Способны ли квантовые вычисления взломать блокчейн?
Однако в реальности квантовые компьютеры не только существуют, но и уже доступны для коммерческого использования. Сегодня любой желающий может легко получить доступ к квантовому компьютеру, размещенному в публичном облаке, и поэкспериментировать с составлением программ, в том числе с квантовым алгоритмом факторизации Шора для взлома криптосистем RSA. Хотя уровня мощности, необходимой для взлома существующих приложений, основанных на технологии блокчейн, насколько известно, пока никто еще не достиг.
[caption id="attachment_400861" align="alignright" width="200"] Андрей Поваров, директор Международного центра программ и проектов в бизнес-образовании РАНХиГС[/caption]
Доступный в облаке квантовый компьютер IBM Q собрал около 60 тыс. пользователей, которые уже провели более 1,7 млн экспериментальных квантовых вычислений.
И хотя первая система IBM Q, появившаяся в широком доступе, обладала скромными 5 кубитами (квантовыми битами) вычислительной мощности, в прошлом году эта цифра была увеличена до 17, а затем и до 20 кубитов. А недавно представители IMB объявили, что им удалось разработать прототип процессора мощностью 50 кубитов.
Еще один производитель, D-Wave, поставляющий коммерческие квантовые компьютеры для NASA, Google и Lockheed Martin, тоже постоянно увеличивает мощность своих компьютеров – недавно была анонсирована модель с 2000 кубитов.
Но в системах D-Wave, являющихся не универсальными, а узкоспециализированными квантовыми компьютерами, кубиты «работают» по-другому, и их количество нельзя сравнивать с количеством кубитов, используемых в универсальных квантовых компьютерах (IBM Q). В основе систем D-Wave лежит принцип, получивший название «квантовый отжиг» или адиабатические квантовые вычисления, используемый для решения задач оптимизации определенного класса, а в последнее время – также в машинном обучении и при разработке искусственного интеллекта. Приведет ли эволюция этих систем к неминуемой «смерти» технологии блокчейн, банковского обслуживания и интернет-безопасности в том виде, в котором они существуют сегодня? Безусловно. А учитывая темпы научно-технического прогресса, наступление этого момента неотвратимо приближается.
«Квантовые» возможности: 1500 кубитов на биткоин
Чем же таким особенным отличаются квантовые компьютеры? В отличие от компьютеров, оперирующих традиционными единицами информации – битами, значение которых может равняться 0 или 1, – квантовые компьютеры работают с кубитами (т. е. квантовыми битами), которые могут одновременно принимать значения 0 и 1 – свойство, получившее название «суперпозиция».
Такая необычная сущность кубитов создает ряд интересных эффектов и может применяться для быстрого, простого и элегантного решения задач, которые практически невозможно решить посредством традиционных вычислений. Простейшей аналогией может стать задача поиска выхода из огромного лабиринта.
При традиционном подходе для этого потребуется один за другим проверить все возможные маршруты, что может занять немыслимо долгое время. Если вместо этого вы отправите на поиски огромную армию следопытов, каждый из которых пойдет по своему маршруту, и делать это они будут одновременно, то сможете найти выход на много порядков быстрее, практически моментально.
Аналогичным образом вместо подбора секретного ключа методом последовательного перебора различных комбинаций, как это сегодня можно пытаться делать на традиционных компьютерах (что чрезмерно непрактично), можно воспользоваться квантовым компьютером, который сразу проверит все возможные комбинации.
Сколько кубитов требуется для проверки определенного количества комбинаций? Принимая во внимание, что каждый кубит может одновременно принимать значение 0 и 1, система из N кубитов будет представлять 2N одновременно существующих вариантов. Таким образом, увеличение числа кубитов приводит к увеличению мощности в геометрической прогрессии. Таким образом, переход IBM с 20 на 50 кубитов фактически означает гигантский прирост вычислительной мощности.
Однако даже этой мощности на текущий момент недостаточно, чтобы взломать биткоин: для взлома приватного ключа потребуется около 1500 кубитов. Но как скоро мы достигнем нужного уровня? Что можно сделать для предотвращения квантовой угрозы? И какую стратегию следует применять компаниям, учитывая эту глобальную неопределенность?
Известный апологет криптофилософии Андреас Антонопулос (Andreas Antonopoulos) представил интересные аргументы, показывающие, что если бы сегодня существовали квантовые компьютеры, способные взломать RSA-ключи, владельцы таких компьютеров не афишировали бы их наличие, используя их для кражи биткоинов – довольно ничтожная цель по сравнению со значительно более серьезными задачами, которые можно решить с их помощью в финансовой, военной и ядерной сферах.
А. Антонопулос проводит параллель с британцами, которые, взломав код «Энигмы» во время Второй мировой войны, все равно не стали мешать бомбардировке своих городов, например, Ковентри, чтобы скрыть факт наличия у них техники, позволяющей расшифровать код противника.
Однако этот довод по сути не означает ничего хорошего, учитывая, что хищение криптовалют может осуществляться постепенно (как в случае с биржей Mt Gox), и никто не поймет, что кошельки были взломаны квантовым компьютером, а не неизвестными хакерами, получившими закрытые ключи более традиционными способами.
И, наконец, в организациях, располагающих мощными квантовыми компьютерами, могут найтись отдельные лица, самостоятельно использующие эти компьютеры для взлома блокчейн-систем в целях личного обогащения. Например, как это сделал агент ФБР, укравший около 1600 биткоинов в ходе следствия по делу о «Шелковом пути».
Криптография не сдается?
Более обнадеживающим (по крайней мере для криптовалют) является тот факт, что существующие криптографические методы изначально предусматривают возможность усовершенствования без какой-либо значительной переработки. С появлением новых квантово-устойчивых алгоритмов методы криптографии могут быть модернизированы с целью обеспечения качественно новых уровней безопасности. Будем надеяться, это произойдет до того, как совершенствовать криптографию окажется уже слишком поздно.
Такие алгоритмы сейчас действительно существуют и совершенствуются. Помимо прочего, сюда относится и симметричная криптография, для которой квантовые вычисления, использующие алгоритм Грувера, способны лишь незначительно ускорить процесс, в отличие от получения существенного выигрыша в случае применения асимметричных систем и алгоритма Шора.
Между прочим, в биткоине используются обе схемы, что означает возможность довольно легко взломать кошельки (в которых применяются закрытые ключи и асимметричная криптография) при помощи квантовых компьютеров, а вот майнинговые операции (SHA-256 и симметричные схемы) останутся в относительной безопасности.
Исследования в области асимметричных схем шифрования не прекращаются. Здесь можно отметить такие интересные направления, как шифрование с использованием пространственных решеток (lattice-based), криптосистемы на основе кодов и мультивариативные (multivariate) криптосистемы. Некоторые из таких систем обсуждаются уже на протяжении последних нескольких лет.
Так в чем должна состоять стратегия: просто ожидать, что произойдет, или, наоборот, следует форсировать переход на новые и еще неопробованные методы шифрования? Согласно прогнозам, сделанным на базе последних исследований, вычислительные мощности, способные взломать биткоин, появятся лет через 10. Но на самом деле мы совершенно не знаем, как скоро такие системы появятся в реальности – это может произойти значительно быстрее.
Данный факт подводит нас к классической дилемме внедрения новейших технологий: слишком ранний переход означает рискованные инвестиции в решение, которое в конечном итоге может не «выстрелить», а если выжидать слишком долго – можно подвергнуть риску критически важные активы, защищенные на текущий момент методами традиционной банковской безопасности и технологией блокчейн.
В этой ситуации индустрии блокчейн следует приступить к практическим шагам уже сегодня – накануне неизбежного появления полноценных квантовых компьютеров.