Environ un quart de tout le bitcoin est exposé au risque d’une attaque quantique, lié aux clés publiques qui ont été révélées sur la blockchain. Mais si une grande partie de l’offre est vulnérable, cela soulève une préoccupation plus profonde: la confiance dans l’ensemble du modèle de sécurité de Bitcoin est-elle à risque?
Imaginez vous réveiller, vérifier votre téléphone et votre solde de Bitcoin est nul. Pas seulement votre stockage froid, vos soldes d’échange aussi. Disparu. Du jour au lendemain, des millions d’Utxos se sont drainés dans une attaque silencieuse et coordonnée.
Cela semble extrême, mais ce type d’événement serait plus qu’un simple vol. Ce serait une attaque directe sur la valeur de Bitcoin, un signal public que sa cryptographie principale n’est plus sécurisée. Un acteur au niveau de l’État pourrait tenter quelque chose comme ça, non seulement pour voler des pièces, mais pour détruire la confiance et provoquer délibérément le chaos.
Tous les attaquants n’agiraient pas si fort. Un plus incendié pourrait adopter l’approche opposée. Avec l’accès à un ordinateur quantique, ils pourraient cibler tranquillement les utxos plus anciens, drainant les pièces de portefeuilles oubliés ou inactifs. Leur objectif serait de siphonner autant que possible avant que le reste du monde ne se réalise.
Mais que l’attaque soit bruyante ou silencieuse, rapide ou lente, le résultat final est plus ou moins le même. Les hypothèses selon lesquelles le bitcoin sécurisé ne sont plus vraies dans un monde post-Quantum. Les mathématiques qui ont obtenu le bitcoin depuis son début pourraient être brisées à tout moment, par une machine qu’aucun de nous n’a encore vu, mais nous savons que c’est théoriquement possible.
Ce que les ordinateurs quantiques se cassent réellement
Un ordinateur quantique n’est pas seulement une version plus rapide des ordinateurs que nous avons aujourd’hui. C’est un type de machine fondamentalement différent. Pour la plupart des tâches, ce ne serait pas beaucoup plus rapide qu’un ordinateur ordinaire. Mais pour des problèmes très spécifiques, il serait assez puissant pour se casser beaucoup.
Les signatures numériques de Bitcoin aujourd’hui, y compris Schnorr et Ecdsa, comptent sur quelque chose appelé le problème de logarithme discret. Considérez-le comme une sorte de rue mathématique à sens unique. Il est facile de faire une direction, mais extrêmement difficile à revenir. Vous pouvez prendre une clé privée et générer une clé publique ou une signature, mais faire l’inverse, dériver la clé privée de la clé publique, est pratiquement impossible. Et c’est pourquoi vous pouvez partager votre clé publique sur la blockchain en toute sécurité, car il est impossible pour quiconque de l’inverser et de dériver votre clé privée correspondante.
Mais avec un ordinateur quantique suffisamment grand, cette hypothèse se casse. En utilisant Algorithme de Shorun attaquant quantique pourrait résoudre le problème du logarithme discret. Et cette «sensation unique» ne tient plus. Compte tenu de toute clé publique sur la blockchain, un attaquant peut dériver sa clé privée correspondante.
Choix difficiles, grands compromis
Il n’y a pas de solutions parfaites ici. Tout plan pour défendre Bitcoin contre ces attaques quantiques implique de gros compromis. Certains sont techniques. Certains sont sociaux. Tous sont difficiles.
Une possibilité consiste à introduire un nouveau type de type de sortie qui n’utilise que des signatures post-quantum. Au lieu de compter sur des logarithmes discrets, que les ordinateurs quantiques peuvent se casser, vous verrouillez les pièces en utilisant des schémas de signature quantique à partir du début. Quiconque envoie des fonds à cette adresse sait qu’il choisit une sécurité plus forte et à l’épreuve des futurs.
Un grand compromis ici est la taille. La plupart des signatures post-quantum sont énormes, souvent mesurées en kilo-kilo-octets au lieu des octets. Cela signifie que les signatures post-quantum peuvent être de 40 à 600 fois plus importantes que les signatures bitcoins actuelles. Si une signature ECDSA / Schnorr tient dans un SMS, une signature post-Quantum pourrait être aussi grande qu’une petite photo numérique. Ils coûtent plus cher pour diffuser, et plus pour stocker sur la blockchain. Les portefeuilles HD, les configurations multisig et même la gestion des clés de base deviennent plus complexes ou peuvent même ne pas fonctionner du tout. Faire des signatures de seuil avec des signatures post-quantum est toujours un problème de recherche ouverte.
Une proposition connexe pour aller entièrement post-Quantum vient de Jameson Lopp, qui a proposé une fenêtre de migration fixe de 4 ans. Après l’introduction de signatures post-quantum, donnez à l’écosystème Bitcoin quelques années pour tourner dans des sorties en matière de sécurité quantique. Après cela, les pièces qui n’ont pas été déplacées sont traitées comme perdues. Une approche agressive, mais elle établit une échéance claire et donne au réseau le temps de s’adapter avant que les coups de crise ne soient.
Jusqu’à ce que la menace devienne plus réelle, nous préférerions compter sur la cryptographie en laquelle nous avons déjà confiance. Mais si nous convenons tous que Bitcoin a besoin d’un plan, qu’est-ce que ça va être?
Personne ne veut se précipiter dans le Bitcoin de Chance avec des hypothèses non prouvées. Plutôt que de pousser quelque chose de complètement nouveau, Bitcoin peut déjà avoir un point de départ intégré. Racine pivotante!
Sécurité post-Quantum cachée de Taproot
La tapoot, introduite en 2021, est surtout connue pour améliorer la confidentialité et l’efficacité. Ce que de nombreux utilisateurs ne réalisent pas, c’est que cela pourrait également être la base d’une transition plus fluide vers un monde post-Quantum.
Chaque sortie de tapoot contient un ensemble initialement caché de conditions de dépenses alternatives. Ces chemins de script alternatifs ne sont jamais révélés à moins d’être utilisés. À l’heure actuelle, la plupart des pièces de tapoot sont dépensées en utilisant des signatures Schnorr, mais ces chemins cachés peuvent être utilisés pour presque n’importe quoi. Cela inclut les vérifications de signature post-Quantum (PQ).
L’idée que la structure interne de Taproot pourrait résister aux attaques quantiques remonte à Matt Corallo, qui l’a d’abord propagée. Et récemment, Tim Ruffing de Blockstream Research a publié un article montrant que cette approche est en fait sécurisée: les chemins de secours à l’intérieur de la racine de tapoot peuvent rester en confiance, même si Schnorr et Ecdsa sont brisés.
Cela ouvre la porte à un chemin de mise à niveau simple mais puissant.
Étape 1: Ajouter des opcodes post-Quantum
La première étape consiste à introduire la prise en charge des signatures post-Quantum dans le script Bitcoin. Cela pourrait être fait en ajoutant de nouveaux OPCodes qui permettent aux scripts de tapoot de vérifier les signatures PQ, en utilisant des algorithmes actuellement standardisés et évalués.
De cette façon, les utilisateurs pourraient commencer à créer des sorties de tapoot avec deux chemins de dépenses:
- Le chemin de clé utiliserait toujours des signatures Schnorr rapides et efficaces pour une utilisation quotidienne.
- Le chemin de script contiendrait un replacement post-Quantum, révélé uniquement si nécessaire.
Rien ne change à court terme. Les pièces se comportent de la même manière. Mais si une menace quantique apparaît, le secours est déjà en place.
Étape 2: retourner l’interrupteur de mise à mort
Plus tard, si un grand ordinateur quantique est développé et que le risque devient réel, Bitcoin pourrait désactiver les dépenses de Schnorr et ECDSA.
Ce commutateur de mise à mort protégerait le réseau en empêchant les pièces dans les sorties vulnérables de leur vol. Tant que les utilisateurs ont déplacé leurs pièces vers des sorties de tapoot améliorées qui incluent des bases post-quanttum, ces pièces resteraient sûres et dépenses.
La transition entraînera inévitablement un peu de friction, mais j’espère qu’elle serait moins perturbatrice qu’une brouillage de dernière minute. Et grâce aux chemins de script cachés de Taproot, la plupart de ces travaux pourraient se produire tranquillement à l’avance.
Préparation sans panique
Il n’y a pas d’horloge à compte à rebours à la menace quantique. Nous ne savons pas quand cette percée dans l’informatique quantique se produira. Cela pourrait être à une décennie, ou cela pourrait être beaucoup plus proche. Personne ne sait.
Rien de tout cela n’est simple. Il y a encore des questions ouvertes sur les algorithmes post-Quantum que nous devons utiliser, comment les rendre suffisamment efficaces pour le bitcoin et comment préserver les fonctionnalités de base comme le seuil multisig et la dérivation clé. Mais la chose la plus importante est de commencer. Idéalement pas après la construction du premier ordinateur quantique pertinent cryptographiquement pertinent, mais maintenant, alors que le système est toujours sécurisé et que des chemins de mise à niveau sont toujours disponibles.
En permettant une prise en charge de la signature post-Quantum dans le script Bitcoin aujourd’hui, nous donnons aux utilisateurs le temps de préparer. L’éducation peut se produire progressivement, sans panique. Et les utilisateurs peuvent commencer à migrer des pièces à leur rythme. Si nous attendons trop longtemps, nous perdons ce luxe. Les mises à niveau effectuées sous stress se déroulent rarement en douceur.
Les travaux de Tim Ruffing présentent un éventuel chemin vers l’avant. Un plan qui utilise les outils que Bitcoin a déjà. Lisez son article complet pour comprendre comment cela fonctionne en détail.
Ceci est un article invité de Kiara Bickers de Blockstream. Les opinions exprimées sont entièrement les leurs et ne reflètent pas nécessairement celles du magazine BTC Inc ou Bitcoin.