Дослідники кажуть: існує спосіб зробити біткоїн безпечним від квантових атак без форку

Коротко

• Нова пропозиція окреслює спосіб створювати квантово-стійкі транзакції Bitcoin без зміни протоколу мережі.
• У проєкті замінюються припущення, пов’язані з еліптичними кривими, на хеш-орієнтовані задачі та підписи Лампорта.
• Підхід переносить обчислення на творців транзакцій і подається як тимчасовий обхідний варіант, а не як постійне виправлення.

Транзакції Bitcoin можна зробити стійкими до майбутніх квантових атак без зміни базового протоколу мережі — стверджується в пропозиції дослідника StarkWare Авіву Мордехая Леві. У нещодавній статті Леві описує схему транзакцій “Quantum-Safe Bitcoin”, призначену залишатися захищеною навіть у разі того, що квантові комп’ютери зламають еліптично-криву криптографію, яка використовується сьогодні. Метод працює в межах існуючих у Bitcoin правил скриптингу і не вимагатиме soft fork чи іншого оновлення мережі. “Ми представляємо QSB, схему транзакцій Quantum Safe Bitcoin, яка не потребує змін протоколу Bitcoin і залишається безпечною навіть у присутності алгоритму Шора”, — написав Леві.

Пропозиція замінює підписи на основі еліптичних кривих на хеш-орієнтовану криптографію та підписи Лампорта — ранню схему підпису, яку вважають стійкою до квантових атак. “Оскільки підписи Лампорта мають постквантову захищеність, і вони підписують криптографічно сильний ідентифікатор транзакції, неможливо змінити транзакцію без створення нового підпису Лампорта, який нападник не може підробити навіть за наявності можливостей квантових обчислень”, — написав Леві.  У центрі дизайну — криптографічна головоломка, яку потрібно розв’язати до того, як транзакцію буде надіслано в ефір. У статті оцінюється, що пошук коректного розв’язання вимагав би приблизно 70 трильйонів спроб.

На відміну від майнінгу Bitcoin, обчислення відбуваються ще до того, як транзакція потрапляє в мережу. Користувачі виконують роботу поза ланцюгом (off-chain) і подають транзакцію, яка вже містить підтвердження того, що головоломку було розв’язано. Леві оцінює, що головоломку можна розв’язати за допомогою звичайного обладнання, наприклад GPU, із вартістю в кілька сотень доларів за транзакцію. Схема розроблена для роботи в межах скриптингових лімітів Bitcoin: 201 opcode і 10,000 байтів. У статті зазначено, що ці ліміти є надзвичайно жорсткими, оскільки кожен opcode зараховується до загальної кількості, навіть якщо він з’являється у невикористаній гілці скрипту. Щоб вміститися в ці межі, система поєднує підписи Лампорта з хеш-орієнтованими головоломками в багаторівневій структурі транзакції. Вона також вводить “transaction pinning”, що вимагає від будь-кого, хто намагається змінити транзакцію, знову розв’язати головоломку. Леві описує систему як міру “останнього засобу”, а не масштабоване виправлення. У статті сказано, що і позаланцюгові обчислювальні витрати, і розмір транзакції в ланцюгу не масштабуватимуться до цільової пропускної здатності Bitcoin або потреб більшості користувачів. Створення транзакцій також складніше, ніж звичайне використання Bitcoin, і може вважатися нестандартним у межах чинних правил пересилання (relay policies), тобто вони можуть стикатися з проблемами поширення і, можливо, потребуватимуть подання напряму в майнінг-пули замість трансляції через публічний mempool. Пропозиція також має компроміси безпеки. Хоча вона уникає атак, заснованих на алгоритмі Шора, який загрожує підписам на основі еліптичних кривих, алгоритм Гровера все ще може забезпечити квадратичне прискорення для квантових нападників. “У тій мірі, в якій вважається, що квантова загроза є реальною, залишається необхідним продовжувати поточні зусилля з дослідження та впровадження найкращого можливого рішення для Bitcoin — такого, що буде максимально ефективним, зручним для користувачів і відповідатиме потребам Bitcoin через зміни на рівні протоколу”, — написав Леві.

Стаття Леві приєднується до кількох пропозицій, які з’явилися та описують, як Bitcoin може перейти до квантово-стійкої криптографії, зокрема BIP-360, який запроваджує формат адреси Pay-to-Merkle-Root, розроблений для підтримки квантово-стійких підписів. Хоча квантова загроза для Bitcoin залишається теоретичною, компанії, зокрема Google і Cloudflare, вже готуються до неї, встановлюючи дедлайн 2029 року, щоб перевести свої системи на постквантову.