Mã hóa của Bitcoin không gặp rủi ro từ máy tính lượng tử vì một lý do đơn giản: nó thực sự không tồn tại.

Trái với quan niệm phổ biến, máy tính lượng tử sẽ không “phá vỡ” mã hóa của Bitcoin; thay vào đó, bất kỳ mối đe dọa thực tế nào cũng sẽ tập trung vào việc khai thác chữ ký số liên kết với các khóa công khai đã bị lộ.

Máy tính lượng tử không thể giải mã Bitcoin vì nó không lưu trữ bất kỳ bí mật được mã hóa nào trên chuỗi.

Quyền sở hữu được thực thi bằng chữ ký số và các cam kết dựa trên hàm băm, chứ không phải bằng bản mã hóa.

Rủi ro lượng tử thực sự là nguy cơ giả mạo ủy quyền.

Nếu một máy tính lượng tử có liên quan đến mật mã có thể chạy thuật toán Shor đối với mật mã đường cong elliptic của Bitcoin, nó có thể suy ra khóa riêng từ khóa công khai trên chuỗi và sau đó tạo ra một chữ ký hợp lệ cho một giao dịch chi tiêu cạnh tranh.

Phần lớn cách diễn đạt “máy tính lượng tử phá vỡ mã hóa Bitcoin” là một lỗi về thuật ngữ. Adam Back, nhà phát triển Bitcoin lâu năm và là người sáng tạo Hashcash, đã tóm tắt trên X:

“Mẹo nhỏ cho những người lan truyền FUD về lượng tử. bitcoin không sử dụng mã hóa. Hãy nắm vững kiến thức cơ bản hoặc bạn sẽ bị lộ.”

Một bài đăng khác cũng đã làm rõ sự khác biệt này, lưu ý rằng một kẻ tấn công lượng tử sẽ không “giải mã” bất cứ thứ gì, mà thay vào đó sẽ sử dụng thuật toán Shor để suy ra khóa riêng từ một khóa công khai đã bị lộ:

“Mã hóa là hành động ẩn thông tin để chỉ những người có khóa mới có thể đọc được. Bitcoin không làm điều này. Blockchain là một sổ cái công khai; bất kỳ ai cũng có thể xem mọi giao dịch, mọi số tiền và mọi địa chỉ. Không có gì được mã hóa cả.”

Tại sao việc lộ khóa công khai, chứ không phải mã hóa, mới là điểm nghẽn bảo mật thực sự của Bitcoin

Hệ thống chữ ký của Bitcoin, ECDSA và Schnorr, được sử dụng để chứng minh quyền kiểm soát một cặp khóa.

Trong mô hình đó, coin được lấy bằng cách tạo ra một chữ ký mà mạng lưới sẽ chấp nhận.

Đó là lý do tại sao việc lộ khóa công khai lại là điểm mấu chốt.

Việc một output có bị lộ hay không phụ thuộc vào những gì xuất hiện trên chuỗi.

Nhiều định dạng địa chỉ cam kết với một hàm băm của khóa công khai, vì vậy khóa công khai thô chỉ được tiết lộ khi giao dịch được chi tiêu.

Điều này thu hẹp khoảng thời gian cho kẻ tấn công tính toán khóa riêng và công bố một giao dịch xung đột.

Các loại script khác tiết lộ khóa công khai sớm hơn, và việc tái sử dụng địa chỉ có thể biến một lần tiết lộ thành mục tiêu lâu dài.

Truy vấn “Bitcoin Risq List” mã nguồn mở của Project Eleven định nghĩa việc lộ khóa ở cấp độ script và tái sử dụng.

Nó lập bản đồ nơi khóa công khai đã có sẵn cho một kẻ tấn công sử dụng Shor.

Tại sao rủi ro lượng tử có thể đo lường được ngày nay, dù chưa cận kề

Taproot thay đổi mô hình lộ khóa theo cách chỉ quan trọng nếu các máy tính chịu lỗi lớn xuất hiện.

Output Taproot (P2TR) bao gồm một khóa công khai đã được điều chỉnh 32 byte trong chương trình output, thay vì một hàm băm khóa công khai, như mô tả trong BIP 341.

Tài liệu truy vấn của Project Eleven bao gồm P2TR cùng với pay-to-pubkey và một số dạng multisig là các loại mà khóa công khai hiển thị trong output.

Điều này không tạo ra lỗ hổng mới ngày nay.

Tuy nhiên, nó thay đổi những gì sẽ bị lộ mặc định nếu việc phục hồi khóa trở nên khả thi.

Bởi vì việc lộ khóa có thể đo lường được, nhóm dễ bị tấn công có thể được theo dõi ngay hôm nay mà không cần xác định mốc thời gian lượng tử.

Project Eleven cho biết họ thực hiện quét tự động hàng tuần và công bố một khái niệm “Bitcoin Risq List” nhằm bao quát mọi địa chỉ dễ bị tấn công lượng tử và số dư của nó, được trình bày chi tiết trong bài viết về phương pháp luận.

Bảng theo dõi công khai của họ hiển thị con số tiêu đề khoảng 6.7 triệu BTC đáp ứng tiêu chí lộ khóa của họ.

Về mặt tính toán, điểm khác biệt chính là giữa qubit logic và qubit vật lý.

Trong bài báo “Quantum resource estimates for computing elliptic curve discrete logarithms,” Roetteler và các đồng tác giả đưa ra giới hạn trên là tối đa 9n + 2⌈log2(n)⌉ + 10 qubit logic để tính log rời rạc đường cong elliptic trên trường nguyên tố n-bit.

Với n = 256, con số này vào khoảng 2,330 qubit logic.

Việc chuyển đổi điều đó thành một máy có sửa lỗi có thể chạy một mạch sâu với tỷ lệ lỗi thấp là nơi chi phí qubit vật lý và thời gian chiếm ưu thế.

Lựa chọn kiến trúc quyết định phạm vi thời gian thực thi rộng

Ước tính năm 2023 của Litinski đặt việc tính toán khóa riêng đường cong elliptic 256-bit vào khoảng 50 triệu cổng Toffoli.

Theo các giả định của ông, một phương pháp mô-đun có thể tính một khóa trong khoảng 10 phút sử dụng khoảng 6.9 triệu qubit vật lý.

Trong bản tóm tắt của Schneier on Security về các công trình liên quan, các ước tính tập trung quanh mức 13 triệu qubit vật lý để phá vỡ trong vòng một ngày.

Cùng dòng ước tính đó cũng đề cập đến khoảng 317 triệu qubit vật lý để nhắm tới cửa sổ một giờ, tùy thuộc vào giả định về thời gian và tỷ lệ lỗi.

Đối với các hoạt động Bitcoin, các đòn bẩy gần hơn là hành vi và cấp độ giao thức.

Việc tái sử dụng địa chỉ làm tăng nguy cơ lộ khóa, và thiết kế ví có thể giảm thiểu điều này.

Phân tích ví của Project Eleven lưu ý rằng một khi khóa công khai đã lên chuỗi, các khoản nhận trong tương lai về cùng địa chỉ đó vẫn tiếp tục bị lộ.

Nếu việc phục hồi khóa từng phù hợp với khoảng thời gian một block, kẻ tấn công sẽ cạnh tranh chi tiêu từ các output bị lộ, chứ không phải viết lại lịch sử đồng thuận.

Hàm băm thường được đưa vào câu chuyện, nhưng đòn bẩy lượng tử ở đây là thuật toán Grover.

Grover cung cấp tốc độ tìm kiếm vét cạn theo căn bậc hai thay vì phá vỡ log rời rạc như Shor.

Nghiên cứu của NIST về chi phí thực tế của các cuộc tấn công kiểu Grover nhấn mạnh rằng chi phí hệ thống bị chi phối bởi chi phí phụ trợ và sửa lỗi.

Trong mô hình lý tưởng, đối với preimage SHA-256, mục tiêu vẫn ở mức khoảng 2^128 công việc sau Grover.

Điều này không thể so sánh với việc phá vỡ log rời rạc ECC.

Điều còn lại là di chuyển chữ ký, nơi các ràng buộc là băng thông, lưu trữ, phí và phối hợp.

Chữ ký hậu lượng tử thường có kích thước kilobyte thay vì vài chục byte như người dùng đã quen.

Điều này thay đổi kinh tế trọng lượng giao dịch và trải nghiệm người dùng ví.

Tại sao rủi ro lượng tử là một thách thức di chuyển, không phải mối đe dọa tức thì

Bên ngoài Bitcoin, NIST đã chuẩn hóa các nguyên thủy hậu lượng tử như ML-KEM (FIPS 203) như một phần của kế hoạch di chuyển rộng hơn.

Bên trong Bitcoin, BIP 360 đề xuất một loại output “Pay to Quantum Resistant Hash”.

Trong khi đó, qbip.org kêu gọi loại bỏ dần chữ ký cũ để thúc đẩy động lực di chuyển và giảm đuôi dài các khóa bị lộ.

Lộ trình gần đây của các công ty bổ sung bối cảnh cho lý do tại sao chủ đề này được coi là hạ tầng chứ không phải tình trạng khẩn cấp.

Trong một báo cáo gần đây của Reuters, IBM đã thảo luận về tiến bộ trong các thành phần sửa lỗi và nhấn mạnh lộ trình hướng tới một hệ thống chịu lỗi vào khoảng năm 2029.

Reuters cũng đưa tin về tuyên bố của IBM rằng một thuật toán sửa lỗi lượng tử quan trọng có thể chạy trên chip AMD thông thường, trong một báo cáo riêng biệt.

Trong cách diễn đạt đó, “máy tính lượng tử phá vỡ mã hóa Bitcoin” thất bại cả về thuật ngữ lẫn cơ chế.

Những điều có thể đo lường là bao nhiêu phần của tập UTXO đã lộ khóa công khai, hành vi ví thay đổi như thế nào để phản ứng với việc lộ khóa đó, và mạng lưới có thể áp dụng các đường chi tiêu kháng lượng tử nhanh đến đâu trong khi vẫn giữ được các ràng buộc xác thực và thị trường phí.

Bài viết Bitcoin encryption isn’t at risk from quantum computers for one simple reason: it doesn’t actually exist xuất hiện đầu tiên trên CryptoSlate.