Квантовые компьютеры представляют угрозу для криптовалют, но пока паниковать не стоит
Недавнее исследование китайских ученых, которые использовали квантовый компьютер D-Wave для взлома алгоритмов шифрования, используемых для защиты банковских счетов, секретных военных данных и криптовалютных кошельков, на первый взгляд, вызывает серьезную озабоченность.
«Это первый случай, когда настоящий квантовый компьютер представляет реальную и существенную угрозу для нескольких полномасштабных алгоритмов SPN [сеть подстановки-перестановки], используемых сегодня», — написали ученые Шанхайского университета в рецензируемой статье, согласно отчету South China Morning Post (SCMP) от 11 октября.
В статье говорится о взломе RSA (Rivest-Shamir-Adleman) — одного из старейших и наиболее широко используемых криптосистем с открытым ключом.
Подробности последних исследований появляются медленно, поэтому трудно сказать наверняка, насколько серьезна угроза для криптовалют и технологии блокчейн. По состоянию на 11 октября статья еще не была опубликована на английском языке, а исследователи не давали никаких интервью, якобы «из-за деликатности темы», согласно SCMP.
Но если результаты исследователей подтвердятся и будут воспроизведены другими, «это будет шаг вперед» в развитии квантовых вычислений, сказал Cointelegraph Марек Нарозняк, физик с опытом работы в области квантовых вычислений и основатель Sqrtxx.com.
Означает ли это, что механизмы защиты паролем, используемые во многих отраслях, включая банковское дело и криптовалюты, могут скоро стать уязвимыми, как опасаются многие?
«Из статьи отсутствует много деталей, поэтому сложно дать однозначный ответ» относительно ее возможной значимости, сказал Cointelegraph Массимилиано Сала, профессор и руководитель Лаборатории криптографии в Университете Тренто.
Многое зависит от того, удалось ли ученым взломать ключи RSA определенного размера — то есть ключи, такие же большие, как те, которые сегодня используют банки для защиты сбережений и расчетных счетов клиентов. «На это нет никаких доказательств», — сказал Сала.
Но если бы им это удалось, это было бы «огромным событием», сказал он.
Квантовые вычисления (QC), которые используют атомный «спин» вместо электрического заряда для представления своих двоичных 1 и 0, развиваются экспоненциальными темпами, говорят многие. Но полноценные устройства QC еще не появились в масштабах.
Машины D-Wave, используемые в Шанхае, иногда называемые квантовыми отжигателями, на самом деле являются прототипами квантовых компьютеров или их предшественниками, способными выполнять только специализированные задачи.
Тем не менее, если и когда появятся универсальные квантовые компьютеры, некоторые опасаются, что они могут поставить под угрозу криптографическую структуру эллиптических кривых, которая до сих пор очень хорошо служила Bitcoin и другим криптовалютам.
Возможно, это лишь вопрос времени, когда квантовые компьютеры смогут идентифицировать огромные простые числа, которые являются ключевыми составляющими закрытого ключа Bitcoin, — при условии, что не будут разработаны контрмеры.
«Мы должны помнить, что квантовые компьютеры D-Wave не являются универсальными квантовыми компьютерами», — добавил Сала. Более того, «возможность D-Wave факторизовать ключи RSA уже была установлена одним из моих коллег несколько месяцев назад», — сказал он.
Такая Мияно, профессор машиностроения в японском Университете Рицумейкан, также усомнился в значимости результатов ученых — и по тем же причинам, что и Сала.
Длина целого числа, которое факторизовали шанхайские исследователи, 22 бита, «намного короче, чем длина фактических целых чисел RSA, которая обычно равна или больше 1024 бит — например, 1024, 2048 и максимально 4096 бит», — сказал он Cointelegraph.
Более того, «машина D-wave — это своего рода квантовый симулятор для решения задач оптимизации, а не универсальный компьютер», — добавил Мияно. Неясно, сможет ли она проводить быструю факторизацию больших целых чисел RSA в реальном мире.
Почему важна факторизация простых чисел
Факторизация — это математический процесс, в котором число можно представить как произведение меньших целых чисел. Например, 12 можно факторизовать или записать как 3 x 2 x 2. Эффективная факторизация простых чисел была названа «святым Граалем» взлома криптосистемы с открытым ключом RSA.
В конце концов, RSA — это не просто шифрование. Это также схема генерации «ключей», которая обычно включает умножение больших простых чисел. Две стороны — например, банк и его клиент — обычно получают набор простых чисел, которые используются для вычисления их закрытых и открытых ключей, объяснил Нарозняк.
Процесс фактической генерации закрытых и открытых ключей сложен, но если «p» и «q» являются простыми числами, а «n» — произведением этих двух простых чисел (то есть n = p x q), то можно сказать, что p и q связаны с закрытыми ключами, а n — с открытым ключом.
Основной математический принцип, лежащий в основе шифрования RSA, заключается в том, что, хотя умножить два простых числа легко, сделать наоборот — то есть найти два простых числа, которые являются делителями произведения — очень сложно, и это становится сложнее по мере увеличения чисел.
Коллеги Сала из Университета Тренто ранее в этом году использовали квантовый отжигатель, чтобы найти два простых делителя числа 8219999 (32749 и 251), «что, насколько нам известно, является наибольшим числом, которое когда-либо было факторизовано с помощью квантового устройства», — написали исследователи.
По мнению Сала, недавняя статья Шанхайского университета имеет значение «только в том случае, если они нашли способ факторизовать огромные числа».
Исследователи из Университета Тренто также отметили большой потенциал квантовых вычислений для решения сложных задач, которые долгое время оставались «неразрешимыми» для классических компьютеров.
В частности, факторизация простых чисел — задача разложения числа на его простые множители — «является хорошим кандидатом для эффективного решения с помощью квантовых вычислений, в частности, с помощью квантового отжига».
Ключи криптовалют безопасны — пока
Предположим, однако, что шанхайские ученые действительно нашли способ использовать квантовый отжигатель для успешного взлома криптографических алгоритмов, включая такие, как SPN, которые являются основой для передового стандарта шифрования (AES), широко используемого в армии и финансах. Что это будет означать для криптоиндустрии?
«Симметричные шифры, такие как AES-128, используемые для шифрования данных, не уязвимы для такого рода атак, поскольку они не полагаются на факторизацию чисел», — сказал Нарозняк.
Конечно, могут быть исключения, например, если шифр является общим секретом, полученным с помощью протокола обмена ключами на основе RSA, продолжил он. Но «правильно зашифрованные пароли и другие данные в целом останутся зашифрованными, даже если подход, представленный в этом исследовании, будет масштабирован и станет широко доступным — и если это правда», — сказал он.
История недоказанных утверждений о RSA
Нарозняк предостерег от поспешных выводов. «Прежде чем переоценивать наш уровень оптимизма, давайте дождемся, пока кто-нибудь повторит и подтвердит этот результат», — сказал он. «Заявления о взломе RSA не так уж редки».
Например, в начале 2023 года китайские исследователи заявили, что факторизовали 48-битный ключ на 10-кубитном квантовом компьютере, это утверждение «все еще не прошло рецензирование», — прокомментировал Нарозняк. «А за два года до этого Клаус Шнорр, который является авторитетом в этом сообществе, совершил честную ошибку и заявил, что RSA взломан. Лично я отношусь к таким громким заявлениям с долей скептицизма».
Реакция экспертов
Эксперты в области криптографии, такие как Нарозняк и Сала, призывают к осторожности при восприятии подобных заявлений. Они подчеркивают, что взлом RSA не означает кардинальных изменений в области безопасности, поскольку уже существуют альтернативы.
Важность независимой проверки
Важно отметить, что любое утверждение о взломе RSA должно пройти независимую проверку и рецензирование, прежде чем его можно считать достоверным.
Влияние на безопасность
Взлом RSA, если он когда-либо произойдет, может привести к необходимости обновления программного обеспечения, использующего этот алгоритм. Однако, уже существуют альтернативы, которые могут быть использованы вместо RSA.