Пропозиція StarkWare: Біткоїн не потребує оновлення протоколу, щоб досягти квантово-безпечного захисту

СтаркВейр (StarkWare) головний директор із продуктів Авіху Леві (Avihu Levy) у четвер опублікував дослідницьку пропозицію, у якій представлено торговельну схему «квантово-безпечного біткоїна»; стверджується, що вона дозволяє довести біткоїн-операції до рівня квантової безпеки без необхідності вносити будь-які зміни в протокол біткоїна. Це, за його словами, достатньо, щоб протистояти атакам великих квантових комп’ютерів із застосуванням алгоритму Шора (Shor). Основна ціна також доволі очевидна: за кожну транзакцію відправник має нести витрати на GPU обчислення в розмірі 75–150 доларів США.

Технічне ядро QSB: заміна підписів на еліптичних кривих хеш-задачами

(Джерело: Github)

Нинішні транзакції біткоїна залежать від алгоритму цифрових підписів на еліптичних кривих (ECDSA) для надання дозволу, а математична база ECDSA може бути ефективно зламаною за допомогою квантових комп’ютерів, які виконують алгоритм Шора (Shor). Логіка проєктування QSB полягає в тому, щоб цілковито обійти цю слабкість: більше не покладатися на математику еліптичних кривих, а вимагати від платника знайти певний вхід, щоб вихід хеш-функції на випадковому рівні був схожим на дійсні підписи ECDSA. Цей процес потребує великого обсягу перебірних (brute-force) обчислень, а такі обчислення, навіть на квантових комп’ютерах, не можуть бути ефективно прискорені. Таким чином, за відсутності будь-яких змін у протоколі зберігається безпека транзакцій.

Генеральний директор StarkWare Елі Бен-Сассон (Eli Ben-Sasson) заявив, що ця схема «має величезне значення» і фактично дає змогу біткоїну вже сьогодні мати квантову безпеку.

Вузьке місце щодо вартості та сфера застосування: чому це не підходить для щоденних операцій

Однак під час практичного впровадження QSB стикається з очевидними перешкодами щодо масштабованості. Оскільки перебірні обчислення хешів потребують великої потужності GPU, оцінка вартості кожної транзакції становить 75–150 доларів США, що робить її економічно недоцільною для щоденних переказів біткоїна. Дослідники прямо вказали, що QSB є «останнім засобом», а не основною (mainstream) схемою; серед причин — нестандартизований формат транзакцій, неможливість горизонтального масштабування витрат, а також те, що другий рівень на кшталт Lightning Network (далі — мережа другого рівня) не охоплюється. Зміни на рівні протоколу все ще залишаються пріоритетним довгостроковим напрямом, який визнають дослідники.

Розбіжності в спільноті: велике проривання чи «роздування»?

Пропозиція QSB спричинила помітні розбіжності в біткоїн-спільноті. Експерт із ESG у біткоїні Даніель Баттен (Daniel Batten) висловив сумніви щодо оптимістичної оцінки, вважаючи, що ця схема є «роздутою», оскільки витік публічних ключів і неактивні гаманці не були враховані. Баттен має на увазі, що приблизно 1,7 млн (1.7M) біткоїнів зберігаються на ранніх адресах P2PK у режимі «сон»; ці адреси, за його словами, можуть бути безпосередньо зламані квантовими комп’ютерами. Навколо цих «сплячих» монет у спільноті наразі існує три основні позиції:

Зберігати статус-кво: залишити вихідний дизайн біткоїна, щоб підтримати його основну філософію

Застигнути або знищити: активно очистити токени зі старих адрес, уразливих до атак

Оновлення протоколу: через форк підтримати стандарти квантово-безпечних підписів і повністю вирішити проблему

Крім того, у березні Google опублікувала роботу, де зазначено, що ресурси, необхідні для злому біткоїн-криптографії за допомогою квантових комп’ютерів, можуть бути значно меншими, ніж оцінювалося раніше, що ще більше підсилює відчуття терміновості в спільноті. Також технічний директор Lightning Labs Олаолууа Осунтокуна (Olaoluwa Osuntokun) у середу опублікував прототип квантового «евакуаційного капсула» («квантового escape-capsule»), який дозволяє користувачам довести право власності на гаманець, не розкриваючи фрази-пам’ятки (seed/助记词). Це дає ще один альтернативний шлях авторизації.

Поширені запитання

Як квантово-безпечний біткоїн (QSB) забезпечує квантовий захист без змін у протоколі?

QSB використовує задачу, що потребує великого обсягу перебірних (brute-force) обчислень хешів, щоб замінити підписи ECDSA, які покладаються на математику еліптичних кривих. Оскільки квантовий комп’ютер не може ефективно прискорити перебірну роботу з хешами, безпеку транзакцій вдається зберегти. Уся схема працює в межах наявних обмежень біткоїн-скриптів, без будь-яких змін на рівні протоколу, але кожна транзакція потребує витрат на GPU-обчислення 75–150 доларів США.

Чому розгляд квантової загрози в біткоїн-спільноті викликає такі великі розбіжності?

Ключова суперечність — між захистом безпеки біткоїна та підтриманням його дизайнерської філософії (зокрема, непорушності/незалежності облікових записів). Зокрема, йдеться про 1,7 млн монет, зафіксованих на старих адресах P2PK: їхні первинні власники, імовірно, вже давно втратили доступ. Як розпорядитися цими монетами — це породжує широкі етичні та технічні суперечки, і спільноті досі не вдалося дійти спільної згоди.

Чому Lightning Network не може скористатися квантовим захистом за схемою QSB?

Lightning Network спирається на стандартизований формат транзакцій звичайного біткоїна та механізм дешевих розрахунків поза ланцюгом (off-chain). Транзакції QSB мають нестандартний формат, а також кожна транзакція потребує GPU-обчислень вартістю 75–150 доларів США — що принципово несумісно з орієнтацією Lightning Network на низькі витрати та високочастотні мікроплатежі. Тому користувачі Lightning Network не можуть отримати квантово-безпечний захист із рішення QSB.