BitcoinIs Hindi Quantum Safe At Paano Namin Ayusin Ito Kapag Kinakailangan

Ligtas na Bitcoin at Quantum

Sa nakaraang taon o higit pa, ito ay naging isang kilalang katotohanan sa mga dalubhasang dalubhasang Bitcoin kung saan ang Bitcoin, sa kasalukuyan nitong anyo, ay bahagyang ligtas sa kabuuan. Ang claim ay ang xe2x80x9cusedxe2x80x9d Bitcoin address xe2x80x93 na, mga address na parehong natanggap at nagpadala ng mga bitcoin, mayroon silang nararapat na pampublikong susi na nakalantad sa blockchain, na nagpapahintulot sa mga kalaban na pinagana ng quantum na sumira sa Bitcoinxe2x80x99s elliptic curve cryptography, samantalang ang xe2x80x9cunusedxe2x80x9d Bitcoin address, na maaaring mayroon nakuha bitcoins ngunit hindi pa nagastos mula sa, hindi na ang kanilang mga susi nakalantad, ipaalam sa kanila makinabang mula sa mas malakas na cryptographic na pangako ng SHA256 at RIPEMD-160. Ibinigay na ang unang paggastos sa kalakalan mula sa anumang address ng Bitcoin ay nagpapalabas ng lahat ng mga pondo na na-save sa pagsasalita na iyon sa mga bagong address bilang pagbabago, ang konsepto ay napupunta, ang Bitcoin ay dapat manatili tulad ng ligtas tulad ng dati. Sa katunayan, dahil ang karamihan sa mga wallet ay nagsisikap na huwag muling gamitin ang mga address upang mapabuti ang privacy, para sa karamihan ng mga gumagamit lamang ang mga menor de edad na mga pagbabago sa software ay kinakailangan upang masunod ang mas mahigpit na kalagayan sa seguridad, kaya ang pag-angkop sa quantum computing ay magiging madali. Ang argument na ito ay ginawa ng maraming mga tao sa komunidad ng Bitcoin, lalo na tulad ng aking sarili. Sa katotohanan, ngunit ang argument ay may nakamamatay na depekto.

Upang magsimula, ang pinasadyang background. Ang pangkalahatang pampublikong susi ay nagmumula sa pribadong susi sa pamamagitan ng pag-multiplikasyon ng curve ng eliptiko, at, na ibinigay lamang ang mga klasikal na computer tulad ng mga umiiral na ngayon, ang pagbawi ng pribadong susi mula sa pampublikong susi ay karaniwang imposible. speech ay mula sa pampublikong key sa pamamagitan ng isang serye ng tatlong hakbang: paglalapat ng SHA256 hash sa publiko lihim, isang paggamit ng RIPEMD-160 hash function na ito at sa wakas ay kabilang ang halaga ng tinutukoy bilang isang checksum para sa mga layunin ng error pagwawasto (sa gayon ay dapat mong aksidenteng i-mistype ang isang character kapag nagpapadala sa isang Bitcoin pagsasalita ang iyong pera ay hindi nawawala sa isang itim na butas). Ang layunin ng mga pag-andar ng hash ay na, tulad ng tambilugin na pag-multiplikasyon ng curve, ang mga ito ay hindi maaaring magamit upang mabalik; bibigyan ng isang address, walang paraan, maliban sa brute force diskarte ng sinusubukan ang lahat ng posibleng mga pampublikong key, upang mahanap ang pampublikong susi na ang pagsasalita ay nagmula.

Shorxe2x80x99s algorithm ay pangunahing kapaki-pakinabang para sa mga numero factoring xe2x80x93 sa pamamagitan ng paraan ng halimbawa, na ibinigay ang numero 1,728,499, ang pag-uunawa na ang bilang ay binubuo ng mga variable 1129 * 1531. Sa pitong-digit na numero, ang problema ay maaaring kahit na maaaring malutas sa may sapat na pasensya, ngunit kung ang mga numero ay daan-daang mga digit na mahaba ang quantum computer ay hinihiling. Sa katunayan, ang paghihirap ng pagpapanatili ng napakahabang numero ay batay sa RSA, ang pinakamaagang algorithm ng pampublikong key encryption at isa pa ring ginagamit ngayon. Ang algorithm ng Groverxe2x80x99s ay malayo pang generic na xe2x80x93 na ibinigay ng isang listahan ng mga numero kasama ng isang matematikal na ari-arian, maaari itong malaman na ang isa sa mga numerong iyon ay natutugunan ang iyong ari-arian. Ang isang binagong bersyon ng Shorxe2x80x99s algorithm ay maaaring pumutok tambilugin curve cryptography pati na rin, at Groverxe2x80x99s algorithm strike isa lamang ng anumang bagay, tulad ng SHA256 at RIPEMD-160.

Sa kabilang banda, ang parehong mga kalkulasyon ay naiiba sa radikal na paraan kung gaano ito mahusay. Ang algorithm ng Groverxe2x80x99s, sa kabilang banda, ay hindi nag-aalok ng anumang malapit sa napakalakas na bilis. Sa halimbawa ng RIPEMD-160, ang poorer sa dalawang hashes ginagamit upang gumawa ng isang Bitcoin address, ito ay nangangahulugan na ang bilang ng mga hakbang na kinakailangan upang mabawi ang isang public key mula sa isang address bumaba mula sa 1.4 trilyon trilyon trilyon na xe2x80xa6 1.2 trilyon trilyon. Medyo mas madali, ngunit pa rin pasalamat hindi praktikal. Tulad ng ipinaliwanag sa itaas, xe2x80x9cusedxe2x80x9d Bitcoin address mula sa magkaroon ng isang nakalantad pampublikong lihim na, samakatuwid ito ay ang simpleng hamon ng paghahati tambilugin curve cryptography gamit Shorxe2x80x99s algorithm na ang mga bottleneck. Xe2x80x9cUnusedxe2x80x9d Bitcoin address, sa kabilang banda, ilantad lamang ang speech mismo, samakatuwid ito ay ang RIPEMD-160 Grover problema na poses ang weakened, ngunit pa rin hindi malulutas, balakid.

 

Kaya Anoxe2x80x99s ang Isyu?

BitcoinIs Hindi Quantum Safe At Paano Namin Ayusin Ito Kapag Kinakailangan_[en-tl]_2018-05-30 14-32-04--297 halip na isang tambilugin na

Narito kung saan mali ang nabanggit na lohika. Paano ang tungkol sa mga computer na quantum sa dalawang parapo sa itaas, ang ibinigay na pampublikong kadalubhasaan, ay karaniwang tama, at kung ang isang pagsasalita ng Bitcoin ay hindi ginagamit, pagkatapos ay talagang, kahit na iginawad ang kabuuan ng mga computer, ang anumang mga bitcoin na nasa loob ng lahat ay mainam. Sa kabilang panig, ang tanong ay, paano mo talagang gugulin ang mga pondo? Upang ma-release ang mga bitcoin na ipinadala sa address na ito, kinakailangan upang gumawa ng isang kalakalan ng Bitcoin, kung saan ang kalakalan ay dapat magkaroon ng isang lagda at isang pampublikong susi upang mapatunayan na ito ang taong nagmamay-ari ng pribadong susi na naka-sign nito. Ngunit narito ang problema. Sa paggawa ng kalakalan na iyon, inilabas mo lamang ang lahat ng impormasyon na dapat na ganap na ipagdiwang sa iyo ng sinuman na may kabuuan na computer, sa tamang lugar. Sa kuwantum ng computing, ang mga lagitik na kurbada ng tambilugan ay parang manipis na sheet ng papel.

Kung nagpadala ka ng isang paggasta sa kalakalan 100 BTC sa pagsasalita 13ign, may 10 BTC papunta sa 1v1tal upang masakop ang mga kalakal at 90 BTC shift balik sa iyong bagong address sa 1mcqmmnx, ang unang node na iyong ipadala ang kalakalan upang mapalitan ang shift address sa kahit na ano gusto nila, mabawi ang pribadong susi mula sa iyong pampublikong susi, at ilagay ang iyong pirma. Ang tanging paraan upang maiwasan ang problema ay mahalagang ipadala ang kalakalan diretso sa isang pool ng pagmimina, tulad ng BTCGuild o Slush, at umaasa na ang pagmimina pool ay magiging patas at ilagay ang kalakalan nang direkta sa blockchain. Gayunpaman pagkatapos na, gayunpaman, ikaw ay nahantad sa ilang pag-atake ng Finney xe2x80x93 isang hindi tapat na minero ay maaaring maglikha ng iyong lagda, at gumawa ng wastong bloke na binubuo ng kanyang huwad na kalakalan na nagpapatuloy sa blockchain mula sa isa bago ang pinakabagong block (ang isa na naglalaman ng iyong kalakalan), at, dahil ang mga haba ng bago at lumang blockchain ay magiging katumbas na, ang magsasalakay ay magkakaroon ng 50% na posibilidad ng kanyang pagharang. Kaya, ang mga ligtas na transaksyon ay talagang imposible.

 

Lampiran Signatures: Isang Pagpipilian.

Talaga, ang layunin ng mga function ng hash ay upang ibigay sa amin ang matematikal na katumbas ng isang lock. Ang pag-publish ng hash ng isang halaga ay katulad ng paglalagay ng lock out sa publiko, at ang paglabas ng orihinal na halaga ay katulad ng pagbubukas ng lock. Ngunit kapag nakabukas ang kandado, hindi na ito maaaring sarado muli. Ang problema ay, gayunpaman, na ang mga kandado nang nakapag-iisa ay hindi maaaring gumawa ng secure na digital signature scheme. Kung ano ang mga supply ng elliptic curve cryptography, at SHA256 at RIPEMD-160 ay hindi, ay isang paraan ng pagpapakita na mayroon kang lihim na halaga sa likod ng isang cyber lock, at naglalakip din ng katibayan na ito sa isang partikular na mensahe, nang hindi inilalantad ang orihinal na halaga o kahit na na ginagawang wasto ang katibayan para sa anumang iba pang mensahe kaysa sa iyong kalakip. Sa Bitcoin, ang mensahe na pinag-uusapan ay isang kalakalan. Sa tuwing nagpapadala ang iyong kostumer ng Bitcoin ng kalakalan sa komunidad, ang talagang ginagawa nito ay ang pagpapadala ng isang mathematical na katibayan ng sumusunod na katotohanan: ang kalakalan na ito, na nagsasabing nagpapadala ako ng halagang ito para sa pagsasalita na ito, ay binuo ng isang taong may pananagutan para sa ang pribadong lihim na sumusuporta sa pagsasalita ng Bitcoin Ixe2x80x99m mula sa. Ito ang batayan para sa transaksyonal na bahagi ng kaligtasan ng Bitcoinxe2x80x99s.

Subalit, may isang konstruksiyon na nagbibigay kapangyarihan sa atin upang malutas ang problemang ito nang walang RSA, tambalang kurbada o anumang iba pang tradisyonal na pampublikong key-cryptographic system: Mga lagda ng Lamport. Ang isang lagda ng Lamport ay isang isang beses na pirma na nakakakuha sa paligid ng problema sa lockbox sa sumusunod na paraan: mayroong maraming mga kandado, at ito ang nilalaman ng mensaheng ito (o sa halip, ang hash ng mensahe) na tumutukoy kung aling mga kandado ang kailangang mabuksan. Kung ang isang tao ay nagtatangkang mag-imbento ng iyong mensahe, ito ay halos tiyak (basahin: na ang araw ay tatakbo mula sa hydrogen bago ang isa pang sitwasyon ang mangyayari) na ang Lamport signature scheme ay mangangailangan ng mga ito upang buksan ang hindi bababa sa isang lock na hindi mo binuksan na xe2x80x93 na kung saan sila, kulang ang mga hindi itinuturing na mga halaga ng lihim, ay hindi magagawang gumanap.

Ang mga lagda ng lampara ay maaaring mukhang kumplikado na komplikado, ngunit dahil mayroon lamang silang isang bahagi na xe2x80x93 ang function na hash (sa pagkakataong ito, ginagamit namin ang RIPEMD-160) sa katunayan ay kabilang sa mga pinaka-accessible na cryptographic protocol para sa normal na tao na maunawaan. Gumagana ang algorithm tulad ng sumusunod:

Ang lahat ng mga halagang ito, o sa ilang pagpapatupad na ginamit ng binhi upang lumikha ng mga ito, ay ang iyong pribadong key. Ang lahat ng ito ay ang iyong pangunahing susi, at din ay kinakailangan mula sa komunidad upang mamaya patunayan ang iyong lagda. Upang mag-sign ng isang mensahe, kalkulahin ang RIPEMD-160 hash ng mensaheng ito, at pagkatapos ay depende sa bawat piraso ng hash ilabas ang key numero sa likod ng una o pangalawang hash sa bawat pares. Kung ang bit ay zero, buksan ang hash, at kung ang bit ay buksan ang pangalawang palamuti.

Sa ilalim ng estratehiya na ito, isang bitcoin na pananalita ay magiging SHA256 RIPEMD-160 hash ng pampublikong key; ang tanging pagkakaiba ay ang pampublikong susi ay binubuo ng 320 na may hugis sa halip na isang tambilugin na curve point. Kasama sa isang kalakal ang pampublikong key kasama ang lagda, katulad na ngayon, at, minsan pa tulad ng ngayon, susuriin ng mga verifier na tumutugma ang pampublikong key sa pagsasalita kasama ang mga tugma ng lagda sa mensahe kasama ang pampublikong key. Ang mga lagda ay hindi malilimutan; gayunman may algorithm ng Groverxe2x80x99s, kaya nangangailangan ito ng 2 80 na hakbang para sa isang kalaban upang bumuo ng isang mapanlinlang na transaksyon na nangangailangan ng mga ito upang ibunyag ang tiyak na parehong 160 lihim na mga numero na iyong ipinakita, o kahit isang kalaban ay maaaring tumagal ng dalawang 80 * 80 na hakbang upang i-crack lahat ng mga hash. Ang parehong mga numero ay nasa trillions ng trillions ng parehong computations.

Ang tanging pagbabago sa pag-uugali na kung saan ay kinakailangan ay para sa mga tao upang simulan ang paggamit ng mga address nang isang beses lamang; Kasunod ng dalawang paggamit, ang kaligtasan ng Lamport scheme ay bumaba sa dalawa 40, isang halaga na maaaring pa rin ligtas sa mga computer quantum sa una, ngunit halos hindi lamang, at sumusunod sa tatlong mga gumagamit ng itxe2x80x99s bilang mahina bilang elliptic curve cryptography. Theoretically, ngunit kahit na ito ay maaaring bahagyang pagtagumpayan; ang scheme ng Merkle signature ay binubuo mula sa ideya ng Lamportxe2x80x99s upang gumawa ng mga lagda na maaaring magamit ng daan-daan o sampu, o kahit na maaaring maging libu-libong, ng mga oras bago ang pribadong key ay dapat na magretiro. Ang tanging limitasyon sa pinakamataas na bilang ng mga transaksyon sa bawat pagsasalita ay mahalagang isang katanungan ng paghihigpit ng blockchain mamaga.

Given kung ano ang ngayon pampublikong kadalubhasaan, quantum computer ay malayo pa rin; ang pinaka-epektibong computer na quantum sa ngayon ay pinamamahalaang gamitin ang algorithm ng Shorxe2x80x99s upang maging kadahilanan ang numero 21. Ngunit, ang mga biglaang pagsulong ay laging posible, at patuloy na kailangan nating magkaroon ng isang diskarte kung ano ang magagawa natin kung nagpasya si Edward Snowden na mahayag na ang NSA ay may ganap na nagagamit na mga computer na quantum na nagtatago sa isang lihim na sentro ng data. Marahil ay hindi namin mapamahalaan ang gayong kagulat-gulat na kaganapan, ngunit tiyak na maaari naming pangasiwaan ang mga kaso kung saan nakakuha kami ng isang buwan ng paunang babala. Ang solusyon ay ito: sa sandaling maipahayag ang kabuuan ng pre-emerhensiya, dapat na ilipat ng lahat ang kanilang mga kayamanan sa isang 1-of-2 multisignature na kalakalan sa pagitan ng isang hindi ginagamit, lumang-estilo, Bitcoin na salita, kasama ang isang address na nabuo sa bagong Lamport pamamaraan. Pagkatapos nito, dapat mabilis na lumikha ng mga developer ang Lamport patch para sa bilang maraming mga kliyente ng Bitcoin hangga't maaari at itulak para sa lahat na i-update. Kung ang buong pamamaraan ay tapos na sa loob ng labing-apat na araw, pagkatapos ng mga oras na mga computer na quantum maging isang banta ang karamihan ng mga peoplexe2x80x99s bitcoins ay magiging sa bagong estilo Lamport address at din ay ligtas. Para sa mga taong may kasaganaan sa mga lumang estilo ng pagsasalita noon (hindi ginagamit na lumang estilo na mga address na mula sa puntong iyon ng mga barya sa paggamit ng mga lumang estilo ng address ay maaaring trivially ninakaw), isang pares ng mga itinatag na mga organisasyon ay pumayag na maglingkod bilang maaasahang node, gamit ang scheme ng Merkle signature upang magdala ng dagdag na lagda sa mga transaksyon na nagpapadala mula sa mga lumang istilo ng pagsasalita sa mga bagong estilo ng mga address. Upang ihinto ang pandaraya sa komunidad at mga strike sa Finney, ang mga bagong panuntunan ng Bitcoin ay mangangailangan ng lahat ng mga transaksyon mula sa mas matanda hanggang sa bago pagkatapos ng isang partikular na yugto upang mapirmahan ng mga awtoridad na ito. Ang sistema ng kapangyarihan ay magpapakilala ng sentralisasyon, ngunit ito ay pansamantalang pansamantalang panukalang-batas, at pagkatapos ng ilang taon ay maaaring ganap na magretiro ang sistema. Mula roon, dumila kami sa aming mga sugat, piliin ang aming mga pagkalugi at magpatuloy upang pahalagahan ang ilan sa mga mas kamangha-manghang mga bagay na ibinibigay sa iyo ng quantum computing.