Разработчики bitcoin должны перестать ждать уверенности в сроках развития квантовых вычислений и сосредоточиться на внедрении постквантовой схемы подписи в производство, сказал Алекс Прюден, генеральный директор Project Eleven, на конференции CoinDesk’s Consensus Miami в среду.
Пруден сказал, что асимметрия между действием сейчас и ожиданием благоприятствует действию.
«Мы добавили некоторую новую криптографию, мы как бы встроили эту возможность, оказалось, что нам пока это не нужно, но по крайней мере она у нас есть», — сказал он, описывая наихудший сценарий раннего перехода.
Наихудший сценарий задержки с перемещением еще хуже: достаточно мощный квантовый компьютер может вывести закрытые ключи из любого раскрытого открытого ключа с помощью алгоритма Шора — алгоритма 1994 года, который остается каноническим примером того, что может сделать квантовая машина, а классическая — нет.
Пруден оценил актив, находящийся в стейке, примерно в 2,3 триллиона долларов.
«В очень реальном смысле, у кого-то с достаточно мощным и способным квантовым компьютером есть возможность владеть всеми цифровыми активами или биткойнами, связанными с публичным ключом, который он может видеть», — сказал Прюден.
Путь вперед, сказал Прюден, заключается во введении новой схемы подписи в bitcoin, которая не зависит от классической математики, лежащей в основе алгоритма цифровой подписи на эллиптических кривых (ECDSA), используемой сегодня.
Национальный институт стандартов и технологий стандартизировал постквантовые схемы на основе хеш-функций и решеток, сказал он, и обсуждения в сообществе bitcoin постепенно склоняются к варианту на основе хеш-функций. BIP-360, предложенный в прошлом году, заложил основу для добавления квантово-устойчивого типа выхода Taproot, а Blockstream внедрила хеш-основанную схему подписи на своей сети Liquid.
«Перевод чего-либо из сферы исследований в производство, я думаю, действительно то, на чем нам нужно сосредоточиться», — сказал Прюден. «Давайте сосредоточимся на букве D в R&D».
Миграция будет значительно сложнее, чем обновление Taproot, предупредил Прюден.
Taproot занял пять лет, но это даже не вся сложность, с которой столкнётся этот процесс. В то время как Taproot был опциональным, и большинство пользователей никогда не занимались миграцией, каждый держатель bitcoin, каждый кошелёк, биржа и институциональный участник, взаимодействующий с активом, должны будут участвовать в миграции после квантовой эры.
Пруден сказал, что риск временного окна серьезен: если квантовый компьютер появится до того, как пользователи завершат миграцию, злоумышленник сможет опередить ожидающие транзакции в пределах одного временного интервала блока, заплатив более высокую комиссию, чтобы захватить средства, частные ключи которых он только что вывел.
Преснув на нерешённом споре о том, что делать с биткоинами, находящимися в неактивных, уязвимых к квантовым атакам адресах, Прюден призвал сообщество отложить этот спор и сосредоточиться на самом процессе миграции. Харпер представил этот спор как затрагивающий до 5 миллионов неактивных монет, включая монеты, приписываемые Сатоши Накамото через так называемый паттерн «Patoshi» ранних блоков майнеров.
«Вопрос о коинах Сатоши в частности — сложный», — сказал Прюден, поскольку он ставит под напряжение два философских принципа: идею фиксированного предложения биткоина и его приверженность цифровым правам собственности. Когда его спросили о его личной позиции, Прюден сказал, что неактивные коины потенциально можно «вернуть в конец кривой предложения», чтобы продлить срок действия стимулов для майнинга после исчерпания блоковой награды.
«Если поставить меня на горячий стул, наверное, именно это я и скажу», — сказал Прюден. «Так что, пожалуй, в целом — это конфискация. Но снова, я думаю, в конечном итоге решение примет сообщество. Институты и рынок примут решение».
По поводу того, серьезно ли разработчики Bitcoin Core относятся к этой угрозе, Прюден сказал, что ответ неоднозначен. «Core — это не монолитная структура. Поэтому я думаю, что определенно [некоторые] в Core относятся к этому серьезно. Я считаю, что есть люди, которые считают», что квантовые компьютеры никогда не появятся. Он указал на более широкое научное сообщество как на противовес: «Большинство физиков, если вы спросите их об этом, скажут: да, это станет реальностью. Кстати, многие из них считают, что сроки ускоряются».
Та же физика, которая делает квантовые компьютеры угрозой для существующей криптографии, может также заложить основу для следующего поколения криптографических примитивов, — сказал он, сославшись на протоколы обмена ключами на основе квантовой запутанности и работу по сертифицированной случайности, за которую была присуждена премия Тьюринга в прошлом году.