Re: de kwantumdreiging voor Bitcoin en blockchains, zijn er twee brede opvattingen: (1) Kwantum zal lange tijd niet relevant zijn, daarom is er geen urgentie nodig. (2) Kwantum is al relevant, en we moeten met urgentie handelen. Voor wat het waard is, de daadwerkelijke kwantumfysici en beveiligingsexperts bevinden zich steeds meer in wereld (2). Mensen die geloven dat we in wereld (1) zijn, zijn ofwel gewapend met slechte feiten, slechte aannames, of willen gewoon niet kritisch nadenken over de impact. 🧵

1/ Tentoonstelling 1: De nieuwste blogpost van Google door Hartmut Neven (hoofd van @GoogleQuantumAI) en Kent Walker (hoofd Publieke Zaken voor Google/Alphabet) kadert de overgang naar post-kwantumcryptografie als urgent, systemisch, en vereist gecoördineerde actie nu om "de voortgang" en adoptie te "versnellen."

2/ Het argument van Google is eenvoudig: quantumcomputers zullen de cryptografie die het internet beveiligt, breken. Huidige cryptografische methoden zijn afhankelijk van problemen die klassieke computers niet efficiënt kunnen oplossen. Quantum doorbreekt dat paradigma en zal niet "voor altijd een decennium weg" zijn.

3/ En ze zijn niet alleen maar aan het theoriseren. Onderzoekers van Google hebben zojuist werk gepubliceerd waaruit blijkt dat het breken van 2048-bit RSA-encryptie ongeveer 1 miljoen ruisachtige qubits vereist, niet de miljarden die eerder werden geschat. De hulpbronnenvereisten dalen sneller dan verwacht, waardoor de tijdlijn wordt samengedrukt.

4/ (Trouwens, voor de commentatoren die misschien opmerken dat Bitcoin geen RSA gebruikt, reageer ik bij voorbaat dat ECDSA mogelijk gemakkelijker te breken is dan RSA-2048 omdat Shor's algoritme in polynomiale tijd ten opzichte van de sleutellengte draait, en elliptische kromme sleutels veel korter zijn dan RSA-sleutels, wat dit potentieel nog urgenter maakt).

5/ Vraag: Waarom zou Google zwaar investeren in het versnellen van de adoptie van post-kwantumcryptografie voor hun eigen systemen als ze pessimistisch zouden zijn over de vooruitgang in de kwantumtechnologie? Antwoord: Ze zien hun eigen capaciteitscurves en handelen dienovereenkomstig.

6/ Zelfs als we aannemen dat wat openbaar is state of the art is (dat is het niet), is de positie van Google rationeel: bereid je voor op de capaciteit voordat deze arriveert, want zodra deze er is, ben je al achterop. Klassieke defensieve houding. Dit geldt niet alleen voor Google. Vooruitstrevende bedrijven die veiligheid prioriteren (zoals @Cloudflare en @Apple) geven prioriteit aan post-kwantum beveiliging op hun roadmaps. Welke reden hebben zij om dit te prioriteren die wij niet hebben?

7/ Tentoonstelling 2: Scott Aaronson, een van de meest prominente sceptici van quantumcomputing en een fysicus die bekend staat om het aan de kaak stellen van de quantumhype, heeft de echte vooruitgang erkend die de afgelopen twee jaar is geboekt, terwijl hij de onzekerheid over toekomstige tijdlijnen benadrukt. @preskill heeft vergelijkbare observaties gemaakt. Hier is Scott:

8/ Wanneer mensen op dit niveau, die hun reputatie hebben opgebouwd op basis van kwantum-scepticisme en academische integriteit, zeggen dat de vooruitgang echt is en dat de tijdlijnen mogelijk versnellen, zou dat iedereen aan het denken moeten zetten. Het inzetten van de veiligheid van triljoenen aan activa op "het zal langzaam gaan" is roekeloos.

9/ Tentoonstelling 3: De Amerikaanse overheid heeft verplicht gesteld dat alle kritieke systemen tegen 2030 moeten migreren naar post-kwantumcryptografie. NIST heeft in 2024 de PQC-normen afgerond. De NSA is duidelijk een belangrijke factor in het aandrijven van deze deadlines, werkend vanuit dreigingsinformatie. Als ze migratie tegen 2030 vereisen, zien ze mogelijk capaciteitslijnen die die urgentie rechtvaardigen. Ze weten misschien dingen die wij niet weten.

10/ Kortom, de deskundige consensus van mensen die daadwerkelijk kwantumcomputers bouwen, of van organisaties die veel op het spel hebben staan, is: de vooruitgang is versneld, de tijdlijnen zijn onzeker, voorbereiding is essentieel en de inzet is hoog.

11/ Laten we dat vergelijken met het "doe-niets" kamp. Hun bewijs is vaak zelfreferentieel, negeert quantumexperts volledig en herhaalt empirisch onjuiste claims in een echo-kamer. Gevalstudie: @coinshares rapport (gepubliceerd op dezelfde dag als de blogpost van Google waar hierboven naar verwezen wordt). Laten we de fouten in die post ontleden, aangezien het een illustratief voorbeeld is.

12/ Fout #1: De auteur beweert dat slechts ~1,6M BTC kwetsbaar is, met misschien 10.200 BTC die in staat zijn om de markt te verstoren. De wiskunde hier is gewoon verkeerd.

13/ Feit: De entiteit die wordt verondersteld Satoshi te zijn, bezit alleen al 1.096.152 BTC verspreid over 21.924 adressen. Alle kwetsbaar. En het zijn niet alleen P2PK-adressen. Elk adres dat ooit een transactie heeft ondertekend (en daar resterende fondsen heeft achtergelaten) is kwetsbaar voor een kwantumaanval. Dat omvat veel van de grootste BTC-adressen van vandaag.

14/ We onderhouden hier een voortdurend bijgewerkte tracker van quantum-kwetsbare Bitcoin: Vergelijk met het uitstekende technische rapport van @ChaincodeLabs over quantumdreigingen voor Bitcoin hier: In beide gevallen is de blootstelling veel groter dan het rapport van @coinshares suggereert.

15/ Fout #2: Hun "bewijs" dat quantum ver weg is, is een citaat van de CTO van Ledger. Ik respecteer die persoon en heb niets tegen hem, maar dit is pure autoriteitsargumentatie met een duidelijke bias. Als quantum-resistente handtekeningen worden aangenomen, wordt elk bestaand @Ledger-apparaat potentieel obsoleet. Dus overweeg de prikkel en overweeg de bron. Tenminste zouden we moeten erkennen dat dit een enkel perspectief is, en mogelijk "cherry-picked" voor bevestigingsbias.

16/ Fout #3: Terwijl niet-experts worden geraadpleegd over hun expertise op het gebied van quantum, wordt er geen poging gedaan om de inspanning of complexiteit die uniek is voor het toepassen van post-quantumoplossingen op een bestaande, al uitgerolde blockchain te begrijpen. Deze omvatten: - miljoenen gedistribueerde sleutels die elk afzonderlijk moeten worden gemigreerd - geen gecentraliseerde besluitvormingsautoriteit - eigendom van activa volledig op basis van een digitale handtekening (geen terugval)

17/ Volgens peer-reviewed onderzoek zou de BTC-blockchain 76 dagen moeten worden afgesloten om migratietransacties voor de bestaande UTXO-set te verwerken. Dat is het beste geval.

18/ Fout #4: De auteur wijst iedereen die bewustzijn creëert over kwantumdreigingen af als "grifters." Als een kwantumcomputer de cryptografische basis van $ triljoenen aan digitale activa kan doorbreken, weet ik niet wat dan een serieus probleem is. Het karikaturiseren van onderzoekers en bouwers als grifters is contraproductief.

19/ Zelfs als je de bewering "10 jaar weg" voor waar aanneemt (en er zijn goede redenen om dat niet te doen), klinkt het ver weg totdat je je realiseert dat het: - de optimistische schatting is die nu een paar jaar oud is, en de hulpbronnenvereisten sneller dalen dan voorspeld, en - de technische uitdaging van het migreren van deze systemen veel ingewikkelder is dan mensen verwachten.

20/ Het goede nieuws is dat we dit probleem kunnen oplossen. Blockchains kunnen zich aanpassen. Post-kwantumcryptografie bestaat. Maar waarschuwingen van kwantumexperts negeren omdat de dreiging ver weg lijkt, is precies hoe je onvoorbereid kunt worden.

21/ Mensen houden van zekerheid. Helaas is de enige zekerheid over cryptografisch relevante quantumcomputers dat ze Bitcoin en bijna elk ander digitaal activenetwerk zullen breken. Voorspellen wanneer dat moment precies aanbreekt, is een dwaasheid. Maar er is geen reden waarom het niet eerder zou kunnen komen dan verwacht, net zoals de vooruitgang van AI herhaaldelijk pessimistische tijdlijnen heeft weerlegd door exponentiële vooruitgang.

22/ Ik geef er de voorkeur aan dat de beveiliging van blockchains niet is gebaseerd op de veronderstelling dat de vooruitgang in quantumcomputing traag zal zijn. /Einde

Wat betreft quantumtijdlijnen, de reden waarom ik persoonlijk denk dat er een disconnect is, is omdat mensen de niet-lineariteit van vooruitgang hier niet begrijpen. Eenvoudig gezegd, quantumcomputers zullen ofwel niet in staat zijn om iets cryptografisch betekenisvols te doen (vandaag), of ze zullen in staat zijn tot elke geïmplementeerde klassieke asymmetrische algoritme. Er is geen reden om te investeren in het bouwen van een systeem voor het midden. Het belangrijkste verschil tussen het een en het ander is de foutcorrectiecapaciteit. **Dat** is waarom je al die investeringen en inspanningen daar ziet. Want zodra dat is opgelost, zal het schalen van deze systemen naar cryptografische relevantie niet zo moeilijk zijn. Niets, en dan ineens alles.

@reardencode @dallairedemers @Ethan_Heilman Ook zijn er alle redenen om te geloven dat naarmate de zaken vorderen, er veel minder reden is om de stand van zaken te publiciseren. In feite kan dat al aan de hand zijn.