Aspettando il Q-Day. Quale risposta ai computer quantistici stanno preparando gli sviluppatori di Bitcoin?
#Биткоин #квантовые #QuantumBlock
Il 10 dicembre gli esperti di Google Quantum AI hanno presentato un nuovo chip quantistico, Willow. Questo evento ha sollevato ancora una volta preoccupazioni nella comunità crittografica riguardo alla minaccia quantistica per Bitcoin, un argomento che è stato sollevato periodicamente in passato.
Tuttavia, sembra che dopo il rilascio di Google il “quantum FUD” abbia cominciato a essere preso molto più sul serio. Pertanto, il 18 dicembre, alla proposta di upgrade di Bitcoin (BIP) denominata Pay to Quantum Resistente Hash (P2QRH) è stato assegnato un numero (BIP-360).
Insieme al team del mixer Bitcoin Mixer.Money, esaminiamo come gli sviluppatori si stanno preparando per il "Q Day", un possibile momento futuro in cui la prima criptovaluta potrebbe diventare vulnerabile agli attacchi quantistici.
Qual è l’essenza della minaccia quantistica?
Il protocollo Bitcoin utilizza la crittografia a chiave pubblica per completare le transazioni. Quando si crea un nuovo portafoglio, viene generata una coppia di chiavi: aperta e chiusa, collegate matematicamente. La chiave privata deve essere mantenuta segreta, mentre la chiave pubblica è a disposizione di tutti. Questo sistema consente di creare firme digitali utilizzando una chiave privata. Possono essere verificati da chiunque disponga della chiave pubblica corrispondente.
La sicurezza del portachiavi si basa su una funzione unidirezionale: la chiave pubblica può essere facilmente ottenuta dalla chiave privata, ma non viceversa. Tuttavia, nel 1994, il matematico Peter Shor pubblicò un algoritmo quantistico che potrebbe violare questo principio. Qualsiasi organizzazione dotata di un computer quantistico criptoanaliticamente rilevante (CRQC) può utilizzare l'algoritmo per derivare una chiave privata dalla corrispondente chiave pubblica.
A questo proposito, l’autore di BIP-360 con lo pseudonimo di Hunter Beast ha sottolineato che impedire la comparsa di una chiave pubblica nella blockchain è un passo importante verso la garanzia della sicurezza quantistica.
Già nel 2019, lo sviluppatore di Bitcoin Peter Welle aveva suggerito che, a causa della divulgazione della chiave pubblica nella blockchain, circa il 37% delle emissioni potrebbe essere a rischio. Le ragioni di ciò sono la ricezione di criptovaluta direttamente su chiavi pubbliche o il riutilizzo degli indirizzi.
Nelle versioni precedenti del software, le monete potevano essere ottenute in due modi:
Pagamento a chiave pubblica (P2PK). La chiave pubblica stessa funge da indirizzo del destinatario. Le monete estratte dal creatore di Bitcoin Satoshi Nakamoto sono archiviate in tali portafogli e possono essere compromesse da CRQC.
Pay-to-Public-Key-Hash (P2PKH). L'indirizzo del destinatario è costituito da un hash della chiave pubblica, quindi quest'ultima non viene rivelata direttamente sulla catena.
Finché non vengono effettuati trasferimenti dall’indirizzo P2PKH, la sua chiave pubblica non viene visualizzata sulla blockchain. Diventerà noto solo nel momento in cui il proprietario invierà monete da esso.
Dopo il trasferimento, si sconsiglia di utilizzare l'indirizzo per ricevere bitcoin. I portafogli moderni sono configurati per generare un nuovo indirizzo per ogni transazione, sebbene ciò sia stato fatto principalmente per motivi di privacy piuttosto che per stabilità quantistica.
Tuttavia, nel 2024, gli utenti ordinari, così come gli scambi di criptovaluta e i servizi di custodia, archiviano centinaia di migliaia di bitcoin in indirizzi riutilizzabili.
A lungo raggio. La chiave pubblica è nota, il che dà agli aggressori tempo illimitato per violarla;
A corto raggio. Questo attacco deve essere eseguito rapidamente mentre la transazione è nel mempool.
L'ultimo tipo di attacco diventa possibile a causa della divulgazione della chiave pubblica durante la spesa delle monete. La sua implementazione di successo richiede un CRQC forte poiché deve essere effettuato in un breve periodo di tempo. Nelle fasi iniziali dello sviluppo del CRQC sono più probabili gli attacchi a lungo raggio, in cui la chiave pubblica è nota in anticipo.
Tutte le transazioni nel mempool sono vulnerabili agli attacchi a corto raggio, mentre gli attacchi a lungo raggio sono mirati a:
P2PK (monete Satoshi, minatori CPU);
indirizzi riutilizzabili (qualsiasi tipo);
portafogli a chiave pubblica estesi (noti anche come xpub);
Indirizzi taproot (iniziando con bc1p).
La tabella seguente informa gli utenti Bitcoin se le loro monete sono vulnerabili a un attacco a lungo raggio:
In un'intervista con Unchained, Hunter Beast ha spiegato la vulnerabilità degli indirizzi Taproot:
“Sfortunatamente, Taproot contiene una versione breve on-chain della chiave pubblica: la coordinata x di un punto sulla curva ellittica. Questa informazione è sufficiente per recuperare la chiave pubblica completa."
Lo scudo di Satoshi
Le transazioni con chiave pubblica Coinbase (P2PK) arrivano fino al blocco n. 200.000. La maggior parte di esse memorizza 50 BTC.
Hunter Beast chiama queste monete "lo scudo di Satoshi". A suo avviso, qualsiasi indirizzo con un saldo inferiore a 50 BTC può essere considerato economicamente non redditizio per un attacco.
“Per questo motivo, a chi vuole essere preparato per un’emergenza quantistica si consiglia di conservare non più di 50 BTC in un unico indirizzo SegWit nativo non utilizzato (P2WPKH, bc1q). Ciò presuppone che l’aggressore sia motivato da considerazioni finanziarie e non sia, ad esempio, uno Stato che cerca di minare la fiducia in Bitcoin", afferma.
Qubit
BIP-360 potrebbe diventare la prima proposta all'interno di QuBit, un soft fork che garantisce la resistenza della prima criptovaluta agli attacchi quantistici.
“Un qubit è l’unità fondamentale dell’informatica quantistica e la B maiuscola sta per Bitcoin. Anche il nome QuBit fa rima con SegWit”, afferma BIP-360.
La proposta introduce un nuovo tipo di indirizzo che inizia con bc1r. Si propone di implementare P2QRH sopra P2TR, combinando le firme Schnorr classiche con la crittografia post-quantistica.
“Questa crittografia ibrida consente di non ridurre il livello di sicurezza in caso di vulnerabilità in uno degli algoritmi di firma utilizzati. La differenza fondamentale tra P2QRH e P2TR è che P2QRH codifica un hash della chiave pubblica. Si tratta di una deviazione significativa dal modo in cui funziona Taproot, ma è necessaria per evitare di esporre le chiavi pubbliche sulla catena”, afferma l’autore di BIP-360.
P2QRH utilizza l'algoritmo HASH256 per eseguire l'hashing della chiave pubblica. Ciò riduce la dimensione dei nuovi output e migliora la sicurezza poiché la chiave pubblica stessa non è esposta sulla catena.
BIP-360 offre l'implementazione delle firme FALCON. Dopo la loro approvazione, si prevede di aggiungere SQIsign e altri algoritmi post-quantistici: SPHINCS+, CRYSTALS-Dilithium. La specifica SQIsign afferma che questo algoritmo ha la dimensione complessiva più piccola di qualsiasi circuito post-quantistico conosciuto.
FALCON è circa quattro volte più grande di SQIsign e 20 volte più grande delle firme Schnorr.
“FALCON è un approccio più conservativo rispetto a SQIsign. Il suo utilizzo è stato recentemente approvato dal NIST, facilitandone l'implementazione ottenendo il consenso nella comunità scientifica. Tuttavia, anche le firme SQIsign sono circa cinque volte più grandi delle firme Schnorr. Ciò significa che per mantenere l’attuale throughput delle transazioni, sarà probabilmente necessario aumentare lo sconto testimone nel soft fork QuBit. Ciò sarà specificato nel futuro QuBit BIP", si legge nella proposta.
I sistemi crittografici basati su hash sono più conservativi e testati nel tempo. La crittografia reticolare è relativamente nuova e apporta nuovi presupposti di sicurezza a Bitcoin, ma le sue firme sono più piccole e potrebbero essere viste da alcuni come un’alternativa adeguata alle firme basate su hash. L'algoritmo SQIsign è molto più piccolo, ma si basa su una nuova forma di crittografia e non è stato ancora approvato dal NIST o dalla comunità più ampia al momento della pubblicazione.
Secondo BIP-360, l’inclusione di quattro sistemi crittografici è dovuta alla necessità di supportare la crittografia ibrida, in particolare per prelievi di grandi dimensioni come gli exchange cold wallet. Per accettare l'aggiornamento verrà sviluppata una libreria simile a libsecp256k1.
Hunter Beast ammette che dopo l'implementazione di P2QRH, ci sarà bisogno di indirizzi Pay to Quantum Secure (P2QS):
“C’è una differenza tra la crittografia che è semplicemente resistente agli attacchi quantistici e la crittografia che è protetta utilizzando hardware quantistico specializzato. I P2QRH sono resistenti agli attacchi quantistici e i P2QS sono quantistici sicuri. La loro firma richiederà attrezzature quantistiche specializzate, ma utilizzerà chiavi pubbliche che possono essere verificate con mezzi classici. Saranno necessari ulteriori BIP per implementare P2QS.”
L’hardware di crittografia quantistica non è ancora ampiamente disponibile, quindi gli indirizzi resistenti ai quanti potrebbero rappresentare una soluzione provvisoria accettabile.
Transizione quantistica
Nell’ottobre 2024, i ricercatori dell’Università del Kent hanno pubblicato uno studio che calcolava il tempo necessario per trasferire bitcoin a indirizzi resistenti ai quanti.
“Abbiamo calcolato un limite inferiore al tempo totale richiesto per la transizione di cui sopra. Sono 1827,96 ore (o 76,16 giorni). Dimostriamo anche che la transizione deve essere completata prima dell’avvento dei dispositivi quantistici in grado di crackare l’ECDSA per garantire la sicurezza di Bitcoin”, afferma lo studio.
Nella sua presentazione alla conferenza Future of Bitcoin 2024, il CTO Casa Jameson Lopp ha calcolato che ci vorrebbero almeno 20.500 blocchi (o 142 giorni) per migrare tutti gli UTXO.
"Ma probabilmente è molto di più, perché questo è lo scenario più ottimistico in cui la rete Bitcoin viene utilizzata esclusivamente per la migrazione. Tali aspettative sono certamente irrealistiche. Il processo può richiedere anni. Dobbiamo essere conservatori e accettare che ciò potrebbe richiedere molti anni”, afferma Lopp.
Ha concluso che, anche se la minaccia quantistica sembra una prospettiva lontana, è meglio iniziare a parlarne “prima piuttosto che dopo”.
Conclusioni
Nel corso degli anni della sua esistenza, Bitcoin ha dovuto affrontare diversi FUD: l’attacco del 51%, i divieti governativi, la concorrenza delle altcoin e la minaccia dei computer quantistici. Questi problemi vengono regolarmente discussi nella comunità, ma finora la prima criptovaluta ha dimostrato resilienza a varie sfide.
“Dopo l’adozione degli ETF e dei video educativi di BlackRock su Bitcoin, nessuno parla di divieti. I timori sull’attacco del 51% sono sempre stati esagerati e il suo impatto sulla rete è estremamente limitato”, notano i rappresentanti di Mixer.Money.
La minaccia quantistica è di natura più profonda, ma il soft fork QuBit proposto dimostra che gli sviluppatori ne sono ben consapevoli. La tabella di marcia di Ethereum tiene conto anche della stabilità quantistica e la comunità Bitcoin può imparare lezioni utili da questi sviluppi.
“Tuttavia, vale la pena notare che per la transizione quantistica di Ethereum è sufficiente un altro hard fork. In Bitcoin tutto è più complicato: non esistono hard fork e i Bitcoin di Satoshi non possono essere semplicemente congelati: ciò minerebbe i principi fondamentali della prima criptovaluta", secondo Mixer.Money.
Il possibile destino dello “scudo di Satoshi” e di altre monete che non passano a indirizzi resistenti ai quanti rimane poco chiaro. Lo sviluppatore di Bitcoin Luke Dash Jr. ritiene che in futuro questi potrebbero essere considerati l'equivalente del mining.
"Alla fine, il 37% della fornitura estratta dai computer quantistici non è diverso dal 37% estratto dai miner ASIC", ha affermato.