Zgodnie z Wikipedią łańcuchy bloków są sposobem na utrzymanie „stale rosnącej listy rekordów, zwanych blokami, które są połączone i zabezpieczone za pomocą kryptografii [...] i z natury odporne na modyfikację danych”.

Łańcuchy bloków są obecnie w praktycznym użyciu, na przykład w bitcoinach kryptowalut . Te implementacje muszą wykorzystywać pewne szczególne podejście do kryptografii, które będzie obejmować założenia mające na celu zagwarantowanie ich bezpieczeństwa.

Czy obecne implementacje blockchain są odporne na ataki z wykorzystaniem obliczeń kwantowych?

Czy obecne implementacje blockchain są odporne na ataki z wykorzystaniem obliczeń kwantowych?

Szybkie odpowiedzi:

1. Odporny na technologię krótkoterminową? Pewnie.

2. Niezawodne i bezpieczne w dłuższej perspektywie? Prawdopodobnie nie.

3. Czy będzie to stanowić poważny problem? Bardzo prawdopodobne, że nie.

4. Czy to ryzyko jest unikalne dla blockchainów? Nie.

Ponieważ nawet jeśli komputery kwantowe stałyby się poważnym zagrożeniem dla bieżących implementacji, społeczność mogłaby po prostu zdecydować się na ciężkie przejście do kryptografii post kwantowej .

Nie wspominając już o tym, że programiści i badacze technologii blockchain nie muszą się martwić pracą nad tym problemem, choć wyobrażam sobie, że przeciętny użytkownik nie musi przejmować się tym szczególnym zagrożeniem.

Warto również zauważyć, że inne instytucje finansowe, w tym banki, byłyby narażone na podobne ryzyko w jakimś dziwnym hipotetycznym świecie, w którym ludzie w niewytłumaczalny sposób opowiedzieli się przeciwko modernizacji swojego krypto. Na przykład hakerzy mogą wykorzystać komputery kwantowe do złamania certyfikatu TLS / SSL instytucji finansowej , umożliwiając im atak typu man-in-the-middle (losowy artykuł z 2015 r .).

Długa odpowiedź

Oto artykuł z 2017 roku, który przewiduje, że Bitcoin może potencjalnie stać się podatny na zagrożenia do 2027 r., Przy użyciu hojnych założeń:

Kluczowe protokoły kryptograficzne stosowane do zabezpieczenia Internetu i dzisiejszych transakcji finansowych są podatne na ataki poprzez opracowanie wystarczająco dużego komputera kwantowego. Szczególnym zagrożonym obszarem są kryptowaluty, rynek warty obecnie ponad 150 miliardów USD. Badamy ryzyko bitcoinów i innych kryptowalut dla ataków ze strony komputerów kwantowych. Okazuje się, że dowód pracy zastosowany przez Bitcoin jest stosunkowo odporny na znaczne przyspieszenie przez komputery kwantowe w ciągu najbliższych 10 lat, głównie dlatego, że wyspecjalizowani górnicy ASIC są niezwykle szybcy w porównaniu do szacowanej prędkości zegara w krótkoterminowych komputerach kwantowych. Z drugiej strony schemat podpisu krzywej eliptycznej stosowany przez Bitcoin jest znacznie bardziej zagrożony i może zostać całkowicie złamany przez komputer kwantowy już w 2027 r., Przy najbardziej optymistycznych szacunkach. Analizujemy alternatywny dowód pracy o nazwie Momentum, oparty na wyszukiwaniu kolizji w funkcji skrótu, który jest jeszcze bardziej odporny na przyspieszenie przez komputer kwantowy. Sprawdzamy również dostępne schematy sygnatur post kwantowych, aby sprawdzić, który najlepiej spełni wymagania bezpieczeństwa i wydajności aplikacji blockchain.

- „Kwantowe ataki na bitcoiny i jak się przed nimi chronić” (28.10.2017)

To powiedziawszy, nie jestem zbyt pewien, jak istotne może być to w praktyce, ponieważ wydaje się, że sytuacja zmieni się przed tym punktem. Nawet jeśli Bitcoin wciąż będzie w pobliżu i będzie silny, zanim zostanie zaatakowany, mogą zostać zastosowane różne techniki ograniczania ryzyka.

Artykuł „Słabość” na wiki Bitcoina nawet nie wspomina o kwantowych rzeczach, chociaż ich artykuł o „Mitach” :

Komputery kwantowe złamałyby bezpieczeństwo Bitcoina

---

Podczas gdy ECDSA rzeczywiście nie jest bezpieczne w obliczeniach kwantowych, komputery kwantowe jeszcze nie istnieją i prawdopodobnie nie będą istnieć przez jakiś czas. Często opisywany w prasie system DWAVE, nawet jeśli wszystkie ich twierdzenia są prawdziwe, nie jest komputerem kwantowym, który mógłby zostać wykorzystany do kryptografii. Bezpieczeństwo bitcoinów, gdy jest właściwie stosowane z nowym adresem przy każdej transakcji, zależy nie tylko od ECDSA: Hasła kryptograficzne są znacznie silniejsze niż ECDSA w QC.

Bezpieczeństwo Bitcoin zostało zaprojektowane w taki sposób, aby zostało zaktualizowane w sposób zgodny z technologią forward i może zostać zaktualizowane, jeśli zostanie to uznane za bezpośrednie zagrożenie (por. Aggarwal i in. 2017, „ Kwantowe ataki na Bitcoin i sposoby ochrony przed nimi ”).

Zobacz wpływ komputerów kwantowych na kryptografię klucza publicznego.

Ryzyko komputerów kwantowych jest tam dla instytucji finansowych, takich jak banki, ponieważ w dużym stopniu opiera się na kryptografii podczas wykonywania transakcji.

- „Mity” , bitcoinwiki

Odnośnie do wspomnianego wyżej uaktualnienia, to fakt, że chociaż Bitcoin i inne łańcuchy bloków zwykle wymagają standardowych algorytmów, które mogą być przewidywalnie zaatakowane przez komputery kwantowe, zanim będzie to problem, mogą po prostu zrobić twardy widelec , który jest w zasadzie aktualizacją, która wszyscy w sieci migrują do, umożliwiając takie rzeczy jak zmiany algorytmów.

Co to jest „twardy widelec”
Twardy widelec (lub czasem hardfork), ponieważ odnosi się do technologii blockchain, jest radykalną zmianą protokołu, która powoduje, że wcześniej nieprawidłowe bloki / transakcje są ważne (lub odwrotnie). Wymaga to aktualizacji wszystkich węzłów lub użytkowników do najnowszej wersji oprogramowania protokołu. Innymi słowy, twardy widelec jest stałą rozbieżnością z poprzednią wersją blockchain, a węzły z poprzednimi wersjami nie będą dłużej akceptowane przez najnowszą wersję. To zasadniczo tworzy rozwidlenie w łańcuchu bloków: jedna ścieżka podąża za nowym, ulepszonym łańcuchem bloków, a druga ścieżka biegnie wzdłuż starej ścieżki. Ogólnie rzecz biorąc, po krótkim czasie osoby ze starego łańcucha zdają sobie sprawę, że ich wersja blockchain jest przestarzała lub nieistotna i szybko aktualizują się do najnowszej wersji.

- „Hard Fork” , Investopedia

Oczywiście pchnięcie twardego widelca wymaga, aby większość społeczności go zaakceptowała, ale ponieważ prawie wszyscy członkowie sieci kryptowalut nie chcieliby zostać zhakowani / oszukani / itp., Twardy widelec został przesunięty, aby uniknąć przewidywalnego ryzyka atak komputerów kwantowych prawie na pewno byłby niekontrowersyjny.

Oprócz bezpieczeństwa podpisów cyfrowych używanych w kryptowalutach, które, jak wspomniano, są podatne na atak komputerem kwantowym zdolnym do wykonania algorytmu Shora, kryptowaluty wykorzystują inne prymitywy kryptograficzne w „dowodzie pracy”. Lub Sattath opisuje słabość obecnie wdrożonego dowodu pracy Bitcoin. Sattath proponuje łatwe do wdrożenia przeciwdziałanie tej usterce bezpieczeństwa, ale obecna implementacja Bitcoin ma słabość Sattatha.

Bardziej szczegółowo, kryptowaluta z blockchainem wykorzystująca konsensus w stylu Nakamoto wymaga od górników, którzy wykonują próbę pracy, w celu ustalenia księgi konsensusu. W Bitcoin dowód pracy wymaga znalezienia częściowego obrazu konkretnej funkcji skrótu - to znaczy, na wysokości , górnik generuje jej korzeń reprezentujący księgę, i znalezienie nonce takiej, że kryptograficzny skrót dla celu .i R i c H ( B n - 1 ‖ c ‖ R i ) = B n ≤ $n$$i$$R_i$$c$$H(B_{n-1}\Vert c\Vert R_i)=B_n\le d$$d$

Jak zauważono, taki dowód pracy jest osłabiony przez komputer kwantowy zdolny do wykonania algorytmu Grovera - przez uruchomienie amplitudy amplitudy dla wszystkich stanów, które mają skrót mniejszy od celu, można osiągnąć kwadratowe przyspieszenie, a nonce łatwiej znaleźć. Naiwny sposób do poprawy bezpieczeństwa, a następnie, aby zmniejszyć docelową wielomianowo - czyli zrobić trudność być kwadratowo trudniejsze.$c$$d$

Ponadto kluczowym wymogiem takich dowodów pracy jest to, że są one wolne od postępu , co oznacza, że ​​po tym, jak górnik poświęci minut na pracę nad znalezieniem nonce , nie będzie bliżej znalezienia zwycięskiego bloku, niż gdyby spędziłem minut. Mamy nadzieję, że wyścig nie przebiegnie najszybciej, ale do tych z największą mocą mieszania. Prowadzi to do braku korelacji między czasem, w którym oddzielni górnicy znajdują blok.c t + $t$$c$$t+1$

Jednak Algorytm Grovera jest słynne nie postęp wolne. Oznacza to, że każda iteracja algorytmu Grovera poprawia kwadratowo szansę górnika na znalezienie bloku. Lub Sattath zauważył, że prawdopodobnie doprowadzi to górników do zaprzestania pracy natychmiast po otrzymaniu zaminowanego bloku i, miejmy nadzieję, wygrania rozwidlenia.

Sattath stwierdza:

Załóżmy, że Alice poświęciła minuty na zastosowanie algorytmu Grovera, a teraz otrzymuje nowy blok, wydobyty przez Boba. Mogła odrzucić swoje obliczenia i rozpocząć wydobywanie na szczycie bloku Boba, ale to oznacza marnowanie minut zasobów obliczeniowych. Zamiast tego mogła natychmiast zatrzymać algorytm Grovera i zmierzyć jej stan kwantowy. Jeśli ma szczęście, a jej blok jest ważny, a także propaguje swój blok do większości innych górników, zanim zrobi to Bob, ci inni górnicy będą kopali na szczycie jej bloku, a ona, a nie Bob, dostanie nagrodę za blok.$2$$2$

Sattath przypuszcza, że ​​jeśli wystarczająca liczba górników będzie zdolna do Grovera, wówczas wszyscy górnicy będą zmotywowani do pomiaru swojego bloku, ilekroć ktoś ogłosi nonce. Prowadzi to do rozwidleń, które niszczą bezpieczeństwo blockchaina.

Wspomniany artykuł w Wikipedii mówi: „Metody bezpieczeństwa Blockchain obejmują wykorzystanie kryptografii z kluczem publicznym”. Najpopularniejszymi metodami kryptografii z kluczem łonowym są RSA i niektóre metody krzywej eliptycznej. Komputery kwantowe stanowią zagrożenie zarówno dla metody RSA, jak i krzywej eliptycznej, ponieważ polegają na tym, że trudno jest uwzględnić dużą liczbę lub obliczyć trudne dyskretne logarytmy, a Peter Shor wykazał w 1994 r., Że komputer kwantowy może wykonać oba te zadania przy wykładniczo mniejszej liczbie operacji arytmetycznych niż klasyczny komputer.

Jeśli uda się zbudować wystarczająco duży komputer kwantowy, większość, jeśli nie wszystkie implementacje blockchain, będą zagrożone z powodu polegania na implementacjach kryptografii klucza publicznego, które nie są bezpieczne przed obliczeniami kwantowymi.