Как появление квантовых компьютеров повлияет на криптовалюту? Ну для начала скажем, что полностью функционирующий квантовый компьютер сегодня будет стоить не менее $40 миллиардов, только из-за биткоинов, к которым он сразу получит доступ. А продав эти биткоины можно мгновенно обрушить рынок криптовалюты, который оценивается в $225 млрд.
С тех пор, как началась шумиха вокруг квантовых вычислений, люди стали много говорить о том, что вся современная криптография может оказаться уязвимой при появлении квантового компьютера. Двумя наиболее распространенными криптосистемами являются Rivest-Shamir-Adleman (RSA) и Elliptic curve cryptography (ECC). Любая информация, которой вы обмениваетесь в интернете, зашифрована, как правило, с помощью RSA или ECC, и оба они уязвимы при атаке квантового компьютера. Достаточно большая квантовая машина станет проблемой безопасности для всех, кто что-то делает в интернете. К слову, биткоин был сделан для того, чтобы при проведении финансовых транзакций заменить "третью сторону" криптографическим доказательством – в теории это улучшает секретность. Но до поры, до времени...
Количество инвестиций в частные стартапы, которые занимаются квантовыми вычислениями увеличилось более чем на 200% за последние 6 лет. Все это, по мнению Адама Колтуна из фонда Quantum Resistant Ledger, говорит о нарастающей проблеме.
"Десять лет назад люди говорили, что нам нужно подождать 50 лет, чтобы достичь текущего уровня квантовых вычислений. Пять лет назад говорили, что потребуется 25 лет, чтобы достичь того, чего мы достигли сегодня. Можно сказать, квантовые вычисления имеют неприятную привычку превосходить ожидания людей",
– сказал Колтун, добавив, что блокчейн-индустрия должна быть осторожной и начать готовиться уже сейчас. Без активной защиты существующих технологий от возможных атак, Колтун опасается, что будущее блокчейна и криптовалюты – а также интернета в целом – под угрозой.
Что же произойдёт если квантовый компьютер научится взламывать криптографические протоколы, на которой строятся криптовалюты? Чтобы ответить на этот вопрос, нужно понимать как реализованы конкретные блокчейн проекты и как происходят транзакции. Давайте попробуем в этом разобраться.
Криптография сегодня и влияние алгоритма Шора
Чтобы зашифровать передаваемое сообщение, необходимо использовать некоторое математическое преобразование. Это преобразование должно быть таким, чтобы обратное преобразование (получение исходного сообщения) мог сделать только человек, которому вы доверяете. Для этого используется приватный ключ, который знаете только вы и ваш собеседник. Надёжность шифра зависит от сложности сделать обратное преобразование для расшифровки, не имея этого ключа (всегда можно просто перебирать все возможные ключи в надежде на успех, но шансов практически нет).
Например, протокол RSA основан на том, что имея два больших числа, вы без труда их перемножите, но если у вас есть огромное число, то разложить его на множители и узнать из перемножения каких чисел оно получилось - невероятно трудная задача. Если у вас есть число длинной 4096 бит, то чтобы разложить его на множители вам потребуется суперкомпьютер и время больше жизни вселенной. Однако, квантовый компьютер способен решать задачу факторизации (разложения на множители) несколько иным образом: алгоритм Шора, предложенный ещё в 90-ых годах, делает факторизацию экспоненциально быстрее. Это значит, что если кому-то удастся построить достаточно большой и достаточно качественный квантовых компьютер, он, в теории, может получить приватный ключ, который знают только легитимные пользователи, из публичного ключа, который знают все. И это уже становится серьезной проблемой. Приватный ключ не должен быть раскрыт, ведь он может быть использован для подтверждения транзакций, которые пользователь и не думал проводить.
Протокол RSA существует с 1977 года и до сих пор используется. Другой популярный протокол ECC, более экономичный и быстрый, тоже подвержен квантовых атакам, основанным на алгоритме Шора. Квантовые вычисления развиваются крайне быстро, и это угрожает многими криптографическим алгоритмам. В 2015 году Национальное агенство безопасности США заявило, что их первоначальный план по внедрению новых алгоритмов шифрования будет полностью изменён и все новые алгоритмы будут квантово-устойчивыми.
В январе 2019 года NIST (очень подвинутый исследовательский центр в США) представил список из 26 классических алгоритмов, которые потенциально устойчивы при атаках с квантового компьютера. Конечно же, есть вероятность, что пока просто не придуман способ их взлома. Хоть некоторые из этих алгоритмов являются неплохими кандидатами и могут быть использованы сегодня, в отношении криптовалют все не так просто. Блокчейн проекты имеют уникальную реализацию, которая во многом зависит от определённых алгоритмов, и это затруднят переход на новый тип шифрования. Какие-либо изменения могут уменьшить скорость транзакций настолько, что криптовалюты станут бесполезны.
Какого размера должен быть квантовый компьютер, чтобы взломать биткоин?
На данный момент важно понимать какого размера должен быть квантовый компьютер, чтобы стать настоящим биткоин-убийцей? Исследовательский центр Microsoft показал, что для взлома современного ECC длинной 256 бит необходимо 2500 кубитов, а для 2048-битного RSA 4000 кубитов. Однако, речь идёт об идеальных кубитах. Из-за возникающих ошибок, о которых мы писали ранее, потребуется на порядок больше.
Конечно, современное состояние квантовых компьютеров далеко от того, чтобы взломать биткоин. IBM объявил о своей 50-кубитной системе в конце 2017-ого года, Google утверждает, что у них есть 72-кубитный процессор, а IonQ, которые используют холодные атомы в ловушках, представили компьютер из 160 кубитов. D-Wave выложила в открытый доступ свою систему из 2048 кубитов, но это не компьютер, а своего рода оптимизатор, который нельзя использовать для алгоритма Шора.
Влияние квантового компьютера на криптовалюты
В ближайшие пару лет большие квантовые машины вряд ли появятся, но это не значит, что сейчас можно ничего не менять в структуре финансовых блокчейн проектов. Важно выявить слабые места в криптовалютах, которые подвержены атакам квантовым компьютера, и проанализировать риски.
Раскрытие публичного ключа
Представьте, что вы имеете полноценный квантовый компьютер, и хотите получить доступ к чьему-нибудь биткоин счету. Во-первых, вам нужно узнать публичный ключ. Номер кошелька получается из публичного ключа хэшированием, которое неуязвимо при квантовых атаках. Однако, этот ключ раскрывается при проведении транзакций. Тут то вы и вступаете в игру.
Для каждой транзакции пользователь подтверждает передачу криптовалюты с помощью цифровой подписи хэша предыдущей транзакции и открытого ключа и добавляет получившейся блок в конец цепочки. Несмотря на то, что открытый ключ раскрывается во время каждой транзакции, сделать эти шаги в обратном направлении для получения приватного ключа на классическом компьютере займет больше времени, чем возраст вселенной, поэтому этот протокол безопасен. Но для квантового компьютера эта задача на несколько часов.
В популярных HDW (hierarchical deterministic wallet) как только приватный ключ использован для транзакции, все монеты перемещаются, и этот ключ больше не действителен. Это означает, что монеты могут быть перехвачены только на этапе подтверждения.
Быстрые атаки
Вообще говоря, транзакция уязвима только в том случае, если она не была подтверждена. Тем не менее, времени подтверждения может быть достаточно для квантового компьютера, чтобы перенаправить транзакцию. Крейг Гидни и Мартин Экеро опубликовали статью в мае 2019 года о том, как разложить 2048-битные числа в RSA за 8 часов, используя 20 миллионов «шумных» кубитов.
Среднее время подтверждения транзакции для биткоина в июне 2019 было 9.47 минут. Однако, были периоды, когда это время доходило до 11453 минут — более 7 дней! Квантовому компьютеру этого времени хватит с головой.
В мире, в котором есть квантовый компьютер, который сможет восстановить ключ, все, что вам нужно сделать, чтобы защититься от него, это использовать транзакции с более высоким вознаграждением (fee). Однако, поскольку низкий уровень вознаграждений является одним из ключевых факторов в успехе криптовалют, это сделает их использование невыгодным.
Использование адресов кошельков заново
Не все кошельки используют HDW, и поэтому адреса при большинстве транзакций не используются повторно. Однако, приватный ключ может быть использован снова для подписания транзакции по каким-либо причинам. Это означает, что транзакция давно в прошлом может быть использована для восстановления приватного ключа, а затем ключ использован снова сегодня для перемещения монет.
Потерянные монеты
Мы знаем, что крупная доля биткоина была "потеряна". Владелец каким-то образом потерял доступ к приватному ключу, который необходим для авторизации транзакций. Вполне возможно, что некоторая часть этих потерянных монет находится на биржах, которые повторно использовали адреса, и поэтому старые монеты остались уязвимыми. Если у вас есть доступ к открытому ключу, алгоритм Шора может восстановить потерянные монеты.
Если вы получили доступ к потерянным монетам и немедленно начинаете их продавать, цена мгновенно рухнет и подорвет доверие к системе. В связи с этим возникают и другие вопросы. Поскольку количество биткоинов ограничено, будут ли эти потерянные монеты повторно выпущены или market cap будет ниже?
Переход к постквантовым алгоритмам
Вышеупомянутые проблемы будут существовать, если мы будем продолжать использовать системы ECC. Однако, возможно избежать этого, если мы изменим алгоритмы для создания открытого ключа из приватного ключа. Необходимо выбрать алгоритм, который точно может противостоять квантовым атакам. Люди называют это "постквантовой криптографией". Все тот же NIST возглавляет проект по оценке и стандартизации методов постквантовой криптографии. Подробнее можно прочитать здесь.
Криптовалюты в настоящее время используют различные криптосистемы. Один из подходов — это использование симметричной криптографии, которая менее уязвима при квантовых атаках. Fawkescoin показали, что распределенная сеть возможна с симметричной криптографией. Другие проекты, такие как Quantum Resistant Ledger, используют криптографию на основе хэширования; на данный момент криптосистемы на основе хэшеривания противостоят известным атакам квантовых компьютеров.
Постквантовое будущее
Трудно предсказать будущие квантовых технологии: всегда были и будут новые прорывы, даже если мы не знаем какие именно. Это может быть как полноценный большой квантовый компьютер с квантовыми алгоритмами, так и новые классические алгоритмы. К примеру, Zapata Computing предложила вариационной квантовый алгоритм для факторизации, который может использовать гибридные (работающие с классическими компьютерами) «шумные» квантовые устройства промежуточного масштаба (эра NISQ, о которой мы писали ранее) с сотнями кубитов. Вполне вероятно, что квантовые вычисления будут не единственной технологией, которая ставит криптовалюты и нашу безопасность под угрозу. Иногда требуется только один технологический скачок, чтобы оказаться в том положении, о котором мы и не думали. Возможно необходимость обновления шифрования произойдет несколько раз: в истории криптографии такие обновления случались, но не были такими фундаментальными.
Квантовые компьютеры могут никогда и не дойти до 2500 кубитов. Однако устройство такого размера может решить многие жизненно важные проблемы, помимо простого запуска алгоритма Шора. К примеру, Google использует квантовое моделирование для изучения проблем эффективности производства удобрений, которые потребляют 1-2% энергии в мире. А не так давно они заявили о достижении квантового превосходства, о котором мы писали ранее. Увеличение числа пользователей квантовых компьютеров почти наверняка ускорит их воздействие на экономические, политические и социальные проблемы в мире.
Некоторые экономические отрасли, такие как криптовалюты, могут рассматривать квантовые компьютеры как угрозу. Если шифрование ECC действительно скомпрометировано, нас ждут бОльшие проблемы, чем потеря биткоина. Весь интернет будет скомпрометирован. Но мы не можем остановить прогресс, а технологии могут и будут использоваться как во благо, так и во зло. Важно понимать, квантовый компьютер — это, в первую очередь, не оружие хакеров, а мощная технология, которую можно и нужно использовать в задачах химии, драг-дизайна, оптимизации, машинного обучения. Мы не можем сдерживать технологию от ее положительных последствий только из-за страха.
- А рассматриваете ли вы квантовые компьютеры как риск для вашего портфеля криптовалют?
- Как вы думаете, смогут ли люди построить достаточно большой квантовый компьютер, чтобы начать атаки на биткоин?
- Должен ли рынок криптовалюты начать беспокоиться о квантовых вычислений?
Источники:
1) What Google’s ‘Quantum Supremacy’ Means for the Future of Cryptocurrency
