Команда Google Quantum AI раніше цього тижня заявила, що майбутній квантовий комп’ютер зможе отримати приватний ключ bitcoin з публічного ключа приблизно за дев’ять хвилин. Це число поширилося по соціальних мережах і викликало паніку на ринках.
Але що це насправді означає на практиці?
Давайте розпочнемо з того, як працюють транзакції bitcoin. Коли ви надсилаєте bitcoin, ваш гаманець підписує транзакцію приватним ключем — секретним числом, яке підтверджує, що ви володієте цими монетами.
Цей підпис також розкриває ваш публічний ключ — спільно використовувану адресу, яка розсилається в мережу і знаходиться в очікуючій зоні, що називається mempool, доки майнер не включить її в блок. У середньому ця підтвердження займає близько 10 хвилин.
Ваш приватний ключ і публічний ключ пов’язані математичною задачею, яка називається проблемою дискретного логарифма на еліптичній кривій. Класичні комп’ютери не можуть зворотно вирішити цю математичну задачу за будь-який корисний проміжок часу, тоді як достатньо потужний майбутній квантовий комп’ютер, що працює за алгоритмом Шора, зможе.
Ось тут і приходять дев’ять хвилин. У статті Google зазначалося, що квантовий комп’ютер можна «підготувати» заздалегідь, попередньо обчисливши частини атаки, які не залежать від будь-якого конкретного публічного ключа.
Як тільки ваш відкритий ключ з’являється в mempool, машині потрібно лише близько дев’яти хвилин, щоб завершити роботу та отримати ваш приватний ключ. Середній час підтвердження bitcoin становить 10 хвилин. Це дає атакувачеві приблизно 41% шансу отримати ваш ключ та перенаправити ваші кошти до підтвердження оригінальної транзакції.
Уявіть це як злодія, який годинами будує універсальний пристрій для відкривання сейфів (попереднє обчислення). Цей пристрій працює з будь-яким сейфом, але коли з’являється новий сейф, потрібно лише кілька остаточних налаштувань — і саме цей останній крок займає близько дев’яти хвилин.
Це атака на mempool. Це тривожна ситуація, але вона вимагає квантового комп’ютера, якого ще не існує. У статті Google оцінюється, що такий пристрій потребуватиме менше ніж 500 000 фізичних кюбітів. Найбільші сучасні квантові процесори мають близько 1000.
Більшою та негайною стурбованістю є 6,9 мільйона bitcoin, приблизно третина загальної пропозиції, які вже знаходяться у гаманцях, де публічний ключ був постійно відкритий.
Це включає ранні адреси bitcoin з перших років роботи мережі, які використовували формат pay-to-public-key, де публічний ключ за замовчуванням видимий у блокчейні. Це також включає будь-який гаманець, який повторно використовував адресу, оскільки витрачання коштів з адреси розкриває публічний ключ для всіх залишкових коштів.
Ці монети не потребують дев’ятирічної гонки. Зловмисник із достатньо потужним квантовим комп’ютером зможе їх розкрити спокійно, поступово перебираючи відкриті ключі один за одним без будь-якого тиску часу.
Оновлення Taproot bitcoin 2021 року погіршило цю ситуацію, як повідомляло CoinDesk раніше відповідного вівторка. Taproot змінив спосіб роботи адрес, щоб публічні ключі за замовчуванням були видимі в ланцюжку, випадково розширили кількість гаманців, які будуть вразливими до майбутньої квантової атаки.
Сама мережа bitcoin продовжувала б працювати. Майнінг використовує інший алгоритм під назвою SHA-256, який квантові комп’ютери не можуть значно прискорити за допомогою сучасних підходів. Блоки все ще будуть створюватися.
Розподілений реєстр все ще існуватиме. Але якщо приватні ключі можна отримати з публічних, гарантії власності, які роблять bitcoin цінним, руйнуються. Будь-хто з відкритими ключами піддається ризику крадіжки, а інституційна довіра до моделі безпеки мережі руйнується.
Виправленням є постквантова криптографія, яка замінює вразливу математику алгоритмами, які квантові комп'ютери не можуть зламати. Ethereum витратив вісім років на підготовку до цієї міграції. Bitcoin навіть не розпочав.