Kvantový útok na Bitcoin by mohl ukrást mince Satoshiho Nakamota a Paradigm má řešení

Generální partner Paradigm Dan Robinson má zveřejněn návrh systému s názvem Provable Address-Control Timestamps neboli PACTs, který by umožňoval Bitcoin Držitelé dnes soukromě prokazují vlastnictví svých peněženek a tento důkaz používají k pozdějšímu získání finančních prostředků zpět, pokud síť někdy zmrazí kvantově zranitelné adresy. Návrh je navržen tak, aby chránil spící peněženky, včetně těch, o kterých se předpokládá, že patří Satoshimu Nakamotovi, aniž by nyní vyžadoval jakékoli veřejné kroky na blockchainu.

Systém funguje ve dvou krocích: soukromý závazek učiněný dnes s využitím stávajících Bitcoin nástroje a kvantově odolný důkaz předložený později, pokud by soft fork někdy zmrazil starší typy adres. Ne Bitcoin K vytvoření závazku je nutná transakce a proces veřejně neodhaluje nic o držiteli, jeho adrese ani zůstatku.

Co je kvantová hrozba? Bitcoin?

Bitcoin Adresy s odhalenými veřejnými klíči jsou zranitelné vůči budoucí třídě počítačů známých jako kryptograficky relevantní kvantové počítače neboli CRQC. Dostatečně výkonný CRQC by mohl odvodit soukromý klíč ze známého veřejného klíče, což by útočníkovi umožnilo ukrást finanční prostředky z jakékoli adresy, kde byl veřejný klíč odhalen v řetězci.

Společnost Paradigm odhaduje, že jde o stovky miliard dolarů Bitcoin se nachází na adresách s odhalenými veřejnými klíči. Peněženky, o nichž se předpokládá, že patří Satoshimu Nakamotovi, obsahují přibližně 1.1 milionu BTC, v současných cenách v hodnotě více než 75 miliard dolarů. Tyto peněženky předcházejí standardu generování klíčů BIP-32 zavedenému v roce 2012 a podle současných návrhů nemají žádnou záchrannou cestu.

Co navrhoval BIP-361 a proč je to kontroverzní?

Vývojář Jameson Lopp a pět spoluautorů publikovali BIP-361 v polovině dubna navrhl pětiletý harmonogram pro postupné vyřazování kvantově zranitelných adres. Veškeré mince, které nebudou do stanoveného termínu migrovány do kvantově bezpečných formátů, budou trvale zmrazeny.

Návrh vytváří vážný problém pro dlouhodobě neaktivní držitele. Přesun mincí je veřejná akce na chainu. Odhaluje, že peněženka je stále aktivní, odhaluje časové vzorce, propojení mezi peněženkami a potenciálně IP adresy. Konkrétně pro Satoshiho Nakamota by přesun mincí potvrdil, že pseudonymní tvůrce je naživu a stále vlastní své klíče. Toto je odhalení, které mnoho lidí... Bitcoin komunita považuje vynucování za nepřijatelné.

BIP-361 obsahuje záchrannou cestu pro peněženky odvozené prostřednictvím BIP-32, která využívá důkazy o znalosti rodičovského klíče s nulovou znalostí. Peněženky starší než rok 2012, včetně většiny známých Satoshiho adres, však BIP-32 nepoužívají a nelze je touto cestou zachránit.

Jak fungují dohody PACT?

PACTy nabízejí třetí cestu. Protokol má dvě odlišné fáze.

Krok jedna: Závazek

Držitel vygeneruje 256bitovou tajnou sůl, náhodný kus soukromých dat, díky kterému je závazek jedinečný a neuhádnutelný. Poté použije BIP-322, standard pro podepisování zpráv od Bitcoin adresu bez vysílání transakce, aby se vytvořil důkaz o kontrole nad zranitelnou adresou.

Sůl a důkaz BIP-322 jsou sloučeny do jednoho hashe závazku. Tento hash je poté opatřen časovým razítkem pomocí OpenTimestamps, bezplatné open-source služby, která dávkově ukládá data do Merkleova stromu a vkládá kořen do... Bitcoin OPVýstup _RETURN. Držitel ukládá soubor sůl, důkaz a časové razítko soukromě. Nic se nevysílá. Nic se neodhaluje. Proces nic nestojí.

Objevte slibné projekty...

Slibné projekty...

(Inzerát)

Článek pokračuje...

Robinson poznamenal, že je to možné, protože Satoshi navrhl Bitcoin jako distribuovaný server časových razítek v bílé knize z roku 2008 a OpenTimestamps tento design používá k nabízení bezplatného a nedůvěryhodného časového razítka již léta.

Druhý krok: Záchrana

If Bitcoin později aktivuje soft fork, který zmrazí kvantově zranitelné adresy, tato aktualizace by mohla také definovat záchrannou cestu pro držitele PACT. Aby držitel utratil zmrazenou minci, předloží STARK důkaz, typ důkazu s nulovými znalostmi, který je bezpečný proti kvantovým počítačům a demonstruje tři věci:

• Znali platný důkaz soli a kontroly BIP-322.
• Tato kombinace hashů se vztahuje k závazku s časovým razítkem před datem ukončení PACT.
• Záchranný důkaz je vázán na konkrétní transakci, což brání jejímu kopírování nebo opětovnému použití.

Proof-of-Salt a BIP-322 se během uplatnění nikdy neodhalí. Síť pouze potvrzuje, že držitel měl kontrolu před uzávěrkou. Částka, adresa a časové razítko zůstávají soukromé.

Co je STARK a proč je zde důležitý?

STARK je zkratka pro Scalable Transparent Argument of Knowledge (škálovatelný transparentní argument znalostí). Jedná se o typ důkazu s nulovými znalostmi, který umožňuje jedné straně prokázat, že něco ví, aniž by prozradila, co to něco je. Na rozdíl od starších systémů důkazů se STARK nespoléhá na kryptografii eliptických křivek, což znamená, že zůstává bezpečný, i když kvantové počítače dokážou šifrování prolomit. Bitcoin v současné době používá. 

Přidávání ověření STARK do Bitcoin by vyžadovalo soft fork a Robinson uznal, že to představuje pro protokol podstatnou novou infrastrukturu.

Jaká jsou rizika PACTů?

Robinson byl ohledně omezení návrhu přímočarý.

• Bitcoin možná nikdy neimplementuje kvantový západ slunce, což by PACT učinilo zbytečnými
• I když dojde k západu slunce, tato konkrétní záchranná cesta nemusí být součástí dané aktualizace.
• Držitelé by se neměli spoléhat výhradně na PACTy pro ochranu, dokud nebude do protokolu formálně přijat záchranný protokol.
• Návrh se nerozšiřuje čistě na peněženky s více podpisy, složité skripty ani úschovní účty, které všechny vyžadují dodatečnou standardizační práci.
• Držitelé musí chránit své soubory Salt, BIP-322 proof a OpenTimestamps jako artefakty pro obnovu, protože ztráta kteréhokoli z nich ruší možnost záchrany.

Robinson argumentoval, že nízké náklady na vytvoření závazku ospravedlňují jednání, jakmile je dohodnut standardní formát, a to i za daných nejistot.

Jak návrh zapadá do širší kvantové debaty?

Návrh PACTs staví na BIP-361, spíše než aby jej nahrazoval. Zaplňuje specifickou mezeru, kterou BIP-361 ponechává otevřenou: peněženky před BIP-32, u kterých neexistovala žádná záchranná cesta. Robinson citoval dřívější diskuse Jeremyho Rubina o podobných konceptech v Delving. Bitcoin fórum jako předchozí práce ve stejném směru.

Bitcoin Vývojáři a kvantoví výzkumníci reagovali na X rychle po zveřejnění. Diskuse se zaměřila na:

• Časové harmonogramy integrace STARK a co by vyžadoval soft fork s přidáním ověřování důkazů s nulovými znalostmi
• Zda by ochrana soukromí v praxi platila za kontradiktorních podmínek
• Proveditelnost stanovení data ukončení PACT, které předchází jakékoli realistické schopnosti CRQC

Robinson uznal, že návrh je ilustrativní a vyžaduje vstup od kryptografů, Bitcoin vývojáři a širší komunitou, než by to mohlo být považováno za formální návrh.

Závěr: 

Návrh PACTů od společnosti Paradigm dává Bitcoin držitelům bezplatný a soukromý způsob, jak dnes pomocí časového razítka doložit kontrolu nad peněženkou pomocí podpisu BIP-322 a OpenTimestamps. Pokud Bitcoin Pokud kdykoli přijme kvantový sunset prostřednictvím soft forku, držitelé by mohli předložit důkazy STARK k získání zpět zmrazených finančních prostředků, aniž by odhalili svou adresu, zůstatek nebo identitu. Systém vyžaduje přidání ověřovací infrastruktury STARK. Bitcoin a závisí na tom, zda bude v budoucnu zahrnuta záchranná cesta do jakékoli aktualizace před ukončením platnosti. Nevztahuje se to výhradně na peněženky s více podpisy nebo úschovní peněženky a nenese žádnou záruku přijetí. Pro peněženky před BIP-32, včetně těch, které jsou propojeny s odhadovanými 1.1 miliony Satoshi Nakamota BTC, je to v současnosti jediná navrhovaná možnost záchrany.

Zdroje

1. Návrh generálního partnera Paradigm Dana RobinsonaPACTy: Ochrana vašeho Bitcoin Z kvantového západu slunce

2. BIP-361

3. Zpráva od CoinDesku: Nový Bitcoin Kvantový návrh nabízí Satoshimu Nakamotovi způsob, jak prokázat kontrolu bez nutnosti pohybu BTC