Pokud jde o kvantovou hrozbu pro Bitcoin a blockchainy, existují dva obecné pohledy: (1) Kvantové nebude dlouho relevantní, proto není potřeba naléhavosti. (2) Kvantové je již relevantní a musíme jednat naléhavě. Pro informaci, skuteční kvantoví fyzici a bezpečnostní experti jsou stále více ve světě (2). Lidi, kteří věří, že jsme ve světě (1), jsou buď ozbrojeni špatnými fakty, špatnými předpoklady, nebo prostě nechtějí kriticky přemýšlet o dopadu. 🧵

1/ Důkaz 1: Nejnovější blogový příspěvek Googlu od Hartmuta Nevena (vedoucí @GoogleQuantumAI) a Kenta Walkera (vedoucího veřejných záležitostí Google/Alphabet) rámuje přechod na postkvantovou kryptografii jako naléhavý, systémový, který vyžaduje koordinovanou akci nyní k "urychlení pokroku" a přijetí.

2/ Argument Googlu je přímočarý: kvantové počítače prolomí kryptografii zajišťující internet. Současné kryptografické metody se opírají o problémy, které klasické počítače nedokážou efektivně vyřešit. Quantum tento paradigmat porušuje a nebude "navždy vzdálené deset let".

3/ A oni nejen teoretizují. Výzkumníci Googlu právě publikovali práci, která ukazuje, že prolomení 2048bitového RSA šifrování vyžaduje ~1 milion šumových qubitů, nikoli miliardy, které se dříve odhadovaly. Požadavky na zdroje klesají rychleji, než se čekalo, takže časová osa se zkracuje.

4/ (Mimochodem, pro komentátory, kteří by mohli poukázat na to, že Bitcoin nepoužívá RSA, předem odpovídám, že ECDSA může být snazší prolomit než RSA-2048, protože Shorův algoritmus běží v čase polynomiálně v délce klíče a eliptická křivka je mnohem kratší než RSA klíče, což může situaci ještě více zkomplikovat).

5/ Otázka: Proč by Google výrazně investoval do urychlení adopce postkvantové kryptografie ve svých vlastních systémech, pokud by byl ohledně kvantového pokroku skeptický? Odpověď: Vidí své vlastní křivky schopností a podle toho jednají.

6/ I když předpokládáme, že to, co je veřejné, je špičkové (není), postoj Googlu je racionální: připravte se na tuto schopnost dřív, než dorazí, protože jakmile je tady, už jste pozadu. Klasická obranná pozice. Není to jen Google. Přední společnosti, které upřednostňují bezpečnost (jako @Cloudflare a @Apple), upřednostňují postkvantovou bezpečnost ve svých plánech. Jaký mají důvod tomu dávat přednost, který my ne?

7/ Důkaz 2: Scott Aaronson, jeden z nejvýznamnějších skeptiků kvantového počítání a fyzik známý tím, že kritizuje kvantový humbuk, uznal skutečný pokrok dosažený za poslední dva roky a zároveň zdůraznil nejistotu ohledně budoucích časových linií. @preskill učinil podobné pozorování. Tady je Scott:

8/ Když lidé na této úrovni, kteří si vybudovali reputaci na kvantové skepsi a akademické integritě, říkají, že pokrok je skutečný a časové osy se mohou zrychlit, mělo by to všechny přimět k zamyšlení. Vsadit na bezpečnost bilionů aktiv na "bude to pomalé" je nerozumné.

9/ Důkaz 3: Vláda USA nařídila, aby všechny kritické systémy přešly na postkvantovou kryptografii do roku 2030. NIST dokončil standardy PQC v roce 2024. NSA je samozřejmě hlavním faktorem při posouvání těchto termínů, když vychází zpětně z informací o hrozbách. Pokud požadují migraci do roku 2030, potenciálně vidí časové plány schopností, které tuto naléhavost ospravedlňují. Mohou vědět věci, které my ne.

10/ Stručně řečeno, odborný konsenzus mezi lidmi, kteří skutečně staví kvantové počítače, nebo organizacemi, které mají velké riziko, je: pokrok se zrychlil, časové plány jsou nejisté, příprava je nezbytná a sázky vysoké.

11/ Teď to porovnejte s táborem "nedělajících". Jejich důkazy jsou často sebereferenční, zcela ignorují kvantové experty a opakují empiricky nesprávná tvrzení v ozvěnové komoře. Případová studie: @coinshares zpráva (zveřejněná ve stejný den jako výše zmíněný blogový příspěvek Googlu). Pojďme si rozebrat chyby v tom příspěvku, protože je to ilustrativní příklad.

12/ Chyba #1: Autor tvrdí, že pouze ~1,6 milionu BTC je zranitelných, přičemž možná 10 200 BTC může způsobit tržní narušení. Matematika je zde prostě špatná.

13/ Fakt: Subjekt, o kterém se věří, že je Satoshi, vlastní 1 096 152 BTC na 21 924 adresách. Všichni zranitelní. A nejde jen o P2PK adresy. Každá adresa, která jednou podepsala transakci (a nechala tam zbytkové prostředky), je zranitelná vůči kvantovému útoku. To zahrnuje mnoho největších BTC adres dnes.

14/ Udržujeme zde neustále aktualizovaný tracker kvantově zranitelného Bitcoinu: Porovnajte @ChaincodeLabs vynikající technickou zprávu o kvantových hrozbách pro Bitcoin zde: V každém případě je expozice mnohem větší, než naznačuje zpráva z @coinshares.

15/ Chyba #2: Jejich "důkazem", že kvantum je daleko, je citát od CTO Ledger. Toho člověka respektuji a nemám proti němu nic, ale tohle je čisté odvolání se autoritou s očividnou zaujatostí. Pokud se přijmou kvantově odolné signatury, každé existující @Ledger zařízení se potenciálně stane zastaralým. Zvažte tedy motivaci a zdroj. Minimálně bychom měli uznat, že jde o jediný pohled, který je potenciálně "vybraný" pro potvrzovací zkreslení.

16/ Chyba #3: Zatímco neodborníci jsou konzultováni ohledně své odbornosti v kvantové oblasti, nikdo se nesnaží pochopit úsilí nebo složitost jedinečnou při aplikaci postkvantových řešení na existující, již nasazený blockchain. Patří mezi ně: - miliony distribuovaných klíčů, které je třeba migrovat samostatně - žádná centralizovaná rozhodovací pravomoc - vlastnictví aktiv zcela na základě digitálního podpisu (bez záložní možnosti)

17/ Podle recenzovaného výzkumu by musel blockchain BTC na 76 dní vypnout, aby mohl zpracovat migrační transakce pro stávající sadu UTXO. To je nejlepší případ.

18/ Chyba #4: Autor označuje každého, kdo upozorňuje na kvantové hrozby, jako "podvodníky". Pokud kvantový počítač, který narušuje kryptografický základ bilionů dolarů v digitálních aktivech, není vážný problém, tak nevím, co je. Karikatura výzkumníků a stavitelů jako podvodníků je sebedestruktivní.

19/ I kdybyste přijali tvrzení "10 let pryč" doslovně (a existují dobré důvody ne), zní to vzdáleně, dokud si neuvědomíte, že to je: - optimistický odhad, který je nyní několik let starý a požadavky na zdroje klesají rychleji, než se předpokládalo, a - Technická výzva migrace těchto systémů je výrazně složitější, než lidé očekávají.

20/ Dobrá zpráva je, že tento problém můžeme vyřešit. Blockchainy se dokážou přizpůsobit. Existuje postkvantová kryptografie. Ale odmítání varování od kvantových expertů, protože hrozba působí vzdáleně, je přesně způsob, jak vás chytí nepřipraveného.

21/ Lidé mají rádi jistotu. Bohužel, jedinou jistotou ohledně kryptograficky relevantních kvantových počítačů je, že rozbijí Bitcoin a téměř všechny ostatní sítě digitálních aktiv. Předpovídat přesně, kdy ten okamžik nastane, je marná práce. Ale není důvod, proč by nemohla přijít dříve, než se čekalo, stejně jako pokrok AI opakovaně vzdoroval pesimistickým časovým onám díky exponenciálnímu pokroku.

22/ Raději bych, aby bezpečnost blockchainů nebyla založena na předpokladu, že pokrok v kvantovém počítání bude pomalý. /Konec

Co se týče kvantových časových linií, osobně si myslím, že je tu nesoulad, protože lidé nechápou nelinearitu pokroku zde. Jednoduše řečeno, kvantové počítače buď dnes nebudou schopné dělat nic kryptograficky smysluplného, nebo budou schopny používat všechny nasazené klasické asymetrické algoritmy. Není důvod investovat do budování systému pro střední cestu. Klíčovým rozdílem mezi jedním a druhým je schopnost korekce chyb. **To je důvod** důvod, proč vidíte, že se tam věnuje tolik investic a úsilí. Protože jakmile to prolomíte, škálování těchto systémů na kryptografickou relevanci nebude tak těžké. Nic, a pak najednou.

@reardencode @dallairedemers @Ethan_Heilman Také je důvod věřit, že jak se věci vyvíjejí, je mnohem méně důvodů propagovat stav techniky. Ve skutečnosti se to možná už děje.