Лонгрид о реалистичности квантовой угрозы для криптовалют и проблемах “пророчества 2027”

    По криптовалютным форумам и телеграм-чатам упорно продолжают курсировать слухи о том, что причиной недавнего внушительного проседания курса BTC стала новость о достижении компанией Google квантового превосходства. Эта новость, изначально размещенная на сайте NASA, а затем распространенная The Financial Times, случайно совпала по времени с внезапным падением мощности сети биткоин. Многие решили, что это совпадение означало взлом и заставило трейдеров сбросить изрядное количество биткоинов. Мол, из-за этого курс монеты был подтоплен на целых 1500 “мертвых президентов США”. Слух упорно не хочет умирать и подпитывается твердой убежденностью общественности в том, что развитие квантовых вычислений — есть гарантированная смерть блокчейнов и криптовалют.



    Основой для подобных заявлений стала работа, результатами которой в 2017-м году поделился arxiv.org/abs/1710.10377 коллектив исследователей исследовавших проблему “квантовой угрозы”. По их мнению, подавляющее большинство криптопротоколов, обеспечивающих транзакции в распределенных реестрах, уязвимы для мощных квантовых компьютеров. Я проанализировал опубликованную в сети информацию относительно т.н. “квантовой уязвимости блокчейнов в целом и криптовалют в частности. Далее — результаты анализа и сопоставления существующих фактов о возможности успешной атаки на биткоин.

    Несколько слов о квантовых компьютерах и квантовом превосходстве


    Все, кому известно о том, что такое квантовый компьютер, кубит и квантовое превосходство могут смело переходить к следующему разделу ибо ничего нового здесь не найдут.

    Итак для ориентировочного понимания угрозы, которая гипотетически может исходить от квантовых компьютеров, следует понять, что это за устройства. Квантовый компьютер — это преимущественно аналоговая вычислительная система, которая использует физические явления, описываемые квантовой механикой, для обработки данных и передачи информации. Если точнее, то квантовые компьютеры применяют для вычислений квантовую суперпозицию и квантовую запутанность.

    Благодаря использованию квантовых явлений в механизмах вычислений, вычислительные системы способны проводить отдельные операции в десятки и сотни тысяч, а в теории и в миллионы раз быстрее, чем классические компьютеры (в т. ч. суперкомпьютеры). Такая производительность в отношении определенных вычислений объясняется применением кубитов (квантовых битов).

    Кубит (квантовый бит или квантовый разряд) — наименьший из существующих элемент для хранения информации в квантовом компьютере. Подобно биту, кубит допускает
    “два собственных состояния, обозначаемых {\displaystyle |0\rangle }|0\rangle и {\displaystyle |1\rangle }|1\rangle (обозначения Дирака), но при этом может находиться и в их суперпозиции, то есть в состоянии {\displaystyle A|0\rangle +B|1\rangle }{\displaystyle A|0\rangle +B|1\rangle }, где {\displaystyle A}A и {\displaystyle B}B — комплексные числа, удовлетворяющие условию {\displaystyle |A|^{2}+|B|^{2}=1}|A|^{2}+|B|^{2}=1.”
    (Нильсен М., Чанг И. Квантовые вычисления и квантовая информация)

    Если сравнивать классический бит, который содержит 0 либо единицу с кубитом, то бит отвлеченно представляет собой обычный выключатель, имеющий два положения “вкл” и “выкл”. Кубит при подобном сравнении будет представлять из себя нечто, напоминающее регулятор громкости, где “0” — это тишина, а “1” — максимально возможная громкость. Регулятор может принять любое положение от нуля до единицы. При этом, для того чтобы стать полноценной моделью кубита, он ещё должен имитировать коллапс волновой функции, т.е. при любом взаимодействии с ним, например, взгляде на него, регулятор должен перемещаться в одно из крайних положений, т.е. “0” либо “1”.



    На самом деле всё несколько сложнее, но если не лезть в дебри, то благодаря использованию суперпозиции и запутанности, квантовый компьютер сможет сохранять и оперировать колоссальными (для настоящего времени) объемами информации. При этом он будет тратить на совершение операций значительно меньше энергии, чем классические компьютеры. Благодаря опоре на явления квантовой механики, будет обеспечиваться параллельность вычислений (когда для получения валидного результата нет необходимости в анализе всех вариантов потенциальных состояний системы), что и обеспечит сверхвысокую производительность при минимальном энергопотреблении.

    На данный момент в мире создано несколько моделей перспективных квантовых компьютеров, но не один из них не превзошел по производительности мощнейшие из созданных классических суперкомпьютеров. Создание такого квантового компьютера будет означать достижение квантового превосходства. Считается, что для достижения этого самого квантового превосходства необходимо создать 49 кубитный квантовый компьютер. Именно о таком компьютере и было сообщено в сентябре на сайте NASA, в публикации, которая быстро исчезла, но породила много шума.

    Гипотетическая опасность для блокчейна


    Развитие квантовых вычислений и квантовой информатики, а также активное освещение этой темы в СМИ спровоцировали слухи о том, что большие вычислительные мощности могут стать угрозой для распределенных реестров, криптовалют, и в частности для сети Биткоин. Ряд СМИ, в основном ресурсы, освещающие темы криптовалют, ежегодно публикуют информацию о том, что квантовые компьютеры скоро смогут уничтожать блокчейны. Научно обосновали гипотетическую возможность успешной атаки квантового компьютера на сеть биткоина авторы исследования из Корнеллского университета, в 2017-м году опубликовавшие эти данные на avix.org. Именно на основании этой публикации создано большинство статей о “Пророчестве 2027”.

    При создании криптовалют одной из главных целей является её защита от подделки данных (например, при подтверждении платежа). На данный момент применение криптографии и распределённого реестра вполне справляются с этой задачей. Данные о транзакциях хранятся в блокчейне, копии данных распределены между миллионами участников сети. В связи с этим, чтобы изменить данные в сети, дабы перенаправить транзакцию (украсть платеж), необходимо повлиять на все блоки, а это невозможно без подтверждения миллионов пользователей.Получается, что на уровне неизменности данных, блокчейн надежно защищен, в том числе от квантовых вычислений.

    Проблемным и уязвимым может быть только кошелёк пользователя. Это связано с тем, что в обозримом будущем мощностей квантового компьютера может хватить для взлома 64-значных закрытых ключей и это единственная гипотетически реальная возможность для какой-либо угрозы со стороны квантовых вычислений.

    О реальности угрозы


    Для начала следует понимать на каком этапе находятся разработчики квантовых компьютеров и какие из них действительно способны взломать 64-значных ключ. Например, доцент Финансового университета при правительстве РФ Владимир Гисин заявил, что блокчейн биткоина может быть взломан в мире, где существуют 100-кубитовые квантовые компьютеры. При этом пока даже существование 49-кубитного квантового компьютера, якобы разработанного Google, не имеет подтверждений.

    На данный момент нет достоверных прогнозов, когда исследователи достигнут квантового превосходства, тем более неизвестно, когда появятся 100-кубитовые квантовые компьютеры. Более того, в настоящее время квантовые вычислительные системы способны мгновенно решать лишь ограниченный спектр узкоспециальных задач. Их адаптация для взлома чего-либо потребует годы, а вероятно, даже десятилетия разработок.

    Преувеличенной угрозу для биткоина и других криптовалют со стороны квантовых компьютеров считает и Джеффри Такер, который обосновал свою точку зрения в работе «Угроза биткоину со стороны квантовых вычислений». В числе прочего Такер делает выводы на основе работ специалиста по квантовой физике из Университета Маккуори в Сиднее, доктора Гэвина Бреннена. Австралийский физик обоснованно убежден, что:
    “учитывая уровень доступных сейчас квантово-вычислительных мощностей, негативные сценарии невозможны.”
    Цитирую согласно forklog.
    Бреннен считает, что нынешняя квантовая инфраструктура имеет относительно малую скорость квантового гейта в сравнении с той, которая требуется для взлома криптографического ключа.

    Также важно понимать, что при оценке квантовой угрозы для блокчейнов, в том числе для BTC, исследователи используют данные об их текущем состоянии. Т.е. они оценивают риск взлома ключей, существующих в данный момент, устройствами, которые появятся через 10, 15, а возможно 50 лет.

    Еще в 2017-м году директор службы защиты данных IBM Нев Цунич заявил о том, что меры по защите от рисков, связанных с квантовыми вычислениями, нужно разрабатывать уже сегодня. Это заявление было услышано, и в данный момент уже активно развивается постквантовая криптография, которая уже разработала методы защиты блокчейнов от квантовых атак.

    Наиболее заметными методами защиты блокчейна от пока гипотетической квантовой угрозой стало применение одноразовой цифровой подписи Лэмпорта/Винтерница, а также использование подписи и дерева Меркла.

    Сооснователь инфраструктурно-майнинговой компании BitCluster Сергей Арестов убежден, что существующие методы новой постквантовой криптографии сведут на нет любые усилия квантового взлома блокчейна в ближайшие 50 лет. Криптопредприниматель привел примеры проектов, которые уже сегодня учитывают риски, связанные с развитием квантовых компьютеров:
    “Сегодня уже существуют такие проекты, как Quantum-Resistant Ledger, применяющий алгоритм одноразовой подписи Винтерница и дерева Меркла, а также квантовоустойчивые блокчейны IOTA и ArQit. Вероятно, что к моменту, когда появятся хотя бы намеки на создание чего-то способного взломать ключи кошельков биткоин или эфира, эти монеты также будут защищены от квантовых вычислений одной из перспективных технологий.”

    В качестве заключения


    Проанализировав изложенное выше, можно достаточно уверенно говорить о том, что квантовые компьютеры в обозримом будущем не представляют сколько-нибудь серьезной угрозы для криптовалют и блокчейнов. Это справедливо как для только создающихся систем, так и для уже существующих. Опасность взлома распределённых реестров и децентрализованных валют следует воспринимать скорее как теоретически возможную (провоцирующую на создание более защищенных систем), нежели как сколько-нибудь вероятную в действительности.

    Проблемы, нивелирующие вероятность следующие:

    • “сырость” квантовых вычислений и необходимость адаптации их для соответствующих операций;
    • недостаточность вычислительных мощностей в ближайшем будущем (“квантовое превосходство” как таковое не гарантирует взлома 64-значного ключа);
    • использование постквантовой криптографии для защиты блокчейна.

    Буду признателен за мнения и живую дискуссиюв комментариях и участие в опросе.

    Важно!

    Криптоактивы, в том числе Bitcoin, крайне волатильны (их курс меняется часто и резко), на изменения их курса сильно влияют биржевые спекуляции. Поэтому любые вложения в криптовалюту — это серьезный риск. Я настоятельно рекомендовал бы инвестировать в криптовалюту и заниматься майнингом исключительно тем людям, которые обеспечены настолько, чтобы в случае потери инвестиций не ощутить социальных последствий. Никогда не инвестируйте последние деньги, целевые значимые сбережения, ограниченные семейные активы во что бы то ни было, в том числе в криптовалюты.


    Использован фотоконтент, а также фото с этой страницы.

    Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

    Как вы считаете, станут ли квантовые вычисления реальной угрозой для криптовалют и блокчейнов через 10 лет?

    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 38

      –4
      Есть множество публикаций о гипотетических возможностях квантовых компьютеров, а также множество громких заявлений о строительстве новых — ещё более мощных моделей.
      И ни одной публикации о реально решенной практической задачи!!! А таких задач намного больше чем взлом биткоина.
      Например вояки хотят новое оружие — чтоб из под земли доставало, медики — микстуру от всего и сразу, программисты хотят настоящий искусственный интеллект — им тоже нужны рабы, энергетикам новые источники энергии — и желательно вечные… Список бесконечный.
      И? ничего.
        0
        Не все сразу. Быстро только кошки родятся да бабло пилится.
        +1
        Ящитаю, что квантовый компьютинг не представляет угрозы для современной криптографии, т.к. достижение количества кубитов, необходимых для взлома современных шифров, как симметричных, так и асимметричных находится за практическими и местами даже за фундаментальными пределами, ограничивающими конструирование квантовой аппаратуры.
          0
          Например, доцент Финансового университета при правительстве РФ Владимир Гисин заявил, что блокчейн биткоина может быть взломан в мире, где существуют 100-кубитовые квантовые компьютеры.
          Вы солидарны с доцентом Гисиным. Вот только сто-кубитный квантовый компьютер можно хоть в гараже собрать. Например, на этом курсе показывается «реальный» КК, решающий Дойча.

          Собрать из подручных материалов сотню кубитов — не проблема. Квантовое превосходство сейчас сковывается проблемами с декогеренцией, связываемостью, ошибками.
            +3
            Вы солидарны с доцентом Гисиным.

            Вы читать умеете? Доцент Гисин несет какую-то дичь про возможность «взлома блокчейна», при том, что сам блокчейн — это всего лишь инкрементный лог, безопасность и аутентичность которого обеспечивается криптографическими алгоритмами.

            В случае с биткойном — это ECDSA и SHA. Насколько я в курсе, для квантового взлома этих алгоритмов требуется число кубитов, сопоставимое с разрядностью алгоритма, т.е. не менее 256.
            А если мы говорим про факторизацию RSA — там необходимо несколько тысяч кубитов.
            Поэтому я категорически несогласен с доцентом Гисиным.

            Собрать из подручных материалов сотню кубитов — не проблема.

            Вообще-то проблема. Прежде всего финансовая и материаловедческая.

            Квантовое превосходство сейчас сковывается проблемами с декогеренцией, связываемостью, ошибками.

            И проблема с декогеренцией — фундаментальная, и с ростом количества кубитов эта проблема встает всё острее.
              0
              Мда, с доцентом Гисиным, слегка промахнулся. Хотя как экономист он вполне себе ничего.
                0
                Вы читать умеете?
                Коллега, зачем же так?

                Доцент Гисин: блокчейн биткоина может быть взломан в мире, где существуют 100-кубитовые квантовые компьютеры
                ne_kotin: достижение количества кубитов, необходимых для взлома… находится за… пределами, ограничивающими конструирование квантовой аппаратуры
                В обоих сообщениях авторы концентрируют внимание на количестве кубитов (в контексте решения разных задач), начисто игнорируя остальные проблемы.

                Собрать из подручных материалов сотню кубитов — не проблема.
                Вообще-то проблема. Прежде всего финансовая и материаловедческая.
                Я вам продублирую ссылку где лектор лепит кубиты из подручных материалов. И собрать сотню таких кубитов может любой стартап в гараже. Может и тысячу, если места хватит. Гигант вроде Google/IBM может их миллионами клепать, только вот сделать с ними ничего толкового не сможет.

                Квантовое превосходство сейчас сковывается проблемами с декогеренцией, связываемостью, ошибками.
                И проблема с декогеренцией — фундаментальная, и с ростом количества кубитов эта проблема встает всё острее.
                Видите, мы с вами пришли к согласию. Проблема именно что фундаментальная. Есть, правда, попытки эту проблему частично обойти.
                  +2
                  В обоих сообщениях авторы концентрируют внимание на количестве кубитов

                  Потому что это существенный количественный показатель. Только доцент Гисин утверждает, что создание КК, пригодного для взлома — возможно. А я — наоборот. И ниже, сопцна доводы.

                  Я вам продублирую ссылку где лектор лепит кубиты из подручных материалов.

                  Вы оставили ссылку на целый курс. Мне его весь вдумчиво пересматривать в поисках наколеношных кубитов? Или вас таки не затруднит указать конкретную лекцию?
                  Но таки да, единичный кубит сам по себе бесполезен — мы же про КК. Там нужны сотни связанных кубитов, и когда я вижу микрофото джозефсоновского кубита, я прекрасно понимаю, что в гараже его сделать сложновато, не говоря уже о криогенном оборудовании.
                    0
                    Наколеношные и практически бесполезные кубиты тут: «Квантовый компьютер на фотонах».

                    В остальном: да, реальные кубиты реально сложны, как и сопутствующие проблемы. Видимо, желтая пресса (которая обычно пишет только про количество кубитов) задрала настолько, что я начал на людей кидаться. Пардон муа.
              +1
              Довольно опасное дело — предсказывать, что нечто не возможно.
                0
                Там по ходу аргументация еще есть, можете ознакомиться.
              +1
              … блокчейн биткоина может быть взломан в мире, где существуют 100-кубитовые квантовые компьютеры.
              При этом с алгоритмами коррекции ошибок 100 логических кубитов потребуют несколько сотен тысяч физических (сейчас у гугла 51 физический). Так что это очень далекое будущее.
                +1

                Усугублю:


                • У гугла 51 физический кубит в схеме "квантового отжига", что соотносится с универсальным квантовым вычислителем (пожалуй) как изобретение арабских цифр с созданием калькулятора.
                • Схемы коррекции требуют не просто много кубитов, а много сильно связанных кубитов. Разница как между мешком детекторых приемников и ядром Intel386.
                • Чтобы "взломать" SHA256 "грубой квантовой силой" (алгоритмом Гровера) нужно не менее 256 кубитов чтобы просто задать входные данные и считать результат (на самом деле больше, но уже не важно) и 2^127 шагов алгоритма (Солнце погаснет раньше).

                Короче, при случае спросите у доцента где он грибы собирает и что при этом курит.

                  0
                  Гугловский процессор не имеет никакого отношения к квантовому отжигу.
                    0

                    Действительно так.


                    Гугл и DWare так много говорили о своем "отжиге", а потом о 51-кубитном симуляторе, что я перестал следить за новостями от них.


                    Более того, я (пока еще) не до конца верю в их 51-кубитный вычислитель. Логично предположить что они сделали аналогичный по-параметрам симулятор именно для верификации реального вычислителя. Но возникает глупое сомнение — может они и считали на симуляторе ;)

                      0
                      Можно посмотреть в интернете, что они сделали. Статья утекла и выложена. Можно спросить специалистов.
                        0
                        Посмотрите Рис. 4 в статье. Там явно показано, какие вычисления они смогли проверить на классическом компьютере, а какие оказались слишком сложными (но квантовые данные есть при этом).
                0
                А доцент Владимир Гисин на основании чего говорит о угрозе 100 кубитов?
                Тут не понятно как математические вычисления в общем виде можно выполнять на квантовом компе, а он уже дает количественные оценки быстродействия. Да и цифра «100» напоминает гадание на кишках барана.
                  0
                  Биткоин использует SHA256, его взлом потребует ~6000 логических кубитов. В этой статье говорится о 2402 логических кубитах.
                  –1
                  Первое, что сделают, когда квантовые компьютеры появятся в широкой доступности, так это новые майнеры криптовалют
                    +5

                    Думаю даже в такой популярной статье стоит различать (и давать понимание читателям) квантовый отжиг и универсальный квантовый компьютер.


                    Первое (Quantum annealing) имеет успешные практические реализации и перспективы роста в кратко- и средне-срочной перспективе, но полностью безопасно для современной до-квантовой криптографии и (тем более) пост-квантовой. В частности, к этой категории относится 51-кубитный "квантовый компьютер" построенный D-Wave для Google.


                    Второе (Quantum computing) имеет призрачные шансы на воплощение на ценном для практического применения уровне. Дело тут не только в количестве кубит, а в их связности и количество операций (шагов алгоритма), которые могут быть выполнены. Практическую ценность представляет "квантовый компьютер" с большим (>100) количеством кубит, с высокой связностью (в идеале непосредственное соединение каждого с каждым) и способный выполнить большое (>100) шагов алгоритма. Грубо говоря, произведение кол-ва связей на кол-во шагов и есть полезная вычислительная мощность квантового компьютера.


                    Проблема в том, что (даже если будут преодолена масса огромных технических сложностей по поддержанию 100 кубит и "соединения" их плотной сетью связей) при работе в нашей (а не отдельной) вселенной каждое "квантовое соединение" на каждом шаге алгоритма будет глючить с некоторой ненулевой вероятностью. Соответственно, вероятность получить правильный ответ от "компа" с M связями за N шагов равна Power(P, M * N), где P — вероятность правильного "срабатывания отдельной связи". Так вот, в свете современных познаний о природе вещей (квантовая механика) и математике (теория алгоритмом и теоретическая информатика), N и M обещают быть большими (>1000), а P маленькой (< 0.9). Проще говоря, вероятность получить верный ответ сопоставима с его угадыванием через генератор случайных чисел.


                    Поэтом IMHO нас "спасут" не квантовые вычисления, а только новые алгоритмы нацеленные на взлом конкретных схем, т.е. на эксплуатацию отдельных недочетов (а тут у SHA256 пока всё хорошо).

                      +1
                      Ценное уточнение, спасибо.
                        0
                        Люди нацелены на реализацию полноценных кодов коррекции ошибок. Это очень сложно, но почему нет?

                        Кроме того, остается открытым вопрос, можно ли делать что-то практически ценное без полной коррекции? Конечно, при условии наличия многих физических кубитов ( > 50) и малых ошибках операций.
                          0
                          Кстати, с квантовым отжигом тоже далеко не все радужно. Многие считают, что это тупиковая ветка.
                            0
                            А почему?
                              0
                              Проблемы как принципиальные, так и технические. Они хотят за счет адиабатического изменения параметров пройти по основному состоянию или хотя бы низколежащим возбужденным. На деле, при изменении параметров энергии разных состояний (собственные значения гамильтониана) во многих точках сближаются очень близко (квазипересечения или антикроссинги в англ. литературе), так что можно легко перейти на более возбужденное состояние. Причем чем больше размер системы, тем меньше минимальные щели на таких квазиперечениях.

                              Теперь наложите на это кучу технических проблем — декогеренцию, неадиабатичность подкрутки параметров, невозможность точно выставить желаемые параметры и связи в системе, температурные флуктуации и т.д…
                                0

                                Можно верифицировать решение, в том числе переформулируя задачу (т.е. получая другой ландшафт вероятностей для локальных минимумов). С некоторой вероятностью это будет давать решение некоторой точности… Тем не менее, IMHO это видится более "перспективным" в сравнении с "универсальным вычислителем" (хайп похож на распил бюджетов на пост-квантовую криптографию).

                                  0
                                  С «некоторой точностью» можно получить 100500 методами на классическом компьютере. Есть множество довольно эффективных и изощренных подходов. Чтоб их перебить, нужна очень продвинутая квантовая система — а с этим есть большие сомнения, причем не только из-за несовершенства текущей технологии, а из-за принципиальных проблем, суть которых я выше описал.
                          –2
                          Ящитаю, что квантовый компьютинг не представляет угрозы для криптовалют, потому, что через 15-20 лет человечество станет умнее, а технологии лучше, лохи вымрут и человечество перестанет страдать фигней типа форекса, биткоинов и ставок)
                            +1
                            Уточните, а что общего между бикоином, форбсом и ставками? Прояните свою позицию относительно лохов. Очень интересно.
                              0
                              В чем проблема для криптовалют перейти на те же самые квантовые компьютеры?
                                +1
                                они (квантовые компьютеры) непригодны для криптографии.
                                и, вероятно, не будут пригодны никогда.
                                  0
                                  Взломать криптографию можно, зашифровать нет?
                                    +1
                                    А кто вам сказал, что взломать можно? Там выше веточка была, почитайте.
                              0
                              Стало любопытно, а квантовые компьютеры точнее квантовая технология как-нибудь повлияет на производительность в будущих играх?
                                0
                                Лишь в том случае, если удастся адаптировать вычислительные процессы для этого. Что маловероятно. Мы с вами не доживём до этого момента, если он наступит.

                              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                              Самое читаемое