Kan kvantecomputere knække Bitcoin?

Lad mig begynde denne artikel med en ansvarsfraskrivelse. Jeg har ikke en hjerne i nærheden af, der er stor nok til at komme tæt på at forstå, hvad kvantecomputere er.

Når dette så er sagt, så er jeg super nysgerrig efter dens potentielle påvirkning på Bitcoin , og som følge heraf er dette noget jeg har brugt lidt tid på at undersøge i min fritid for nylig. Du ved, “bare for sjov”. Retfærdigvis tilbragte jeg en halv dag i en lufthavn tidligere på måneden, så hvad skulle jeg ellers gøre for at slå tiden ihjel?

Jeg regnede med, at jeg ville sammensætte en artikel for at prøve at opsummere min forskning og forklare, hvad kvantecomputere er for en størrelse, såvel som dets implikationer for Bitcoin, i enkle vendinger, så andre almindelige mennesker ligesom mig – de ikke-religiøse videnskabsmænd, om du vil – kan begribe det hele. Her er hvad jeg fandt ud af.

Hvad er kvantecomputere?

Kvantecomputere er en hurtigt fremvoksende teknologi , der læner sig op af kvantemekanik for at kunne løse en række problemer, der er for avancerede for “normale” computere at håndtere. De beskæftiger sig med subatomære partiklers interaktion og bevægelser, og har udviklet sig til et sted, som de fleste videnskabsmænd aldrig ville kunne have forestillet sig for blot få år siden.

Tænk i bund og grund på dette som en række superkraftige computere, som er i stand til at løse ekstremt vanskelige matematiske og kryptografiske gåder laaaangt hurtigere end klassiske computere i dag.

Hvad har dette med Bitcoin at gøre?

Bitcoin er baseret på noget, der hedder asymmetrisk kryptografi. Dette betyder, at den fungerer ud fra et princip kaldet en “envejsfunktion”. Der er to afgørende aspekter ved hver eneste Bitcoin wallet: en privat nøgle og en offentlig nøgle. Hvis du har en privat nøgle, så kan du nemt udlede den offentlige nøgle. Men – og dette er den afgørende del – så gælder dette ikke omvendt, idet hvis du har en eller andens offentlige nøgle, så kan du ikke udlede deres private nøgle. Deraf betegnelsen “envejsfunktion”.

Dette giver mening. Det er klart, at Bitcoin ville være ubrugelig, hvis du kunne trække nogens offentlige nøgle op (som er tilgængelig for alle at se online, for det meste i det mindste), og ud fra dette udlede deres private nøgle, og dermed få adgang til deres wallet. Der er ingen måde at gøre dette på med computere i dag, fordi du ville være nødt til at gennemsøge et astronomisk antal beregninger for at finde den private nøgle.

Oh her kommer kvantecomputerne ind i billedet Tænk på en kvantecomputer som Albert Einsteins hjerne og en normal computer som min usle hjerne. Ting der er fuldstændig uoverkommelige for mig ligger indenfor rammerne af mulighederne for hr. Einstein. Og i overensstemmelse med denne analogi, så kan Einstein knække den private nøgle.

Mange mener at det er uundgåeligt, at kvantecomputere udvikler sig til dette punkt. Ser man på deres fremskridt de seneste år, så ville det være svært at satse imod dette. For eksempel hævdede Google i 2019 i en rapport (som var ventet med spænding af forskerne), at de havde udviklet en særlig avanceret kvantecomputer. Denne computer var i stand til at udføre en beregning på 200 sekunder, der ville tage nutidens mest avancerede klassiske computer, kendt som Summit, cirka 10.000 år.

Med Bitcoin skal afsenderen for at kunne sende bitcoins fra én adresse til en anden autorisere at de ejer den (offentlige) adresse, hvor pengene opbevares. For at gøre dette skal de levere en digital signatur i form af deres private nøgle for dermed at bevise, at pengene på den adresse rent faktisk er deres. Med en kvantecomputer med tilstrækkelig kraft kan en person, der har din offentlige nøgle, knække koden for at få din private nøgle, og dermed få magten til at forfalske signaturen og snuppe alle dine bitcoins. Chok og rædsel! Udråbstegn!

Men hold dog lige fast – dette betyder dog ikke, at de forskellige Bitcoin wallets er ved at blive knækket. Ikke dem alle sammen i hvert fald.

Vil kvantecomputere knække Bitcoin?

Bitcoin-adresser – til det formål, som vi kigger på her – kan opdeles i to kategorier. Dette vil lyde lidt komplekst i begyndelsen, men bær over med mig – husk, jeg kommer heller ikke fra en computerbaggrund, så jeg vil derfor forsøge at holde det hele simpelt og binde det hele sammen.

Den første af de to kategorier af Bitcoin-adresser kaldes en “betal til offentlig nøgle” (p2pk). Det var den mest velkendte adressetype, og derfor falder de fleste adresser fra dengang under denne kategori. Dette inkluderer dine bitcoins, hr. eller fru Nakamoto – men mere om Satoshi implikationerne senere.

Disse p2pk-adresser er de mest sårbare, når det kommer til en potentiel fremtid, der inkluderer kvantecomputere. Den offentlige nøgle kan hentes direkte fra walletens adresse, og da dette er blockchain, så er alle adresserne synlige for hele verden.

For eksempel er dette Bitcoin-adressen til Bitcoin, den første adresse, der nogensinde blev lavet. Satoshi Nakamoto – hvor end du befinder dig, hr. – modtog 50 bitcoins som belønning for at mine dem den 3. januar 2009. De selvsamme 50 bitcoins har aldrig forladt adressen lige siden. Og alle kan udlede den offentlige nøgle til denne adresse.

(Åh, som en sjov sidenote, som du kan se nedenfor er der 68 bitcoins på denne adresse, på trods af at Satoshi kun tjente 50 bitcoins for at mine dem. Dette skyldes at folk har sendt bitcoins til adressen gennem årene for at vise deres påskønnelse for hvad Satoshi havde gjort).

Satoshi minede faktisk over 22.000 bitcoin-blokke med en ny adresse, der blev genereret hver eneste gang, fordi han eller hun ønskede at forblive så anonym som overhovedet muligt. Med 50 bitcoins på hver eneste af disse adresser (igen, så har ingen af disse bevæget sig en tøddel), så er der derfor omkring 1 million bitcoins, der antages at tilhøre Satoshi.

Ok, tilbage til sagen. Disse er naturligvis tidlige bitcoin-adresser og falder derfor ind under p2pk-kategorien. Dette betyder, at de offentligt synlige adresser, for eksempel genesis-adressen som vist ovenfor – 1A1zP1eP5QGefi2DMPTfTL5SLmv7DivfNa – alle har deres offentlige nøgler, der kan hentes af enhver person i verden.

Og når en kvantecomputer ankommer, så vil den være i stand til at knække den private nøgle til disse adresser fra disse tilgængelige offentlige nøgler, og således snuppe alle disse bitcoins. Det afgørende punkt i dette afsnit er, at for at en Bitcoin-adresse skal kunne blive kompromitteret af en kvantecomputer, så skal den først have en tilgængelig offentlig nøgle.

Er alle adresser modtagelige for at blive knækket af kvantecomputerne?

Heldigvis er det ikke alle adresser, der falder ind under denne kategori. Den anden kategori er en nyere type adresse kaldet en “pay to public key hash” (p2pkh). For disse adresser kan den offentlige nøgle ikke hentes fra adressen. I stedet afsløres den offentlige nøgle kun for verden, når der foretages en transaktion, der sender penge fra den pågældende wallet.

Dette betyder, at disse adresser er uigennemtrængelige for kvantecomputerne, indtil brugeren sender penge fra denne wallet. Derefter er de fuldstændigt ligesom Satoshis p2pk-adresser ovenfor – hvor deres offentlige nøgler er synlige for verden, og således er sårbare overfor kvantecomputerne.

Dette er grunden til, at puristerne opfordrer til genbrug af Bitcoin-adresser. Faktisk, hvis man skal være så sikker som overhovedet muligt, så bør man aldrig genbruge den samme adresse – men mange lytter desværre ikke til dette råd.

Så hvor mange Bitcoin-adresser kan kvantecomputere så knække?

For at opsummere det foregående afsnit, så er to typer bitcoin-adresser sårbare overfor kvantecomputerne. Den første er de gamle p2pk-adresser som Satoshis. Den anden er de genbrugte p2pkh-adresser.

Deloitte offentliggjorde en analyse, der vurderede antallet af adresser, der falder ind under disse kategorier. Nedenstående graf opsummerer deres resultater.

Dette viser, at old-school p2pk-adresserne dominerede i de tidlige år. De mere sikre p2pkh-adresser kom online i 2010 og blev hurtigt den dominerende adressetype. En vigtig konklusion er her, at antallet af mønter i de gamle p2pk-adresser ser ud til at have forblevet konstant på omkring 2 millioner bitcoins (9,5% af den endelige forsyning på 21 millioner bitcoins, hvoraf over halvdelen antages at tilhøre Satoshi ).

Jeg synes derfor at det er rimeligt at konkludere, når man kigger på de passive 2 millioner mønter i p2pk-adresserne (den blå linje), at disse kan tilskrives de tidlige minere, som aldrig har solgt deres Bitcoins, og hvor mange af disse sandsynligvis mistede deres mønter (igen, så er halvdelen af disse Satoshis) .

Mere interessant er dog de genbrugte p2pkh-adresser (den lilla linje), der netop er den anden kategori, der er sårbar overfor kvantecomputerne. Efter at være steget mellem 2010 og 2014, så er den faldet siden da og ligger nu på omkring 2,5 millioner mønter.

Dette betyder at i alt mellem 4 og 4,5 millioner mønter (den røde stiplede linje i grafen) er sårbare overfor kvantecomputerne (2 millioner fra de old school p2pk-adresser og 2,5 millioner fra de genbrugte p2pkh-adresser). Dette er over 20% af det samlede udbud.

Hvordan kan du reducere risikoen for, at dine Bitcoins bliver stjålet?

Der er én type adresse, der er sikker: p2pkh-adresser, der aldrig er blevet brugt til at sende bitcoins andre steder. På den anden side vil en p2pkh-adresse, der tidligere har sendt bitcoins andre steder, samt p2pk-adresser (uanset om de har sendt bitcoins eller ej) sårbare.

Så for at beskytte dine bitcoins, så skal de sendes til en ny p2pkh-adresse. Dette er hovedargumentet i forbindelse med at håndtere truslen fra kvantecomputere for Bitcoin. De troende siger, at bitcoins simpelthen kan overføres til nye p2pkh-adresser, og at de derfor er uigennemtrængelige. De har ret.

Men der er dog en hage ved dette. Hvis du har mistet dine private nøgler til din adresse, så vil du ikke kunne få adgang til disse bitcoins, og de kan derfor ikke flyttes. Dette betyder, at de vil være frit tilgængelige for hackerne, når kvantecomputerne kommer online.

Så mens Deloitte-undersøgelsen vurderede antallet af Bitcoin-adresser, der ville være sårbare, hvis kvantecomputerne kom online i dag (21%), så er et måske mere relevant spørgsmål, hvor mange bitcoins , der altid vil være sårbare overfor truslen fra kvantecomputere. For uanset hvad dette tal er, så er det nøglen, der udgør en systemisk risiko for Bitcoin-netværket som helhed.

Er der en systemisk risiko for Bitcoin?

Lad os sige, at en Albert Einstein fra det 21. århundrede vågner i morgen og pludselig har en kvantecomputer. Lille Albert Junior snupper nu over 20% af det samlede Bitcoin-udbud. Hvad sker der så nu?

Det er klart, at prisen vil falde. For det første vil udbuddet stige markant, idet alle de tabte mønter, herunder de 5%, der antages at tilhøre Satoshi, nu er tilbage i omløb. Men prisen vil dog falde på grund af mere end en simpel justering på udbudssiden.

Det er ikke til at vide hvor prisen vil lande, men mit gæt er dog at den vil ende tæt på nul. Hvordan overbeviser du nu folk om, at Bitcoin – for evigt markedsført som den hårdeste form for penge, der nogensinde har eksisteret – har en enorm ulempe?

Argumentet bliver derfor “OK, vi troede alle, at dette var den hårdeste form for valuta, der nogensinde har eksisteret, og også selvom teknologien var mangelfuld, og at computerne udviklede sig til et punkt, hvor de var i stand til at knække dem, men nu kan vi dog love jer, at den igen er sikker og at teknologien aldrig vil kunne knække den igen ”.

Hvor mange mennesker vil vælge at bruge Bitcoin i det scenarie? Kan du f.eks. se en verden, hvor nogen af S&P 500-virksomhederne vil have den på deres balance? Vil der være flere lande, der erklærer det som lovligt betalingsmiddel? Vil der være nogen pensionsfonde, der investerer i den? Det vil nemlig ikke kun være 20% af forsyningen der er forsvundet – hele affæren ville være slut. Det hele ville være overstået.

Dette er grunden til, at reduktionen i de 20% sårbare bitcoins er nødt til at finde sted. Heldigvis forventes det ikke, at Albert Einstein Jr. vil have sin supercomputer online i morgen.

Hvorfor overfører alle ikke bare til (uigennemtrængelige) nye p2pkh-adresser?

Dette er løsningen. Men som jeg sagde tidligere, så findes der wallets der indeholder bitcoins, hvor deres brugere har mistet deres private nøgler, eller er døde, eller noget helt tredje. Disse bitcoins kan ikke flyttes. Hvis Satoshi f.eks. er død, så vil hans eller hendes mønter heller ikke kunne blive flyttet før en kvantecomputer med tilstrækkelig datakraft er udviklet.

Dette er lige præcis, hvad der fik blockchain-teknologieksperten Andreas Antolopoulos til at erklære det følgende:

Vi ved, hvornår kvantecomputerne er ankommet, når Satoshis mønter begynder at bevæge sig

Andreas Antilopoulos

Men alt er dog ikke tabt. Der findes heldigvis en løsning på dette forhåbentlig-hypotetiske-men-i-fremtide-i-virkeligheden-ikke-hypotetiske problem. Denne løsning handler om at komme op med en plan indenfor Bitcoin-fællesskabet, hvor man tvinger folk til at flytte deres bitcoins til adresser, der ikke er sårbare. Deloitte foreslår, at en sådan plan kunne skitsere, at “efter en foruddefineret periode (der giver folk mulighed for at flytte deres bitcoins til sikre adresser), så vil mønterne på usikre adresser blive ubrugelige (teknisk set betyder dette, at minerne vil ignorere de transaktioner, der stammer fra disse adresser) ”.

Dette ville efter al sandsynlighed være et utroligt rodet og skelsættende spørgsmål. At forsøge at opnå en konsensus indenfor fællesskabet ville være et mareridt, og minder mig om den berygtede borgerkrigs-periode i Bitcoin-fællesskabet tilbage i 2017, som førte til en “hard fork” og skabelsen af Bitcoin Cash.

Er Bitcoins 100% sikre, hvis de overføres til “ugennemtrængelige” adresser?

Hmm. Ok, der er desværre endnu et problem. Når en transaktion er gennemført i forbindelse med at sende penge fra en wallet, så bliver den offentlige nøgle nu tilgængelig. Dette betyder nu at en kvantecomputer vil kunne knække den private nøgle.

Men der er en forsinkelse mellem det tidspunkt, hvor en transaktion påbegyndes, og når den bekræftes af minerne. Der mines Bitcoin-blokke hvert tiende minut, hvilket betyder, at der eksisterer et vindue, hvor den offentlige nøgle er tilgængelig, hvor pengene endnu ikke er blevet overført fra en wallet.

Så hvis en angriber kunne få fingrene i den private nøgle fra den offentlige nøgle indenfor denne tidsperiode og derefter foretage en egen transaktion, hvorved der sendes de samme bitcoins, som du prøver at sende, men til en anden adresse – og betaler et højere mining gebyr til – får prioritet i køen, så kan dine bitcoins nu blive stjålet.

Så hvis en kvantecomputer nogensinde udvikler sig til et punkt, hvor den vil være i stand til at knække en privat nøgle på mindre end ti minutter – og her træder vi nu ind i et endnu mere mytisk område bør jeg lige sige – så gælder der nu ingen regler, og så kan alle transaktioner på netværket teoretisk set blive hacket.

Jeg vil henvise til Deloitte her, som opsummerer dette problem ganske glimrende:

De aktuelle videnskabelige skøn forudsiger, at en kvantecomputer vil tage omkring 8 timer om at knække en RSA-nøgle, og visse mere specifikke beregninger forudsiger, at en Bitcoin-signatur kunne blive hacket indenfor 30 minutter

Dette betyder, at Bitcoin i princippet bliver nødt til at blive modstandsdygtig overfor kvanteangreb (så længe man ikke genbruger adresser). Men netop fordi kvantecomputerne stadig træder sine barnesko, så er det stadig uklart, hvor hurtig en sådan kvantecomputer rent faktisk vil være i fremtiden

Hvis en kvantecomputer nogensinde vil komme tættere på 10 minutter om at hente en privat nøgle fra dens offentlige nøgle, så vil Bitcoin blockchainen i sagens natur være blevet knækket

Itan Barmes & Bram Bosch, Deloitte

Konklusion

Beviserne peger dog på, at Bitcoin vil være sikker i de næste mange år.

Beviserne peger dog også på en verden i fremtiden, hvor kvantecomputerne vil eksistere, og Bitcoin i sidste ende vil være sårbar. Selv i det tilfælde, hvor dette sker, så kan Bitcoin-netværket ophæve truslen ved at udføre en soft fork og migrere til et netværk med en kvantesikker krypteringsmetode.

Problemet i dette tilfælde (hader at være den der kommer med flere dårlige nyheder) er, at dette sandsynligvis ville forårsage alvorlige skalerbarhedsproblemer, hvilket er noget som netværket allerede døjer med.

For at afslutte alt dette, så vil det hele være betinget af, hvilken vej teknologien udvikler sig – både med hensyn til kvantecomputerne såvel som Bitcoin. Teknologien udvikler sig lynhurtigt. Et eksempel på dette er netop denne diskussion, som ville have været absurd for 20 år siden – både i forhold til kvantecomputernes uundgåelighed, men også vedrørende eksistensen af en digital valuta og noget, der kaldes for en “blockchain”.

Mere forskning og fortsat udvikling på Bitcoin-siden skal derfor finde sted for at sikre dens fremtid mod truslen fra kvantecomputerne. Fællesskabet er nået langt, og Bitcoin udvikler sig stadig – og på trods af hvad mange af nej-sigerne hævder – så dette er bestemt meget muligt.

En verden, hvor Bitcoin overgår til en post-kvantekryptografi mekanisme, er ikke mere absurd end en verden, hvor der findes kvantecomputere, der er i stand til at knække de private nøgler. Vi må blot håbe på, at førstnævnte kommer først.

Tak fordi du læste mit forsøg på at forenkle dette utroligt komplekse og spekulative problem, og hvis du har kommentarer eller tilbagemeldinger (selv hatemail!), så er du velkommen til at kontakte mig på Twitter via @DanniiAshmore eller @InvezzPortal