Coinbase останнє попередження: ризик квантових обчислень для PoS-ланцюгів вищий, ніж у Біткойна

Останнім часом знову з’явився FUD щодо квантових обчислень.

Цього разу про це попереджає найбільша в США регульована біржа Coinbase. 22 квітня незалежна комісія з квантових обчислень і блокчейну Coinbase опублікувала звіт, у якому зазначено, що блокчейни з механізмом доказу частки (PoS), такі як Ethereum і Solana, можуть стикнутися з більшим квантовим ризиком, ніж Біткоїн.

Що саме сказано в Coinbase

Спершу подивимось на основний зміст цього звіту.

Комісія Coinbase зазначає, що PoS-ланцюги стикаються з двома основними ризиками:

• Перший — підпис валідатора. Ethereum використовує BLS-підпис, Solana — ed25519-підпис. Ці механізми підпису є основою досягнення консенсусу в PoS-ланцюгах. Якщо майбутні квантові комп’ютери стануть здатними зламати ці підписи, зловмисники зможуть підробляти особистості валідаторів і, відповідно, загрожувати безпеці всієї мережі.

• Другий — підпис гаманця. Незалежно від PoS чи PoW, цифровий підпис гаманця для підтвердження власності також під загрозою квантового зламу. У звіті особливо зазначено, що близько 6,9 мільйонів біткоїнів зберігається на адресах із відкритими публічними ключами, що належать до високоризикової категорії.

Але одразу ж у звіті йдеться дуже важлива фраза: наразі квантові комп’ютери, здатні зламати сучасні криптографічні підписи, ще не існують. Такі машини мають бути набагато потужнішими за існуючі системи.

Представник Coinbase сказав ще більш прямо: активи клієнтів сьогодні залишаються в безпеці, і галузь не повинна плутати “негайність” із “незначущістю”.

Чому PoS-ланцюги більш вразливі

У «Посібнику з практичного запобігання квантовим загрозам» пояснюється, що адреси Біткоїна поділяються на два типи: один — P2PKH (починається з 1), зберігає хеш публічного ключа, сам публічний ключ не відкривається; інший — P2PK (починається з 04), де публічний ключ відкритий безпосередньо. Лише дуже старі адреси мають цей формат.

Сатоші ще у 2010 році казав: щоб зробити адреси Біткоїна коротшими, вони використовують хеш публічного ключа, а не сам публічний ключ. Це означає, що безпека транзакцій, спрямованих на ці адреси, залежить лише від безпеки хеш-функції.

Хеш-функції мають природний опір квантовим обчисленням. Алгоритм Гровера може зменшити складність атаки на хеш з 2^256 до 2^128, що все ще є астрономічним числом.

Але ситуація з PoS-ланцюгами інша.

Валідаційні вузли Ethereum часто використовують BLS-підпис для участі в консенсусі, і ці підписи мають відкриті публічні ключі. Аналогічно, у Solana ed25519-підписи також відкривають публічний ключ. Це означає, що, якщо алгоритм Шора стане практичним, ці відкриті ключі можна буде безпосередньо зворотно розрахувати у приватні ключі, оскільки вони не захищені хеш-оболонкою.

Ще гірше, що механізм консенсусу PoS безпосередньо залежить від цих підписів. Як зазначено у звіті Coinbase: виклики PoS-ланцюгів полягають не лише у оновленні гаманців, а й у можливої необхідності повного перепроектування ядра механізму консенсусу.

Що стосується Біткоїна і PoW? У звіті також наведена оцінка: теоретично, квантовий комп’ютер, що використовує алгоритм Гровера, може швидше розв’язувати задачі PoW, але за поточних масштабів задач, витрати на запуск алгоритму Гровера перевищують його теоретичну перевагу.

Проще кажучи, квантові комп’ютери становлять набагато більшу загрозу PoS-ланцюгам, ніж майнінг Біткоїна.

Шляхи оновлення: унікальні виклики PoS-ланцюгів

У звіті Coinbase також згадується важливе питання: розробники Ethereum вже почали діяти.

Згідно з ним, співзасновник Ethereum Віталік Бутерін у лютому цього року запропонував план, який передбачає заміну BLS-підписів, KZG-зобов’язань і ECDSA-підписів гаманців на квантово-стійкі альтернативи.

Звучить добре, але виклики полягають у масштабах.

Комісія Coinbase зазначає, що квантово-стійкі підписи значно більші за існуючі, що може вплинути на швидкість транзакцій, обсяг збереження даних і пропускну здатність мережі. Для Ethereum, яка вже стикається з проблемами масштабованості, це — серйозне питання.

Звіт також піднімає ще одне складне питання: що робити з гаманцями, які ніколи не оновлювалися? Втрачені ключі, неактивні акаунти, закинуті гаманці — якщо квантові атаки стануть можливими, ці активи будуть назавжди під загрозою.

Ця проблема особливо гостра для PoS-ланцюгів, оскільки користувачі можуть перенести свої активи на нові адреси, але для стейкінгу і валідаторів це — питання економічної безпеки і управління мережею.

Переваги і підготовка Біткоїна

Команда Bitcoin постійно наголошує, що Біткоїн — живий і здатний до оновлень.

У кінці 2021 року було впроваджено оновлення Taproot, яке відкриває шлях до майбутньої заміни алгоритмів підпису. Спільнота Біткоїна також активно слідкує за новинами щодо квантово-стійких алгоритмів.

Генеральний директор Blockstream Адам Бек у недавньому інтерв’ю Bloomberg сказав: розумним підходом є підготовка Біткоїна, щоб дати можливість користувачам перенести ключі у квантово-стійкий формат. Чим довше користувачі затримуються з цим, тим безпечніше.

Звіт Coinbase також визнає, що основна інфраструктура Біткоїна — включно з процесом майнінгу, хеш-функціями і історичним блокчейном — наразі не має суттєвих вразливостей.

Це не тому, що у Біткоїна є якась магія, а тому, що він з самого початку був спроектований більш обережно. Захист хеш-функцій, відсутність повторного використання адрес, децентралізоване управління — ці характеристики роблять Біткоїн набагато більш стійким до квантових загроз, ніж високопродуктивні PoS-ланцюги.

Заключення

Цінність цього звіту Coinbase полягає не у створенні паніки, а у тому, щоб нагадати галузі: квантова загроза — реальна і довгострокова, і потрібно починати планувати. Але не потрібно панікувати.

У кінці звіту добре сказано: квантовий комп’ютер, здатний до криптографічних проривів, ще потребує значних наукових проривів, а оновлення гаманців, бірж, кастодіальних сервісів і децентралізованих мереж — це багаторічна робота. Саме тому ми публікуємо цей звіт зараз: щоб дискусія базувалася на науці, а не на хайпі, і щоб чітко визначити, які ризики справжні, а які — ні, і допомогти галузі раніше почати реальні міри.

a16z crypto на початку року також опублікували довгий аналіз, у якому зазначили, що злом secp256k1 або RSA-2048 квантовим комп’ютером у фертильних умовах малоймовірний протягом п’яти років.

Команда Bitcoin послідовна у своїй позиції: слідкувати за ситуацією, але не панікувати.

Виклики PoS-ланцюгів більші, ніж у Біткоїна — це факт. Але це не означає, що завтра станеться катастрофа. Галузь має достатньо часу для підготовки, тестування і оновлень.

Зрештою, найнебезпечніше — це не сама загроза, а неправильне її сприйняття: або надмірна паніка, або ігнорування.