Хотите украсть пару биткоинов? Все, что вам нужно сделать, — это вычислить закрытый ключ к 16-значному открытому ключу вашей жертвы, решив так называемую «проблему дискретного логарифма эллиптической кривой». При использовании обычного компьютера это займет у вас около 0,65 миллиардов миллиардов лет.
Но если где-то существует квантовый компьютер, способный обрабатывать информацию со скоростью, экспоненциально превышающей скорость современных суперкомпьютеров? Внезапно то, что кажется невыполнимым, становится задачей, которую можно решить менее чем за 10 минут.
Проблема квантовых вычислений не является чем-то новым для криптографии, и многие эксперты считают, что у нас ещё есть около десяти лет на разработку квантовоустойчивой криптографии. Однако некоторые криптографы говорят, что недавний (и неожиданно быстрый) прогресс в квантовых вычислениях ведет к резкому сокращению этого безопасного периода и уже к 2027 году биткоин может быть взломан.
«За последние два года мы продвинулись дальше, чем за последние 15 или 20 лет», — сказал в комментарии для Decrypt Стюарт Аллен, директор компании IonQ, которая заявляет, что производит одни из самых мощных квантовых компьютеров в мире.
В четверг, 22 августа, лучшие криптографы встретятся в Санта-Барбаре в Университете Калифорнии в полуфинале конкурса по постквантовой криптографии Национального института стандартов и технологий (NIST). Финалисты конкурса NIST будут объявлены через несколько месяцев и могут пройти годы, прежде чем будет определен победитель. Криптографы утверждают, что разработанные на конкурсе стандарты могут предоставить блокчейнам лучшую защиту против быстрорастущей силы квантовых компьютеров.
«Если кто-то взломает ваш ключ, он сможет сделать все, что захочет», — заявил Decrypt Роб Кэмпбелл из компании по кибербезопасности Med Cybersecurity. Он говорит, что любой, кто хранит конфиденциальную информацию в блокчейне, подвергается риску. «Квантовые хакеры» могут подделать ваше имя и забрать ваши деньги, а если в блокчейне хранятся медицинские данные, то злонамеренно «утроить вашу дозу лекарств».
Квантовый мир
Транзисторы в обычных компьютерах собирают данные в единицах 1 и 0. Небо сегодня голубое? Если да, 1. Если нет, 0. Вычисления - это, по сути, комбинации нулей и единиц: имея достаточное количество транзисторов, вы можете вычислить практически все.
С квантовыми компьютерами один и тот же вход, называемый кубитом, может одновременно представлять и 0, и 1 - это состояние, известное как «квантовая суперпозиция». Оно делает квантовые компьютеры значительно более мощными по сравнению с обычными компьютерами. Используя модифицированные версии квантового алгоритма Шора, хакеры могут обратить вспять процесс, из-за которого закрытые ключи так трудно взломать.
Но на данный момент лучшим квантовым компьютером является, пожалуй, 72-кубитный Bristlecone от Google. Мируна Роска, аспирант постквантовой криптографии, предполагает, что нужно около 4000 кубитов, чтобы взломать современные криптографические алгоритмы.
Так сколько времени у нас есть?
Аллан из компании IonQ полагает, что постквантовой криптографии понадобится около десяти лет, чтобы стать реальной силой. К тому времени, считает он, кто-то, вероятно, разработает квантовоустойчивый блокчейн. Дэнни Райан, ведущий исследователь в Ethereum Foundation, думает так же: «Это не очень существенная проблема в ближайшие 10 лет, и, вероятно, не в 20-30 лет. При этом мы допускаем самый худший сценарий в подобных вопросах, поэтому должны быть готовы к этому заранее».
Но другие говорят, что проблема требует немедленного решения, и что - помимо угрозы для биткоина — квантовые вычисления могут представлять серьезную угрозу кибербезопасности в целом. Роб Кэмпбелл из Med Cybersecurity говорит, что правительство, вооруженное программным обеспечением для квантового дешифрования, может «узнать все секреты мира».
Кэмпбелл, прошедший специальную подготовку офицера связи ВМС США в отделе исследований и разработок, как никто другой знает, что секретные технологии правительства часто опережают относительно доступные коммерческие разработки. «Мы были на десятилетия впереди», — говорит он. «Мы не хотели, чтобы потенциальные противники знали о наших возможностях».
Даже если утверждения Кэмпбелла кажутся преувеличенными, он верно указывает на то, что разработка квантовоустойчивых криптографических алгоритмов должна стать вопросом национальной безопасности уже сегодня, поскольку гонка вооружений за квантовое превосходство идет полным ходом: Китай уже потратил $10 млрд. на исследовательский центр по квантовым компьютерам; США также инвестируют сотни миллионов долларов в эту область.
Квантовоустойчивость
Квантовые вычисления могут быть столь же эффективными для криптографов, как и для хакеров. Ненаблюдаемые суперпозиционные частицы существуют в нескольких состояниях, но при обнаружении они «коллапсируют» до одной точки в пространстве-времени. Квантовая криптография обладает такими же свойствами, поскольку протоны, составляющие зашифрованную транзакцию, смещаются при наблюдении; успешный злоумышленник должен нарушить законы физики, чтобы перехватить её.
Это делает информацию, зашифрованную на квантовом уровне, устойчивой, среди прочего, к так называемым атакам «человека посередине», когда злоумышленники перехватывают саму передачу данных без необходимости расшифровывать ключ.
Несколько блокчейн-проектов утверждают, что применяют квантовустойчивые методы для обеспечения шифрования подписей и хэшей — это QRL, IOTA, HyperCash и Starkware. Но с квантовыми вычислениями, которые ещё находятся в стадии становления, сложно определить обоснованность этих заявлений.
До тех пор, пока квантовоустойчивые алгоритмы не будут протестированы и приняты широким академическим сообществом, нет уверенности в том, что какой-либо из этих блокчейнов будет достаточно устойчивым к квантовым компьютерам. Кэмпбелл и другие ученые будут ждать результатов конкурса NIST, однако, как уже говорилось выше, окончательные победители могут быть объявлены через нескольких лет. Сам NIST ожидает, что оценка проектов будет завершена к 2022 году.
«Победители, вероятно, станут стандартной криптографией и будут использоваться большей частью планеты», — говорит Кэмпбелл.
Тем не менее, принятие разработанного алгоритма может стать трудной задачей для больших блокчейнов, таких как биткоин или эфириум. В то время как владельцы централизованных протоколов могут обновлять систему по своему усмотрению, блокчейны, демократические по своей природе, требуют широкого согласия для реализации обновления.
В случае обновления все кошельки, которые не являются квантовоустойчивыми, становятся уязвимыми для атак. На таких потенциально уязвимых кошельках сегодня находится, к примеру, около 1 миллиона биткоинов, добытых создателем биткоина Сатоши Накамото — если их не перенести на новый квантовоустойчивый кошелек, они могут стать добычей первого человека с достаточно мощным квантовым компьютером.
«Если завтра появятся мощные квантовые компьютеры, — говорит Райан из Ethereum Foundation, — у нас будет гораздо больше проблем, чем просто безопасность блокчейнов».
В докладе Национальной академии наук США 2019 года делается вывод о том, что, даже если реального применения квантовых вычислений ждать около десяти лет, нужно уже сегодня проводить необходимые исследования для минимизации «потенциальной катастрофы в области безопасности и конфиденциальности».