Criptomoedas devem temer a computação quântica?

Coisas para saber:

– A computação quântica, uma tecnologia de ponta, possui imenso potencial para revolucionar a computação com seu poder computacional incomparável. – A computação quântica, apesar de estar a pelo menos vários anos de um grande avanço, é percebida como uma ameaça significativa à criptografia devido às suas imensas capacidades de processamento de dados. – O impacto potencial da computação quântica na criptografia e sistemas seguros, como a prova de trabalho do Bitcoin, deve ser cuidadosamente considerado. Como o gateway mais seguro do mundo para criptomoedas, essas questões fundamentais merecem toda a atenção da Ledger.

Computação quântica: o próximo grande salto tecnológico

Os computadores que usamos diariamente processam informações com base em “bits”. Um bit pode conter apenas um dos seguintes valores: 0 ou 1 e pode ser encadeado para criar um pedaço de código binário. Hoje, tudo o que fazemos com um computador, desde enviar e-mails e assistir a vídeos até compartilhar música, é possível devido a essas sequências de dígitos binários. 

A natureza binária dos computadores tradicionais impõe limitações ao seu poder de computação. Esses computadores executam operações apenas uma etapa por vez e lutam para simular com precisão os problemas do mundo real. Em contraste, o mundo físico opera com base em amplitudes em vez de dígitos binários, tornando-o muito mais complexo. É aqui que entram os computadores quânticos.

Em 1981, Richard Feynman disse que “a natureza não é clássica, e se você quiser fazer uma simulação da natureza, é melhor torná-la mecânica quântica”. Em vez de manipular bits, a computação quântica usa “bits quânticos”, ou qubits, permitindo processar dados de maneira muito mais eficiente. Os qubits podem ser zero, um e, o mais importante, uma combinação de zero e um.

A computação quântica está na encruzilhada da física e da ciência da computação. Para colocar as coisas em perspectiva, um computador quântico de 500 qubits exigiria mais bits clássicos do que… o número de átomos em todo o universo.

O Quantum é uma ameaça à criptografia?

A criptografia de chave pública, também chamada de criptografia assimétrica, forma a base da segurança das criptomoedas. Envolve uma combinação de uma chave pública (acessível a todos) e uma chave privada. Os recursos de cálculo rápido dos qubits aumentam o potencial de quebrar a criptografia e interromper a segurança do setor de criptomoedas se a computação quântica continuar avançando.

Dois algoritmos precisam ser considerados de perto: o de Shor e o de Grover. Ambos os algoritmos são teóricos porque atualmente não há nenhuma máquina para implementá-los, mas como você verá, a implementação potencial desses algoritmos pode ser prejudicial à criptografia.

Por um lado, o algoritmo quântico de Shor (1994), em homenagem a Peter Shor, permite fatorar inteiros grandes ou resolver o problema do logaritmo discreto em tempo polinomial. Esse algoritmo pode quebrar a criptografia de chave pública com um computador quântico suficientemente poderoso. O algoritmo de Shor quebraria a grande maioria da criptografia assimétrica usada hoje, pois é baseado em RSA (baseado no problema de fatoração inteira) e Criptografia de curva elíptica (dependendo do problema de logaritmo discreto em um grupo de curvas elípticas). 

Por outro lado, o algoritmo de Grover (1996) é um algoritmo de busca quântica desenvolvido por Lov Grover em 1996, que pode ser usado para resolver problemas de busca não estruturados. O algoritmo de Grover reduz significativamente a segurança das primitivas simétricas, mas não é intransponível. Geralmente, é recomendável dobrar o tamanho da chave para compensar a complexidade da raiz quadrada dessa quebra. Usar AES256 em vez de AES128 é considerado suficiente, mas deve-se notar que esta regra de ouro só às vezes pode ser válido para todas as cifras[5]. Quanto às funções de hash, que fazem parte da paisagem do primitivo simétrico, acredita-se que não tenham impacto na resistência à colisão. No entanto, os pesquisadores encontraram instâncias do problema em que isso não é verdade[6] (pesquisa de pré-imagem de vários alvos, por exemplo).

Em essência, ambos os algoritmos representam perigos potenciais para a criptografia. O algoritmo de Shor simplifica o processo de fatoração de grandes números, facilitando a descoberta de uma chave privada conectada a uma chave pública, e o algoritmo de Grover é capaz de comprometer o hash criptográfico com mais eficiência do que os computadores atuais.

Quando surgirão os computadores quânticos com quebra de criptografia?

Vamos percorrer alguns dos experimentos mais recentes e ver o quão rápido a pesquisa está indo. O primeiro computador quântico real ainda está longe, mas isso não impede que uma corrida global alcance a “supremacia quântica”. Para Ayal Itzkovitz, sócio-gerente de um fundo de capital de risco com foco quântico, “se três anos atrás não sabíamos se era possível construir um computador assim, agora já sabemos que haverá computadores quânticos capazes de fazer algo diferente dos computadores clássicos.” 

Um evento que provavelmente todos já ouviram falar foi o “experimento de supremacia quântica” do Google em 2019 usando um dispositivo com 54 qubits. Em 2021, o Universidade da Ciência e Tecnologia da China resolveu um cálculo mais complexo usando 56 qubits, chegando a 60 qubits depois. Seu objetivo era realizar uma computação não envolvendo o algoritmo de Shor que demonstraria igualmente uma aceleração quântica em relação à computação clássica.

Por definição, esses experimentos não mostram progresso na quebra da criptografia porque foram projetados para evitar o tamanho e a complexidade da execução da fatoração quântica inteira. No entanto, eles mostram que construir mais qubits em um computador quântico não é mais difícil, com diferentes soluções de hardware disponíveis, Os qubits do chip 'Sycamore' do Google são fundamentalmente diferentes dos fótons do USTC. O próximo passo vital para chegar a um computador com quebra de criptografia é geralmente considerado construir computação tolerante a falhas e qubits de correção de erros. 

Status do desenvolvimento de computadores quânticos do BSI [1] mostra o quão longe de quebrar um logaritmo discreto de 160 bits (menor linha azul na imagem a seguir) os computadores quânticos atuais estão. A abcissa mostra como a redução da taxa de erro por meio de aprimoramentos puros de hardware ou computação tolerante a falhas ajuda a atingir esses níveis de computação sem aumentar drasticamente o número de qubits disponíveis (eixo y).

A implementação do algoritmo de Shor de maneira escalável requer computação tolerante a falhas em alguns milhares de qubits lógicos: 2124 qubits no mínimo para quebrar uma curva elíptica de 256 bits como a secp256k1 do bitcoin, da Circuitos quânticos aprimorados para logaritmos discretos de curva elíptica[7]. Um qubit 'lógico' em tal sistema é composto de vários qubits projetados para funcionar como uma versão corrigida de erro de um único qubit.

Mil qubits lógicos se traduzem aproximadamente em vários milhões de qubits, cobrindo o tamanho de um campo de futebol. Uma demonstração prática de tal cálculo tolerante a falhas foi feita recentemente em Controle tolerante a falhas de um qubit corrigido por erro[2], onde um único qubit lógico cuja probabilidade de erro é menor do que a dos qubits de que é feito. Espera-se que a melhoria desta área ocorra rapidamente, pois ela se tornará o foco. 

O progresso nessa direção se traduzirá diretamente em uma ameaça concreta à criptografia de chave pública. Por fim, outra possibilidade de progresso rápido pode vir de melhorias puramente algorítmicas ou descobertas apenas de hardware. Status do desenvolvimento de computadores quânticos do BSI[1] explica: “Pode haver descobertas disruptivas que mudariam drasticamente [o estado atual do conhecimento], sendo as principais algoritmos criptográficos que podem ser executados em máquinas não corrigidas de erros de curto prazo ou avanços dramáticos na taxa de erros de algumas plataformas.” Em outras palavras, não é apenas um problema de ser capaz de construir grandes computadores com muitos qubits (na verdade, construir mais qubits de forma confiável não é o foco principal, mas sim a computação tolerante a falhas), mas também algorítmico e possivelmente uma pesquisa de material. um.

Enquanto escrevíamos este artigo, a IBM publicou seus resultados em um chip de 127 qubits com uma taxa de erro de 0.001 e planeja lançar um chip de 433 qubits no próximo ano e um chip de 1121 qubits em 2023. 

Em suma, continua difícil prever a rapidez com que um computador quântico ganhará vida. Ainda assim, podemos contar com a opinião de especialistas sobre o assunto: Uma estrutura de estimativa de recursos para ataques quânticos contra funções criptográficas - desenvolvimentos recentes[3] e Pesquisa de especialistas sobre risco quântico[4] mostram que muitos especialistas concordam que em 15 a 20 anos, deveremos ter um computador quântico disponível.

Citando Uma estrutura de estimativa de recursos para ataques quânticos contra funções criptográficas - desenvolvimentos recentes [3] como um resumo:

“Os esquemas de chave pública atualmente implantados, como RSA e ECC, são completamente quebrados pelo algoritmo de Shor. Em contraste, os parâmetros de segurança de métodos simétricos e funções de hash são reduzidos em, no máximo, um fator de dois pelos ataques conhecidos – por buscas de “força bruta” usando o algoritmo de busca de Grover. Todos esses algoritmos requerem máquinas quânticas tolerantes a falhas em larga escala, que ainda não estão disponíveis. A maioria da comunidade de especialistas concorda que eles provavelmente se tornarão realidade dentro de 10 a 20 anos”.

Agora que examinamos por que os algoritmos quânticos podem prejudicar a criptografia, vamos analisar os riscos substanciais implícitos nos campos de criptografia e Web3. 

Quantum: Quais os riscos das criptomoedas?

O caso Bitcoin:

Vamos começar com a análise de Pieter Wuille sobre o problema do Bitcoin, às vezes considerado “seguro quântico” devido aos endereços serem hashes de chaves públicas e, portanto, não as expondo.

Não ser capaz de quebrar uma chave privada Bitcoin com base na suposição de que os hashes tornam isso impossível também depende de nunca divulgar a chave pública de alguém, seja qual for o meio, o que já é errado para muitas contas.

Referindo-se a outro tópico, Pieter Wuille dá uma ideia do impacto de ter ~37% dos fundos expostos (na época) roubados. O Bitcoin provavelmente afundaria e, mesmo não exposto, todos os outros também perdem.

O ponto crucial aqui é a menção de que o progresso na construção de um computador quântico será incrementais: bilhões de dólares são investidos publicamente neste campo e qualquer melhoria repercute em todo o mundo, como mostrou o experimento de supremacia quântica do Google.

Isso significa que acabar com fundos em risco levará tempo e soluções alternativas podem ser apresentadas corretamente. Pode-se imaginar a criação de uma bifurcação da cadeia usando algoritmos criptográficos pós-quânticos para assinar e permitir que as pessoas transfiram seus fundos para essa nova cadeia do antigo, uma vez que as notícias de um computador quântico razoavelmente robusto parecem iminentes.

O caso Ethereum:

O caso do Ethereum é interessante, pois o ETH 2.0 inclui um plano de backup para uma falha catastrófica em EIP-2333.

Caso as assinaturas BLS do ETH2 sejam quebradas, o que aconteceria ao mesmo tempo que o ECDSA, já que ambos são igualmente vulneráveis ​​diante do algoritmo de Shor, um hard fork do blockchain será executado antes que o algoritmo seja suspeito de estar comprometido. Em seguida, os usuários revelam uma pré-imagem de sua chave que apenas proprietários legítimos podem possuir. Isso exclui chaves recuperadas quebrando uma assinatura BLS. Com essa pré-imagem, eles assinam uma transação específica que lhes permite passar para o hard fork e usar novos algoritmos pós-quânticos.

Ainda não é uma mudança para uma cadeia pós-quântica, mas fornece uma saída de emergência. Mais algumas informações SUA PARTICIPAÇÃO FAZ A DIFERENÇA.

Assinaturas pós-quânticas:

Algumas coisas poderiam ser melhoradas em relação à mudança para um esquema de assinatura pós-quântica para uso em uma criptomoeda. Os atuais finalistas do NIST têm requisitos de memória bastante grandes. Quando o tamanho da assinatura não é excessivamente maior que o de um ECDSA, o tamanho da chave pública aumenta os tamanhos dos blocos e as taxas associadas.  

Nome do candidato	Tamanho
arco-íris	58.3 kB
Dilítio	3.5 kB
falcão	1.5 kB
GeMSSGenericName	352 kB
Piquenique	12 kB
SPHINCS +	7 kB

O algoritmo Falcon foi projetado para minimizar o tamanho da chave pública e assinatura. No entanto, seus 1563 bytes ainda estão longe dos 65 bytes que o ECDSA atinge atualmente.

As técnicas criptográficas podem reduzir o tamanho dos blocos, como agregar várias assinaturas. Este [esquema de assinatura múltipla](https://eprint.iacr.org/2020/520) para a assinatura GeMSS faz exatamente isso e reduz o custo de armazenamento por assinatura para algo aceitável, apesar da vasta taxa única de uma assinatura GeMSS .

Ameaças ao hardware criptográfico:

Os tamanhos de assinatura também afetam as carteiras de hardware onde a memória é altamente limitada: um Ledger Nano S tem 320 KB de memória Flash disponível e apenas 10 Kilobytes de RAM. Se de repente precisássemos usar assinaturas Rainbow, gerar a chave pública de forma nativa não seria viável.

Como, no entanto, toda a comunidade criptográfica é afetada pelo problema, incluindo os setores bancário, de telecomunicações e identidade, que compõem a maior parte do mercado de chips seguros, esperamos que o hardware se adapte rapidamente à necessidade de algoritmos pós-quânticos. hardware amigável e remover essa memória (ou às vezes desempenho) todos juntos no tempo.

As consequências dessas quebras são a queda do atual sistema bancário, telecomunicações e sistemas de identidade, como passaportes. O que fazer diante de um futuro tão apocalíptico? Não tema, ou um pouco, já que os criptógrafos o cobrem.

Existe uma cura, doutor?

Enquanto nossos computadores atuais precisariam de milhares de anos para quebrar a criptografia de chave pública, os computadores quânticos totalmente desenvolvidos fariam isso em minutos ou horas. Padrões de “segurança quântica” serão inevitavelmente necessários para combater essa ameaça e garantir a segurança de nossas futuras transações financeiras e comunicações online.

O trabalho já está em andamento sobre o que é comumente chamado de “criptografia pós-quântica” isso iria possivelmente ser “compatível com os computadores de hoje, mas que também serão capazes de resistir a invasores de computadores quânticos no futuro.” A criptografia pós-quântica traz algoritmos e padrões matemáticos para o próximo nível, permitindo a compatibilidade com os computadores atuais.

A competição NIST criado especialmente para a ocasião já chegou à sua terceira rodada e produziu uma lista de potenciais candidatos à padronização. O Conferência de segurança pós-quântica foi lançado em 2006 para estudar primitivos criptográficos que resistiriam a ataques quânticos conhecidos.

Os fundamentos desta pesquisa decorrem de alertas de especialistas de que os dados criptografados já correm o risco de serem comprometidos, já que os primeiros computadores quânticos práticos devem surgir nos próximos 15 anos.
Esse tipo de ataque é conhecido como “acumular dados agora, atacar depois”, em que uma grande organização armazena informações criptografadas de outras partes que deseja quebrar e espera até que um computador quântico poderoso o permita. Esta é a mesma preocupação deste artigo, por exemplo, “Os EUA estão preocupados que os hackers estejam roubando dados hoje para que os computadores quânticos possam quebrá-los em uma década“, mas não diz o que os atores estaduais podem estar fazendo na mesma linha. Eles têm muito mais recursos e armazenamento disponíveis.

Pensamentos de Encerramento

A velocidade exata na qual as comunicações criptografadas se tornarão vulneráveis ​​à pesquisa quântica permanece difícil de determinar.

Uma coisa é certa: embora um progresso significativo esteja sendo feito na computação quântica, ainda estamos longe de possuir a capacidade de quebrar a criptografia com essas máquinas. A probabilidade de um avanço súbito resultando no projeto de tal computador é mínima, dando-nos tempo para nos prepararmos para sua chegada. Se ocorresse da noite para o dia, as ramificações seriam desastrosas, afetando não apenas as criptomoedas, mas uma ampla gama de setores. 

Felizmente, soluções, incluindo criptografia pós-quântica, estão disponíveis para lidar com a ameaça, mas a indústria criptográfica ainda não percebeu a urgência em investir nessas medidas. 

O mercado de criptomoedas deve monitorar de perto os desenvolvimentos quânticos. Com relação ao hardware, há poucos motivos para preocupação, pois prevemos o desenvolvimento de novos elementos seguros para atender à demanda. É crucial ficar a par dos avanços mais recentes em versões de canal lateral e resistentes a falhas desses algoritmos, a fim de fornecer uma implementação confiável para nossos usuários.

Referências:

[1]: Status do desenvolvimento de computadores quânticos do BSI

[2]: Controle tolerante a falhas de um qubit corrigido por erro

[3]: Uma estrutura de estimativa de recursos para ataques quânticos contra funções criptográficas - desenvolvimentos recentes

[4]: Pesquisa de especialistas sobre risco quântico

[5]: Além de acelerações quadráticas em ataques quânticos em esquemas simétricos

[6]: Um Algoritmo Eficiente de Busca por Colisão Quântica e Implicações na Criptografia Simétrica

[7]: Circuitos quânticos aprimorados para logaritmos discretos de curva elíptica

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• Platoblockchain. Inteligência Metaverso Web3. Conhecimento Ampliado. Acesse aqui.
• Fonte: https://www.ledger.com/blog/should-crypto-fear-quantum-computing