Виконавчий директор Coinbase пояснює квантовий ризик Bitcoin і довгострокову загрозу безпеці мережі

Проблеми майбутніх досягнень у галузі криптографії змінюють підхід аналітиків до довгострокової безпеки Bitcoin, оскільки ризик квантового зламу Bitcoin тепер на порядку денному великих бірж.

Квантові обчислення та основні ризики Bitcoin

Досягнення у галузі квантових обчислень потенційно зможуть з часом поставити під сумнів не лише безпеку приватних ключів Bitcoin, а й економічні та безпекові основи мережі. Однак сучасне обладнання ще далеко від здатності зламати захист Bitcoin, тому ці ризики є довгостроковими, а не негайними загрозами.

Основна небезпека пов’язана з гіпотетичним майбутнім “Q-днем”, коли квантові машини зможуть запускати алгоритми, такі як Shor’s і Grover’s, у достатньому масштабі. У цей момент основні компоненти криптографії Bitcoin можуть бути піддані руйнуванню. Більше того, цей сценарій вплине як на безпеку транзакцій, так і на майнінг.

Bitcoin наразі покладається на два ключові примітиви: ECDSA, що забезпечує підписання транзакцій та встановлює право власності, і SHA-256, що підтримує майнінг з доказом роботи та захищає цілісність блокчейну. Це означає, що квантові системи теоретично можуть здійснювати два різні класи атак, спрямованих на підписи та хешування.

Атаки на підписи та відкриті Bitcoin-адреси

З точки зору підписів, системи з квантовою здатністю можуть послабити криптографічний захист, що захищає приватні ключі, відкриваючи двері для несанкціонованих витрат з уразливих адрес. Цей ризик має дві складові: довгострокові атаки на виходи, чий публічний ключ вже збережений у мережі, та короткострокові атаки, що намагаються передбачити витрати, коли ключі з’являються у мемпулі.

Coinbase оцінює, що близько 6,51 мільйонів Bitcoin, або приблизно 32,7% від загальної кількості на блоці 900 000, можуть бути піддані довгостроковим квантовим атакам. Ця цифра підкреслює, як минула поведінка, така як повторне використання адрес і певні типи скриптів, може збільшити ризик для мережі.

Довгострокова загроза пов’язана з виходами, що безпосередньо розкривають публічні ключі у мережі. Це включає Pay-to-Public-Key (P2PK), голі мультипідписні (P2MS) та Taproot (P2TR) формати. Ранні Bitcoin-активи, часто пов’язані з епохою Сатоші, становлять значну частку старих виходів P2PK і, відповідно, є потенційними цілями.

Кожен вихід стає вразливим до короткострокової атаки у момент витрати, коли публічний ключ розкривається перед підтвердженням. Однак ймовірність успішної атаки за допомогою сучасного квантового обладнання все ще дуже низька. Навіть з урахуванням цього, ця динаміка підкреслює, чому індустрія все більше зосереджена на міграції до квантово-стійких підписів.

Економічний вплив і ризики для майнінгу

Крім крадіжки підписів, друга важлива проблема стосується економіки майнінгу Bitcoin і безпеки консенсусу. Пристрої з квантовою здатністю потенційно зможуть отримати переваги у ефективності у доказі роботи, порушуючи існуючий баланс між майнерами. Однак дослідники вважають цю проблему вторинною порівняно з компрометацією ключів.

Теоретично, високоефективний квантовий майнінг може змінити розподіл хеш-енергії та створити нові централізаційні тиски. Однак обмеження масштабування та початковий етап практичного квантового обладнання тримають цей сценарій у майбутньому. На даний момент основною задачею залишається міграція підписів.

Деякі експерти стверджують, що будь-який реальний шлях до ризику квантового зламу Bitcoin, ймовірно, почнеться з атак на відкриті публічні ключі, а не на SHA-256 майнінг. Більше того, зміни у майнінгових алгоритмах технічно легше координувати, ніж повністю змінювати спосіб захисту монет користувачами, тому шифрування та підписи залишаються у центрі обговорень.

Розглядаються варіанти пост-квантової криптографії

Щоб підготуватися до цих сценаріїв, розробники та дослідники вивчають пост-квантову криптографію та інші захисні технології. Основна довгострокова стратегія зменшення ризиків — інтеграція квантово-стійких схем підписів безпосередньо у протокол Bitcoin. Однак цей перехід вимагатиме років досліджень, тестування та консенсусу.

Національний інститут стандартів і технологій США (NIST) проводить багаторічний процес відбору алгоритмів пост-квантової криптографії для стандартизації. У його короткому списку наразі — CRYSTALS-Dilithium, SPHINCS+ та FALCON, кожен з яких пропонує різні компроміси щодо безпеки, розміру та продуктивності.

Ці кандидати від NIST дають орієнтир щодо того, яким може виглядати підпис у Bitcoin майбутнього. Однак існують практичні труднощі. Багато схем, стійких до квантових атак, мають більші підписи та повільніше перевіряються, що вплине на використання блоків, ринок комісій та продуктивність вузлів. Крім того, програмне забезпечення гаманців і інфраструктурні провайдери повинні будуть переобладнати свої системи.

Таймлайни міграції та потенційні шляхи оновлення

Дослідження наразі окреслюють два широкі шляхи міграції, залежно від швидкості розвитку квантових обчислень. Швидкий прорив вимагатиме плану надзвичайних ситуацій, який можна буде реалізувати приблизно за два роки, з пріоритетом на швидкість і зворотну сумісність. Однак цей сценарій передбачає тісну координацію між майнерами, операторами вузлів і гаманцями.

Якщо прогрес буде поступовим, більш помірний підхід може тривати до семи років. У цьому випадку Bitcoin може інтегрувати квантово-стійкі підписи через м’який форк, дозволяючи користувачам поступово приймати їх. Це дасть розробникам більше часу для вдосконалення дизайнів і тестування нових схем у реальних умовах.

Технічні пропозиції, такі як BIP-360, BIP-347 і Hourglass, вже досліджують, як керувати ротацією ключів, міграцією та оновленнями скриптів у квантово-обізнаному режимі. Більше того, ці зусилля спрямовані на мінімізацію порушень і забезпечення безпечного перенесення уразливих виходів у більш безпечні кодування до появи будь-якої серйозної квантової атаки.

Кращі практики для власників Bitcoin

Поки не з’являться зміни на рівні протоколу, вже можна застосовувати найкращі практики для зменшення ризиків. Уникнення повторного використання адрес, регулярне переміщення уразливих UTXO на нові адреси та обмеження балансу на одній адресі допомагають зменшити концентраційний ризик. Однак ці звички мають бути широко впроваджені, щоб суттєво знизити системний ризик.

Інститути та провайдери послуг також заохочуються розробляти матеріали для клієнтів, що стандартизують квантово-обізнані операції. Чіткі рекомендації щодо управління застарілими виходами, типами скриптів і графіками міграції допоможуть користувачам підготуватися заздалегідь. Крім того, те, що багато уразливих скриптів не використовуються активно у сучасних виробничих середовищах, вважається невеликою перевагою.

Хоча ці заходи не можуть повністю усунути загрози, що виникають із фундаментальної математики, вони можуть купити час. Вони також допомагають забезпечити, щоб у разі необхідності швидкої міграції на квантово-стійкі схеми, менше монет залишалося заблокованими у застарілих скриптах, які важко перемістити або координувати.

Настрій галузі та перспективи на майбутнє

У цілому, у галузі вважають, що квантові обчислення наразі не є негайною загрозою безпеці Bitcoin. Більшість експертів вважають, що сучасні пристрої занадто слабкі, щоб масштабно зламати ECDSA або SHA-256. Однак думки розходяться щодо швидкості змін у цій галузі.

Деякі дослідники і проєктні команди попереджають, що практичний компроміс може настати вже за кілька років за сприятливих умов розвитку обладнання. Різні ініціативи навіть пропонували можливі дати, коли ризик приватних ключів Bitcoin може стати суттєвим. Більше того, постійні інвестиції у квантові дослідження тримають цю тему у центрі уваги розробників, орієнтованих на безпеку.

На даний момент захист Bitcoin залишається міцним, але підготовка до пост-квантового світу вже ведеться у стандартизуючих організаціях, дослідженнях протоколів і розробці гаманців. Поєднання проактивних стратегій міграції, кращих практик користувачів і постійних інновацій у галузі квантово-стійкої криптографії, ймовірно, визначить, наскільки стійкою виявиться мережа у разі майбутніх проривів.