Optymalizacja algorytmu Shora zagraża kryptografii secp256k1 w blockchainach
Zespół Google Quantum AI opublikował whitepaper, prezentujący zoptymalizowany algorytm Shora do łamania 256-bitowych krzywych eliptycznych secp256k1. Wymagania spadły do 1200 kubitów logicznych i 90 milionów bramek Toffoliego, co odpowiada mniej niż 500 000 kubitów fizycznych. Obliczenia zajmują minuty, co czyni zagrożenie realnym dla Bitcoina i Ethereum.
Kluczowe ulepszenia algorytmu
Badacze, w tym Ryan Babbush, Craig Gidney i Justin Drake z Ethereum Foundation, skompilowali algorytm Shora w efektywny obwód kwantowy. Poprzednie szacunki (Litinski, 2023) wymagały około 9 milionów kubitów fizycznych — nowa optymalizacja obniża próg 20-krotnie.
Algorytm rozwiązuje problem logarytmu dyskretnego na krzywych eliptycznych, leżący u podstaw kluczy prywatnych blockchainów. Odwrotne obliczenie klucza prywatnego z publicznego staje się wykonalne na sprzęcie kwantowym.
Trend spadku zasobów trwa: co 12–18 miesięcy ulepszenia algorytmiczne zmniejszają wymagania, uzupełniając postęp w części sprzętowej.
Wektory ataków kwantowych
Atak on-spend
Przeciwnik przechwytuje transakcję z mempoola, gdzie klucz publiczny jest widoczny. W ciągu minut algorytm Shora oblicza klucz prywatny, umożliwiając kradzież środków przed potwierdzeniem bloku. Czas ataku jest krótszy niż interwał bloku Bitcoina (10 minut).
Atak at-rest
Portfele z już ujawnionymi adresami publicznymi są podatne bez ograniczeń czasowych. Według autorów, 6,9 mln BTC jest narażonych na ryzyko, w tym 1,7 mln monet z ery Satoshiego.
- On-spend: Wymaga czasu rzeczywistego, skupia się na mempoolu.
- At-rest: Włamanie offline, miliony adresów w blockchainie.
- Szczegół ZK-proof: Google dostarczył dowód zero-knowledge efektywności schematów, ale bez ujawniania szczegółów. Sam ZK-proof nie jest odporny na komputery kwantowe.
Obecny stan sprzętu kwantowego
Procesor Google Willow ma 105 kubitów — do 500 000 daleko. Jednak publikacja zmniejsza przepaść między teorią a praktyką. Google planuje gotowość postkwantową na 2029 rok, NIST — rezygnację z RSA do 2030. Justin Drake szacuje ryzyko włamania kwantowego do 2032 na co najmniej 10%.
Autorzy ostrzegają: pierwsze znaczące kryptograficznie maszyny kwantowe ogłoszą się przez blockchain, a nie komunikat prasowy.
Środki ochrony postkwantowej
NIST zatwierdził standardy postkwantowe w 2024. Dla blockchainów potrzebne są:
- Softforki/hardforki protokołów.
- Aktualizacje portfeli i węzłów.
- Konsensus społeczności.
- Migracja na algorytmy takie jak Dilithium lub Falcon.
- Audyt istniejących adresów pod kątem podatności.
W systemach korporacyjnych aktualizacje są łatwiejsze, ale zdecentralizowane sieci wymagają lat na koordynację. Działać trzeba zawczasu.
Co jest ważne
- Optymalizacja Shora obniża wymagania do 1200 kubitów logicznych — 20-krotnie efektywniej niż poprzednie szacunki.
- Ataki on-spend możliwe w minutach; 6,9 mln BTC podatne at-rest.
- Google używa ZK-proof do weryfikacji bez ujawniania schematów.
- Migracja postkwantowa w blockchainach to wieloletni proces, zacząć pilnie.
- Ryzyko włamania kwantowego realne do lat 2030–2032.
— Editorial Team
Brak komentarzy.