Aproximadamente una cuarta parte de todos los bitcoin están expuestos al riesgo de un ataque cuántico, vinculado a las claves públicas que se han revelado en la cadena de bloques. Pero si gran parte del suministro es vulnerable, plantea una preocupación más profunda: ¿está en riesgo la confianza en todo el modelo de seguridad de Bitcoin?
Imagine despertarse, revisar su teléfono y su saldo de bitcoin es cero. No solo su almacenamiento en frío, también sus saldos de intercambio. Desaparecido. Durante la noche, millones de utxos drenaron en un ataque silencioso y coordinado.
Suena extremo, pero este tipo de evento sería más que solo robo. Sería un ataque directo al valor de Bitcoin, una señal pública de que su criptografía principal ya no es segura. Un actor a nivel estatal podría intentar algo como esto, no solo para robar monedas, sino para destruir la confianza y causar deliberadamente el caos.
No todos los atacantes actuarían tan fuerte. Uno más autoincentivado podría adoptar el enfoque opuesto. Con el acceso a una computadora cuántica, podrían apuntar silenciosamente a Utxos mayores, drenando monedas de billeteras olvidadas o inactivas. Su objetivo sería desviar tanto como sea posible antes de que el resto del mundo se ponga en marcha.
Pero si el ataque es ruidoso o tranquilo, rápido o lento, el resultado final es más o menos el mismo. Los suposiciones que aseguran Bitcoin ya no son ciertas en un mundo posterior al quantum. Las matemáticas que obtuvieron Bitcoin de su comienzo podrían romperse en cualquier momento, por una máquina, ninguno de nosotros ha visto todavía, pero sabemos que es teóricamente posible.
Qué computadoras cuánticas realmente se rompen
Una computadora cuántica no es solo una versión más rápida de las computadoras que tenemos hoy. Es un tipo de máquina fundamentalmente diferente. Para la mayoría de las tareas, no sería mucho más rápido que una computadora normal. Pero para problemas muy específicos, sería lo suficientemente poderoso como para romper mucho.
Las firmas digitales de Bitcoin hoy, incluidas Schnorr y Ecdsa, confían en algo llamado Problema de logaritmo discreto. Piense en ello como una especie de calle matemática de un sentido. Es fácil ir a una dirección, pero extremadamente difícil volver. Puede tomar una clave privada y generar una clave o firma pública, pero hacer lo contrario, derivar la clave privada de la clave pública, es prácticamente imposible. Y es por eso que puede compartir su clave pública en la cadena de bloques de manera segura, porque es inviable que cualquiera la revertir y deriva su clave privada correspondiente.
Pero con una computadora cuántica lo suficientemente grande, esa suposición se rompe. Usando Algoritmo de Shorun atacante cuántico podría resolver el problema de logaritmo discreto. Y ese “vía unidireccional” ya no se mantiene. Dada cualquier clave pública en la cadena de bloques, un atacante puede derivar su clave privada correspondiente.
Elecciones difíciles, grandes compensaciones
No hay soluciones perfectas aquí. Cualquier plan para defender bitcoin contra estos ataques cuánticos implica algunas grandes compensaciones. Algunos son técnicos. Algunos son sociales. Todos ellos son difíciles.
Una posibilidad es introducir un nuevo tipo de tipo de salida que use solo firmas posteriores al cuantio. En lugar de confiar en logaritmos discretos, que las computadoras cuánticas pueden romper, bloquearía las monedas utilizando esquemas de firma segura de cuántica desde el principio. Cualquiera que envíe fondos a esa dirección sabe que está eligiendo una seguridad más fuerte y a prueba de futuro.
Una gran compensación aquí es el tamaño. La mayoría de las firmas posteriores al cuanto son enormes, a menudo medidas en kilobytes en lugar de bytes. Esto significa que las firmas posteriores al quantum pueden ser 40-600 veces más grandes que las firmas actuales de bitcoin. Si una firma ECDSA/Schnorr se ajusta dentro de un mensaje de texto, una firma posterior al quanto podría ser tan grande como una pequeña foto digital. Costan más para transmitir y más para almacenar en la cadena de bloques. Las billeteras HD, las configuraciones multisig e incluso la gestión de claves básicas se vuelven más complejas o ni siquiera funcionan en absoluto. Hacer firmas de umbral con firmas post-quantum sigue siendo un problema de investigación abierto.
Una propuesta relacionada para ir completamente después del cuantio proviene de Jameson Lopp, quien propuso una ventana de migración fija de 4 años. Después de la introducción de firmas posteriores al quantum, proporcione al ecosistema de bitcoin unos años para rotar en salidas seguras cuánticas. Después de eso, las monedas que no se han movido se tratan como perdidas. Un enfoque agresivo, pero establece una fecha límite clara y le da a la red tiempo para adaptarse antes de que llegue cualquier crisis.
Hasta que la amenaza se vuelva más real, preferiríamos confiar en la criptografía en la que ya confiamos. Pero si todos estamos de acuerdo en que Bitcoin necesita un plan, ¿qué será?
Nadie quiere apresurarse en Bitcoin Chance con suposiciones no probadas. En lugar de presionar algo completamente nuevo, Bitcoin ya podría tener un punto de partida incorporado. ¡Raíz principal!
Taproot’s Oculto Post-Quantum Safety
Taproot, introducido en 2021, es principalmente conocido por mejorar la privacidad y la eficiencia. Lo que muchos usuarios no se dan cuenta es que también podría ser la base de una transición más suave a un mundo posterior al cuanto al cuanto.
Cada salida de grifo contiene un conjunto inicialmente oculto de condiciones de gasto alternativas. Estas rutas de script alternativas nunca se revelan a menos que se usen. En este momento, la mayoría de las monedas de grapoot se gastan usando firmas de Schnorr, pero esas rutas ocultas se pueden usar para casi cualquier cosa. Eso incluye verificaciones de firma posteriores al quantum (PQ).
La idea de que la estructura interna de Taproot podría resistir los ataques cuánticos se remonta a Matt Corallo, quien la propagó por primera vez. Y recientemente, Tim Ruffing of Blockstream Research publicó un artículo que muestra que este enfoque es seguro: las rutas de alojamiento dentro de la grasa pueden seguir siendo confiables, incluso si Schnorr y ECDSA están rotos.
Esto abre la puerta a una ruta de actualización simple pero poderosa.
Paso 1: Agregar códigos de operación posteriores al quantum
El primer paso es introducir soporte para firmas posteriores al quantum en el script de bitcoin. Esto podría hacerse agregando nuevos códigos de operación que permitan los scripts de taproot para verificar las firmas de PQ, utilizando algoritmos que actualmente están estandarizados y evaluados.
De esa manera, los usuarios podrían comenzar a crear salidas de taproot con dos rutas de gasto:
- El camino clave aún usaría firmas de Schnorr rápidas y eficientes para el uso diario.
- El script-spath contendría un respaldo posterior al quanten, solo revelado si es necesario.
Nada cambia a corto plazo. Las monedas se comportan de la misma manera. Pero si aparece una amenaza cuántica, el retroceso ya está en su lugar.
Paso 2: voltee el interruptor de matar
Más tarde, si se desarrolla una gran computadora cuántica y el riesgo se vuelve real, Bitcoin podría deshabilitar el gasto de Schnorr y ECDSA.
Este interruptor de asesinato protegería la red al evitar que las monedas en salidas vulnerables sean robadas. Mientras los usuarios hayan movido sus monedas a salidas de taproot actualizadas que incluyen fallas posteriores al quantum, esas monedas seguirían siendo seguras y gastadas.
La transición inevitablemente causará cierta fricción, pero con suerte sería menos perjudicial que una lucha de último minuto. Y gracias a las rutas de guiones ocultos de Taproot, la mayor parte de este trabajo podría ocurrir en silencio con anticipación.
Preparando sin pánico
No hay reloj de cuenta regresiva para la amenaza cuántica. No tenemos idea de cuándo ocurrirá este avance en la computación cuántica. Podría estar a una década de distancia, o podría estar mucho más cerca. Nadie lo sabe.
Nada de esto es simple. Todavía hay preguntas abiertas sobre qué algoritmos posteriores al cuanto al quanto debemos usar, cómo hacerlos lo suficientemente eficientes para Bitcoin y cómo preservar características centrales como umbral multisig y derivación de clave. Pero lo más importante es comenzar. Idealmente, no después de que se haya construido la primera computadora cuántica criptográficamente relevante, pero ahora, si bien el sistema aún es seguro y las rutas de actualización aún están disponibles.
Al habilitar el soporte de firma posterior al quantum dentro de Bitcoin Script hoy, le damos tiempo a los usuarios para prepararse. La educación puede ocurrir gradualmente, sin pánico. Y los usuarios pueden comenzar a migrar monedas a su propio ritmo. Si esperamos demasiado, perdemos ese lujo. Las actualizaciones realizadas bajo estrés rara vez van sin problemas.
El trabajo de Tim Ruffing establece un posible camino hacia adelante. Un plan que hace uso de las herramientas que Bitcoin ya tiene. Lea su artículo completo para comprender cómo funciona en detalle.
Esta es una publicación invitada de Kiara Bickers de Blockstream. Las opiniones expresadas son completamente suyas y no reflejan necesariamente las de la revista BTC Inc o Bitcoin.
El riesgo cuántico de Bitcoin es real: una solución podría comenzar con Taproot apareció por primera vez en la revista Bitcoin y está escrita por Kiara Bickers.
