Mối đe dọa lượng tử đối với Bitcoin không phải là về việc phá vỡ mã hóa—mà là về việc tiết lộ chìa khóa của bạn

Những câu chuyện phổ biến về máy tính lượng tử phá vỡ mã hóa của Bitcoin về cơ bản đã đi lệch hướng. Bitcoin không lưu trữ bí mật mã hóa trên chuỗi mà các máy lượng tử có thể giải mã. Thay vào đó, điểm yếu thực sự tập trung vào một điều gì đó còn cụ thể hơn nhiều: nếu xuất hiện một máy tính lượng tử liên quan đến mật mã, nó có thể khai thác các khóa công khai bị lộ để tạo ra các giao dịch giả mạo không hợp lệ thông qua thuật toán Shor. Sự phân biệt này rất quan trọng để hiểu rõ cả về lộ trình và các chiến lược giảm thiểu rủi ro mà Bitcoin cần.

Tại sao Mô hình Bảo mật của Bitcoin hoàn toàn không dựa vào Mã hóa

Chuỗi khối của Bitcoin hoạt động như một sổ cái công khai. Mọi giao dịch, số lượng và địa chỉ đều có thể nhìn thấy được bởi tất cả mọi người. Việc sở hữu được chứng minh qua các chữ ký số—cụ thể là chữ ký ECDSA và Schnorr—chứ không phải qua dữ liệu mã hóa cần phải che giấu. Những chữ ký này thể hiện quyền kiểm soát một cặp khóa; chúng không che giấu bất cứ điều gì. Khi ai đó tiêu coins, họ tạo ra một chữ ký hợp lệ mà mạng lưới chấp nhận. Chính chuỗi khối không chứa ciphertext nào để giải mã.

Sự thật kiến trúc nền tảng này phơi bày một vấn đề về thuật ngữ trong cách mà mối đe dọa lượng tử thường được thảo luận. Chuyên gia bảo mật Adam Back đã diễn đạt rõ ràng: Bitcoin không sử dụng mã hóa theo nghĩa truyền thống. Gọi máy tính lượng tử là mối đe dọa đối với “mã hóa Bitcoin” phản ánh sự hiểu lầm về những gì Bitcoin thực sự bảo vệ. Giao thức bảo vệ quyền sở hữu qua chữ ký và cam kết dựa trên hàm băm, chứ không phải ciphertexts.

Rủi ro lượng tử thực sự: Phát sinh Khóa riêng từ các Khóa công khai bị lộ

Tình huống cần chú ý là rất hẹp: nếu một kẻ tấn công lượng tử có thể chạy thuật toán Shor một cách hiệu quả đối với mã hóa elliptic-curve của Bitcoin, chúng có thể suy ra một khóa riêng từ khóa công khai trên chuỗi. Với khóa riêng trong tay, chúng có thể tạo ra một chữ ký giao dịch hợp lệ cạnh tranh và có khả năng chuyển hướng các khoản tiền.

Việc mối đe dọa này có thành hiện thực hay không phụ thuộc vào các mô hình lộ diện của khóa công khai. Nhiều định dạng địa chỉ Bitcoin cam kết dựa trên một hàm băm của khóa công khai—nghĩa là khóa thô vẫn còn ẩn cho đến khi giao dịch được tiêu. Khoảng thời gian dễ bị tổn thương này khá nhỏ. Nhưng các loại script khác lại lộ khóa công khai sớm hơn, và việc tái sử dụng địa chỉ biến việc tiết lộ một lần thành một mục tiêu liên tục để phục hồi khóa.

Dự án Eleven’s “Bitcoin Risq List” theo dõi chính xác nơi các khóa công khai đã xuất hiện trên chuỗi, lập bản đồ các nhóm địa chỉ có thể dễ bị tổn thương đối với thuật toán Shor. Phân tích mới nhất của họ xác định khoảng 6,7 triệu BTC được giữ trong các địa chỉ đáp ứng tiêu chí lộ diện, theo dữ liệu chuỗi khối hiện tại.

Đo lường Rủi ro lượng tử mà không cần biết khi nào nó đến

Yêu cầu tính toán để phá vỡ mã hóa elliptic-curve hiện đã khá rõ ràng, ngay cả khi thời điểm đạt được vẫn còn chưa chắc chắn.

Nghiên cứu của Roetteler và các cộng sự đã xác định rằng việc tính toán logarit rời rạc 256-bit của elliptic-curve cần khoảng 2.330 qubit logic tối thiểu về lý thuyết. Chuyển đổi các qubit logic thành một máy tính lượng tử sửa lỗi hoạt động được sẽ tạo ra một lượng lớn qubit vật lý. Phân tích của Litinski năm 2023 gợi ý rằng việc tính toán khóa riêng 256-bit có thể thực hiện trong khoảng 10 phút với khoảng 6,9 triệu qubit vật lý. Các ước lượng khác tập trung vào khoảng 13 triệu qubit vật lý để phá vỡ trong vòng một ngày, tùy thuộc vào giả định về thời gian và tỷ lệ lỗi.

Những con số này cung cấp một khung đo lường có thể xác định. Bởi vì việc lộ diện khóa công khai có thể đo lường được ngày nay—Dự án Eleven thực hiện quét tự động hàng tuần—danh sách UTXO dễ bị tổn thương có thể được theo dõi ngay bây giờ mà không cần chờ đợi khả năng lượng tử thực sự xuất hiện.

Các thay đổi ở cấp độ giao thức như Taproot (BIP 341) đã thay đổi các mô hình lộ diện theo những cách liên quan. Các đầu ra Taproot bao gồm một khóa công khai đã chỉnh sửa 32-byte trực tiếp trong chương trình đầu ra thay vì chỉ là một hàm băm khóa công khai. Điều này không tạo ra lỗ hổng ngày nay, nhưng nó thay đổi các địa chỉ sẽ bị lộ diện nếu việc phục hồi khóa trở nên khả thi. Trong khi đó, các đề xuất như BIP 360 (“Pay to Quantum Resistant Hash”) đề xuất các lộ trình chuyển đổi tiềm năng sang các đầu ra chống lượng tử.

Các biện pháp phòng ngừa hành vi và câu hỏi về Hash

Đối với hoạt động của Bitcoin, các lựa chọn hành vi và thiết kế ví tiền điện tử cung cấp các biện pháp ứng phó trong ngắn hạn. Tái sử dụng địa chỉ làm tăng đáng kể khả năng lộ diện; ví tạo địa chỉ mới cho mỗi giao dịch sẽ thu hẹp bề mặt tấn công. Nếu việc phục hồi khóa riêng trở nên đủ nhanh để xảy ra trong một khung thời gian của một khối, các kẻ tấn công sẽ phải đua nhau tiêu từ các đầu ra bị lộ diện thay vì viết lại lịch sử đồng thuận—một mô hình đe dọa hoàn toàn khác.

Việc băm đôi khi được gộp vào các mối quan tâm về lượng tử, nhưng thuật toán liên quan ở đây là Grover chứ không phải Shor. Grover chỉ cung cấp một tốc độ tăng gấp căn bậc hai cho tìm kiếm brute-force—giữ cho khả năng chống lại tiền đề SHA-256 ở mức khoảng 2^128 công việc ngay cả khi bị tấn công lượng tử. Điều này không thể so sánh với việc phá vỡ logarit rời rạc của elliptic-curve.

Chuyển đổi, không phải khẩn cấp: Con đường thực tế phía trước

NIST đã chuẩn hóa các nguyên thủy hậu lượng tử như ML-KEM (FIPS 203) như một phần của kế hoạch chuyển đổi mật mã rộng hơn. Trong Bitcoin, các nhà phát triển và nhà nghiên cứu đang đề xuất các cơ chế chuyển đổi: các loại đầu ra mới sử dụng cam kết hàm băm chống lượng tử, các cơ chế kết thúc chữ ký cũ để tạo động lực chuyển đổi, và nâng cấp ví liên tục để giảm thiểu việc tái sử dụng địa chỉ.

Các mốc thời gian gần đây của các công ty lớn như IBM cũng cung cấp bối cảnh. Gần đây, IBM đã đề cập tiến trình hướng tới một hệ thống lượng tử chịu lỗi vào khoảng năm 2029, mặc dù con đường từ các thử nghiệm trong phòng thí nghiệm đến các hệ thống có khả năng tấn công mật mã đã triển khai vẫn còn dài và chưa chắc chắn.

Thách thức lượng tử đối với Bitcoin cuối cùng là một vấn đề phối hợp và chuyển đổi, chứ không phải sụp đổ mật mã ngay lập tức. Các số liệu có thể hành động rõ ràng: theo dõi các khóa công khai bị lộ diện trong bộ UTXO, tối ưu hóa hành vi ví để giảm thiểu khả năng lộ diện, và áp dụng các mô hình chi tiêu chống lượng tử tại cấp mạng lưới trong khi vẫn duy trì hiệu quả xác thực và ổn định thị trường phí.