Влияние квантовых вычислений Google на безопасность Ethereum

Автор: сообщество 登链

Оригинальная ссылка:

Заявление: данная статья является переработанным материалом, читатели могут получить дополнительную информацию по исходной ссылке. Если автор возражает против формы переработки, пожалуйста, свяжитесь с нами, и мы внесем изменения по его требованию. Переработка предназначена только для обмена информацией, не является инвестиционной рекомендацией и не отражает точку зрения и позицию Wu Shuo.

Хотя квантовые вычисления в настоящее время все еще имеют ярко выраженную спекулятивную окраску, с повышением эффективности алгоритма Шора, безопасность аккаунтов Ethereum, механизмы консенсуса и системы доказательств Layer 2 действительно сталкиваются с долгосрочными рисками. При переходе к постквантовым стандартам NIST необходимо учитывать потенциальные криптографические бреши.

Контекст (Context)

Исследователи из Google, Berkeley, Stanford и фонда Ethereum опубликовали статью о существенной оптимизации квантовых алгоритмов и их влиянии на криптовалюты.

Некоторые важные моменты: квантовые вычисления в значительной степени являются спекулятивными. Они привлекают внимание посредством хайпа и спекуляций, что обеспечивает постоянное финансирование.

Это не означает, что оптимизация не является реальной — она действительно есть — но при чтении материалов о квантовом криптоанализе важно учитывать этот фон. У нас есть время для классификации и итераций, учитывая историю, связанную с NSA (Национальное агентство безопасности США) и NIST (Национальный институт стандартов и технологий США), особенно в отношении стандартов на решетки (Lattice), к которым стоит относиться с подозрением.

О чем идет речь (What We’re Talking About)

Статья касается биткоина (предположительно из-за сомнений в SECP256R1/P256) и многих других цепочек, использующих кривую SECP256K1 (K256). В этом анализе особое внимание уделяется сети Ethereum, поскольку Monero использует другую кривую, а в контексте биткоина здесь не обеспечивается ни приватность, ни программируемость.

Кривая Monero (ed25519) явно не рассматривается как цель, хотя в статье упоминается, что взлом ее может быть не сложнее, чем K256, и не на порядок.

При использовании квантовых поисковых алгоритмов поиск предобраза хеш-суммы (например, SHA256 или KECCAK256) действительно немного ускоряется, но это не экспоненциальное улучшение. Такие методы не представляют собой серьезной угрозы для этих хеш-функций, и в статье также не предложены улучшения атак на них.

Таймлайн (Timelines)

NIST обычно отвечает за стандарты криптографии и объявления о безопасности для правительства США. Внутренний отчет NIST №8547, опубликованный в ноябре 2024 года, указывает, что протоколы обмена ключами и подписи на основе RSA и дискретных логарифмов на эллиптических кривых будут отказаны до 2030 года и полностью запрещены к использованию до 2035 года. Это связано с возможностью алгоритма Шора ускорить решение дискретных логарифмов экспоненциально.

В статье представлен один из вариантов оптимизации, который значительно сокращает количество логических кубитов и ворот Тэффоли, необходимых для атаки на K256 (один из узловых элементов алгоритма Шора). Рекомендуется как можно раньше отказаться от использования этих схем, хотя конкретных дат не приводится.

Хотя в модели не рассматриваются другие кривые, такие как BN254 или BLS12-381, в статье отмечается, что сложность их взлома не должна существенно отличаться от K256. Это делает более уязвимыми системы, основанные на билинейных парах (bilinear pairings), и потенциально позволяет восстановить системы полиномиальных обещаний (например, KZG, используемые в zk-SNARKs), содержащие «ядовитое отходы» (toxic waste).

Риски для Ethereum (Risks For Ethereum)

В статье выделены пять типов уязвимостей в Ethereum:

Аккаунты (Account)

Управление (Admin)

Код (Code)

Консенсус (Consensus)

Доступность данных (Data Availability)

Аккаунты и управление (Account and Admin)

Поскольку адреса аккаунтов — это хеш-отсечение публичных ключей K256, аккаунты, не отправлявшие транзакции или не публиковавшие подписи (например, подписи permit), не раскрывают свои публичные ключи. Это означает, что они пока не подвержены угрозам.

Однако, как только аккаунт опубликует подпись, его публичный ключ можно восстановить, что откроет его для атак.

Уязвимость «управления» касается аккаунтов с привилегированными адресами. Мультиподписи M из N требуют взлома M аккаунтов, но в остальном они защищены. Это означает, что настраиваемые контракты могут быть манипулированы, а обновляемые прокси-контракты — заменены на «драйнеры» (drainers) для кражи токенов.

Код (Code)

Эта уязвимость связана с использованием в предкомпилированных контрактах (precompiles) криптографических примитивов, неустойчивых к квантовым атакам. В настоящее время это включает:

ECDSA на кривой K256

ECDSA на кривой P256

Доказательства полиномиальных обещаний KZG

Действия точек BN254 и билинейные пары

Действия точек BLS12-381 и билинейные пары

Предкомпилированные контракты ECDSA P256 расширяют проблему аккаунтов на использование аккаунтов, подписанных на основе P256, например, через безопасные изолированные области iOS и Android (secure enclave), такие как Face ID или отпечатки пальцев.

Кривые BN254 и BLS применяются в протоколах приватности и zk-SNARKs Layer 2. Восстановление «ядовитого отхода» из этих систем позволит злоумышленнику подделывать доказательства в любой системе, полагающейся на эти обещания.

Консенсус (Consensus)

Ethereum использует BLS12-381 для агрегирования подписей в механизме консенсуса. Влияние зависит от доли поврежденных узлов:

Взлом валидаторов: может привести к принудительному штрафу (slash).

Взлом более 1/3: может привести к отказу в финализации (finality).

Взлом более 1/2: может повлиять на выбор ветки и вызвать глубокую реорганизацию (reorganization).

Взлом более 2/3: катастрофический сценарий; потребуется внесетевой восстановление.

Доступность данных (Data Availability)

Система Blob Ethereum использует доказательства KZG для выборки данных. Если в настройках обнаружены «ядовитые отходы», их можно восстановить и создать поддельное доказательство доступности данных, что создаст проблемы для Layer 2, использующих Blob для состояния.

Постквантовая проблема (The Post Quantum Problem)

Прямое решение — переход на системы на основе решеток (Lattice) или хеш-функций. NIST разработал следующие стандарты:

(FIPS 203) — механизм шифрования ключей на основе модульных решеток

(FIPS 204) — цифровая подпись на основе модульных решеток

(FIPS 205) — безсостояние цифровые подписи на основе хешей

Однако из-за вмешательства NSA стандарты NIST в истории подвергались критике. В числе случаев — бэкдоры в DES-брекерах EFF, бэкдоры NSA в Dual EC DRBG и недостаточная прозрачность NIST в отношении постквантовой криптографии.

Известные эксперты, такие как D.J. Bernstein, подчеркивают огромные уязвимости криптографии на основе решеток и то, что эти реализации постоянно эволюционируют в ответ на новые атаки.

Ключевые выводы (Takeaways)

У нас есть несколько лет. Следует быстро, но аккуратно вносить изменения. В идеале — использовать модульные системы аутентификации для облегчения будущих обновлений.

Нужно помнить, что криптография — это временная мера; она дает время, пока данные не станут безоперационными после расшифровки. Также важно учитывать, как организации вроде NSA могут пытаться внедрить бреши в постквантовых решениях.