تشفير Bitcoin ليس معرضًا للخطر من الحواسيب الكمومية لسبب بسيط: فهو في الواقع غير موجود

على عكس الاعتقاد السائد، لن تقوم الحواسيب الكمومية بـ"كسر" تشفير Bitcoin؛ بل إن أي تهديد واقعي سيركز على استغلال التواقيع الرقمية المرتبطة بمفاتيح عامة مكشوفة.

لا يمكن للحواسيب الكمومية فك تشفير Bitcoin لأنه لا يخزن أي أسرار مشفرة على السلسلة.

يتم فرض الملكية من خلال التواقيع الرقمية والالتزامات المعتمدة على الهاش، وليس من خلال النص المشفر.

الخطر الكمومي الذي يهم هو خطر تزوير التفويض.

إذا تمكن حاسوب كمومي ذو صلة بالتشفير من تشغيل خوارزمية Shor ضد التشفير البيضاوي المنحنى الخاص بـBitcoin، فيمكنه اشتقاق مفتاح خاص من مفتاح عام موجود على السلسلة ثم إنتاج توقيع صالح لإنفاق متنافس.

الكثير من الإطار المفاهيمي لـ"الحوسبة الكمومية تكسر تشفير Bitcoin" هو خطأ في المصطلحات. آدم باك، مطور Bitcoin المخضرم ومخترع Hashcash، لخص الأمر على X:

“نصيحة لمروجي الخوف من الكم. Bitcoin لا يستخدم التشفير. افهم الأساسيات أو سيتم كشف أمرك.”

منشور منفصل أوضح نفس التمييز بشكل أكثر وضوحًا، مشيرًا إلى أن المهاجم الكمومي لن "يفك تشفير" أي شيء، بل سيستخدم خوارزمية Shor لاشتقاق مفتاح خاص من مفتاح عام مكشوف:

“يشير التشفير إلى فعل إخفاء المعلومات بحيث لا يمكن قراءتها إلا لمن لديه مفتاح. Bitcoin لا يفعل ذلك. البلوكشين هو دفتر أستاذ عام؛ يمكن لأي شخص رؤية كل معاملة، وكل مبلغ، وكل عنوان. لا شيء مشفر.”

لماذا كشف المفتاح العام، وليس التشفير، هو عنق الزجاجة الحقيقي لأمان Bitcoin

يتم استخدام أنظمة التوقيع في Bitcoin، مثل ECDSA وSchnorr، لإثبات السيطرة على زوج مفاتيح.

في هذا النموذج، يتم أخذ العملات من خلال إنتاج توقيع سيقبله الشبكة.

لهذا السبب، كشف المفتاح العام هو المحور الأساسي.

ما إذا كان الإخراج مكشوفًا أم لا يعتمد على ما يظهر على السلسلة.

تلتزم العديد من صيغ العناوين بهاش المفتاح العام، لذلك لا يتم كشف المفتاح العام الخام حتى يتم إنفاق المعاملة.

هذا يضيق النافذة الزمنية أمام المهاجم لحساب مفتاح خاص ونشر معاملة متضاربة.

أنواع سكريبت أخرى تكشف المفتاح العام في وقت أبكر، وإعادة استخدام العنوان يمكن أن تحول الكشف لمرة واحدة إلى هدف دائم.

تعريف استعلام "Bitcoin Risq List" مفتوح المصدر من Project Eleven يحدد الكشف على مستوى السكريبت وإعادة الاستخدام.

يرسم خريطة حيث يكون المفتاح العام متاحًا بالفعل لمهاجم محتمل يستخدم Shor.

لماذا يمكن قياس الخطر الكمومي اليوم، حتى لو لم يكن وشيكًا

يغير Taproot نمط الكشف بطريقة تهم فقط إذا ظهرت آلات كبيرة مقاومة للأخطاء.

تتضمن مخرجات Taproot (P2TR) مفتاحًا عامًا معدلًا بطول 32 بايت في برنامج الإخراج، بدلاً من هاش المفتاح العام، كما هو موضح في BIP 341.

تتضمن وثائق استعلام Project Eleven فئة P2TR إلى جانب الدفع إلى المفتاح العام وبعض أشكال التوقيع المتعدد كفئات حيث تكون المفاتيح العامة مرئية في المخرجات.

هذا لا يخلق ثغرة جديدة اليوم.

ومع ذلك، يغير ما يتم كشفه افتراضيًا إذا أصبح استرداد المفتاح ممكنًا.

نظرًا لأن الكشف قابل للقياس، يمكن تتبع المجموعة المعرضة للخطر اليوم دون تحديد جدول زمني كمومي.

تقول Project Eleven إنها تجري فحصًا أسبوعيًا تلقائيًا وتنشر مفهوم "Bitcoin Risq List" يهدف إلى تغطية كل عنوان معرض للخطر الكمومي ورصيده، كما هو مفصل في منشور المنهجية الخاص بها.

يعرض متتبعها العام رقمًا رئيسيًا يبلغ حوالي 6.7 مليون BTC تفي >بمعايير الكشف الخاصة بها.

من الناحية الحسابية، التمييز الرئيسي هو بين الكيوبتات المنطقية والكيوبتات الفيزيائية.

في الورقة البحثية "تقديرات الموارد الكمومية لحساب اللوغاريتمات المنفصلة للمنحنى البيضاوي"، يقدم Roetteler والمؤلفون حدًا أعلى يبلغ 9n + 2⌈log2(n)⌉ + 10 كيوبت منطقي كحد أقصى لحساب اللوغاريتم المنفصل للمنحنى البيضاوي على حقل أولي n-بت.

بالنسبة لـ n = 256، يعادل ذلك حوالي 2,330 كيوبت منطقي.

تحويل ذلك إلى آلة مصححة للأخطاء يمكنها تشغيل دائرة عميقة بمعدلات فشل منخفضة هو المكان الذي تهيمن فيه تكلفة الكيوبتات الفيزيائية والتوقيت.

خيارات البنية تحدد بعد ذلك نطاقًا واسعًا لأوقات التشغيل

يضع تقدير Litinski لعام 2023 حساب مفتاح خاص لمنحنى بيضاوي 256-بت عند حوالي 50 مليون بوابة Toffoli.

وفقًا لافتراضاته، يمكن لنهج معياري حساب مفتاح واحد في حوالي 10 دقائق باستخدام حوالي 6.9 مليون كيوبت فيزيائي.

في ملخص Schneier on Security للأعمال ذات الصلة، تتجمع التقديرات حول 13 مليون كيوبت فيزيائي للكسر خلال يوم واحد.

تشير نفس السلسلة من التقديرات أيضًا إلى حوالي 317 مليون كيوبت فيزيائي لاستهداف نافذة مدتها ساعة واحدة، حسب افتراضات التوقيت ومعدل الخطأ.

بالنسبة لعمليات Bitcoin، فإن الروافع الأقرب هي السلوكية وعلى مستوى البروتوكول.

إعادة استخدام العنوان تزيد من الكشف، ويمكن لتصميم المحفظة تقليله.

تشير تحليلات محفظة Project Eleven إلى أنه بمجرد أن يكون المفتاح العام على السلسلة، تظل الإيصالات المستقبلية إلى نفس العنوان مكشوفة.

إذا أصبح استرداد المفتاح ممكنًا ضمن فترة كتلة، فإن المهاجم سيسابق الإنفاق من المخرجات المكشوفة، وليس إعادة كتابة تاريخ الإجماع.

غالبًا ما يتم تضمين الهاش في السرد، لكن الرافعة الكمومية هناك هي خوارزمية Grover.

توفر Grover تسريعًا بجذر تربيعي للبحث بالقوة الغاشمة بدلاً من كسر اللوغاريتم المنفصل الذي توفره Shor.

تشدد أبحاث NIST حول التكلفة العملية لهجمات Grover على أن التكاليف العامة وتصحيح الأخطاء تشكل التكلفة على مستوى النظام.

في النموذج المثالي، بالنسبة لصورة SHA-256، يظل الهدف في حدود 2^128 من العمل بعد Grover.

هذا لا يقارن بكسر اللوغاريتم المنفصل لـ ECC.

يبقى ترحيل التوقيع، حيث تكون القيود هي النطاق الترددي والتخزين والرسوم والتنسيق.

غالبًا ما تكون التواقيع بعد الكم بالكيلو بايت بدلاً من عشرات البايتات التي اعتاد عليها المستخدمون.

هذا يغير اقتصاديات وزن المعاملة وتجربة المستخدم في المحفظة.

لماذا الخطر الكمومي هو تحدي ترحيل، وليس تهديدًا فوريًا

خارج Bitcoin، قامت NIST بتوحيد بدائل ما بعد الكم مثل ML-KEM (FIPS 203) كجزء من تخطيط الترحيل الأوسع.

داخل Bitcoin، يقترح BIP 360 نوع إخراج "الدفع إلى هاش مقاوم للكم".

في الوقت نفسه، يجادل qbip.org بضرورة إنهاء التوقيعات القديمة لفرض حوافز الترحيل وتقليل الذيل الطويل للمفاتيح المكشوفة.

تضيف خرائط الطريق المؤسسية الحديثة سياقًا لسبب تأطير الموضوع كبنية تحتية وليس كحالة طوارئ.

في تقرير حديث لـ Reuters، ناقشت IBM التقدم في مكونات تصحيح الأخطاء وأعادت التأكيد على مسار نحو نظام مقاوم للأخطاء بحلول عام 2029 تقريبًا.

غطت Reuters أيضًا ادعاء IBM بأن خوارزمية تصحيح الأخطاء الكمومية الرئيسية يمكن تشغيلها على شرائح AMD التقليدية، في تقرير منفصل.

في هذا الإطار، يفشل مصطلح "الحوسبة الكمومية تكسر تشفير Bitcoin" من حيث المصطلحات والآليات.

العناصر القابلة للقياس هي مقدار مجموعة UTXO التي لديها مفاتيح عامة مكشوفة، وكيف يتغير سلوك المحفظة استجابة لهذا الكشف، ومدى سرعة قدرة الشبكة على اعتماد مسارات إنفاق مقاومة للكم مع الحفاظ على قيود التحقق وسوق الرسوم.

ظهر المنشور Bitcoin encryption isn’t at risk from quantum computers for one simple reason: it doesn’t actually exist لأول مرة على CryptoSlate.