Квантовая угроза для Биткоина: дилемма между принципами и устойчивостью

Суть проблемы

Биткоин традиционно воспринимается как один из самых надежных способов хранения капитала. При условии использования холодных кошельков и соблюдения базовых правил кибербезопасности вероятность потери средств близка к нулю. Однако, похоже, появление квантовых вычислений ставит эту уверенность под сомнение. Все больше криптоэнтузиастов бьют тревогу: в частности, на перспективы гипотетической угрозы обращает внимание аудиторская компания Deloitte.

Лежащая в основе Биткоина криптография обеспечивает безопасность транзакций и невозможность подделки подписей. Классические компьютеры ей не угрожают, а вот квантовые в перспективе вполне могут. Если такие компьютеры достигнут достаточной вычислительной мощности, они смогут восстанавливать закрытые ключи по открытым и, следовательно, средства пользователей окажутся под угрозой.

Проблема усложняется тем, что квантовая угроза неравномерно распространяется на экосистему Биткоина: адреса разных типов имеют разную степень устойчивости к взлому со стороны квантового компьютера. В зоне наибольшего риска находятся ранние адреса — в том числе те, которые до сих пор хранят легендарные монеты создателя первой криптовалюты Сатоши Накамото.

Масштаб проблемы

По данным аудиторской компании Deloitte, под угрозой находятся более 4 млн BTC, то есть, существенная часть всего предложения. Наиболее уязвимы следующие типы адресов:

• P2PK (Pay-to-Public-Key) — первые адреса, использовавшиеся в 2009–2010 годах. Ключ хранится открыто, поэтому именно такие адреса наиболее опасны в случае возникновения квантовых атак. Считается, что именно этот тип адресов использовал Сатоши.

• P2PKH (Pay-to-Public-Key-Hash) — более современная схема, где открытый ключ скрыт за хешем. Тем не менее, уязвимость возникает в момент траты: как только владелец совершает транзакцию, ключ становится видимым. Поэтому P2PKH, совершившие исходящую транзакцию, тоже находятся в зоне риска.

При этом более современные адреса (SegWit, Taproot) защищены лучше, но тоже не являются абсолютно квантово-устойчивыми.

Источник: deloitte.com

Биткоин против традиционных финансов

Стоит обратить внимание, что, во-первых, проблема все еще носит скорее гипотетический характер, а во-вторых, пока Биткоин готовится к квантовой угрозе, традиционные финансы остаются на старых алгоритмах. Так что криптовалюты, вопреки ожиданиям скептиков, могут встретить квантовую эру более подготовленными, чем мировая банковская система.

Иногда можно услышать мнение: если квантовые компьютеры действительно станут угрозой, криптовалюты рухнут первыми. Но эта логика не совсем верна. На самом деле традиционные финансовые системы еще более уязвимы. Большинство банков, платежных систем и государственных инфраструктур также используют криптографические алгоритмы. Проблема в том, что их обновление требует масштабных и медленных реформ: согласования стандартов, внедрения в тысячи социальных институтов, апгрейда миллионов устройств.

В случае с Биткоином все сообщество может согласовать обновление протокола и миграцию сравнительно быстро (пусть и с рядом компромиссов, речь о которых пойдет ниже), тогда как в традиционной финансовой системе переход на квантово-устойчивую криптографию может быть значительно сложнее.

Иными словами, в криптовалютном мире угроза признана и уже обсуждается, тогда как традиционные институты могут встретить квантовую угрозу значительно менее подготовленными. И тем не менее, решения, которые на данный момент рассматривает криптосообщество, далеко не беспроблемны.

Хардфорк

Сценарий активной защиты предполагает перевод монет на квантово-устойчивые адреса. Уже сейчас активно разрабатываются, и где-то даже внедряются криптографические алгоритмы «постквантового» уровня.

Некоторые исследователи предлагают жесткие меры — например, хардфорк с дедлайном, после которого монеты тех, кто не присоединиться к квантово-устойчивому обновлению, будут изъяты из оборота. Это исключит квантовую угрозу, но вызовет огромные споры, поскольку базовые принципы Биткоина окажутся нарушены. По сути, само право собственности на биткоины будет поставлено под вопрос, не говоря уже о том, что подобное решение создаст опасный прецедент изменения «правил игры», который в дальнейшем может быть использован по другим недобросовестным поводам.

В защиту хардфорка как решения порой приводят один из старых постов Сатоши Накамото на форуме BitcoinTalk от 14 июня 2010 года. Он писал:

«Если SHA-256 будет полностью сломан, я думаю, мы сможем договориться о том, какая цепочка является честной на момент начала проблем, зафиксировать ее и продолжить с новым алгоритмом хеширования».

Если же угроза будет развиваться постепенно, Сатоши предлагал переходить более мягко:

«Программное обеспечение можно переписать так, чтобы оно начало использовать новый хеш после определенного блока. Всем придется обновиться к этому моменту. ПО могло бы сохранять новый хеш всех старых блоков, чтобы гарантировать, что старый блок с тем же хешем не сможет быть использован».

Таким образом, еще в 2010 году сам создатель Биткоина признавал возможность перехода на новые алгоритмы, если угроза криптографии Биткоина станет реальной. Тем не менее, подобное решение в любом случае сопряжено с риском утраты монет тех пользователей, кто по каким-то причинам не присоединится к новым «правилам игры».

Более того, вполне вероятно, что Сатоши имел в виду экстремальную ситуацию, в которой сеть находятся на грани полного коллапса. История с квантовыми компьютерами отличается от этого сценария. Известно, что разные адреса по-разному уязвимы перед квантовым компьютером, а потому лишь часть биткоинов в зоне риска.

Альтернативное решение

Поэтому существует альтернативный подход — невмешательство. Основной мотив в том, что это, в отличие от хардфорка, не скомпрометирует базовые ценности, заложенные в основу Биткоина. Согласно этой позиции, меньшим из зол будет позволить хакерам взломать уязвимые адреса, чем изменить «правила игры».

К примеру, глава Tether Паоло Ардоино (Paolo Ardoino) уверен, что активные пользователи смогут сами защитить свои средства, переместив их вовремя. А утраченные монеты вернутся в оборот — пусть и через руки хакеров.

Причем не обязательно, что это произойдет из-за злоумышленникрв. Некоторые полагают, что можно использовать квантовые технологии не только как угрозу, но и как инструмент для условно «белых» хакеров по поиску и восстановлению утерянных биткоинов. Идея, изначально предложенная инвестором Брэдом Миллсом (Brad Mills), предполагает запуск инициативного сообщества, где пользователи могли бы жертвовать небольшие суммы в обмен на будущие доли от восстановленных средств. При этом значительная часть найденных биткоинов направлялась бы на поддержку разработки и инфраструктуры самого Биткоина.

Разумеется, подобная «охота за сокровищами» потребует прозрачного управления и строгих этических правил, чтобы не превратиться в узаконенное «ограбление». Более того, если в результате деятельности «белых» хакеров старые монеты получат новых владельцев — это в любом случае будет не самой добросовестной практикой по отношению к прежним хозяевам этих биткоинов.

Поэтому, сам факт обсуждения подобной перспективы показывает, насколько квантовые вычисления меняют дискуссию в криптосообществе не в лучшую сторону: они становятся не только угрозой, но и поводом для спекуляций по поводу самых разных мер, многие из которых в той или иной степени сопряжены с отъемом чужих монет.

В любом случае, путь невмешательства также чреват серьезными последствиями. Достаточно представить, как миллионы BTC, десятилетиями считавшиеся «потерянными», начнут возвращаться в обращение. Если до этого эти монеты создавали дополнительный дефляционный эффект, сокращая предложение BTC, то с возвращением их в оборот они окажут прямо противоположное воздействие. Это может вызвать ценовой шок, изменить структуру предложения и подорвать доверие к цифровому золоту.

Подспудные риски

Даже если сообщество массово начнет переходить на постквантовые алгоритмы, возникнет проблема, связанная с масштабом подобного процесса. Обезопасить придется огромное количество адресов. Каждая такая операция — это транзакция, а блокчейн Биткоина ограничен по пропускной способности.

Поэтому, если все активные пользователи начнут массово переводить средства, нагрузка на сеть может достигнуть беспрецедентных масштабов. При этом комиссии за транзакции резко вырастут, а конкуренция за место в блоках станет ожесточенной.

К тому же сама перспектива квантовых атак способна вызвать раскол в сообществе: криптоэнтузиасты будут отстаивать исходные принципы, институционалы — беспокоиться за сохранность капиталов, а государства могут попытаться усилить свой контроль под предлогом защиты сети. В ситуации, когда у разных агентов столь разные интересы, говорить о консенсусе перед лицом квантовой угрозы, скорее всего, не придется.

Мнение Адама Бэка

Интересную точку зрения озвучивает известный шифропанк, соучредитель и генеральный директор компании Blockstream Адам Бэк (Adam Back). Он также известен как разработчик системы HashCash — в прошлом именно разработки в этой системе, а точнее их интерпретация, позволила Сатоши Накамото реализовать алгоритм консенсуса PoW в виде майнинга с решением проблемы двойной траты в системе Биткоина. Ссылки на работы Адама Бэка содержатся в Белой книге Биткоина.

Соучредитель Blockstream полагает, что дальнейшее развитие постквантовых вычислений приведет к возникновению компактных и хорошо изученных подписей, что скорее укрепит сеть Биткоина в долгосрочной перспективе.

Вывод

Квантовая угроза, хотя все еще и является гипотетической, но уже ставит сообщество Биткоина перед тяжелым выбором: с одной стороны — активные меры, вплоть до хардфорка, которые могут подорвать идеологию децентрализации и устойчивости «правил игры», а с другой — невмешательство, грозящее рыночной стабильности и возможным «воскрешением» миллионов монет путем не самой добросовестной перемены собственников.