L'impact de l'informatique quantique de Google sur la sécurité d'Ethereum

Auteur : Communauté DengLian

Lien vers l’article original :

Déclaration : Cet article est une reproduction, les lecteurs peuvent obtenir plus d’informations via le lien original. Si l’auteur a des objections concernant la reproduction, veuillez nous contacter, nous modifierons selon ses demandes. La reproduction est uniquement destinée au partage d’informations, ne constitue aucun conseil en investissement, et ne reflète pas le point de vue ou la position de Wu.

Bien que l’informatique quantique soit encore fortement sujette à la spéculation, avec l’amélioration de l’efficacité de l’algorithme de Shor, la sécurité des comptes Ethereum, les mécanismes de consensus et le système de preuve Layer 2 font face à des risques à long terme. Lors de la transition vers la norme post-quantique du NIST, il faut se prémunir contre d’éventuelles portes dérobées cryptographiques.

Contexte (Context)

Des chercheurs de Google, Berkeley, Stanford et de la Fondation Ethereum ont publié un article sur l’optimisation substantielle des algorithmes quantiques et leur impact sur la cryptomonnaie.

Voici quelques éléments de contexte nécessaires : l’informatique quantique est en grande partie une opération de spéculation. Elle attire l’attention par la hype et la spéculation, ce qui lui permet d’obtenir un financement continu.

Cela ne veut pas dire que ce n’est pas une optimisation substantielle — c’est effectivement le cas — mais lorsque nous lisons sur la cryptanalyse quantique, nous devons garder ce contexte à l’esprit. Nous avons le temps de classifier et d’itérer, et compte tenu de l’histoire impliquant la NSA (Agence de sécurité nationale des États-Unis) et le NIST (Institut national des normes et de la technologie des États-Unis), il faut d’abord se méfier des normes de lattice recommandées par le NIST.

De quoi parlons-nous ? (What We’re Talking About)

L’article concerne la courbe Bitcoin (probablement par suspicion envers SECP256R1/P256) et la courbe SECP256K1 (K256), utilisée par de nombreuses autres chaînes. Notre analyse se concentrera principalement sur le réseau Ethereum, car Monero utilise une courbe différente, et dans ce contexte spécifique, Bitcoin ne fournit ni confidentialité ni programmabilité.

La courbe Monero (ed25519) n’est pas explicitement ciblée, bien que l’article mentionne que la difficulté de la compromettre pourrait ne pas être supérieure d’un ordre de grandeur à celui de K256.

Sous l’algorithme de recherche quantique, la recherche d’images préalables (comme SHA256 ou KECCAK256) pour une valeur pré-image (pre-image) sera effectivement légèrement accélérée, mais cette amélioration n’est pas exponentielle. Elle ne constitue pas une menace raisonnable pour ces algorithmes de hachage, et l’article n’améliore pas leurs attaques.

Calendrier (Timelines)

Le NIST est généralement responsable des standards cryptographiques et des annonces de sécurité pour le gouvernement américain. Le rapport interne NIST 8547 publié en novembre 2024 marque que : les protocoles d’échange de clés et de signature utilisant RSA et la logarithme discret elliptique seront abandonnés avant 2030, et interdits avant 2035. Cela est dû à la capacité de l’algorithme de Shor à accélérer exponentiellement la résolution de ces problèmes.

L’article démontre une optimisation permettant de réduire considérablement le nombre de qubits logiques et de portes Toffoli nécessaires pour attaquer K256. Il recommande de déprécier ces courbes le plus tôt possible, sans donner de date précise.

Bien qu’il ne modélise pas directement d’autres courbes comme BN254 ou BLS12-381, l’article indique que leur difficulté d’attaque ne devrait pas être significativement supérieure à celle de K256. Cela rend les systèmes utilisant des accouplements bilinéaires généralement plus vulnérables, et pourrait permettre de récupérer des “déchets toxiques (toxic waste)” dans des systèmes de promesses polynomiales (comme ceux utilisés dans zk-SNARKs, par exemple KZG).

Risques pour Ethereum (Risks For Ethereum)

L’article identifie cinq vulnérabilités spécifiques à Ethereum :

Compte (Account)

Gestion (Admin)

Code (Code)

Consensus (Consensus)

Disponibilité des données (Data Availability)

Compte et gestion (Account and Admin)

Étant donné que l’adresse du compte est un hash tronqué de la clé publique K256, les comptes n’ayant pas encore envoyé de transaction ou publié de signature (comme une signature permit) ne révèlent pas leur clé publique. Cela signifie qu’ils ne sont pas encore vulnérables.

Cependant, dès qu’un compte publie une signature, sa clé publique peut être récupérée, le mettant en danger.

La vulnérabilité “gestion” concerne les comptes avec des adresses privilégiées. Les comptes multi-signatures M-of-N nécessitent que M comptes soient compromis, mais en dehors de cela, ils sont sans défense. Cela signifie que des contrats configurables peuvent être manipulés, et que des contrats proxy pouvant être mis à jour pourraient être remplacés par des contrats de drain (drainer) pour voler des tokens.

Code (Code)

Cette vulnérabilité concerne les contrats utilisant des précompilés (precompiles) qui ne sont pas résistants à la cryptographie post-quantique. Actuellement, cela inclut :

ECDSA K256

ECDSA P256

Preuve de promesse polynomiale KZG

Opérations sur points BN254 et accouplements bilinéaires

Opérations sur points BLS12-381 et accouplements bilinéaires

Les précompilés ECDSA P256 étendent le problème à des comptes intelligents utilisant la courbe P256, par exemple ceux signés par le Secure Enclave (secure enclave) d’iOS et Android (authentification par Face ID, empreinte digitale).

Les courbes BN254 et BLS sont utilisées dans les protocoles de confidentialité et dans les zk-SNARKs de Layer 2. Récupérer des “déchets toxiques (toxic waste)” à partir de ces systèmes permettrait à un attaquant de falsifier des preuves dans tout système s’appuyant sur ces promesses.

Consensus (Consensus)

Ethereum utilise la aggregation de signatures BLS12-381 dans son mécanisme de consensus. L’impact dépend de la proportion de la partie du réseau compromise :

Vérificateurs compromis : possibilité d’imposer des pénalités de participation (slash).

Plus d’un tiers compromis : possibilité de rejeter la finalité (finality).

Plus de la moitié compromis : influence sur la sélection de la chaîne et possibilité de réorganisations profondes (reorganization).

Plus des deux tiers compromis : catastrophe ; nécessite une récupération hors réseau.

Disponibilité des données (Data Availability)

Le système Blob d’Ethereum utilise des preuves de promesse KZG pour l’échantillonnage de la disponibilité des données. Si des déchets toxiques sont récupérés dans ce contexte, il est possible de créer de fausses preuves de disponibilité, ce qui pose problème pour les Layer 2 dépendant du stockage Blob pour la transition d’état.

Problème post-quantique (The Post Quantum Problem)

La solution directe consiste à migrer vers des systèmes basés sur des lattice (Lattice) ou sur le hachage. Le NIST a défini les standards suivants :

(FIPS 203) Mécanisme de chiffrement à clé basé sur la lattice

(FIPS 204) Signature numérique basée sur la lattice

(FIPS 205) Signature numérique sans état basée sur le hachage

Cependant, en raison de l’intervention de la NSA, les standards du NIST ont toujours été sujets à suspicion. Des exemples historiques incluent le décryptage DES par l’EFF, la porte dérobée NSA dans Dual EC DRBG, et le manque de transparence du NIST concernant la cryptographie post-quantique impliquant la NSA.

Des experts renommés comme D.J. Bernstein soulignent l’énorme surface d’attaque de la cryptographie basée sur la lattice, et le fait que ces implémentations évoluent constamment face à de nouvelles vecteurs d’attaque.

Points clés (Takeaways)

Nous disposons encore de plusieurs années. Nous devons ajuster rapidement mais prudemment. Idéalement, nous devrions utiliser un système d’authentification modulaire pour faciliter des itérations plus rapides à l’avenir.

Nous devons reconnaître que la cryptographie est transitoire ; elle achète du temps avant que les données ne deviennent inutilisables une fois décryptées. Nous devons également être conscients de la manière dont des institutions comme la NSA pourraient tenter d’introduire des portes dérobées dans les suites post-quantiques.