Bitcoin quantum resistance
Ocena tego, czy obecny model własności w Bitcoinie pozostałby bezpieczny wobec komputerów kwantowych zdolnych łamać używaną dziś kryptografię podpisów.
Czym jest Bitcoin quantum resistance
Bitcoin quantum resistance oznacza odporność Bitcoina na przyszłe komputery kwantowe. W praktyce chodzi głównie o to, czy taki komputer mógłby wyliczyć klucz prywatny z ujawnionego klucza publicznego.
Bitcoin używa kryptografii krzywych eliptycznych secp256k1. Standardowe transakcje korzystają z ECDSA, a Taproot używa podpisów Schnorra. Oba mechanizmy należą do tej samej rodziny problemu: są bezpieczne dziś, ale nie są docelowo odporne na wystarczająco silny komputer kwantowy.
Problem nie polega na tym, że Bitcoin jest dziś praktycznie złamany. Problem polega na tym, że długoterminowo protokół potrzebuje realnej ścieżki migracji do podpisów post-quantum.
Dlaczego chodzi o podpisy, a nie kopanie
Najczęstsze nieporozumienie dotyczy proof of work. Komputer kwantowy mógłby teoretycznie przyspieszyć niektóre obliczenia związane z hashami, ale trudność kopania w Bitcoinie dostosowuje się do mocy sieci.
Podpisy są innym problemem. Jeśli publiczny klucz jest znany, wystarczająco silny komputer kwantowy mógłby użyć algorytmu Shora do wyliczenia odpowiadającego mu klucza prywatnego.
Taki atak nie wymaga wygrania wyścigu o blok. Atakujący mógłby próbować ukraść środki z UTXO, których klucze publiczne są już ujawnione.
Różne poziomy ekspozycji
- P2PK
- Stare wyjścia, w których publiczny klucz jest widoczny bezpośrednio onchain. To najbardziej oczywista ekspozycja kwantowa.
- P2PKH
- Adresy zaczynające się od
1przechowują hash klucza publicznego. Klucz publiczny ujawnia się dopiero przy wydaniu środków. - Użyty adres
- Po wysłaniu transakcji publiczny klucz zostaje ujawniony w historii blockchaina.
- Taproot
- Używa podpisów Schnorra. Poprawia wiele rzeczy, ale nadal opiera się na kryptografii podatnej na przyszły atak kwantowy.
- Nowy, nieużyty adres
- Nie ujawnia publicznego klucza do momentu pierwszego wydania środków.
Problem ujawnionego klucza publicznego
W Bitcoinie adres często nie pokazuje bezpośrednio klucza publicznego. Pokazuje jego hash albo zakodowaną formę zależną od typu wyjścia.
Gdy jednak wydajesz środki z danego adresu, transakcja ujawnia publiczny klucz. Od tego momentu klucz publiczny zostaje w historii blockchaina na zawsze.
Dlatego unikanie ponownego używania adresów ma znaczenie nie tylko prywatnościowe. Zmniejsza też długoterminową ekspozycję publicznych kluczy.
Co możesz robić jako użytkownik
Nie istnieje dziś przycisk „włącz pełną odporność kwantową” dla Bitcoina. Są jednak praktyki, które ograniczają ekspozycję.
- Nie używaj wielokrotnie tych samych adresów do odbioru środków.
- Korzystaj z nowoczesnego portfela HD, który generuje nowe adresy.
- Nie trzymaj dużych środków na starych, wielokrotnie używanych adresach.
- Śledź rozwój propozycji migracji do podpisów post-quantum, takich jak BIP360.
- Nie myl ryzyka kwantowego z bieżącym phishingiem, seed phrase i malware — te zagrożenia są dziś dużo bardziej praktyczne.
Satoshi coins i stare wyjścia
Wczesny Bitcoin używał formatów, w których klucze publiczne były bardziej bezpośrednio widoczne onchain. Część bardzo starych UTXO, w tym monety przypisywane Satoshiemu, znajduje się w kategoriach częściej omawianych przy ryzyku kwantowym.
Jeżeli w przyszłości pojawi się praktyczny komputer kwantowy łamiący secp256k1, stare wyjścia z ujawnionymi kluczami publicznymi mogą być szczególnie problematyczne.
To jeden z powodów, dla których temat migracji post-quantum jest trudny. Sieć musi myśleć nie tylko o nowych użytkownikach, ale też o starych UTXO, które od lat nie były ruszane.
BIP360 i problem migracji
BIP360 jest jedną z propozycji bardziej świadomego podejścia do kwantowego ryzyka w Bitcoinie. Chodzi o nowy typ wyjść i ścieżkę migracji do podpisów odporniejszych na komputery kwantowe.
Najtrudniejsza część to migracja istniejących środków. Właściciel musi przenieść monety do bezpieczniejszego typu wyjścia, zanim potencjalny atakujący będzie w stanie wykorzystać ujawniony klucz publiczny.
To wymaga czasu, portfeli obsługujących nowe standardy, szerokiej edukacji i zgody społeczności co do kierunku zmian.
Przykład ryzyka
- Użytkownik ma BTC na adresie, z którego już kiedyś wysyłał transakcję.
- Publiczny klucz tego adresu jest widoczny w historii blockchaina.
- W przyszłości pojawia się komputer kwantowy zdolny praktycznie łamać
secp256k1. - Atakujący może próbować wyliczyć klucz prywatny z ujawnionego klucza publicznego.
- Jeśli środki nie zostały wcześniej przeniesione do bezpieczniejszego typu wyjścia, mogą być zagrożone.
Najczęstsze błędne założenia
- Bitcoin nie jest dziś produkcyjnie post-quantum secure.
- Ryzyko kwantowe dotyczy głównie podpisów i ujawnionych kluczy publicznych.
- Proof of work i podpisy to dwa różne problemy bezpieczeństwa.
- Taproot nie rozwiązuje ryzyka kwantowego, bo nadal używa kryptografii z tej samej rodziny.
- Adres użyty do wysyłki środków ma trwale ujawniony klucz publiczny.
- Brak praktycznego ataku dziś nie oznacza, że temat można ignorować przy horyzoncie wielu dekad.
To ryzyko długoterminowe, nie codzienny atak
Dla większości użytkowników większym zagrożeniem są dziś phishing, zły backup seed phrase, malware i fałszywe portfele. Ryzyko kwantowe ma znaczenie głównie przy bardzo długim horyzoncie, dużych starych UTXO i projektowaniu przyszłej migracji Bitcoina.
Najczęstsze pytania
secp256k1 Bitcoina w czasie użytecznym dla ataku. To ryzyko przyszłościowe, nad którym protokół i badacze powinni pracować z wyprzedzeniem.