Re: zagrożenie kwantowe dla Bitcoin i blockchainów, istnieją dwa ogólne podejścia: (1) Kwanty nie będą istotne przez długi czas, dlatego nie ma potrzeby działania w pośpiechu. (2) Kwanty są już istotne i musimy działać pilnie. Dla informacji, rzeczywiści fizycy kwantowi i eksperci ds. bezpieczeństwa coraz częściej opowiadają się za światem (2). Ludzie, którzy wierzą, że jesteśmy w świecie (1), są albo uzbrojeni w złe fakty, złe założenia, albo po prostu nie chcą krytycznie myśleć o wpływie. 🧵

1/ Załącznik 1: Najnowszy post na blogu Google'a autorstwa Hartmuta Nevena (szefa @GoogleQuantumAI) i Kenta Walkera (szefa spraw publicznych w Google/Alphabet) przedstawia przejście do kryptografii post-kwantowej jako pilne, systemowe, wymagające skoordynowanych działań teraz, aby "przyspieszyć postęp" i adopcję.

Argument Google'a jest prosty: komputery kwantowe złamią kryptografię zabezpieczającą internet. Obecne metody kryptograficzne opierają się na problemach, które klasyczne komputery nie potrafią rozwiązać efektywnie. Komputery kwantowe łamią ten paradygmat i nie będą "na zawsze dziesięć lat w przyszłości".

3/ I nie tylko teoretyzują. Badacze z Google właśnie opublikowali prace, które pokazują, że złamanie szyfrowania RSA o długości 2048 bitów wymaga ~1 miliona hałaśliwych kubitów, a nie miliardów, jak wcześniej szacowano. Wymagania dotyczące zasobów spadają szybciej niż oczekiwano, co powoduje, że harmonogram się kurczy.

4/ (Przy okazji dla komentatorów, którzy mogą zauważyć, że Bitcoin nie używa RSA, z wyprzedzeniem odpowiadam, że ECDSA może być łatwiejsze do złamania niż RSA-2048, ponieważ algorytm Shora działa w czasie wielomianowym w zależności od długości klucza, a klucze krzywych eliptycznych są znacznie krótsze niż klucze RSA, co potencjalnie czyni to jeszcze bardziej pilnym).

5/ Pytanie: Dlaczego Google miałby mocno inwestować w przyspieszenie adopcji kryptografii post-kwantowej dla swoich własnych systemów, jeśli byliby pesymistyczni co do postępów w dziedzinie kwantowej? Odpowiedź: Widzą swoje własne krzywe możliwości i działają odpowiednio.

6/ Nawet zakładając, że to, co jest publiczne, jest na najwyższym poziomie (a nie jest), pozycja Google jest racjonalna: przygotuj się na zdolności, zanim się pojawią, ponieważ gdy już tu będą, jesteś już w tyle. Klasyczna postawa obronna. To nie tylko Google. Wiodące firmy, które priorytetowo traktują bezpieczeństwo (takie jak @Cloudflare i @Apple), priorytetowo traktują bezpieczeństwo post-kwantowe w swoich planach. Jakie mają powody, aby to priorytetować, których my nie mamy?

7/ Załącznik 2: Scott Aaronson, jeden z najbardziej znanych sceptyków w dziedzinie komputerów kwantowych oraz fizyk, który znany jest z krytyki przesady związanej z kwantami, przyznał, że w ciągu ostatnich dwóch lat dokonano rzeczywistego postępu, jednocześnie podkreślając niepewność co do przyszłych terminów. @preskill również poczynił podobne obserwacje. Oto Scott:

8/ Kiedy ludzie na tym poziomie, którzy zbudowali swoją reputację na sceptycyzmie wobec kwantów i integralności akademickiej, mówią, że postęp jest rzeczywisty, a harmonogramy mogą się przyspieszać, powinno to dać wszystkim do myślenia. Stawianie bezpieczeństwa bilionów w aktywach na "to będzie wolne" jest lekkomyślne.

9/ Załącznik 3: Rząd USA nakazał, aby wszystkie krytyczne systemy przeszły na kryptografię post-kwantową do 2030 roku. NIST sfinalizował standardy PQC w 2024 roku. NSA jest oczywiście głównym czynnikiem napędzającym te terminy, pracując wstecz na podstawie wywiadu dotyczącego zagrożeń. Jeśli wymagają migracji do 2030 roku, mogą potencjalnie widzieć harmonogramy możliwości, które uzasadniają tę pilność. Mogą wiedzieć rzeczy, których my nie wiemy.

10/ Krótko mówiąc, konsensus ekspertów z osób rzeczywiście budujących komputery kwantowe lub z organizacji, które mają wiele do stracenia, jest następujący: postęp przyspieszył, harmonogramy są niepewne, przygotowanie jest niezbędne, a stawka jest wysoka.

11/ Teraz porównaj to z obozem "nic-nie-robić". Ich dowody są często samoreferencyjne, całkowicie ignorują ekspertów kwantowych i powtarzają empirycznie błędne twierdzenia w komorze echa. Studium przypadku: raport @coinshares (opublikowany tego samego dnia, co blog Google, o którym mowa powyżej). Rozłóżmy błędy w tym poście, ponieważ jest to ilustracyjny przykład.

12/ Błąd #1: Autor twierdzi, że tylko ~1,6M BTC jest narażone, a może 10 200 BTC może spowodować zakłócenia na rynku. Matematyka tutaj jest po prostu błędna.

13/ Fakt: Podmiot, który uważa się za Satoshiego, posiada samodzielnie 1,096,152 BTC na 21,924 adresach. Wszystkie są narażone. I to nie tylko adresy P2PK. Każdy adres, który raz podpisał transakcję (i pozostawił tam resztkowe środki), jest narażony na atak kwantowy. Obejmuje to wiele z największych adresów BTC dzisiaj.

14/ Utrzymujemy na bieżąco aktualizowany tracker Bitcoin narażonego na kwantowe ataki tutaj: Skrzyżuj z doskonałym raportem technicznym @ChaincodeLabs na temat zagrożeń kwantowych dla Bitcoina tutaj: W każdym przypadku narażenie jest znacznie większe, niż sugeruje raport @coinshares.

15/ Błąd #2: Ich "dowód" na to, że technologia kwantowa jest daleko, to cytat od CTO Ledger. Szanuję tę osobę i nie mam nic przeciwko niej, ale to czysta apelacja do autorytetu z oczywistym uprzedzeniem. Jeśli podpisy odporne na kwanty zostaną przyjęte, każde istniejące urządzenie @Ledger potencjalnie stanie się przestarzałe. Zastanów się więc nad zachętą i źródłem. Co najmniej powinniśmy uznać, że to jest jeden punkt widzenia, a jeden potencjalnie "wybrany" w celu potwierdzenia uprzedzeń.

16/ Błąd #3: Podczas gdy nieeksperci są konsultowani w zakresie swojej wiedzy o kwantach, nie podejmuje się próby zrozumienia wysiłku ani złożoności unikalnej dla zastosowania rozwiązań post-kwantowych w istniejącej, już wdrożonej blockchainie. Należą do nich: - miliony rozproszonych kluczy, które każdy muszą być migrowane osobno - brak scentralizowanej władzy decyzyjnej - własność aktywów wyłącznie na podstawie podpisu cyfrowego (brak alternatywy)

17/ Zgodnie z badaniami recenzowanymi, blockchain BTC musiałby być wyłączony przez 76 dni, aby przetworzyć transakcje migracyjne dla istniejącego zestawu UTXO. To najlepszy przypadek.

18/ Błąd #4: Autor odrzuca każdego, kto podnosi świadomość na temat zagrożeń związanych z kwantami, nazywając ich "oszustami." Jeśli komputer kwantowy łamiący kryptograficzne fundamenty aktywów cyfrowych o wartości $ bilionów nie jest poważnym problemem, to nie wiem, co nim jest. Karykaturowanie badaczy i twórców jako oszustów jest samobójcze.

19/ Nawet jeśli weźmiesz twierdzenie o "10 latach w przyszłości" za dobrą monetę (a są dobre powody, by tego nie robić), brzmi to odlegle, dopóki nie zdasz sobie sprawy, że to: - optymistyczny szacunek, który ma już kilka lat, a wymagania dotyczące zasobów spadają szybciej, niż przewidywano, oraz - techniczne wyzwanie związane z migracją tych systemów jest znacznie bardziej skomplikowane, niż się ludziom wydaje.

20/ Dobrą wiadomością jest to, że możemy rozwiązać ten problem. Blockchainy mogą się dostosować. Istnieje kryptografia post-kwantowa. Ale lekceważenie ostrzeżeń od ekspertów kwantowych, ponieważ zagrożenie wydaje się odległe, to dokładnie sposób, w jaki można zostać zaskoczonym.

21/ Ludzie lubią pewność. Niestety, jedyną pewnością dotyczącą kryptograficznie istotnych komputerów kwantowych jest to, że złamią Bitcoin i niemal każdą inną sieć aktywów cyfrowych. Przewidywanie dokładnie, kiedy ten moment nadejdzie, to głupota. Ale nie ma powodu, dla którego nie mógłby on nadejść wcześniej niż się spodziewano, tak jak postęp AI wielokrotnie zaskakiwał pesymistyczne harmonogramy dzięki wykładniczemu rozwojowi.

22/ Wolałbym, aby bezpieczeństwo blockchainów nie opierało się na założeniu, że postęp w dziedzinie komputerów kwantowych będzie wolny. /Koniec

Jeśli chodzi o kwantowe linie czasowe, powód, dla którego osobiście uważam, że istnieje rozłączenie, to fakt, że ludzie nie rozumieją nieliniowości postępu w tej kwestii. Mówiąc prosto, komputery kwantowe będą albo niezdolne do wykonywania jakichkolwiek znaczących obliczeń kryptograficznych (dziś), albo będą zdolne do obsługi każdego wdrożonego klasycznego algorytmu asymetrycznego. Nie ma powodu, aby inwestować w budowanie systemu dla środkowego gruntu. Kluczową różnicą między jednym a drugim jest zdolność do korekcji błędów. **Dlatego** widzisz wszystkie inwestycje i wysiłki skierowane w tym kierunku. Ponieważ gdy to zostanie rozwiązane, skalowanie tych systemów do znaczenia kryptograficznego nie będzie takie trudne. Nic, a potem wszystko naraz.

@reardencode @dallairedemers @Ethan_Heilman Również, istnieje wiele powodów, by wierzyć, że w miarę postępu, jest znacznie mniej powodów, by upubliczniać stan sztuki. W rzeczywistości, to może już się dziać.