Nell’ultimo anno o giù di lì, è diventata una verità conosciuta nei circoli specializzati in Bitcoin che Bitcoin

E diventata una verità conosciuta nei circoli specializzati in Bitcoin che Bitcoin

Nell'ultimo anno o giù di lì, è diventata una verità conosciuta nei circoli specializzati in Bitcoin che Bitcoin, nella sua forma attuale, è parzialmente sicura. L'affermazione è che xe2x80x9cusedxe2x80x9d Bitcoin indirizzi xe2x80x93 cioè, indirizzi che sono entrambi ricevuti e inviati bitcoin, hanno la loro chiave pubblica esposta sulla blockchain, permettendo avversari quantistica abilitato per rompere Bitcoinxe2x80x99s crittografia a curva ellittica, mentre indirizzi Bitcoin xe2x80x9cunusedxe2x80x9d, che possono avere corrispondenti ottenuto bitcoin ma non sono stati spesi da, non hanno esposto le loro chiavi, lasciandoli beneficiare delle promesse crittografiche considerevolmente più forti di SHA256 e RIPEMD-160. A condizione che la prima spesa commerciale da qualsiasi indirizzo Bitcoin prosciughi tutti i fondi salvati in quel discorso a nuovi indirizzi come cambiamento, il concetto va, Bitcoin dovrebbe rimanere altrettanto sicuro di prima. In realtà, poiché la maggior parte dei wallet si sforza di non riutilizzare gli indirizzi per migliorare la privacy, per la maggior parte degli utenti saranno necessarie solo piccole modifiche al software per soddisfare le più severe condizioni di sicurezza, pertanto l'adattamento al calcolo quantistico sarebbe un gioco da ragazzi. Questo argomento è stato fatto da molte persone della comunità Bitcoin, specialmente da me. In realtà, ma l'argomento ha un difetto fatale.

Per cominciare, lo sfondo specializzato. La chiave pubblica generale proviene dalla chiave privata per moltiplicazione della curva ellittica e, dati solo i computer classici come quelli esistenti ora, il recupero della chiave privata da una chiave pubblica è praticamente impossibile. Il discorso proviene dalla chiave pubblica con una serie di tre passaggi: applicare la funzione hash SHA256 al segreto pubblico, utilizzando la funzione hash RIPEMD-160 per questo e infine includendo un valore indicato come checksum per la correzione dell'errore (in modo che se dovessi digitare erroneamente un carattere durante l'invio a un discorso di Bitcoin, i tuoi soldi non spariranno in un buco nero). Lo scopo delle funzioni hash è che, proprio come la moltiplicazione della curva ellittica, sono computazionalmente non fattibili da invertire; dato un indirizzo, non c'è modo, a parte l'approccio della forza bruta di provare tutte le possibili chiavi pubbliche, per trovare la chiave pubblica che il discorso è derivato.

D'altra parte, entrambi i calcoli differiscono radicalmente nel modo in cui sono efficienti. Algoritmo Groverxe2x80x99s, d'altro canto, non offre nulla di simile a una velocità così drastica. Nell'istanza di RIPEMD-160, il più povero dei due hash utilizzati per creare un indirizzo Bitcoin, significa che il numero di passaggi necessari per recuperare una chiave pubblica da un indirizzo scende da 1.4 trilioni di trilioni di trilioni di trilioni a xe2x80xa6 1.2 trilioni di miliardi di miliardi. Un po 'più facile, ma ancora per fortuna poco pratico. Come spiegato sopra, gli indirizzi xe2x80x9cusedxe2x80x9d di Bitcoin hanno un segreto pubblico esposto, quindi è la semplice sfida di dividere la crittografia della curva ellittica usando l'algoritmo Shorxe2x80x99s che è il collo di bottiglia. Xe2x80x9cUnusedxe2x80x9d Gli indirizzi bitcoin, d'altra parte, espongono solo il discorso stesso, quindi è il problema Grover di RIPEMD-160 che pone l'ostacolo indebolito, ma ancora insormontabile.

Quindi Whatxe2x80x99s il problema?

Qui è dove la logica di cui sopra va male. Per quanto riguarda i computer quantistici nei due paragrafi precedenti, anche in questo caso, data la competenza pubblica, è fondamentalmente corretto, e se un discorso di Bitcoin è veramente inutilizzato, allora anche i computer quantici premiati, tutti i bitcoin che si trovano all'interno vanno bene. D'altra parte, la domanda è: come puoi davvero spendere i fondi? Per essere in grado di rilasciare i bitcoin inviati a questo indirizzo, è necessario fare un commercio Bitcoin, che deve avere una firma e una chiave pubblica per verificare che sia stata la persona a possedere la chiave privata che l'ha firmata. Ma ecco il problema. Facendo questo scambio, hai appena rilasciato tutte le informazioni che chiunque con un computer quantico dovrebbe impersonare completamente te, direttamente sul posto. Con il calcolo quantico, le segnature delle curve ellittiche sono fragili come un foglio di carta elettronico.

Se invii una spesa commerciale di 100 BTC in speech 13ign, con 10 BTC andando a 1v1tal per coprire le merci e 90 BTC shift torni al tuo nuovo indirizzo a 1mcqmmnx, il primo nodo a cui spedisci lo scambio può sostituire l'indirizzo di turno con qualunque vogliono, recuperano la chiave privata dalla tua chiave pubblica e forgiano la tua firma. L'unico modo per evitare il problema è essenzialmente spedire lo scambio direttamente a un pool di miniere, come BTCGuild o Slush, e sperare che il pool di miniere sia equo e posizionare lo scambio direttamente nella blockchain. Anche dopo questo, tuttavia, sei esposto a qualche attacco di Finney xe2x80x93 un minatore disonesto può falsificare la tua firma, e creare un blocco valido comprendente la sua falsificazione commerciale continuando la blockchain da uno precedente al blocco più recente (quello contenente il tuo trade), e, poiché le lunghezze della nuova e della vecchia blockchain sarebbero equivalenti, l'attaccante avrebbe una probabilità del 50% che il suo blocco avesse la precedenza. Pertanto, le transazioni sicure sono praticamente impossibili.

Bitcoin e Quantum-Safe problema può essere

Lamport Signature: A Option.

Fondamentalmente, lo scopo delle funzioni di hash sarebbe quello di fornirci l'equivalente matematico di una serratura. Pubblicare l'hash di un valore è molto simile a mettere un blocco in pubblico e rilasciare il valore originale è simile all'apertura del blocco. Ma una volta che il lucchetto è aperto, non può più essere chiuso. Il problema è, tuttavia, che i blocchi in modo indipendente non possono creare uno schema di firma digitale sicuro. Ciò che la crittografia a curva ellittica fornisce e SHA256 e RIPEMD-160 no, è un mezzo per dimostrare che hai il valore segreto dietro un cyber lock, e anche allegare questa prova a un particolare messaggio, senza rivelare il valore originale o addirittura rendere la prova valida per qualsiasi altro messaggio rispetto a quello che hai allegato. In Bitcoin, il messaggio in questione è un trade. Ogni volta che il tuo cliente Bitcoin invia uno scambio alla comunità, quello che sta facendo è inviare una dimostrazione matematica della seguente verità: questo commercio, che afferma che sto inviando questa somma di denaro per questo discorso, è stato assemblato da qualcuno responsabile per il segreto privato che supporta il discorso di Bitcoin Ixe2x80x99m che invia da. Questa è la base per il lato transazionale della sicurezza di Bitcoinxe2x80x99s.

Ma c'è una costruzione che ci autorizza a risolvere questo problema senza RSA, curve ellittiche o qualsiasi altro tradizionale sistema crittografico a chiave pubblica: le firme di Lamport. Una firma Lamport è una firma una tantum che aggira il problema del lockbox nel modo seguente: ci sono più blocchi, ed è il contenuto di questo messaggio (o meglio, l'hash del messaggio) che determina quali blocchi devono essere aperti. Se una persona tenta di inventare il tuo messaggio, è quasi certo (leggi: che il sole scorrerà dall'idrogeno prima che accada un'altra situazione) che lo schema di firma di Lamport richiederà loro di aprire almeno un lucchetto che non hai aperto già xe2x80x93 che loro, privo dei valori segreti non pubblicati, non sarà in grado di esibirsi.

Bitcoin e Quantum-Safe interno vanno bene

Le firme Lamport possono sembrare tecnicamente complesse, ma dal momento che hanno semplicemente un componente xe2x80x93, la funzione hash (in questo caso, wexe2x80x99ll utilizza RIPEMD-160) sono di fatto tra i protocolli crittografici più accessibili da comprendere per la persona normale. L'algoritmo funziona come segue:

Tutti questi valori, o in alcune implementazioni che il seme utilizzato per crearli, sono la tua chiave privata. Tutte queste sono la tua chiave principale, e saranno anche richieste dalla comunità per verificare in seguito la tua firma. Per firmare un messaggio, calcola l'hash RIPEMD-160 di questo messaggio, quindi, a seconda di ogni bit dell'hash, rilascia il numero chiave dietro il primo o il secondo hash in ogni coppia. Se il bit è zero, apri l'hash e, se il bit è uno, apri la seconda decorazione.

Sotto questa strategia, un discorso di Bitcoin sarà ancora l'hash SHA256 RIPEMD-160 della chiave pubblica; l'unica differenza è che la chiave pubblica sarà composta da 320 hash invece di un punto di curva ellittica. Uno scambio includerà la chiave pubblica insieme alla firma, proprio come adesso, e, ancora una volta proprio come adesso, i verificatori controlleranno che la chiave pubblica corrisponda al discorso insieme alle corrispondenze della firma con il messaggio insieme alla chiave pubblica. Le firme sono imperdonabili; tuttavia con l'algoritmo Groverxe2x80x99s, quindi richiederà 2 80 passaggi per un avversario per costruire una transazione fraudolenta che richiede loro di rivelare gli stessi 160 numeri segreti specifici che hai già dimostrato, o anche un avversario può prendere due passi 80 * 80 per semplicemente crack tutti gli hash. Entrambi i numeri sono nei trilioni di trilioni di entrambi i calcoli.

Bitcoin e Quantum-Safe essenzialmente una questione di restrizione

L'unico cambiamento nel comportamento che verrà richiesto è che le persone inizino a utilizzare gli indirizzi solo una volta; Seguendo due usi, la sicurezza dello schema Lamport scende a due 40, un valore che potrebbe essere ancora sicuro contro i computer quantistici all'inizio, ma a malapena, e seguendo tre usi, itxe2x80x99s è debole come la crittografia a curva ellittica. Teoricamente, ma anche questo può essere parzialmente superato; lo schema di firma Merkle si basa sull'idea di Lamportxe2x80x99 per creare firme che possono essere utilizzate centinaia o decine, o anche potenzialmente migliaia di volte prima che la chiave privata debba essere ritirata. L'unica limitazione al numero massimo di transazioni per discorso è essenzialmente una questione di restrizione del bloat blockchain.

Dato quello che ora è competenza pubblica, i computer quantistici sono ancora lontani; il computer quantistico più efficace fino ad oggi è riuscito a utilizzare l'algoritmo Shorxe2x80x99s per calcolare il numero 21. Ma, i progressi improvvisi sono sempre possibili, e abbiamo costantemente bisogno di una strategia su cosa possiamo fare se Edward Snowden decide di scoprire che la NSA ha computer quantistici completamente funzionali nascosti in un centro dati segreto. Probabilmente non saremo in grado di gestire un evento così sorprendente, ma possiamo certamente gestire casi in cui riceviamo un preavviso di un mese. La soluzione è questa: non appena viene dichiarata una pre-emergenza quantistica, ognuno deve trasferire le proprie ricchezze in uno scambio multisign 1 in 2 tra un discorso inutilizzato, vecchio stile, Bitcoin, insieme a un indirizzo generato con il nuovo Lamport schema. In seguito, gli sviluppatori dovrebbero creare rapidamente la patch Lamport per tutti i numerosi client Bitcoin che è possibile e spingere affinché tutti possano aggiornarsi. Se l'intera procedura viene eseguita entro quattordici giorni, quando i computer quantistici diventeranno una minaccia, la maggior parte dei bitcoin di personexe2x80x99 sarà in nuovi indirizzi Lamport e sarà anche sicura. Per le persone che hanno la loro prosperità in discorsi vecchio stile (indirizzi inutilizzati in vecchio stile che sono: da quel momento le monete negli indirizzi vecchio stile utilizzati possono essere banalmente rubate), un paio di organizzazioni affermate accetteranno di servire come nodi affidabili, utilizzando lo schema di firma Merkle per portare una firma aggiuntiva alle transazioni che inviano discorsi vecchio stile a indirizzi di nuovo stile. Per fermare le frodi della comunità e gli scioperi di Finney, le nuove regole Bitcoin richiederanno tutte le transazioni dal più vecchio al nuovo dopo una specifica fase che sarà firmata da queste autorità. Il sistema di alimentazione introdurrà la centralizzazione, ma sarà solo una misura temporanea di emergenza, e dopo un paio di anni il sistema può essere completamente ritirato. Da lì, ci lecchiamo le nostre ferite, selezioniamo le nostre perdite e passiamo ad apprezzare alcuni degli oggetti più meravigliosi che il calcolo quantico ha da offrirti.