В результате 18 декабря предложению версии Bitcoin (ВIP) под названием Pаy to the Resistаnt Hash (P2HRH) был присвоен номер (BIP-360).
Вместе с командой разработчика биткойнов Mixer.Money мы изучаем, как разработчики готовятся к «Q Day», потенциальному будущему явлению в области криптовалют, которое сделает ее уязвимой для квантовых атак.
В чем заключается фундаментальная угроза квантового режима?
Протокол Bitcoin использует криптографию с открытым ключом для обработки транзакций. Когда создается новый кошелек, выводится пара ключей — один открытый, а другой закрытый, эти два ключа связаны математически. Закрытый ключ должен храниться в тайне, а открытый ключ должен быть доступен всем. Этот тип системы разрешает создавать цифровые подписи с использованием закрытого ключа. Любой, у кого есть правильный открытый ключ, может их проверить.
Безопасность цепочки ключей выводится из односторонней функции: ее можно вывести из закрытого ключа для генерации открытого ключа, но ее нельзя отменить. Хотя известный математик Питер Шор в 1994 году продемонстрировал квантовый алгоритм, который нарушает это правило. Любая организация, у которой есть криптоаналитически-отчетливый квантовый компьютер (СRQC), может использовать алгоритм для получения закрытого ключа из связанного открытого ключа.
В этой связи автор ВIP-360 под псевдонимом Huntеr Beаst подчеркнул, что предотвращение демонстрации открытого ключа в блокчейне имеет решающее значение для обеспечения безопасности квантовой системы.
В 2019 году создатель биткоина Питер Уэлле подсчитал, что около 37% от общей эмиссии будут уязвимы для раскрытия открытого ключа в блокчейне. Причинами этого являются распределение криптовалюты с открытым ключом или повторное использование адресов.
Ранние версии программного обеспечения имели два режима получения монет:
- Pay-to-Public-Key (P2PK). Открытый ключ сам по себе является адресом, который получает деньги. Монеты Сатоши Накамото, которые он добыл с помощью Bitcoin, хранятся в этих кошельках и подвержены CRQC.
- Pay-to-Public-Key-Hash (P2PKН). Адрес получателя включает в себя хэш открытого ключа, поэтому последний недоступен напрямую в цепочке.
Пока транзакции не совершаются с адреса P2PKH, его открытый ключ не отображается в блокчейне. Он будет распознан после того, как владелец выпустит с него монеты.
После перевода адрес не подходит для получения Bitcoin. Современные кошельки запрограммированы на создание нового адреса для каждой транзакции, это делается в первую очередь из соображений конфиденциальности, а не для повышения устойчивости системы.
Однако в этом году обычные клиенты, а также криптовалютные площадки и кастодианы будут иметь сотни тысяч биткойнов в адресах, которые используются повторно.
Список богатых биткойнов. Информация: BitInfoCharts.
Дальнедействующие. Открытый ключ распознается, что дает злоумышленникам неограниченное количество времени для попытки взлома.
Короткодействующие. Эта атака обязана происходить быстро, пока транзакция находится в мемпуле.
Последний тип атаки облегчается раскрытием открытого ключа в процессе траты монет. Для достижения успеха необходимо иметь сильный CRQC, поскольку процесс должен быть завершен в сжатые сроки. На ранних этапах разработки CRQC атаки дальнего действия встречаются чаще, открытый ключ уже известен.
Любые транзакции, которые происходят в mempool, подвержены атакам ближнего действия, в то время как атаки дальнего действия нацелены на:
- P2PK (токены Satoshi, компьютеры, которые обрабатывают монеты);
- Повторно используемые адреса (любой разновидности);
- Расширенные открытые ключи для кошелька (также называемые xpub);
- Адреса Taproot (начинаются с bc1p).
Таблица ниже определяет, подвержены ли монеты пользователей Bitcoin долгосрочным атакам:
P2PKH, P2SH, P2WPKH и P2WSH по-прежнему защищены, если адреса ранее не использовались. P2QRH — это предложение, которое подпадает под BIP-360. Данные: Github.
Примечательно, что последнее значительное обновление для Bitcoin, Taproot (P2TR), в 2021 году вызвало обсуждение в сообществе из-за особого способа решения проблемы квантовой безопасности таким образом. В этот момент соучредитель Blockstream и создатель Bitcoin Марк Фриденбах опубликовал статью о том, почему он выступает против Taproot. В этой статье он обсудил свои волнения по поводу активации обновления в смысле развития квантовых вычислений.
В обсуждении с Unchained Hunter Beast он описал хрупкость адресов Taproot:
«К сожалению, Taproot имеет сокращенную модель открытого ключа в цепочке — х-координату метки кривой элипсообразной. Данной информации достаточно, чтобы восстановить весь открытый ключ.»
Щит Сатоши
Открытый ключ, связанный с транзакциями Coinbase в блокчейне (P2PK), достигает блока № 200 000. Многие из них обладают 50 биткойнами.
Хантер Бист называет эти токены «Щитом Сатоши». По его оценке, любой адрес с общим балансом менее 50 BTC считается не имеющим финансовой выгоды от атаки.
Из-за этого всем рекомендуется хранить не более пятидесяти ВТС на одном неиспользуемом собственном адресе SegWit (P2WPKH, bc1q). Это означает, что у злоумышленника есть финансовый мотив, и он не является, например, государством, которое пытается разрушить доверие к биткойну.
QuBit
BIP-360 может быть первый предложенный протокол в рамках QuBit, мягкий коммутатор, который обеспечивает устойчивость первой криптовалюты к квантовым атакам.
«Кубит — это фундаментальная вычислительная единица в квантовых вычислениях, заглавная буква B представляет Bitcoin. Название QuBit также имеет рифму, похожую на SegWit», — пояснил BIP-360.
2QRH использует протокол HASH256 для получения хеша открытого ключа. Это уменьшает размер новых выходов и повышает надёжность, поскольку открытый ключ не раскрывается в цепочке.
BIP-360 рекомендует использовать подписи FALCON. После их санкционирования будут сделаны запланированные дополнения к постквантовым схемам: SPHINCS+, CRYSTALS-Dilithium. Спецификации SQIsign указывают, что этот алгоритм является наименьшим по размеру из всех известных постквантовых схем.
FALCON примерно в 4 раза больше, чем тот же SQI-Sign, и в 21 раз больше, чем подписи Шнорра.
«FALCON более осторожен, чем SQI. Его использование недавно было санкционировано NIST, эта санкция способствует достижению гармонии в научном сообществе. Однако, даже несмотря на то, что подпись SQI примерно в 5 раз больше, чем у Шнорра, их все равно нельзя считать одинаковыми. Это означает, что скидку свидетеля в Soft Fork QuBit необходимо будет увеличить, чтобы сохранить текущий объем транзакций. Это будет упомянуто в будущем QuBit BIP, говорится в предложении.
Криптосистемы на основе хэша более традиционны и проверены. Решетчатая криптография все еще находится на ранних стадиях разработки, но она продемонстрировала новую форму безопасности для Bitcoin, которая включает в себя меньшие подписи, которые считаются адекватной заменой подписей на основе хэша. Алгоритм SQI меньше по масштабу, но он получен из новой формы криптографии и еще не был одобрен NISТ или более широким сообществом на момент написания статьи.
Hunter Beast признает, что после внедрения P2QRH возникнет необходимость в адресах, которые защищены Pay to Quantum Secure (P2QS).
Существует разница между криптографией, которая устойчива только к квантовым атакам, и криптографией, которая защищена специализированными квантовыми компьютерами. P2QRH устойчив к квантовым атакам, в то время как P2QS гарантированно защищен от них. Им понадобится специализированное квантовое оборудование для аутентификации, но они будут использовать открытые ключи, которые можно традиционно проверить. P2QS потребует дополнительных BIP для реализации.
Квантовое криптографическое оборудование все еще находится на ранней стадии разработки, поэтому адреса, устойчивые к квантовой физике, могут служить жизнеспособной альтернативой на данный момент.
Quantum Jump
Мы оценили максимальное количество времени, которое потребуется для перехода. Сейчас 7:30 утра по московскому времени 31 октября 1827 года (или 31 октября 1876 года). Мы также показываем, что переход должен произойти до того, как квантовые устройства уничтожат ECDSА, чтобы обеспечить надёжность биткоина, говорится в исследовании.
В своём докладе на конференции Futurе оf Bitcоin в 2024 году Джеймсон Лопп, технический директор Casa, подсчитал, что это займет не менее 20 600 блоков (или 143 дня) для передачи всех UTXO.
Однако, вероятно, это займет гораздо больше времени, поскольку наиболее вероятный сценарий — сеть Bitcoin посвящена миграции. Это, безусловно, нереалистично. На реализацию могут потребоваться годы. Мы должны быть осторожны и верить, что может пройти много лет, прежде чем это произойдет, сказал Липп.
Он пришел к заключению, что даже если квантовая угроза кажется незнакомой концепцией, эффективнее обсудить ее «раньше, чем позже».
Выводы
Со временем Bitcoin подвергся различным предполагаемым ошибкам: атакам 51%, правительственным запретам, конкуренции криптовалюты и возможностями квантовых компьютеров. Эти темы постоянно обсуждаются среди сообщества, но всё ещё первая криптовалюта доказала свою устойчивость к многочисленным трудностям.
После внедрения ETF и образовательных фильмов BlackRock о Bitcoin в настоящее время запреты не обсуждаются. Опасения относительно взлома 51% были неверно истолкованы, и его влияние на сеть по сути ограничено, объясняют представители Mixer.Money.
Квантовая угроза более серьезна, но предлагаемый софтфорк QuBit демонстрирует, что разработчики осознают это. Дорожная карта Ethereum также учитывает квантовую природу сопротивления, и сообщество Bitcoin может получить полезные знания из этого.
Однако важно отметить, что для перехода Ethereum в квантовую сферу необходим еще один значительный хардфорк. В Bitcoin процесс более сложен: нет хардфорков, и Bitcoin Сатоши не может быть просто заморожен — это подорвет базовые принципы первой криптовалюты, считает Mixer.Money.
Будущее «щита Сатоши» и других монет, которые не будут конвертироваться в квантово-устойчивые адреса, пока неизвестно. Разработчик Bitcoin Люк Дэш-младший ожидает, что в будущем они станут похожи на майнинг.
«В конечном счете, 37% предложения, используемые квантовыми компьютерами, идентичны 37%, используемым ASIC-майнерами», — сказал он.