kubitów nie jest głównym celem, jest to przetwarzanie odporne na błędy), ale także algorytmiczny i prawdopodobnie badania materiałowe jeden.

Gdy pisaliśmy ten artykuł, IBM opublikował swoje wyniki dotyczące 127-kubitowego chipa ze współczynnikiem błędu 0.001 i planuje wydać chip 433-kubitowy w przyszłym roku, a 1121-kubitowy w 2023 roku. 

Podsumowując, trudno jest przewidzieć, jak szybko komputer kwantowy ożyje. Mimo to możemy polegać na opinii ekspertów w tej sprawie: Ramy szacowania zasobów dla ataków kwantowych na funkcje kryptograficzne - ostatnie osiągnięcia[3] i Ankieta ekspertów na temat ryzyka kwantowego[4] pokazują, że wielu ekspertów zgadza się, że za 15 do 20 lat powinniśmy mieć dostępny komputer kwantowy.

Cytowanie Ramy szacowania zasobów dla ataków kwantowych na funkcje kryptograficzne - ostatnie osiągnięcia [3] jako podsumowanie:

„Obecnie stosowane schematy kluczy publicznych, takie jak RSA i ECC, są całkowicie łamane przez algorytm Shora. Natomiast parametry bezpieczeństwa metod symetrycznych i funkcji mieszających są redukowane co najwyżej dwukrotnie przez znane ataki – wyszukiwania „brute force” przy użyciu algorytmu wyszukiwania Grovera. Wszystkie te algorytmy wymagają wielkoskalowych, odpornych na awarie maszyn kwantowych, które nie są jeszcze dostępne. Większość społeczności ekspertów zgadza się, że prawdopodobnie staną się one rzeczywistością w ciągu 10 do 20 lat”.

Teraz, gdy zbadaliśmy, dlaczego algorytmy kwantowe mogą zaszkodzić kryptografii, przeanalizujmy istotne ryzyko implikowane dla pól kryptograficznych i Web3. 

Quantum: Jakie zagrożenia dla kryptowalut?

Sprawa Bitcoina:

Zacznijmy od analizy problemu Pietera Wuille'a dotyczącej Bitcoina, czasami uważanego za „kwantowo bezpieczny” ze względu na adresy hasze kluczy publicznych i tym samym ich nie ujawniać.

Brak możliwości złamania klucza prywatnego Bitcoin w oparciu o założenie, że skróty to uniemożliwiają, polega również na tym, aby nigdy nie ujawniać własnego klucza publicznego, niezależnie od środków, co już jest złe dla wielu kont.

Odnosząc się do innego wątku, Pieter Wuille daje wyobrażenie o wpływie kradzieży ~ 37% ujawnionych funduszy (w tamtym czasie). Bitcoin prawdopodobnie zatankowałby, a nawet nieujawniony, wszyscy inni również przegrywają.

Kluczową kwestią jest tutaj wzmianka, że ​​postęp w kierunku budowy komputera kwantowego będzie przyrostowe: Miliardy dolarów są inwestowane publicznie w tę dziedzinę, a wszelkie ulepszenia odbijają się echem na całym świecie, jak pokazał eksperyment Google dotyczący supremacji kwantowej.

Oznacza to, że znalezienie funduszy zagrożonych zajmie trochę czasu, a alternatywne rozwiązania można odpowiednio opracować. Można sobie wyobrazić utworzenie rozwidlenia łańcucha przy użyciu post-kwantowych algorytmów kryptograficznych do podpisywania i umożliwienia ludziom przeniesienia środków do tego nowego łańcucha ze starego, gdy wiadomość o dość mocnym komputerze kwantowym wydaje się nieuchronna.

Sprawa Ethereum:

Przypadek Ethereum jest interesujący, ponieważ ETH 2.0 zawiera plan awaryjny na wypadek katastrofalnej awarii w EIP-2333.

W przypadku złamania sygnatur BLS ETH2, co miałoby miejsce w tym samym czasie, co ECDSA, ponieważ oba są równie podatne na działanie algorytmu Shora, zostanie wykonany twardy widelec łańcucha bloków, zanim pojawi się podejrzenie, że algorytm został naruszony. Następnie użytkownicy ujawniają przedobraz swojego klucza, który mogą posiadać tylko prawowici właściciele. Wyklucza to klucze odzyskane przez złamanie podpisu BLS. Z tym preobrazem podpisują konkretną transakcję, która pozwala im przejść do hard forka i użyć nowych algorytmów postkwantowych.

To nie jest jeszcze przejście do łańcucha postkwantowego, ale zapewnia luk ratunkowy. Więcej informacji tutaj.

Podpisy postkwantowe:

Kilka rzeczy można poprawić, jeśli chodzi o przejście na schemat podpisu postkwantowego do użytku w kryptowalucie. Obecni finaliści NIST mają dość duże wymagania dotyczące pamięci. Gdy rozmiar podpisu nie jest nieracjonalnie większy niż rozmiar ECDSA, rozmiar klucza publicznego zwiększa rozmiary bloków i związane z tym opłaty.  

Imię kandydata	Rozmiar
Tęcza	58.3 kB
Dilitium	3.5 kB
sokół	1.5 kB
GeMSS	352 kB
piknik	12 kB
SPHINCS +	7 kB

Algorytm Falcon został zaprojektowany w celu zminimalizowania rozmiaru klucza publicznego i podpisu. Jednak jego 1563 bajty wciąż są dalekie od 65 bajtów, które obecnie osiąga ECDSA.

Techniki kryptograficzne mogą zmniejszać rozmiary bloków, na przykład agregując razem kilka podpisów. Ten [schemat multipodpisu](https://eprint.iacr.org/2020/520) dla podpisu GeMSS właśnie to robi i zmniejsza koszt przechowywania na podpis do akceptowalnego poziomu, pomimo ogromnej jednorazowej opłaty za podpis GeMSS .

Zagrożenia dla sprzętu kryptograficznego:

Rozmiary sygnatur mają również wpływ na portfele sprzętowe, w których pamięć jest bardzo ograniczona: Ledger Nano S ma 320 KB dostępnej pamięci Flash i tylko 10 kilobajtów pamięci RAM. Gdybyśmy nagle potrzebowali użyć podpisów Rainbow, wygenerowanie klucza publicznego w natywny sposób byłoby niewykonalne.

Ponieważ jednak problem dotyczy całej społeczności kryptograficznej, w tym bankowości, telekomunikacji i branży tożsamości, które stanowią większość rynku bezpiecznych układów scalonych, oczekujemy, że sprzęt szybko dostosuje się do potrzeby algorytmu postkwantowego - przyjazny sprzęt i usunąć tę pamięć (lub czasami wydajność) razem na czas.

Konsekwencją tych przerw jest upadek obecnego systemu bankowego, telekomunikacji i systemów tożsamości, takich jak paszporty. Co zrobić w obliczu tak apokaliptycznej przyszłości? Nie bój się, a nawet trochę, ponieważ kryptografowie mają to już za sobą.

Czy istnieje lekarstwo, doktorze?

Podczas gdy nasze obecne komputery potrzebowałyby tysięcy lat, aby złamać kryptografię klucza publicznego, w pełni rozwinięte komputery kwantowe zrobiłyby to w kilka minut lub godzin. Standardy „kwantowego bezpieczeństwa” będą nieuchronnie potrzebne do przeciwdziałania temu zagrożeniu i zapewnienia bezpieczeństwa naszych przyszłych transakcji finansowych i komunikacji online.

Trwają już prace nad czymś, co powszechnie nazywa się „kryptografią postkwantową” że będzie prawdopodobnie być „kompatybilny z dzisiejszymi komputerami, ale który będzie również w stanie oprzeć się atakom z komputerów kwantowych w przyszłości”. Kryptografia postkwantowa przenosi algorytmy i standardy matematyczne na wyższy poziom, jednocześnie zapewniając kompatybilność z obecnymi komputerami.

Połączenia Konkurs NIST stworzony specjalnie na tę okazję przeszedł już trzecią turę i stworzył listę potencjalnych kandydatów do standaryzacji. The Konferencja bezpieczeństwa postkwantowego został uruchomiony już w 2006 roku w celu badania prymitywów kryptograficznych, które byłyby odporne na znane ataki kwantowe.

Podstawy tych badań wynikają z ostrzeżeń ekspertów, że zaszyfrowane dane są już zagrożone, ponieważ oczekuje się, że pierwsze praktyczne komputery kwantowe pojawią się w ciągu najbliższych 15 lat.
Ten rodzaj ataku jest znany jako „gromadzenie danych teraz, atak później”, w którym duża organizacja przechowuje zaszyfrowane informacje od innych stron, które chce złamać i czeka, aż wystarczająco potężny komputer kwantowy pozwoli jej to zrobić. To samo dotyczy tego artykułu, na przykład „Stany Zjednoczone obawiają się, że hakerzy kradną dziś dane, aby komputery kwantowe mogły je złamać za dekadę„, ale nie mówi, co aktorzy na szczeblu państwowym mogą robić w tym samym duchu. Mają o wiele więcej dostępnych zasobów i pamięci.

Myśli końcowe

Dokładna prędkość, z jaką zaszyfrowana komunikacja stanie się podatna na badania kwantowe, pozostaje trudna do określenia.

Jedno jest pewne: chociaż w komputerach kwantowych poczyniono znaczne postępy, wciąż jesteśmy daleko od posiadania możliwości złamania kryptografii za pomocą tych maszyn. Prawdopodobieństwo nagłego przełomu skutkującego zaprojektowaniem takiego komputera jest minimalne, dając nam czas na przygotowanie się na jego nadejście. Gdyby miało to nastąpić z dnia na dzień, konsekwencje byłyby katastrofalne i wpłynęłyby nie tylko na kryptowaluty, ale także na wiele sektorów. 

Na szczęście rozwiązania, w tym kryptografia postkwantowa, są dostępne, aby zaradzić temu zagrożeniu, ale branża kryptograficzna nie widzi jeszcze pilnej potrzeby inwestowania w te środki. 

Rynek kryptowalut musi ściśle monitorować rozwój technologii kwantowych. Jeśli chodzi o sprzęt, nie ma powodu do niepokoju, ponieważ przewidujemy rozwój nowych elementów bezpieczeństwa, aby sprostać zapotrzebowaniu. Ważne jest, aby być na bieżąco z najnowszymi postępami w bocznokanałowych i odpornych na błędy wersjach tych algorytmów, aby zapewnić niezawodną implementację dla naszych użytkowników.

Referencje:

[1]: Stan rozwoju komputerów kwantowych BSI

[2]: Odporna na błędy kontrola kubitu z korekcją błędów

[3]: Ramy szacowania zasobów dla ataków kwantowych na funkcje kryptograficzne - ostatnie osiągnięcia

[4]: Ankieta ekspertów na temat ryzyka kwantowego

[5]: Poza kwadratowymi przyspieszeniami w atakach kwantowych na schematy symetryczne

[6]: Wydajny algorytm wyszukiwania kolizji kwantowych i implikacje dla kryptografii symetrycznej

[7]: Ulepszone obwody kwantowe dla dyskretnych logarytmów krzywych eliptycznych

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• Platoblockchain. Web3 Inteligencja Metaverse. Wzmocniona wiedza. Dostęp tutaj.
• Źródło: https://www.ledger.com/blog/should-crypto-fear-quantum-computing