Chữ ký Lamport an toàn lượng tử

avatar
BTC Study
08-25
Bài viết này được dịch máy
Xem bản gốc

Theo nghiên cứu của BitMEX

Nguồn : BitMEX

Tóm tắt : Chúng tôi giới thiệu chữ ký Lamport, một lược đồ chữ ký số an toàn lượng tử dựa trên hàm băm, được phát minh vào năm 1979. Chúng tôi sử dụng chúng để giải thích cách chữ ký an toàn lượng tử có thể rất đơn giản, không đòi hỏi sự phức tạp hay toán học mới. Chúng tôi lập luận rằng những chữ ký dựa trên hàm băm này có thể là con đường chúng ta nên đi nếu Bitcoin áp dụng lược đồ chữ ký an toàn lượng tử. Không có lý do chắc chắn nào để tin rằng điện toán lượng tử gây ra mối đe dọa sắp xảy ra đối với Bitcoin (không phải trong thời gian tới). Tuy nhiên, chúng tôi cho rằng rằng bước đầu tiên để giảm thiểu mối đe dọa được nhận thức của điện toán lượng tử là cung cấp cho người dùng một phương pháp an toàn lượng tử để chi tiêu Bitcoin của họ. Khi một tùy chọn như vậy trở nên khả dụng, việc người dùng thông thường áp dụng sẽ tự nhiên thúc đẩy bước tiếp theo.

ll-1536x862

- Lesslie Lamport, nhà toán học và khoa học máy tính người Mỹ -

Tổng quan

"Sự phơi bày Bitcoin trước các mối đe dọa từ điện toán lượng tử" gần đây đã trở thành một chủ đề nóng. Thậm chí gần đây đã có một hội nghị tại Presidio Bitcoin ở San Francisco dành riêng cho vấn đề này. Chúng tôi cho rằng rằng mọi người nên hành động một cách lý trí nhất có thể. Chúng tôi không hiểu rõ về điện toán lượng tử, và chúng tôi vẫn chưa thấy bất kỳ kết quả ấn tượng nào với phần cứng điện toán lượng tử, vì vậy dường như không có nhiều lý do để lo lắng. Tuy nhiên, chúng tôi cũng hiểu rằng những ý tưởng của chúng tôi có thể khiến một số người e ngại; về mặt lý thuyết, điện toán lượng tử có thể phát triển rất nhanh chóng. Một mối lo ngại chung là Bitcoin có thể cần nâng cấp lên một hệ thống chữ ký số mật mã hậu lượng tử mới, phức tạp và rủi ro. Bạn có thể tìm hiểu về một loạt các hệ thống nghe có vẻ hợp thời, bao gồm HAWK , SQI , FalconCRYSTALS . Những hệ thống mới này cũng có thể có rủi ro riêng. Điều gì sẽ xảy ra nếu chúng ta chọn sai? Vào năm 2023, có báo cáo rằng một hệ thống mật mã hậu lượng tử mới, " thuật toán SIKE ", đã bị phá vỡ bởi điện toán thông thường, phi lượng tử. Hơn nữa, nếu máy tính lượng tử phát triển nhanh đến mức hầu như không ai hiểu được nó, ai có thể chắc chắn rằng những kế hoạch này thực sự an toàn?

Tuy nhiên, nếu Bitcoin nâng cấp lên một hệ thống chữ ký số hậu lượng tử, sẽ không cần đến công nghệ mới phức tạp và rủi ro. Hãy nhớ rằng hệ thống chữ ký số của Bitcoin, Thuật toán Chữ ký Số Đường cong Elliptic (ECDSA), có khả năng dễ bị tấn công lượng tử do sử dụng thuật toán Shor để phân tích thừa số nguyên tố nhanh chóng. Tuy nhiên, các hàm băm rất an toàn trước điện toán lượng tử. Điểm yếu của các hàm băm như SHA256 là tính bảo mật của chúng bị giảm theo cấp số nhân bởi thuật toán Grover , nghĩa là thay vì có 256 bit bảo mật, chúng sẽ chỉ còn 128 bit. Điều này có vẻ khá chấp nhận được, và nếu cần, bạn luôn có thể sử dụng một hàm băm với đầu ra đủ dài.

Trên thực tế, có một sơ đồ chữ ký hoàn toàn dựa trên hàm băm. Ví dụ, chữ ký Lamport , được phát minh vào năm 1979, rất đơn giản, đơn giản hơn nhiều so với sơ đồ dựa trên đường cong elliptic mà Bitcoin sử dụng. Hơn nữa, vì nó chỉ dựa trên hàm băm, nên nó an toàn lượng tử. Do đó, nếu Bitcoin kết hợp một sơ đồ chữ ký an toàn lượng tử, nó sẽ không cần phải dựa vào toán học mới lạ; thay vào đó, chúng ta có thể chỉ cần chọn một sơ đồ dựa trên hàm băm. Khi đó, Bitcoin có thể sử dụng hàm băm cho mọi thứ, bao gồm khai thác Bằng chứng công việc và chữ ký, khiến Bitcoin thậm chí còn đơn giản hơn. Trong phần còn lại của bài viết này, chúng ta sẽ tìm hiểu khái niệm chữ ký Lamport và cách thức hoạt động của chúng.

Chữ ký Lamport hoạt động như thế nào?

Trong các ví dụ sau, chúng tôi giả định chữ ký Lamport sử dụng thuật toán băm SHA256, nhưng hầu như bất kỳ hàm băm nào cũng có thể được sử dụng mà không ảnh hưởng đến nguyên lý hoạt động. Trong chữ ký Lamport, private key không phải là một số ngẫu nhiên 256 bit duy nhất như trong chữ ký ECDSA. Thay vào đó, nó bao gồm hai bộ số ngẫu nhiên, mỗi bộ chứa 256 số ngẫu nhiên 256 bit. Trong ví dụ này, chúng tôi gọi hai bộ này là "Bộ A" và "Bộ B". Do đó, trong chữ ký Lamport, private key là 2 * 256 * 256 = 131072 bits = 16.3 KB . Mỗi số ngẫu nhiên 256 bit này được băm, và giá trị băm thu được trở thành khóa công khai tương ứng, tạo ra kích thước khóa công khai 16.3 KB . Một địa chỉ Bitcoin có thể là giá trị băm SHA256 của chuỗi nối tất cả các chuỗi tạo nên khóa công khai. Sơ đồ sau minh họa sự tương ứng giữa khóa private key và khóa công khai.

d1-1024x876

Khi ký một thông điệp, bước đầu tiên là băm nó, cũng sử dụng SHA256, và chuyển đổi đầu ra (giá trị băm) sang nhị phân. Mỗi chữ số của số nhị phân này xác định private key nào được bao gồm trong chữ ký—0 cho tập A, 1 cho tập B. Bit đầu tiên của giá trị băm tương ứng với số ngẫu nhiên đầu tiên trong private key , bit thứ hai tương ứng với số ngẫu nhiên thứ hai, v.v. Do đó, chữ ký được tạo ra hoàn toàn bằng cách chọn ngẫu nhiên 50% private key.

d2-1024x524

Để xác minh thông điệp này, tất cả những gì người xác minh cần làm là băm thông điệp và sử dụng từng bit của biểu diễn nhị phân của giá trị băm để xác định khóa công khai nào sẽ được sử dụng để xác minh. Sau đó, người xác minh sẽ băm từng chữ số trong chữ ký để xem nó có khớp với khóa công khai tương ứng hay không. Nếu chúng khớp chính xác, chữ ký là hợp lệ. Người ký cần biết tất cả private key, và vì hàm băm là ngẫu nhiên, nên không thể dự đoán được phần nào của Tập A hay Tập B mà chữ ký sẽ yêu cầu cho đến khi biết thông điệp cần ký. Do đó, thật dễ hiểu tại sao sơ ​​đồ này an toàn; quy trình xác minh rất đơn giản về mặt tính toán.

Dùng một lần

Một điểm yếu quan trọng của chữ ký Lamport là private key chỉ có thể được sử dụng một lần. Sau khi giao dịch được ký và công bố lên blockchain, 50% private key sẽ bị lộ. Nếu cùng một khóa công khai được sử dụng lại, 50% private key còn lại sẽ bị lộ. Về mặt thống kê, điều này có nghĩa là 75% tổng số private key bị lộ. Dễ dàng nhận thấy tính bảo mật của nó giảm đáng kể khi private key được sử dụng lại nhiều lần. Điều này có nghĩa là người dùng có thể không thể sử dụng lại địa chỉ, điều này tốt cho quyền riêng tư, nhưng cũng có một số vấn đề:

  • Mọi người đã quen với việc sử dụng lại địa chỉ
  • Điều gì xảy ra nếu ai đó gửi tiền đến một địa chỉ đã được sử dụng?
  • Làm thế nào để triển khai RBF? Có thể thực hiện bằng cách thêm một đầu vào bổ sung và chỉ ký đầu vào bổ sung này, nhưng điều này cũng sẽ dẫn đến vấn đề lựa chọn UTXO.

Không có toán học linh hoạt

Một nhược điểm khác là nó không thể sử dụng các kỹ thuật toán học linh hoạt như ECDSA. Ví dụ, ví phân cấp xác định BIP-32 tận dụng các tính năng của ECDS để cho phép sử dụng "xpub (khóa công khai mở rộng)"; điều này không khả thi trong hệ thống chỉ có hàm băm.

âm lượng

Một vấn đề lớn khác là kích thước khổng lồ của khóa công khai và chữ ký Lamport. Khóa công khai là 16 KB, và chữ ký là 8 KB, tổng cộng là 24 KB. Một khối Bitcoin chỉ có thể chứa vài chục giao dịch, trong khi các khối ngày nay có thể chứa hàng nghìn. Tuy nhiên, tất cả các giải pháp an toàn lượng tử dường như đều gặp phải vấn đề này ở một mức độ nào đó.

SPHINCS+

Chúng tôi vừa phân tích sơ đồ chữ ký Lamport ban đầu cho mục đích minh họa, chứng minh cách một sơ đồ chữ ký chỉ dựa trên hàm băm có thể hoạt động và an toàn lượng tử. Nếu Bitcoin kết hợp một sơ đồ chữ ký dựa trên hàm băm, sẽ có một lựa chọn tiên tiến hơn nhiều. Năm 1982, Winternitz đã công bố một biến thể của sơ đồ Lamport. Sơ đồ của Winternitz chia đôi hàm băm của thông điệp và ánh xạ hai số này vào các phần khác nhau của private key, đòi hỏi nhiều vòng băm hơn. Năm 2011, một biến thể mới hơn, XMSS , xuất hiện, và năm 2015, SPHINCS , một biến thể khác của sơ đồ chữ ký dựa trên hàm băm, đã được giới thiệu.

SPHINCS+ cho phép chữ ký nhỏ hơn đáng kể, và private key có thể được sử dụng lại lần. Tất cả các lược đồ này đều sử dụng cấu trúc Merkle trees, với "khóa công khai toàn cục" ở đầu, dẫn đến kích thước chữ ký thường nhỏ, chỉ 32 byte. Nếu Bitcoin áp dụng lược đồ chữ ký hậu lượng tử, các lược đồ chữ ký hàm băm với Merkle trees này có thể được sử dụng. Vì Bitcoin đã sử dụng rộng rãi Merkle trees , chúng cũng rất tiện lợi cho chữ ký.

Olaoluwa Osuntokun, đồng sáng lập Lightning Labs, đã trình bày về chữ ký SPHINCS+ tại Hội nghị Bảo mật Lượng tử gần đây ở San Francisco. Trong bài thuyết trình, ông đã giải thích những đánh đổi phải đối mặt khi sử dụng SPHINCS+ và cách đạt được các tính năng mong muốn dựa trên các ưu tiên của bạn. Các thông số có thể điều chỉnh bao gồm chi phí băm để tạo chữ ký, chi phí băm để xác minh chữ ký, số lần sử dụng lại an toàn và kích thước của chữ ký. Olaoluwa tuyên bố rằng những điều chỉnh này cuối cùng có thể giảm kích thước chữ ký xuống còn 2 KB, điều này có vẻ hợp lý. Tất nhiên, kích thước này vẫn lớn hơn đáng kể so với kích thước chữ ký hiện tại trên Chuỗi Bitcoin (khoảng 70 byte).

pres-1024x412

Nguồn: https://x.com/PresidioBitcoin/status/1945877820657508650

kết luận

Chúng tôi không có hiểu biết sâu sắc về mối đe dọa lượng tử mà ECDSA phải đối mặt, nhưng chúng tôi không thấy lý do thuyết phục nào để tìm kiếm nó. Theo quan điểm của chúng tôi, sơ đồ ECDSA được sử dụng trong Bitcoin có khả năng vẫn an toàn trong nhiều thập kỷ, vì vậy quyết định hợp lý có thể là chờ đợi cho đến khi có những minh chứng cụ thể hơn về khả năng của máy tính lượng tử. Tuy nhiên, có thể đáng để xem xét cách Bitcoin có thể trở nên an toàn lượng tử. Bước đầu tiên sẽ là tạo ra một phương pháp an toàn lượng tử để chi tiêu Bitcoin , có thể sử dụng một sơ đồ chữ ký dựa trên hàm băm. Theo quan điểm của chúng tôi, việc thảo luận về kế hoạch đóng băng các quỹ dễ bị tổn thương là không có ý nghĩa nghiêm túc nào cho đến khi một phương pháp chi tiêu an toàn lượng tử có sẵn và được sử dụng rộng rãi. Chỉ khi một phương pháp chi tiêu an toàn lượng tử có sẵn và được áp dụng rộng rãi thì mới có ý nghĩa để tham gia vào cuộc tranh luận này.

Tất nhiên, việc bổ sung một lược đồ chữ ký dựa trên hàm băm đòi hỏi rất nhiều công sức. Với kích thước chữ ký lớn hơn đáng kể, và do đó phí giao dịch cũng cao hơn đáng kể, làm thế nào một lược đồ chữ ký an toàn lượng tử như vậy có thể được áp dụng? Chúng ta có cần phải phát minh lại bánh xe với chiết khấu trọng lượng khối và giới hạn kích thước khối không? Một cách khác, chúng ta có thể đo lường mức độ áp dụng theo giá trị thay vì số lượng giao dịch/UTXO. Có lẽ các lược đồ an toàn lượng tử này sẽ được áp dụng đầu tiên bởi các thực thể nắm giữ vài nghìn Bitcoin, chẳng hạn như các nhà cung cấp ETF và Bitcoin Reserves, những tổ chức hiếm khi phát hành giao dịch. Đối với các thực thể này, chi phí giao dịch bổ sung sẽ không đáng kể. Người dùng cá nhân có thể lưu trữ khoản tiết kiệm của họ trong các đầu ra an toàn lượng tử yêu cầu chữ ký 2KB để chi tiêu, trong khi chi tiêu chi phí hàng ngày của họ trong các đầu ra dễ bị tổn thương lượng tử. Những chi phí hàng ngày này có thể tương đối an toàn bằng cách sử dụng đầu ra P2WPKH để tránh việc tái sử dụng địa chỉ; P2WPKH cũng sử dụng các hàm băm như một biện pháp chống lượng tử, vì vậy người dùng chỉ gặp rủi ro khi giao dịch của họ chưa được xác nhận.

Nếu các chương trình chữ ký an toàn lượng tử được áp dụng rộng rãi, việc thảo luận các bước tiếp theo để giảm thiểu rủi ro lượng tử sẽ trở nên dễ dàng hơn nhiều. Theo quan điểm của chúng tôi, một khi các tùy chọn đổi thưởng an toàn lượng tử xuất hiện, cuối cùng, những người dùng lý trí sẽ là người dẫn đường. Nếu họ thích đầu ra an toàn lượng tử, điều đó hoàn toàn ổn; đó là lựa chọn của họ. Nếu việc áp dụng thực sự được phổ biến rộng rãi, chúng ta có thể thảo luận về các bước gây tranh cãi khác, chẳng hạn như đóng băng tiền, thay đổi giới hạn trọng lượng khối, các chương trình khôi phục an toàn lượng tử như từ khóa hạt giống BIP-39, và bất kỳ điều gì khác mà mọi người cho rằng cần thiết. Hãy để những người nắm giữ coin quyết định.

(qua)

Nguồn
Tuyên bố từ chối trách nhiệm: Nội dung trên chỉ là ý kiến của tác giả, không đại diện cho bất kỳ lập trường nào của Followin, không nhằm mục đích và sẽ không được hiểu hay hiểu là lời khuyên đầu tư từ Followin.
Thích
Thêm vào Yêu thích
Bình luận
Nội dung liên quan