Bitcoin, la amenaza cuántica se acerca
La amenaza cuántica no es para mañana por la mañana, pero los avances recientes sugieren que la comunidad de Bitcoin ha hecho bien en lanzar las grandes maniobras.
En breve
- Google reduce las necesidades de qubits para romper RSA-2048, avivando los temores sobre Bitcoin.
- BIP-360 propone direcciones post-cuánticas (P2QRH) con FALCON para hacer que Bitcoin sea post-cuántico.
- Las firmas post-cuánticas, más voluminosas, reducirán el rendimiento de las transacciones.
- Evite reutilizar direcciones Bitcoin para proteger sus fondos.
La amenaza Google
Nos preguntábamos en abril si era necesario borrar los bitcoins de Satoshi Nakamoto antes de la llegada de la computadora cuántica. Los investigadores de Google nos brindan la oportunidad de profundizar un poco más en el tema debido a un avance importante en el campo de la factorización cuántica.
Romper las criptografías clásicas resulta mucho más fácil de lo anticipado. Los recursos necesarios para romper el cifrado RSA-2048 acaban de reducirse por 20. Este salto adelante es resultado de una optimización del algoritmo de Shor y de una mejor corrección de errores relacionados con la decoherencia cuántica.
Ahora se necesitan un millón de qubits para romper RSA-2048, frente a los 20 millones de qubits anteriores. Dicho esto, el procesador cuántico más grande actualmente solo posee 1021 qubits (el Condor de IBM). Sabiendo que la dificultad para mantener la coherencia cuántica aumenta exponencialmente con el número de qubits.
Además, la computadora cuántica todavía no logra factorizar un número tan pequeño como 35. Por lo tanto, hasta nueva prueba, no se ha registrado ningún progreso tangible a pesar de todos los grandes anuncios sobre el aumento del número de qubits y la mejora de la corrección de errores.
En cualquier caso, hay material para reflexionar. Más aún cuando empresas como Apple y Microsoft planean adoptar la criptografía post-cuántica este otoño.
Aquí para los curiosos, el historial de los avances científicos que llevaron a la computadora cuántica:
¿Bitcoin amenazado?
El avance de Google se refiere al algoritmo de Shor que, combinado con la computadora cuántica, puede resolver el problema del logaritmo discreto exponencialmente más rápido que con computadoras clásicas. En claro, es posible obtener una clave privada a partir de una clave pública de Bitcoin.
Pero aunque este algoritmo puede resolver eficazmente tanto el problema de la factorización (afectando a RSA) como el problema del logaritmo discreto (afectando a ECDSA / Bitcoin), Bitcoin y su curva elíptica «secp256k1» no se ven afectados directamente por el reciente avance de Google.
El fundador de Pauli Group advierte, sin embargo, que ECDSA generalmente es más fácil de romper que RSA, y que no es imposible que la IA logre optimizar el algoritmo de Shor para romper más fácilmente ECDSA (Bitcoin).
Por cierto (y esto es importante), tenga en cuenta que el simple hecho de duplicar la longitud de la clave pública (por ejemplo, usando una curva elíptica «secp512k1») solo hace que la derivación de la clave privada sea dos veces más difícil mediante el algoritmo de Shor. Por tanto, la protección sería insuficiente.
Según el fabricante de computadoras cuánticas IonQ, la curva elíptica «secp32k1» podría ser rota en 2027. En cuanto a la «secp256k1» (Bitcoin) sería en 2029. Sin embargo, estas previsiones deben tomarse con mucha cautela.
Afortunadamente, el NIST trabaja en la estandarización de algoritmos de criptografía post-cuántica. Tres candidatos tienen fuerte impulso para firmas digitales: CRYSTALS-Dilithium, SPHINCS+ y FALCON. Teóricamente, estos algoritmos podrían reemplazar ECDSA.
Pero no será «gratis». Las firmas y las claves son mucho más voluminosas, lo que reducirá necesariamente el rendimiento de las transacciones onchain. Crear y verificar firmas también toma mucho más tiempo.
Por ejemplo, para CRYSTAL-Dilithium Nivel I, una clave pública representa 1,312 bytes y una firma 2,420 bytes, ampliamente más que las firmas ECDSA (72 bytes) o Schnorr (64 bytes) actuales.
[El nivel de seguridad Level I del NIST ofrece seguridad equivalente a claves de 128 bits, y el Level V una seguridad de 256 bits]
En resumen, la defensa ya existe, pero aún hay que elegir el algoritmo correcto y que cada uno migre manualmente a direcciones post-cuánticas.
BIP-360 : Pay to Quantum Resistant Hash (P2QRH)
BIP-360, propuesto por Hunter Beast, es un «primer paso pragmático» (soft fork) que introduce un nuevo tipo de UTXO llamado «Pay to Quantum Resistant Hash» (P2QRH) cuyas direcciones comenzarían con «bc1r».
Explicación:
Actualmente, una transacción Bitcoin (destrucción y creación simultánea de UTXO) se realiza revelando una clave pública junto con una firma basada en el algoritmo ECDSA.
BIP-360 propone que las transacciones contengan tanto firmas ECDSA como firmas post-cuánticas, al estilo de las transacciones multi-sig. Esta combinación permite tener la solución de respaldo ECDSA en caso de descubrirse una falla en el algoritmo post-cuántico elegido.
Hunter Beast aboga por el algoritmo FALCON, que tiene la ventaja de permitir la agregación de firmas. Su primer candidato (SQIsign) finalmente fue abandonado debido a su lentitud.
Como se dijo antes, hay un precio a pagar. Las claves públicas y firmas post-cuánticas son mucho más voluminosas que una firma Schnorr de 64 bytes.
Las firmas SLH-DSA (SPHINCS+) pueden alcanzar los 29,000 bytes, o más (o menos) según los parámetros elegidos. ¡Aproximadamente 40 veces menos transacciones por bloque! Las firmas FALCON son 20 veces más grandes que las firmas Schnorr y 13 veces más grandes que las firmas ECDSA.
Hay otras propuestas sobre la mesa. Aquí una lista:
Por ejemplo, mencionemos el BIP «Quantum-Resistant Address Migration Protocol» (QRAMP) propuesto por Agustin Cruz. Este BIP prevé un hard fork. Dicho de otro modo, los bitcoins que no migren a direcciones post-cuánticas se perderían para siempre.
¿Cómo proteger sus bitcoins?
Hoy en día, las «claves públicas» ya no son realmente públicas. Se codifican pasando por funciones de hash resistentes a la computadora cuántica SHA-256 y RIPEMD-160. El hash resultante es lo que llamamos una «dirección Bitcoin».
No obstante, las claves públicas deben revelarse al momento de las transacciones. Por lo tanto, son vulnerables mientras están en el mempool esperando que un minero las agregue a un bloque.
La amenaza termina en cuanto se propaga el bloque. A menos que cometa el error de enviar fondos nuevamente a la misma dirección.
Aquí un resumen de una transacción para comprender bien:
Su wallet contiene un UTXO de 1 BTC. Este UTXO es público y contiene varias informaciones como el monto (1 BTC) y un script de bloqueo tipo P2PKH (Pay-to-Public-Key-Hash).
Ahora, imaginemos que realiza un pago de 0.5 BTC. Usted aporta su clave pública y una firma para desbloquear el script y realizar la transacción.
Dado que su UTXO es de 1 BTC, esto es lo que genera la transacción:
-0,5 BTC a la dirección del destinatario.
-0.0001 BTC a la dirección del minero (tarifa de transacción).
-0,4999 BTC devueltos a una NUEVA dirección de cambio generada por su wallet.
Cada una de estas tres transacciones crea un nuevo UTXO. El cambio de 0.4999 BTC está vinculado a una nueva dirección Bitcoin (una nueva clave pública), por lo que ya no es vulnerable.
En cambio, no debe enviar fondos nuevamente a la dirección original que contenía 1 BTC, ya que ahora es conocida por todos.
Aquí otro artículo sobre la amenaza cuántica: Bitcoin y la amenaza cuántica.
¡Maximiza tu experiencia en Cointribune con nuestro programa "Read to Earn"! Por cada artículo que leas, gana puntos y accede a recompensas exclusivas. Regístrate ahora y comienza a acumular beneficios.
Periodista de Bitcoin, geopolítica, economía y energía.
Las ideas y opiniones expresadas en este artículo pertenecen al autor y no deben tomarse como consejo de inversión. Haz tu propia investigación antes de tomar cualquier decisión de inversión.