Soukromí v blockchainu bylo navrženo pro dnešní počítače – zde je důvod, proč je to dočasné a jaké změny se mění v postkvantové architektuře ZK
Stručně
Generální ředitel společnosti Quantus Christopher Smith o tom, proč je soukromí v blockchainu časově omezeno, které řetězce jsou nejvíce ohroženy a jak postkvantová architektura ZK mění situaci.
Postkvantová kryptografie se rozhodně posunula od teoretického hlediska k implementační prioritě. Vlády stanovují časové harmonogramy migrace, normalizační orgány publikovaly nové specifikace a otázkou už není, zda se kryptografické základy moderní bezpečnosti musí změnit – ale jak rychle a za jakou cenu.
V blockchainových systémech se většina těchto rozhovorů soustředí na peněženky a podpisy transakcí. Ale Christopher Smith, Generální ředitel Kvant, tvrdí, že hlubší a méně diskutovanou zranitelností je samotné soukromí. Blockchainy jsou ze své podstaty trvalé: šifrovaný text zapsaný do řetězce dnes tam bude stále i za deset nebo dva roky. Pokud bude kryptografie chránící tato data nakonec prolomena – kvantovým počítačem nebo pokrokem v klasické kryptoanalýze – soukromí, které poskytovala, nikdy nebylo trvalé. Bylo časově omezené.
Smith a jeho tým ve společnosti Quantus staví na tomto předpokladu od základů a kombinují postkvantovou kryptografii s architekturami s nulovými znalostmi, aby vytvořili systémy určené nejen pro dnešní prostředí hrozeb, ale i pro prostředí, kde se výpočetní předpoklady mohou měnit způsobem, který je obtížné předvídat a těžko zvrátit. V tomto rozhovoru se zabývá skutečným stavem kvantových hrozeb po nedávných hardwarových průlomech, které blockchainové ekosystémy jsou nejlépe a nejhůře připraveny reagovat a co znamená budovat soukromí, které je trvalé, a ne jen aktuálně dostačující.
Kvantová hrozba byla po desetiletí popisována jako „vzdálená pět až deset let“ – ale nedávný vývoj, jako je čip Willow od Googlu, revidované odhady qubitů a skutečný ECC klíč prolomený na veřejném hardwaru, znovu přitáhl pozornost. Změnilo se něco v oblasti hrozeb?
Než byl na konci roku 2024 oznámen čip Willow od Googlu, bylo by rozumné zaujmout názor, že kvantové výpočty by mohly být nemožné. To byl široce rozšířený názor. V průběhu let se od různých společností objevilo mnoho tvrzení, že kvantové výpočty jsou za rohem, a žádné z nich se neukázalo jako pravdivé.
Po oznámení Google Willow a následných oznámeních si myslím, že se to stalo mnohem méně rozumným přístupem, protože v podstatě dokázali, že kvantová korekce chyb je možná. Musel se stát jakýsi zázrak, než jsme si mohli být jisti, že to bude fungovat, a teď jsme ten zázrak zažili – už je to jen inženýrství.
Neznamená to, že je to snadné, nebo že se to stane okamžitě, ale základy byly vypracovány. Netvrdím, že vím, kdy bude možné vyvinout kryptograficky relevantní kvantový počítač – je ze své podstaty obtížné to odhadnout, protože je to nelineární a stochastické – ale zdá se, že se časové lhůty zkracují, a to podle institucí a výzkumníků, jako je Scott Aaronson.
Je také třeba si uvědomit, že vzhledem k tomu, že se jedná o tak relevantní záležitost pro národní bezpečnost, veřejnost nemusí být informována o všem, co se děje. Pokud americká vláda nabádá všechny k aktualizaci kryptografie, aniž by přesně uvedla důvod, možná se obává, že ji má i někdo jiný.
Až kvantové výpočty dozrají, co konkrétně bude v kryptoměnách ohroženo?
Kryptografie se z velké části dělí do dvou kategorií: ochrana informací před přečtením protivníkem nebo před zápisem. První případ se týká soukromí – pokud se snažíte o tajnou zprávu mezi sebou a někým jiným a nechcete, aby si ji přečetly třetí strany, jedná se o šifrování.
Druhým je ověřování. Pokud někdo dokáže ověřování porušit, může se vydávat za vás, a v kontextu blockchainu to znamená, že vám může připravit finanční prostředky. To je kritické selhání – není možné zavolat policii, ani žádný bankovní manažer, který by mohl transakci vrátit zpět.
Většina blockchainů, jako je Bitcoin, sice soukromí ve skutečnosti nemá, ale některé řetězce ho přidaly, například Monero nebo Zcash. Kvantové počítače dokáží také prolomit určité druhy šifrování, takže v případě Monera s jeho kruhovými podpisy a návnadami by kvantový počítač mohl identifikovat, které vstupy jsou skutečné a které falešné – odstraňuje tak kamufláž.
Pak je tu třetí kategorie související se systémy ZK. Když systém ZK selže, přijímá neplatné důkazy, takže útočník může zfalšovat falešný důkaz. V případě Zcash by to znamenalo, že někdo razí chráněné mince, které mu nepatří.
V případě souhrnu ZK by někdo mohl zfalšovat zůstatky a vytvořit dojem, že proběhly transakce, které ve skutečnosti neproběhly. To vše jsou mírně odlišné způsoby selhání, ale blockchainy by v konečném důsledku nemohly existovat bez moderní kryptografie a pokud tato kryptografie z jakéhokoli důvodu selže – ať už kvantového nebo jiného – jedná se obecně o kritické selhání.
Reakce odvětví se značně liší – Ethereum aktivně pracuje, Ripple má cíl pro rok 2028, Bitcoin stále diskutuje o návrzích. Co tato odlišnost říká o tom, jak se odvětví s tímto rizikem vypořádává?
Blockchain byl, alespoň na začátku, o decentralizaci – což má své výhody i nevýhody. Může být těžké ji zastavit, ale také může být těžké ji změnit. Vidíme to napříč různými blockchainy; každý z nich vykazuje své silné nebo slabé stránky v oblasti správy a řízení.
V případě Bitcoinu panuje kultura „neměňte to, je to zatuhlé, už je to dokonalé“ – a možná to v jiných ohledech do značné míry platí, ale kryptografie byla vždycky závodem ve zbrojení. Musíte být schopni aktualizovat své klíče a kryptografii, pokud se něco pokazí, a pomalý postup je v tomto případě skutečnou zátěží.
Ethereum má zakladatele, Vitalika Buterina, který je naživu a může každému říct, co má dělat – v jistém smyslu mají jednodušší problém se sociální koordinací a on upřednostňuje kvantovou technologii, což je důležitý datový bod.
Po technické stránce má Bitcoin ve skutečnosti pravděpodobně nejjednodušší úkol: už má více typů adres, takže stačí přidat nový postkvantový, podobně jako přidali SegWit a poté Taproot.
Ethereum je technicky v obtížnější situaci kvůli své větší ploše a skutečnosti, že abstrakce účtů nebyla od začátku zabudována – je třeba provést důkladnější operaci.
Řetězce jako Zcash mají menší problém se sociální koordinací jako Bitcoin, ale složitější kryptografii, což upgrade činí náročnějším. Jsem obecně rád, že všichni mluví o kvantové technologii – ale ta, které se nejvíce obávám, je Bitcoin.
Většina diskusí o kvantové bezpečnosti se zaměřuje na peněženky a transakce. Tvrdíte, že hlubším problémem je, co se stane se samotným soukromím. Jaké jsou širší důsledky?
Soukromí bylo od počátků blockchainů spíše druhořadou myšlenkou. Satoshi chtěl Bitcoinu přidat více soukromí, ale nebylo jasné, jak to udělat – kryptografie s nulovými znalostmi se ještě nestala praktickou a oni se již snažili vytvořit první blockchain, což byl dostatečně rozsáhlý úkol. Takže soukromí bylo z velké části druhořadým prvkem, přidaným nebo přidáním jako speciální vrstva.
Blockchainy jsou trvalé. Digitální podpisy z minulých transakcí jsou uloženy v řetězci a pokud se někomu podaří tyto klíče prolomit a tyto klíče stále mají zůstatek, je to problém. Pokud ale v těchto starých adresách není žádný zůstatek, tak tolik to nevadí.
V případě soukromí však někdo zanechává v řetězci šifrovaný text – šifrovaná data, která běžnému pozorovateli vypadají jako náhodný odpad, ale která by mohla být v budoucnu dešifrována, pokud by byla prolomena základní kryptografie. Tento šifrovaný text by mohl zůstat relevantní i v dlouhodobém horizontu. Jedná se o strategii „uložit nyní, dešifrovat později“.
Můžete předpokládat, že poskytovatelé internetových služeb nebo velké vládní agentury, jako je NSA, již ukládají šifrovaný provoz do obřích databází – možná ho teď nebudou schopni dešifrovat, ale v budoucnu by to mohlo být možné. I když útok dnes neexistuje, mohl by existovat zítra a oni by se k němu mohli vrátit a najít něco relevantního.
Data, která jsou dnes soukromá, nemusí zůstat soukromá s vývojem výpočetních možností. Jak si představujete zachování soukromí v delším časovém horizontu?
Se systémy ZK je možné šifrovaný text zcela uchovat mimo řetězec. Cokoli, co chcete zahrnout do výpočtu, ale nikdy to neodhalit – je pravděpodobně lepší, když tato informace nikdy neopustí vaše zařízení.
Moderní kryptografie, stejně jako protokoly s nulovými znalostmi, to umožňuje. Umístění šifrovaných dat do řetězce nebo na veřejné místo kdekoli není skvělá strategie, protože nemusí zůstat šifrovaná navždy. Pokud se data vůbec nikdy nedostanou online, je mnohem obtížnější je dešifrovat.
Jsou stávající architektury ZK kvantově odolné?
V zásadě existují dvě kategorie ZK: prekvantové a postkvantové. Rané systémy ZK – ty, které používá Zcash nebo roll-upy na Ethereu – jsou prekvantové, protože jsou založeny na eliptických křivkách. Nejvýznamnějším postkvantovým systémem ZK jsou STARKy, které používá StarkNet. Pokud použijete prekvantový systém ZK, kvantový útočník by mohl vytvořit falešné důkazy.
Nejde o to, že by techniky ZK byly ze své podstaty zranitelné vůči kvantovým efektům – jde o specifické techniky. Užitečné pravidlo: pokud je systém založen na eliptických křivkách, je pravděpodobně zranitelný vůči kvantovým efektům. Pokud je založen na hašovacích křivkách nebo mřížkách, je pravděpodobně postkvantový.
Přejdeme v budoucnu zcela na postkvantovou technologii?
Myslím, že v budoucnu nebudeme ani používat termín „postkvantová kryptografie“ – bude se jí říkat prostě kryptografie a všechno ostatní bude „prekvantové“, něco, o čem se dozvíte, pouze pokud získáváte doktorát z matematiky a potřebujete znát historii. Většina lidí v blockchainu o kryptografii nepřemýšlí a je to špatná situace, pokud nutíte své uživatele spotřebitelské aplikace o ní přemýšlet, protože to pravděpodobně nedělají moc často.
Velká část světa již přešla na postkvantovou kryptografii, aniž by si toho většina lidí všimla. Signal a iMessage upgradovaly svou kryptografii na postkvantovou před lety, aniž by uživatelé museli cokoli dělat – aplikace to prostě zvládla. Podle zprávy Cloudflare nyní více než polovina veškerého lidského webového provozu používá postkvantovou kryptografii prostřednictvím TLS 1.3. Opět platí, že většina uživatelů o tom nemusí přemýšlet – může se to stát jen s několika správnými inženýry.
Blockchain je v obtížnější situaci, protože se od uživatelů očekává, že si budou sami kontrolovat své klíče – musí je migrovat a vy musíte s určitou naléhavostí vysvětlit proč. Tato složitost také ponechává velký prostor pro to, aby se lidé nechali zmást, nebo aby je ostatní úmyslně zmátli pro vlastní finanční zisk.
Co nedokážou stávající systémy modernizující postkvantovou bezpečnost vyřešit?
Představuji si to jako tři nebo čtyři kroky. Prvním je rozhodnutí, co dělat – snazší pro řetězce s jasným vedením a pravděpodobně i s větší centralizací; těžší pro ty decentralizovanější. Jakmile se rozhodnete, musíte aktualizovat kód a ve věku umělé inteligence to vlastně není tak těžké: pár kompetentních inženýrů, správné pokyny a důkladná kontrola. To je ta snadná část.
Nejtěžší je přimět všechny k migraci svých klíčů – uživatele telefonních peněženek, uživatele hardwarových peněženek, firmy s multisigns, správce, vládní agentury, zkrátka všechny. To také vytváří obrovskou poptávku po blokovém prostoru a v případě Bitcoinu s jeho omezenými velikostmi bloků by přimět všechny k migraci mohlo trvat měsíce, i kdyby se o to všichni pokusili současně.
Posledním a politicky nejobtížnějším krokem je rozhodnutí, co dělat s lidmi, kteří nemohou nebo nechtějí upgradovat. Nejextrémnějším příkladem je Satoshi. Zdá se, že on, nebo kdokoli to je, je mrtvý. A množství mincí, o které se jedná, představuje desítky miliard dolarů. Co se stane, když někdo tyto klíče prolomí? Je to vážný problém – ale pokud je můžete vypnout, vyvstává otázka, čí klíče lze vypnout příště. Lidé na to budou přirozeně velmi citliví.
Tento poslední problém je specifický především pro Bitcoin – neznám žádný jiný řetězec s tak velkým množstvím mincí v nepřístupné peněžence. Riziko nespočívá v tom, že aktualizace kódu je obtížná; spíše v tom, že pokud budeme postupovat příliš pomalu, mohli bychom se ocitnout v polovině této migrace, když se objeví nějaké důležité oznámení, a pak všichni zpanikaří.
Jaké konkrétní designové volby mohou týmy, které dnes vytvářejí blockchainové projekty, učinit, aby snížily budoucí expozici?
Pokud v roce 2026 stavíte nový blockchain, měli byste eliptické křivky prostě vynechat. V budoucnu si tím jen vytváříte problémy. Postavte se tomu čelem – zvládněte problémy se škálováním pomocí kryptografie založené na mřížce nebo hashování hned teď. Začněte s tím brzy, protože jinak si hromadíte neuvěřitelný kus technického dluhu, který se vám vrátí.
Odmítnutí odpovědnosti
V souladu s Pokyny k projektu Trust, prosím vezměte na vědomí, že informace uvedené na této stránce nejsou určeny a neměly by být vykládány jako právní, daňové, investiční, finanční nebo jakékoli jiné formy poradenství. Je důležité investovat jen to, co si můžete dovolit ztratit, a v případě pochybností vyhledat nezávislé finanční poradenství. Pro další informace doporučujeme nahlédnout do smluvních podmínek a také na stránky nápovědy a podpory poskytnuté vydavatelem nebo inzerentem. MetaversePost se zavázala poskytovat přesné a nezaujaté zprávy, ale podmínky na trhu se mohou bez upozornění změnit.
O autorovi
Alisa, oddaná novinářka v MPost, specializuje se na kryptoměny, umělou inteligenci, investice a rozsáhlou oblast Web3. S velkým okem pro nové trendy a technologie poskytuje komplexní pokrytí, aby informovala a zapojila čtenáře do neustále se vyvíjejícího prostředí digitálních financí.
Další články
Alisa, oddaná novinářka v MPost, specializuje se na kryptoměny, umělou inteligenci, investice a rozsáhlou oblast Web3. S velkým okem pro nové trendy a technologie poskytuje komplexní pokrytí, aby informovala a zapojila čtenáře do neustále se vyvíjejícího prostředí digitálních financí.
