Квантовая безопасность транзакций Bitcoin
Транзакции Bitcoin могут быть защищены от будущих квантовых атак без изменения основного протокола сети, согласно предложению исследователя StarkWare Авиху Мордехая Леви. В своей недавней статье Леви описывает схему транзакций «Quantum-Safe Bitcoin», разработанную для обеспечения безопасности даже в случае, если квантовые компьютеры смогут сломать используемую сегодня эллиптическую кривую криптографию. Метод работает в рамках существующих правил скриптов Bitcoin и не требует мягкого форка или других обновлений сети.
«Мы представляем QSB, схему транзакций Quantum Safe Bitcoin, которая не требует изменений в протоколе Bitcoin и остается безопасной даже в присутствии алгоритма Шора,»
— пишет Леви.
Замена подписи и криптографические решения
Предложение заменяет подписи на основе эллиптической кривой на криптографию, основанную на хэшах, и подписи Лампорт, раннюю схему подписей, считающуюся устойчивой к квантовым атакам.
«Поскольку подписи Лампорт безопасны в постквантовом мире и подписывают криптографически сильный идентификатор транзакции, невозможно изменить транзакцию без создания новой подписи Лампорт, которую злоумышленник не сможет подделать, даже обладая квантовыми вычислительными возможностями,»
— отмечает Леви.
Процесс решения криптографической задачи
В центре дизайна находится криптографическая задача, которую необходимо решить перед тем, как транзакция будет передана в сеть. В статье оценивается, что для нахождения действительного решения потребуется около 70 триллионов попыток. В отличие от майнинга Bitcoin, вычисления происходят до того, как транзакция достигнет сети. Пользователи выполняют работу вне сети и отправляют транзакцию, которая уже включает доказательство того, что задача была решена. Леви оценивает, что задачу можно решить с использованием обычного оборудования, такого как GPU, по стоимости нескольких сотен долларов за транзакцию.
Ограничения и сложности схемы
Схема разработана для работы в рамках ограничений скриптов Bitcoin, состоящих из 201 опкода и 10,000 байт. В статье отмечается, что эти ограничения являются крайне строгими, поскольку каждый опкод учитывается в общем количестве, даже если он появляется в неиспользуемой ветке скрипта. Чтобы вписаться в эти ограничения, система сочетает подписи Лампорт с хэшированными задачами в многоуровневой структуре транзакций. Она также вводит «закрепление транзакций», что требует от любого, кто пытается изменить транзакцию, снова решить задачу. Леви описывает систему как «меру последнего шанса», а не как масштабируемое решение.
Компромиссы в области безопасности
В статье говорится, что как вычислительная стоимость вне сети, так и размер транзакции в сети не будут масштабироваться до целевой пропускной способности Bitcoin или потребностей большинства пользователей. Создание транзакции также более сложно, чем стандартное использование Bitcoin, и может считаться нестандартным в соответствии с текущими политиками ретрансляции, что означает, что они могут столкнуться с проблемами распространения и могут потребовать прямой отправки в майнинговые пулы, а не передачи через публичный мемпул.
Будущее Bitcoin и квантовые угрозы
Предложение также несет в себе компромиссы в области безопасности. Хотя оно избегает атак, основанных на алгоритме Шора, которые угрожают подписям на основе эллиптической кривой, алгоритм Гровера все еще может обеспечить квадратичное ускорение для квантовых атакующих.
«Поскольку угроза квантовых вычислений считается реальной, необходимо продолжать текущие усилия по исследованию и внедрению наилучшего возможного решения для Bitcoin — такого, которое будет максимально эффективным, удобным для пользователей и отвечающим потребностям Bitcoin через изменения на уровне протокола,»
— подчеркивает Леви.
Заключение
Статья Леви присоединяется к нескольким предложениям, которые появились, описывающим, как Bitcoin может перейти на квантово-устойчивую криптографию, включая BIP-360, который вводит формат адреса Pay-to-Merkle-Root, предназначенный для поддержки квантово-безопасных подписей. Хотя угроза квантовых вычислений для Bitcoin остается теоретической, такие компании, как Google и Cloudflare, уже готовятся к ней, устанавливая срок до 2029 года для перехода своих систем на постквантовые.
