بدون نیاز به تغییرات اجماع: مدیر ارشد محصول Starkware تراکنش‌های بیت کوین امن در برابر کوانتومی را از قوانین موجود می‌سازد – اخبار ویژه بیت کوین

نکات کلیدی:

• آویهو لوی، مدیر ارشد محصول Starkware، QSB را در 1398/01/20 منتشر کرد که تراکنش‌های ایمن کوانتومی بیت کوین را بدون هیچ تغییر پروتکلی امکان‌پذیر می‌سازد.
• طرح لوی به ازای هر تراکنش بین 75 تا 150 دلار هزینه محاسبات GPU دارد و تقریباً 118 بیت مقاومت در برابر حمله کوانتومی را به دست می‌آورد.
• QSB اولین طرح شناخته شده برای ایمن‌سازی تراکنش‌های زنده ارز دیجیتال بیت کوین در برابر الگوریتم شور با استفاده تنها از قوانین Script موجود بیت کوین است.

چگونه یک مدیر اجرایی Starkware مقاومت کوانتومی را بدون دست زدن به پروتکل در بیت کوین ساخت

آویهو لوی، مدیر ارشد محصول در Starkware و نویسنده مشترک BIP-360، یک مقاله تحقیقاتی کامل و پیاده‌سازی متن‌باز را در 1398/01/20 منتشر کرد. این طرح Quantum Safe Bitcoin یا QSB نامیده می‌شود. هیچ softfork، هماهنگی جامعه و opcode جدیدی نیاز ندارد. کاملاً در محدودیت‌های Script موجود بیت کوین با 201 opcode و 10,000 بایت اجرا می‌شود.

تهدیدی که QSB به آن می‌پردازد مشخص است. طرح امضای اصلی بیت کوین، ECDSA روی منحنی بیضوی secp256k1، توسط الگوریتم شور روی یک کامپیوتر کوانتومی به اندازه کافی قدرتمند کاملاً شکستنی است. یک مهاجم با آن قابلیت می‌تواند کلیدهای خصوصی را از هر کلید عمومی در معرض بازیابی کند، امضاها را جعل کند و وجوه را تغییر مسیر دهد. خروجی‌های P2PK، آدرس‌های قدیمی و مسیرهای keyspend Taproot همه در معرض خطر هستند لحظه‌ای که یک کلید عمومی در زنجیره ظاهر می‌شود.

طرح لوی این وابستگی را در سطح تراکنش قطع می‌کند. به جای اتکا به سختی منحنی بیضوی، QSB امنیت را بر مقاومت pre-image RIPEMD-160 می‌سازد، یک تابع هش که کامپیوترهای کوانتومی فقط می‌توانند با الگوریتم گروور به آن حمله کنند که یک افزایش سرعت درجه دو به جای یک شکست کامل فراهم می‌کند. یک هش 160 بیتی تقریباً 80 بیت مقاومت pre-image در برابر یک مخالف کوانتومی حفظ می‌کند و حاشیه راحتی باقی می‌گذارد.

ساختار یک طرح قبلی به نام Binohash را که توسط رابین لینوس توسعه یافته بود اصلاح می‌کند و دو مشکل را که Binohash را در برابر حمله کوانتومی ناامن می‌کرد برطرف می‌کند. اولی یک پازل اثبات کار (PoW) اندازه امضا بود که به یافتن مقادیر r کوچک منحنی بیضوی بستگی داشت، چیزی که الگوریتم شور به راحتی می‌شکند. دومی یک آسیب‌پذیری پرچم sighash حل نشده بود که می‌توانست به مهاجم اجازه دهد تا یک امضای پازل معتبر را در تراکنش‌های مختلف دوباره استفاده کند.

جایگزینی پازل اندازه امضا

QSB پازل اندازه امضا را با چیزی که لوی آن را پازل hash-to-sig می‌نامد جایگزین می‌کند. خرج کننده پارامترهای تراکنش را تکرار می‌کند تا زمانی که هش RIPEMD-160 یک کلید عمومی مشتق شده از تراکنش یک امضای ECDSA رمزگذاری شده DER معتبر تولید کند. این رویداد با احتمال تقریباً 1 در 70 تریلیون رخ می‌دهد. از آنجا که پازل از یک پرچم SIGHASH_ALL کدگذاری شده سخت استفاده می‌کند، آسیب‌پذیری sighash به عنوان یک اثر جانبی از بین می‌رود.

سپس خرج کننده دو دور digest را با استفاده از ساختار امضای Lamport سبک HORS اجرا می‌کند و زیرمجموعه‌هایی از امضاهای ساختگی را انتخاب می‌کند که sighash تراکنش را از طریق مکانیزم Script قدیمی به نام FindAndDelete تغییر می‌دهند. هر زیرمجموعه یک خروجی هش متفاوت تولید می‌کند. زیرمجموعه‌ای که یک امضای رمزگذاری شده DER معتبر تولید می‌کند digest برای آن دور می‌شود. افشای pre-imageهای مربوطه در witness خرج ایمن کوانتومی را کامل می‌کند.

پیکربندی توصیه شده که لوی آن را Config A می‌نامد، در محدودیت 201-opcode قرار می‌گیرد و تقریباً 118 بیت مقاومت pre-image و 78 بیت مقاومت برخورد به دست می‌آورد. یک مهاجم کوانتومی که الگوریتم گروور را علیه این پیکربندی اجرا می‌کند با تقریباً 2 به توان 69 کار برای یک حمله pre-image دوم روبرو است. الگوریتم شور هیچ مزیتی ارائه نمی‌دهد، زیرا هیچ فرض منحنی بیضوی برای شکستن باقی نمانده است.

محاسبات آف چین بین 75 تا 150 دلار در زمان GPU ابری به ازای هر تراکنش در قیمت‌گذاری فعلی اسپات هزینه دارد. کار به طور شرم‌آور موازی است و در ساعت‌ها در چندین GPU در آزمایش‌های اولیه کامل می‌شود. مزرعه GPU فقط محاسبات عمومی از جمله بازیابی کلید و هش را مدیریت می‌کند. pre-imageهای خصوصی HORS هرگز دستگاه ایمن خرج کننده را ترک نمی‌کنند.

محدودیت‌های واقعی وجود دارد. تراکنش‌های QSB از نظر اجماع معتبر هستند اما غیر استاندارد و از سیاست‌های relay پیش‌فرض فراتر می‌روند. آنها نیاز به ارسال مستقیم به یک استخر استخراج دارند که تراکنش‌های غیر استاندارد را می‌پذیرد، مانند از طریق سرویس Slipstream Marathon. این طرح هنوز کانال‌های شبکه Lightning را پوشش نمی‌دهد. مونتاژ و پخش کامل درون زنجیره ای هنوز در پیاده‌سازی متن‌باز در انتظار است. لوی این طرح را به عنوان یک اقدام آخرین راه توصیف می‌کند، نه یک جایگزین عمومی برای استفاده استاندارد از بیت کوین.

الی بن‌ساسون، بنیان‌گذار مشترک Starkware، علناً این کار را تأیید کرد و اظهار داشت که بیت کوین می‌تواند فوراً ایمن کوانتومی باشد. او گفت:

لوی مقاله و مخزن را در X به اشتراک گذاشت و از رابین لینوس برای کار بنیادی در Binohash و برای یک تصحیح کلیدی که مبادله هزینه-امنیت نهایی را شکل داد تشکر کرد. جامعه از مقاله سفید بسیار راضی بود زیرا به طور گسترده در رسانه‌های اجتماعی به اشتراک گذاشته شد. اریک وال از Taproot Wizard در X نوشت:

مقاله کامل، کد CUDA تسریع شده GPU، خط لوله Python و Bitcoin Scripts کامل در مخزن GitHub لوی در دسترس هستند. این خبر پس از نمونه اولیه اخیر که برای ایمن‌سازی کیف پول‌های بیت کوین از خطر کوانتومی در نظر گرفته شده بود دنبال می‌شود. آن نمونه خاص توسط Olaoluwa Osuntokun، CTO Lightning Labs ایجاد شد.

این برای دارندگان روزمره بیت کوین چه معنایی دارد

برای دارندگان روزمره ارز دیجیتال بیت کوین (BTC)، نکته عملی ساده است. امروزه هیچ کامپیوتر کوانتومی قادر به شکستن رمزنگاری بیت کوین وجود ندارد و بیشتر محققان آن تهدید را حداقل سه سال تا یک دهه آینده قرار می‌دهند. اما ساعت لحظه‌ای که یک کلید عمومی در زنجیره ظاهر می‌شود شروع می‌شود که هر بار کاربر از یک آدرس خرج می‌کند اتفاق می‌افتد.

بیت کوینی که در کیف پولی نشسته که هرگز یک تراکنش خروجی نداشته است قرار گرفتگی کمتری دارد. بیت کوین متوقف شده در یک آدرس استفاده مجدد یا قبلاً خرج شده داستان متفاوتی است. زمانی که محاسبات کوانتومی به آستانه برسد، آن کلیدهای عمومی در معرض اهداف می‌شوند. انتقال وجوه قبل از بسته شدن آن پنجره بیشتر از انتقال آنها بعد از آن اهمیت دارد.

QSB هنوز در داخل هیچ کیف پول مصرف کننده ارسال نمی‌شود. کاربران نمی‌توانند امروز یک کیف پول استاندارد را باز کنند و یک تنظیم ایمن کوانتومی را فعال کنند. آنچه لوی ارائه داده است اثبات رمزنگاری است که مسیر وجود دارد، از قوانینی که قبلاً در بیت کوین هستند ساخته شده است و تقریباً به قیمت یک بلیط هواپیما در محاسبات GPU هزینه دارد.

کار باقی مانده مهندسی، پذیرش و زمان است. برای شخصی که BTC نگه می‌دارد، اقدام ساده است: منتظر پشتیبانی پس از کوانتوم از ارائه دهنده کیف پول خود باشید، از استفاده مجدد آدرس‌ها خودداری کنید و وجوه را به یک آدرس ایمن کوانتومی منتقل کنید زمانی که آن گزینه در نرم‌افزار باب روز در دسترس قرار گیرد. ابزارهای محافظت از آن بیت کوین در حال حاضر در حال ساخته شدن هستند.