Un attacco quantistico a Bitcoin potrebbe rubare le monete di Satoshi Nakamoto, ma Paradigm ha una soluzione.

Il socio accomandatario del paradigma Dan Robinson lo ha pubblicato una proposta per un sistema chiamato Provable Address-Control Timestamps, o PACTs, che consentirebbe Bitcoin Oggi i possessori di wallet dimostrano privatamente la proprietà dei propri fondi e utilizzano tale prova per recuperare i fondi in un secondo momento, qualora la rete dovesse bloccare gli indirizzi vulnerabili agli attacchi quantistici. La proposta è pensata per proteggere i wallet inattivi, inclusi quelli che si ritiene appartengano a Satoshi Nakamoto, senza richiedere alcuna azione pubblica sulla blockchain al momento.

Il sistema funziona in due fasi: un impegno privato preso oggi utilizzando i dati esistenti Bitcoin strumenti e una prova resistente ai computer quantistici presentata in seguito se un soft fork dovesse mai bloccare i tipi di indirizzo legacy. No Bitcoin La transazione è necessaria per creare l'impegno e il processo non rivela pubblicamente nulla sul titolare, sul suo indirizzo o sul suo saldo.

Che cos'è la minaccia quantistica? Bitcoin?

Bitcoin Gli indirizzi che hanno esposto le chiavi pubbliche sono vulnerabili a una futura classe di computer noti come computer quantistici crittograficamente rilevanti, o CRQC. Un CRQC sufficientemente potente potrebbe ricavare una chiave privata da una chiave pubblica nota, consentendo a un aggressore di rubare fondi da qualsiasi indirizzo in cui la chiave pubblica sia stata rivelata sulla blockchain.

Paradigm stima che centinaia di miliardi di dollari di Bitcoin risiede in indirizzi con chiavi pubbliche esposte. I portafogli che si ritiene appartengano al solo Satoshi Nakamoto contengono circa 1.1 milioni BTC, per un valore di oltre 75 miliardi di dollari ai prezzi attuali. Questi portafogli sono precedenti allo standard di generazione delle chiavi BIP-32 introdotto nel 2012 e non esiste alcuna via di recupero secondo le proposte attuali.

Cosa proponeva il BIP-361 e perché è controverso?

Lo sviluppatore Jameson Lopp e cinque coautori hanno pubblicato BIP-361 A metà aprile, è stata proposta una tempistica di cinque anni per eliminare gradualmente gli indirizzi vulnerabili agli attacchi quantistici. Tutte le monete non migrate a formati sicuri contro i computer quantistici entro la scadenza verrebbero congelate in modo permanente.

La proposta crea un serio problema per i possessori di criptovalute inattivi da tempo. Spostare monete è un'azione pubblica sulla blockchain. Rivela che un portafoglio è ancora attivo, espone schemi temporali, collegamenti tra portafogli e potenzialmente indirizzi IP. Per Satoshi Nakamoto nello specifico, spostare monete confermerebbe che il creatore pseudonimo è vivo e ancora in possesso delle sue chiavi. Questa è una rivelazione che molti nella Bitcoin La comunità considera inaccettabile l'uso della forza.

BIP-361 include una procedura di recupero per i portafogli derivati ​​tramite BIP-32, utilizzando prove a conoscenza zero della conoscenza della chiave principale. Tuttavia, i portafogli precedenti al 2012, inclusi la maggior parte degli indirizzi noti di Satoshi, non utilizzano BIP-32 e non possono essere recuperati tramite tale procedura.

Come funzionano i PACT?

I PACT offrono una terza via. Il protocollo si articola in due fasi distinte.

Primo passo: l'impegno

Il detentore genera un salt segreto a 256 bit, un dato privato casuale che rende l'impegno unico e imprevedibile. Quindi utilizzano BIP-322, uno standard per firmare i messaggi da un Bitcoin indirizzo senza trasmettere una transazione, per produrre una prova di controllo sull'indirizzo vulnerabile.

Il salt e la prova BIP-322 vengono combinati in un unico hash di impegno. Tale hash viene quindi timestampato utilizzando OpenTimestamps, un servizio open-source gratuito che raggruppa i dati in un albero Merkle e incorpora la radice in un Bitcoin OP_RETURN output. Il detentore conserva privatamente il salt, la prova e il file del timestamp. Nulla viene trasmesso. Nulla viene rivelato. Il processo non ha alcun costo.

Scopri progetti promettenti...

Progetti promettenti...

(Annuncio pubblicitario)

L'articolo continua...

Robinson ha osservato che ciò è possibile perché Satoshi ha progettato Bitcoin Nel white paper del 2008, OpenTimestamps ha definito il proprio modello come un server di timestamp distribuito, e da anni offre un servizio di timestamping gratuito e senza necessità di fiducia.

Fase due: il salvataggio

If Bitcoin Successivamente, si attiva un soft fork che congela gli indirizzi vulnerabili ai computer quantistici; questo aggiornamento potrebbe anche definire una via di salvataggio per i possessori di PACT. Per spendere una moneta congelata, il possessore invia una prova STARK, un tipo di prova a conoscenza zero sicura contro i computer quantistici, che dimostra tre cose:

• Sapevano che esisteva una prova valida di controllo del sale e del BIP-322
• Tale combinazione corrisponde a un impegno con timestamp precedente alla data limite di PACT.
• La prova di salvataggio è vincolata alla specifica transazione, impedendone la copia o il riutilizzo.

Il salt e la prova BIP-322 non vengono mai rivelati durante il riscatto. La rete conferma solo che il detentore aveva il controllo prima del cutoff. L'importo, l'indirizzo e la data e l'ora rimangono privati.

Cos'è uno Stark e perché è importante in questo contesto?

STARK è l'acronimo di Scalable Transparent Argument of Knowledge (Argomento trasparente scalabile della conoscenza). Si tratta di un tipo di prova a conoscenza zero che permette a una parte di dimostrare di conoscere qualcosa senza rivelare di cosa si tratti. A differenza dei sistemi di prova più datati, gli STARK non si basano sulla crittografia a curve ellittiche, il che significa che rimangono sicuri anche se i computer quantistici riuscissero a decifrarli. Bitcoin attualmente utilizza. 

Aggiunta della verifica STARK a Bitcoin Ciò richiederebbe un soft fork, e Robinson ha riconosciuto che questo rappresenta una nuova infrastruttura sostanziale per il protocollo.

Quali sono i rischi dei PACT?

Robinson è stato diretto riguardo ai limiti della proposta.

• Bitcoin potrebbe non implementare mai un tramonto quantistico, rendendo i PACT superflui
• Anche se dovesse tramontare, questo specifico percorso di soccorso potrebbe non essere incluso nell'aggiornamento.
• I titolari non dovrebbero fare affidamento esclusivamente sui PACT per la protezione fino a quando un protocollo di salvataggio non sarà formalmente adottato nel protocollo
• Il design non si estende in modo lineare ai portafogli multifirma, agli script complessi o ai conti di custodia, tutti elementi che richiedono un ulteriore lavoro di standardizzazione.
• I possessori devono proteggere il proprio salt, la prova BIP-322 e il file OpenTimestamps come artefatti di ripristino, poiché la perdita di uno qualsiasi di essi rimuove l'opzione di recupero.

Robinson ha sostenuto che il basso costo della creazione di un impegno giustifica l'azione una volta concordato un formato standard, pur tenendo conto di tali incertezze.

Come si inserisce la proposta nel più ampio dibattito sulla meccanica quantistica?

La proposta PACTs si basa su BIP-361 anziché sostituirla. Colma una lacuna specifica lasciata aperta da BIP-361: i portafogli pre-BIP-32 senza una via di salvataggio esistente. Robinson ha citato le precedenti discussioni di Jeremy Rubin su concetti simili in Delving Bitcoin forum come lavoro precedente nella stessa direzione.

Bitcoin Gli sviluppatori e i ricercatori nel campo della meccanica quantistica hanno reagito prontamente alla pubblicazione di X. La discussione si è concentrata su:

• Tempistiche di integrazione di STARK e cosa richiederebbe un soft fork che aggiunga la verifica della prova a conoscenza zero.
• Se le tutele della privacy sarebbero valide nella pratica in condizioni avverse
• La fattibilità di stabilire una data limite per PACT che sia antecedente a qualsiasi capacità CRQC realistica

Robinson ha riconosciuto che il progetto è illustrativo e richiede il contributo di crittografi, Bitcoin sviluppatori e la comunità più ampia prima che potesse essere considerata una proposta formale.

Conclusione: 

La proposta PACTs di Paradigm offre Bitcoin oggi i possessori hanno a disposizione un modo gratuito e privato per apporre un timestamp alla prova del controllo del portafoglio utilizzando la firma BIP-322 e OpenTimestamps. Se Bitcoin Ogni volta che viene adottato un quantum sunset tramite soft fork, i detentori potrebbero inviare prove STARK per reclamare i fondi congelati senza rivelare il loro indirizzo, saldo o identità. Il sistema richiede che l'infrastruttura di verifica STARK venga aggiunta a Bitcoin e dipende dall'inclusione di un futuro percorso di salvataggio in qualsiasi aggiornamento di scadenza. Non si applica correttamente ai portafogli multisig o custodial e non offre alcuna garanzia di adozione. Per i portafogli pre-BIP-32, inclusi quelli collegati agli 1.1 milioni stimati di Satoshi Nakamoto. BTC, è l'unica opzione di salvataggio attualmente proposta.

Risorse

1. Proposta presentata da Dan Robinson, socio accomandatario di Paradigm.: PACT: Proteggere il tuo Bitcoin Da un tramonto quantistico

2. BIP-361

3. Segnalato da CoinDesk: Nuovo Bitcoin La proposta quantistica offre a Satoshi Nakamoto un modo per dimostrare il controllo senza muoversi BTC