Команда Google Quantum AI заявила ранее на этой неделе, что будущий квантовый компьютер сможет получить приватный ключ bitcoin из публичного ключа примерно за девять минут. Это число быстро распространилось в социальных сетях и вызвало панику на рынках.
Но что это на самом деле означает на практике?
Давайте начнем с того, как работают транзакции bitcoin. Когда вы отправляете bitcoin, ваш кошелек подписывает транзакцию закрытым ключом — секретным числом, которое подтверждает ваше владение монетами.
Эта подпись также раскрывает ваш открытый ключ — адрес, который можно разделить; он транслируется в сеть и находится в очереди, называемой mempool, пока майнер не включит его в блок. В среднем эта подтверждение занимает около 10 минут.
Ваш закрытый ключ и открытый ключ связаны математической задачей, называемой проблемой дискретного логарифма на эллиптической кривой. Классические компьютеры не могут обратить эту математическую операцию за какое-либо практическое время, тогда как достаточно мощный будущий квантовый компьютер, работающий по алгоритму Шора, сможет это сделать.
Вот здесь вступает в игру девять минут. В статье Google было установлено, что квантовый компьютер можно «подготовить» заранее, предварительно вычислив части атаки, которые не зависят от какого-либо конкретного открытого ключа.
Как только ваш открытый ключ появляется в mempool, машине требуется всего около девяти минут, чтобы завершить задачу и получить ваш закрытый ключ. Среднее время подтверждения bitcoin составляет 10 минут. Это дает злоумышленнику примерно 41% шанс получить ваш ключ и перенаправить ваши средства до подтверждения исходной транзакции.
Представьте это как вора, который часами собирает универсальный механизм для взлома сейфов (предварительные вычисления). Этот механизм работает для любого сейфа, но каждый раз, когда появляется новый сейф, требуется лишь несколько финальных настроек — и именно этот последний шаг занимает около девяти минут.
Это атака на mempool. Это тревожно, но требует квантового компьютера, которого пока не существует. Согласно статье Google, такому устройству потребуется менее 500 000 физических кьюбитов. Сегодня самые крупные квантовые процессоры имеют около 1000.
Большая и более насущная проблема — это 6,9 миллиона bitcoin, примерно одна треть общего предложения, которые уже находятся в кошельках, где публичный ключ был постоянно раскрыт.
Это включает ранние адреса bitcoin из первых лет работы сети, которые использовали формат pay-to-public-key, где открытый ключ по умолчанию виден в блокчейне. Это также включает любой кошелек, который повторно использовал адрес, поскольку расходование средств с адреса раскрывает открытый ключ для всех оставшихся средств.
Эти монеты не нуждаются в девятиминутной гонке. Злоумышленник с достаточно мощным квантовым компьютером может взломать их спокойно, перебирая раскрытые ключи по одному без какого-либо временного давления.
Обновление Taproot bitcoin 2021 года усугубило эту проблему, как сообщало CoinDesk ранее во вторник. Taproot изменил способ работы адресов, сделав публичные ключи видимыми в блокчейне по умолчанию, что случайно расширило количество кошельков, уязвимых к будущей квантовой атаке.
Сама сеть bitcoin продолжила бы работу. Майнинг использует другой алгоритм, называемый SHA-256, который квантовые компьютеры не могут значимо ускорить с использованием текущих подходов. Блоки продолжали бы создаваться.
Распределенный реестр все еще будет существовать. Но если частные ключи можно вывести из публичных ключей, гарантии владения, делающие bitcoin ценным, разрушаются. Любой, чьи ключи были раскрыты, подвергается риску кражи, и институциональное доверие к модели безопасности сети рушится.
Решение — квантово-устойчивая криптография, которая заменяет уязвимую математику алгоритмами, которые квантовые компьютеры не могут взломать. Ethereum тратит восемь лет на подготовку к этому переходу. Bitcoin даже не начал.