คอมพิวเตอร์ควอนตัมที่สามารถทำลายบล็อกเชนของ Bitcoin ได้นั้นยังไม่มีอยู่ในปัจจุบัน อย่างไรก็ตาม นักพัฒนากำลังพิจารณาแล้วถึงคลื่นของการอัปเกรดเพื่อสร้างการป้องกันต่อภัยคุกคามที่อาจเกิดขึ้น และก็ถูกต้องแล้ว เพราะภัยคุกคามนี้ไม่ใช่เรื่องสมมติอีกต่อไป
สัปดาห์นี้ Google เผยแพร่งานวิจัยที่ชี้ว่า คอมพิวเตอร์ควอนตัมที่ทรงพลังพออาจถอดรหัสการเข้ารหัสแกนหลักของ Bitcoin ได้ภายในเวลาไม่ถึงเก้านาที — เร็วกว่าเวลาเฉลี่ยสำหรับการยุติบล็อกของ Bitcoin หนึ่งนาที นักวิเคราะห์บางคนเชื่อว่าภัยคุกคามลักษณะนี้อาจกลายเป็นความจริงได้ภายในปี 2029
เดิมพันสูง: มีโทเคน bitcoin ประมาณ 6.5 ล้านรายการ มูลค่าหลายแสนล้านดอลลาร์ ถูกเก็บไว้ในที่อยู่ที่คอมพิวเตอร์ควอนตัมสามารถกำหนดเป้าหมายได้โดยตรง เหรียญบางส่วนเหล่านี้เป็นของผู้สร้างที่ใช้นามแฝงของ Bitcoin อย่าง Satoshi Nakamoto นอกจากนี้ การถูกประนีประนอมที่อาจเกิดขึ้นยังจะทำลายหลักการสำคัญของ Bitcoin – “เชื่อในโค้ด” และ “เงินที่มีเสถียรภาพ”
นี่คือภาพของภัยคุกคาม พร้อมด้วยข้อเสนอที่กำลังพิจารณาเพื่อบรรเทามัน
สองวิธีที่เครื่องควอนตัมอาจโจมตี Bitcoin
ก่อนจะพูดถึงข้อเสนอ เรามาทำความเข้าใจความเปราะบางกันก่อน
ความปลอดภัยของ Bitcoin ถูกสร้างขึ้นจากความสัมพันธ์ทางคณิตศาสตร์แบบทางเดียว เมื่อคุณสร้างวอลเล็ต จะมีการสร้างคีย์ส่วนตัวและตัวเลขลับขึ้นมา จากนั้นจึงได้คีย์สาธารณะมาจากค่านั้น
การใช้จ่ายโทเคน bitcoin ต้องพิสูจน์ความเป็นเจ้าของคีย์ส่วนตัว ไม่ใช่ด้วยการเปิดเผยมัน แต่ด้วยการใช้มันเพื่อสร้างลายเซ็นทางคริปโตกราฟีที่เครือข่ายสามารถตรวจสอบได้
ระบบนี้กันพลาดไม่ได้ เพราะคอมพิวเตอร์สมัยใหม่จะต้องใช้เวลาหลายพันล้านปีในการทำลาย Elliptic curve cryptography — โดยเฉพาะ Elliptic Curve Digital Signature Algorithm (ECDSA) — เพื่อย้อนวิศวกรรมให้ได้คีย์ส่วนตัวจากคีย์สาธารณะ ดังนั้นจึงกล่าวว่า blockchain นั้นไม่สามารถถูกทำลายได้ในเชิงการคำนวณ
แต่คอมพิวเตอร์ควอนตัมในอนาคตสามารถเปลี่ยนถนนทางเดียวนี้ให้กลายเป็นถนนสองทาง โดยดึงคีย์ส่วนตัวของคุณออกมาจากคีย์สาธารณะและระบายเหรียญของคุณออกไป
คีย์สาธารณะถูกเปิดเผยในสองวิธี: จากเหรียญที่อยู่นิ่งบนchain (การโจมตีแบบสังเกตนาน/long-exposure attack) หรือเหรียญที่กำลังเคลื่อนที่หรืออยู่ในธุรกรรมที่รออยู่ใน memory pool (การโจมตีแบบสังเกตช่วงสั้น/short-exposure attack)
ที่อยู่ Pay-to-public key (P2PK) (ที่ใช้โดย Satoshi และนักขุดยุคแรก) และ Taproot (P2TR) ซึ่งเป็นรูปแบบที่อยู่ปัจจุบันที่เปิดใช้งานในปี 2021 มีความเสี่ยงต่อการโจมตีแบบสังเกตนาน เหรียญในที่อยู่นี้ไม่จำเป็นต้องย้ายเพื่อเปิดเผยคีย์สาธารณะ; การเปิดเผยได้เกิดขึ้นแล้ว และอ่านได้โดยทุกคนบนโลก รวมถึงผู้โจมตีด้วยควอนตัมในอนาคต โดยคร่าว ๆ แล้ว BTC ประมาณ 1.7 ล้านรายการอยู่ในที่อยู่เก่าของ P2PK — รวมถึงเหรียญของ Satoshi
การสังเกตช่วงสั้นผูกกับ mempool — ห้องรอของธุรกรรมที่ยังไม่ยืนยัน เมื่อธุรกรรมอยู่ที่นั่นเพื่อรอการถูกบรรจุลงในบล็อก คีย์สาธารณะและลายเซ็นของคุณจะถูกมองเห็นได้ทั่วทั้งเครือข่าย
คอมพิวเตอร์ควอนตัมอาจเข้าถึงข้อมูลนั้นได้ แต่จะมีหน้าต่างเวลาเพียงไม่นาน — ก่อนที่ธุรกรรมจะได้รับการยืนยันและถูกฝังไว้ใต้บล็อกเพิ่มเติม — เพื่อดึงคีย์ส่วนตัวที่สอดคล้องกันแล้วลงมือกับมัน
Initiatives
BIP 360: การลบคีย์สาธารณะ
ดังที่กล่าวไว้ก่อนหน้านี้ ทุกที่อยู่ Bitcoin ใหม่ที่สร้างขึ้นโดยใช้ Taproot ในปัจจุบันจะเปิดเผยคีย์สาธารณะบนchain อย่างถาวร ทำให้คอมพิวเตอร์ควอนตัมในอนาคตมีเป้าหมายที่ไม่หายไปไหน
ข้อเสนอ Bitcoin Improvement Proposal (BIP) 360 จะลบคีย์สาธารณะที่ฝังอยู่บนchain แบบถาวรและมองเห็นได้สำหรับทุกคน โดยการนำประเภทเอาต์พุตใหม่มาใช้ที่เรียกว่า Pay-to-Merkle-Root (P2MR)
จงนึกถึงว่าคอมพิวเตอร์ควอนตัมศึกษาคีย์สาธารณะ ย้อนวิศวกรรมรูปร่างที่แน่นอนของคีย์ส่วนตัว และสร้างสำเนาที่ใช้งานได้ขึ้นมา หากเราลบคีย์สาธารณะ การโจมตีก็ไม่มีอะไรให้ใช้งาน ในขณะเดียวกัน ทุกอย่างอื่น รวมถึง Lightning payments, multi-signature และคุณลักษณะอื่น ๆ ของ Bitcoin ยังคงเหมือนเดิม
อย่างไรก็ตาม หากนำไปใช้ ข้อเสนอนี้จะปกป้องได้เฉพาะเหรียญใหม่ที่สร้างขึ้นต่อจากนี้เท่านั้น BTC 1.7 ล้านรายการที่มีอยู่แล้วในที่อยู่เก่าที่เคยเปิดเผย นั้นเป็นปัญหาแยกต่างหาก ซึ่งได้รับการแก้ไขด้วยข้อเสนออื่น ๆ ด้านล่าง
SPHINCS+ / SLH-DSA: ลายเซ็นหลังยุคควอนตัมแบบอิงแฮช
SPHINCS+ เป็นโครงร่างลายเซ็นหลังยุคควอนตัมที่สร้างบนฟังก์ชันแฮช โดยหลีกเลี่ยงความเสี่ยงด้านควอนตัมที่เผชิญกับ Elliptic curve cryptography ที่ Bitcoin ใช้ ในขณะที่ Shor’s algorithm คุกคาม ECDSA แต่การออกแบบแบบอิงแฮชอย่าง SPHINCS+ ไม่ได้ถูกมองว่ามีความเปราะบางในลักษณะที่คล้ายกัน
โครงร่างนี้ถูกทำให้เป็นมาตรฐานโดย National Institute of Standards and Technology (NIST) ในเดือนสิงหาคม 2024 ในชื่อ FIPS 205 (SLH-DSA) หลังจากผ่านการทบทวนสาธารณะมาหลายปี
การแลกเปลี่ยนด้านความปลอดภัยคือขนาด แม้ว่าลายเซ็น bitcoin ในปัจจุบันจะมีขนาด 64 ไบต์ แต่ SLH-DSA มีขนาด 8 กิโลไบต์ (KB) หรือมากกว่า ด้วยเหตุนี้ การนำ SLH-DSA มาใช้จะทำให้ความต้องการพื้นที่บล็อกเพิ่มขึ้นอย่างมาก และทำให้ค่าธรรมเนียมการทำธุรกรรมสูงขึ้น
ผลลัพธ์คือ มีข้อเสนออย่างเช่น SHRIMPS (โครงร่างลายเซ็นหลังยุคควอนตัมแบบอิงแฮชอีกแบบ) และ SHRINCS ถูกนำเสนอมาแล้วเพื่อย่อขนาดลายเซ็นโดยไม่เสียความปลอดภัยหลังยุคควอนตัม ทั้งสองแบบต่อยอดจาก SHPINCS+ ขณะเดียวกันพยายามคงการรับประกันความปลอดภัยไว้ในรูปแบบที่เหมาะสมกว่า และประหยัดพื้นที่มากขึ้นสำหรับการใช้งานบนบล็อกเชน
แผนการ Commit/Reveal ของ Tadge Dryja: เบรกฉุกเฉินสำหรับ mempool
ข้อเสนอนี้ ซึ่งเป็น soft fork ที่ Tadge Dryja ผู้ร่วมสร้าง Lightning Network เสนอ มีเป้าหมายเพื่อปกป้องธุรกรรมใน mempool จากผู้โจมตีด้วยควอนตัมในอนาคต มันทำเช่นนั้นโดยแยกการประมวลผลธุรกรรมออกเป็นสองช่วง: Commit และ Reveal
ลองจินตนาการว่าคุณบอกคู่กรณีว่าคุณจะอีเมลถึงเขา แล้วค่อยส่งอีเมลจริง ๆ ในภายหลัง อันแรกคือช่วง commit และอันหลังคือช่วง reveal
บนบล็อกเชน นี่หมายความว่าคุณเผยแพร่ “ลายนิ้วมือ” ที่ถูกปิดผนึกของเจตนาก่อน — แค่แฮช ซึ่งไม่บอกอะไรเกี่ยวกับธุรกรรมเลย — และ blockchain จะประทับเวลา (timestamp) ลายนิ้วมือนั้นไว้แบบถาวร ต่อมาคุณจึงออกอากาศธุรกรรมจริงของคุณ และคีย์สาธารณะของคุณจะมองเห็นได้ — และใช่ คอมพิวเตอร์ควอนตัมที่เฝ้าดูเครือข่ายอาจดึงคีย์ส่วนตัวจากมัน และปลอมแปลงธุรกรรมที่แข่งขันกันเพื่อขโมยเงินของคุณ
แต่ธุรกรรมที่ปลอมแปลงนั้นถูกปฏิเสธทันที เครือข่ายตรวจสอบว่า: การใช้จ่ายนี้มี prior commitment ลงทะเบียนไว้ล่วงหน้าในchain หรือไม่ ของคุณมี ส่วนของผู้โจมตีไม่มี — เขาสร้างมันขึ้นมาได้เพียงไม่กี่ช่วงเวลา ลายนิ้วมือที่คุณลงทะเบียนไว้ก่อนหน้านี้คือข้อแก้ตัว (alibi) ของคุณ
อย่างไรก็ตาม ปัญหาคือค่าใช้จ่ายที่เพิ่มขึ้น เพราะธุรรถถูกแบ่งออกเป็นสองช่วง ดังนั้นจึงถูกอธิบายว่าเป็นสะพานชั่วคราวที่ใช้งานได้จริง เพื่อทำการติดตั้งในระหว่างที่ชุมชนทำงานเพื่อสร้างการป้องกันด้วยควอนตัม
Hourglass V2: ชะลอการใช้จ่ายของเหรียญเก่า
เสนอโดยนักพัฒนา Hunter Beast, Hourglass V2 มุ่งเป้าไปที่ความเปราะบางทางควอนตัมที่ผูกกับ BTC ประมาณ 1.7 ล้านรายการที่ถืออยู่ในที่อยู่เก่า ซึ่งเคยเปิดเผยแล้ว
ข้อเสนอนี้ยอมรับว่าเหรียญเหล่านี้อาจถูกขโมยในการโจมตีด้วยควอนตัมในอนาคต และพยายามชะลอการสูญเสียโดยจำกัดการขายไว้แค่ 1 bitcoin ต่อบล็อก เพื่อหลีกเลี่ยงการเทขายมวลแบบหายนะในชั่วข้ามคืนที่อาจทำให้ตลาดพัง
คำเปรียบเทียบคือการ run ของธนาคาร: คุณหยุดคนจากการถอนเงินไม่ได้ แต่คุณสามารถจำกัดความเร็วในการถอนเพื่อไม่ให้ระบบล่มในชั่วข้ามคืน ข้อเสนอนี้เป็นที่ถกเถียงกัน เพราะแม้แต่ข้อจำกัดที่จำกัดเพียงเท่านี้ ก็ยังมีบางส่วนในชุมชน Bitcoin มองว่าเป็นการละเมิดหลักการที่ว่า บุคคลภายนอกจะไม่สามารถแทรกแซงสิทธิในการใช้จ่ายเหรียญของคุณได้เลย
Conclusion
ข้อเสนอนี้ยังไม่ได้เปิดใช้งาน และการกำกับดูแลแบบกระจายอำนาจของ Bitcoin ซึ่งครอบคลุมนักพัฒนา ผู้ขุด และผู้ปฏิบัติงานโหนด หมายความว่าการอัปเกรดใด ๆ นั้นมีแนวโน้มว่าจะต้องใช้เวลาเพื่อให้เกิดขึ้นจริง
อย่างไรก็ตาม กระแสการเสนอข้อเสนออย่างต่อเนื่องที่เกิดมาก่อนรายงานของ Google ในสัปดาห์นี้ ชี้ว่า ประเด็นนี้อยู่ในสายตาของนักพัฒนามานานแล้ว ซึ่งอาจช่วยทำให้ความกังวลของตลาดเบาลงได้
