¿Cómo puedo proteger mis fondos en caso de que una computadora cuántica rompa el ECDLP en el que se basa Bitcoin?

Recientemente se publicó una pregunta interesante, discutiendo la idea de que las direcciones hash son (no significativamente) resistentes a la cuántica.

Como señala la respuesta de Andrew a esa pregunta, pagar a una dirección codificada no 'prueba cuánticamente' sus monedas, sin embargo, se menciona el uso de una prueba de conocimiento cero de una semilla BIP32 para recuperar monedas de forma segura, contra la amenaza de un computadora cuántica capaz de romper el problema del logaritmo discreto de la curva elíptica (ECDLP).

Si esto es posible, entonces claramente hay ventajas en construcciones más complejas para direcciones (la función de derivación de clave BIP32 es aparentemente más resistente a la cuántica, en este caso).

Entonces, mi pregunta es: ¿qué construcciones de direcciones se sabe que brindan cierto nivel de seguridad de una computadora cuántica que derrota al ECDLP? ¿Cómo se proporciona esta seguridad? ¿Cómo puede un usuario crear direcciones hoy, para permitirse la mejor oportunidad de que su riqueza en Bitcoin sobreviva a una computadora cuántica de alta capacidad?

Tenga en cuenta que esta pregunta está destinada a explorar lo que un usuario puede hacer ahora para mitigar el riesgo de que el "peor de los casos" de ECDLP se rompa repentina e inesperadamente pronto; con tiempo para planificar, obviamente hay formas menos aterradoras de cambiar a un algoritmo de seguridad cuántica.

EDITAR: por el bien de esta pregunta, supongamos que los usuarios acordaron por unanimidad bifurcar la cadena de un determinado bloque que se extrajo antes de que comenzara el ataque de la computadora cuántica, y la bifurcación bloqueará todas las monedas que el control de calidad roba fácilmente ( salidas P2PK, direcciones reutilizadas, etc.). Considere el caso en el que cada bitcoin se almacena en una dirección que permitirá una recuperación segura; de repente, el daño potencial a la red se reduce en gran medida. Incluso si esto es poco probable, creo que es académicamente interesante.

Respuestas (1)

Estamos en lo profundo del territorio especulativo aquí, pero, en teoría, si el algoritmo de la curva elíptica se rompiera, todo el sistema de Bitcoin colapsaría de inmediato.

Consideremos el caso en el que ha protegido con éxito sus propios fondos de alguna manera. ¿Cuántas claves públicas seguirían siendo vulnerables a tal ataque?

A pesar de que su "base" sobrevivió al ataque, todos los demás usuarios que tenían UTXO en direcciones reutilizadas habrían sido bombardeados y Bitcoin se habría derrumbado. Serías el superviviente excepcional. Estaría en todas las noticias, el valor del dólar habría bajado a casi cero, los mineros se detendrían y reducirían las pérdidas, etc.

Entonces, en mi opinión, no hay forma de protegerse individualmente contra la eventual ruptura del problema del logaritmo discreto de la curva elíptica. Incluso si el 90 % de los usuarios de Bitcoin no hubieran gastado UTXO en direcciones seguras no utilizadas, el 10 % que fue pirateado causaría un daño inmenso a Bitcoin en un sentido social.

Dado que Bitcoin obedece la ley de Metcalfe, el valor de la red es el número de usuarios al cuadrado, si suficientes usuarios abandonaran el ecosistema, debido a este tipo de desarrollo en el criptoanálisis, seguramente sería un gran golpe para la comunidad.

Sin mencionar otra posibilidad: una computadora cuántica de este tipo podría intentar forzar cantidades astronómicas de números aleatorios en claves privadas durante todo el día. Eventualmente, se toparían con billeteras valiosas que podrían causar agitación en la comunidad por "haber roto Bitcoin" y sus consecuencias. Entonces, tener una clave pública conocida no sería necesariamente el único vector de ataque. Estoy seguro de que hay otros posibles ataques que utilizan la computación cuántica, quizás incógnitas desconocidas que agregarían un riesgo inmenso al sistema.

Las matemáticas son el guardián de Bitcoin, si de alguna manera se descubre que es vulnerable, en mi opinión, nadie se quedaría en pie.

Estoy de acuerdo con todo lo que escribió, pero esto no proporcionó una respuesta a la pregunta real: ¿cómo puede un usuario crear una dirección, de modo que pueda recuperar monedas de manera segura en un mundo posterior al control de calidad? Por el bien de la pregunta, imaginemos que todos los usuarios han acordado un determinado bloque previo al control de calidad del que se bifurcarán, por lo que los fondos vulnerables no han sido robados / todo el valor de la red destruido. Quizás esta situación sea improbable, pero esta pregunta sigue siendo interesante desde una perspectiva académica.
@chytrik Es una buena pregunta teórica. No creo que haya forma de hacer nada después de que QC haya roto el sistema. En un escenario en el que QC ya haya roto ECDLP, sería catastrófico. Por supuesto, los desarrolladores de Core no permitirán que suceda, a menos que suceda algo verdaderamente revolucionario en un futuro cercano.
Si el inicio del ataque fue obvio (por ejemplo, en el bloque X vemos que cada P2PK UTXO se consume para crear un solo UTXO), entonces es posible retroceder a un bloque previo al ataque y bifurcar la red para agregar protecciones contra el control de calidad. Realmente estoy interesado en escuchar más sobre qué tipo de ideas hay para recuperar monedas de manera segura en esta cadena bifurcada, como la semilla BIP32 ZKP que mencionó Andrew. Evidentemente , hay matemáticas que resisten un ataque de control de calidad, entonces, ¿cómo pueden los usuarios utilizar estas matemáticas para su beneficio hoy? Supongo que un control de calidad inesperado causará un gran daño, en cualquier caso.
@chytrik Entiendo que desea ver tecnologías criptográficas específicas para implementar en ese escenario. Bien, pero lo que quiero decir es que este escenario sería irresoluble en la práctica. Es como debatir qué harías con el agua de la piscina después de un ataque nuclear. Supongamos que estamos en el punto en el que se ha decidido retroceder a un bloque previo al ataque, todo lo demás ceter paribus . Aquí es donde entra en juego mi respuesta anterior: todas las bifurcaciones previas de UTXO son vulnerables. ¡Lo que sea que obtengas de las llaves, para salvar esas llaves, ya está roto!
@chytrik Entonces, digamos que encuentra una solución criptográfica para convertir todas esas claves públicas al nuevo sistema. El atacante también tiene estos datos a su disposición. Entonces, después de la muerte, no hay forma de recuperar esta cadena de bloques, se ha ido.
No creo que eso sea necesariamente cierto, como lo demuestra la sugerencia de Andrew de usar un ZKP de la semilla BIP 32 como mecanismo para recuperar fondos de manera segura. La función de derivación de clave BIP32 no está asegurada a través de ECDLP, por lo que si entiendo correctamente, un control de calidad que rompa ECDLP no necesariamente podrá trabajar hacia atrás a través de la derivación de clave BIP32 para obtener la semilla. Por lo tanto, un usuario podría proporcionar pruebas de que tiene conocimiento de primera mano relacionado con la dirección en cuestión (un ZKP de la semilla), de una manera que alguien con un control de calidad no podría.
@chytrik Esa es una solución interesante. Curioso si QC no sería tan eficiente contra el BIP32 KDF.
¿Cómo puedo proteger mis fondos en caso de que una computadora cuántica rompa el ECDLP en el que se basa Bitcoin?
RespuestasAquíPolítica de privacidad1y, 0v