Giải quyết đóng băng dự án máy tính lượng tử - các đề xuất khôi phục

avatar
BTC Study
Bài viết này được dịch máy
Xem bản gốc

Tác giả: Bitmax Research

Nguồn: BitMEX

Tóm tắt : Trong bài báo này, chúng tôi xem xét một số đề xuất về các lược đồ đóng băng tiền điện tử nhằm giải quyết những thách thức của điện toán lượng tử. Các lược đồ này giảm thiểu tác động của đóng băng bằng cách cho phép khôi phục các đồng tiền gần đóng băng một cách an toàn về mặt lượng tử. Điều này có thể đạt được bằng cách sử dụng hai giao dịch: (1) một giao dịch chuẩn bị (chứa cam kết băm); và (2) một giao dịch khôi phục. Một cách tiếp cận khác chỉ yêu cầu một giao dịch, yêu cầu bổ sung "bằng chứng không kiến ​​thức (ZKP)" vào giao dịch để chứng minh rằng người chi tiêu biết từ hạt giống của ví. Các hệ thống này cho thấy rằng, về mặt lý thuyết, có thể xây dựng một lược đồ đóng băng cho phép khôi phục hầu hết các ví gần đóng băng . Tuy nhiên, quá trình khôi phục và nâng cấp giao thức soft fork cho phép khôi phục có thể rất phức tạp và có khả năng có những nhược điểm khác, chẳng hạn như làm tăng gánh nặng cho các nhà điều hành nút. Tuy nhiên, các tùy chọn khôi phục này đáng được xem xét nếu chúng ta thực sự đóng băng tiền điện tử.

đông cứng

Tổng quan

Đây là bài viết thứ ba trong sê-ri của chúng tôi về khả năng chống chịu Bitcoin trước máy tính lượng tử. Bài viết đầu tiên đã khám phá về chữ ký Lamport ( bản dịch tiếng Trung ), và bài thứ hai đã tìm hiểu về lợi ích của lộ trình chi tiêu an toàn lượng tử Tapleaf ( bản dịch tiếng Trung ). Trong bài viết này, chúng ta sẽ tìm hiểu cách giảm thiểu tác động đóng băng các đồng tiền dễ bị tổn thương bởi máy tính lượng tử của đóng băng , cụ thể là bằng cách giảm thiểu khả năng mất tiền thông qua các phương án phục hồi an toàn lượng tử khác nhau.

(Ghi chú của người dịch: Trong các cuộc thảo luận về tác động của máy tính lượng tử, người ta thường đề xuất đóng băng các đồng tiền này để giảm thiểu tác động đến lượng lưu thông do máy tính lượng tử đánh cắp hoặc thu hồi các đồng tiền bị mất. Ở đây, " đóng băng" có nghĩa là vô hiệu hóa phương pháp chi tiêu có thể bị máy tính lượng tử phá vỡ, cụ thể là các chữ ký đường cong elip đơn giản; "khôi phục" đề cập đến việc giành lại quyền kiểm soát các đồng tiền này - chuyển chúng đến một nơi có phương pháp chi tiêu an toàn mà chỉ chủ sở hữu của chúng mới có thể kiểm soát.)

Cam kết - Phương pháp phục hồi

Các giao dịch cam kết và đầu ra OP_Return có thể được sử dụng để khôi phục tiền một cách an toàn về mặt lượng tử sau khi đóng băng chúng. Điều này có thể được áp dụng cho các đầu ra P2PKH tiêu chuẩn (với điều kiện là việc tái sử dụng địa chỉ đã được tránh trước đó). Thiết kế này yêu cầu gửi hai giao dịch, trong đó giao dịch thứ hai sẽ tiết lộ private key dưới dạng văn bản thuần trên blockchain .

Các quỹ P2PKH không tái sử dụng địa chỉ đã miễn nhiễm với các cuộc tấn công lượng tử tầm xa. Rủi ro duy nhất là kẻ tấn công lượng tử có thể đảo ngược kỹ thuật private key của bạn trước khi giao dịch chi tiêu được xác nhận trong một khối. Sơ đồ bên dưới sử dụng giao dịch cam kết và cửa sổ 100 khối để ngăn chặn cuộc tấn công như vậy.

Cấu trúc của phương pháp phục hồi cũng được thể hiện trong hình vẽ:

d1

Chúng tôi sẽ giải thích quy trình này từng bước một:

  1. Đặt lệnh xuất OP_Return vào "giao dịch chuẩn bị" ban đầu.
  2. Đang chờ xác nhận 100 khối.
  3. Việc tạo ra giao dịch thứ hai, còn được gọi là "giao dịch khôi phục", tốn các đồng tiền lượng tử dễ bị tổn thương; bản thân nó yêu cầu một chữ ký lượng tử dễ bị tổn thương chính xác để, theo các quy tắc cũ trước khi đóng băng lượng tử, giao dịch đó được coi là hợp lệ.
  4. Kết quả OP_Return của giao dịch thứ hai chứa các trường sau được nối liền nhau từ đầu đến cuối:
    • Private key
    • Chuyển địa chỉ đích
    • TXID dùng để chuẩn bị giao dịch
  5. Kết quả OP_Return để chuẩn bị giao dịch phải là giá trị băm của hai trường trong kết quả OP_Return của giao dịch được khôi phục, cụ thể là SHA256(私钥+ 转账目标地址) . TXID dùng để chuẩn bị giao dịch không thể được bao gồm trong giá trị băm cam kết này, điều này là hiển nhiên nhưng không cần thiết.

Phương án khôi phục này sẽ yêu cầu một nâng cấp giao thức rất phức tạp. Nâng cấp này sẽ quy định rằng một giao dịch khôi phục tiếp theo chỉ hợp lệ nếu tất cả các chi tiết trong đầu ra OP_Return của nó hoàn toàn khớp với cam kết băm của một giao dịch đã nhận được ít nhất 100 xác nhận khối; và nếu giao dịch khôi phục cũng mang một chữ ký hợp lệ. Nếu quá trình khôi phục không được hoàn tất chính xác, số tiền sẽ vẫn bị đóng băng. Bởi vì giao dịch khôi phục vẫn mang một chữ ký dễ bị tổn thương lượng tử hợp lệ, nó hợp lệ theo các quy tắc trước khi đóng băng lượng tử. Do đó, nâng cấp này có thể là soft fork(thay vì hard fork). Sử dụng phương pháp này, người chi tiêu chứng minh rằng họ biết private key trước khi chữ ký được gửi đến blockchain , do đó đảm bảo an ninh lượng tử.

Phương pháp này không hoàn hảo và chỉ có thể sử dụng một lần. Một khi bạn công bố private key dưới dạng văn bản thuần trên blockchain, mọi người đều biết nó, và bất kỳ ai cũng có thể lấy bất kỳ khoản tiền còn lại nào sau khi chờ 100 khối. Hơn nữa, nếu giao dịch khôi phục không được xác nhận trong vòng 100 khối sau khi phát sóng, tiền có thể bị đánh cắp bởi hầu hết mọi người. Nói cách khác, nếu thợ đào có thể chặn giao dịch trong 100 khối, họ có thể đánh cắp tiền. Chúng tôi không ủng hộ phương pháp này, mà chỉ sử dụng nó như một minh họa: cách xây dựng một sơ đồ khôi phục chống lượng tử bằng cách sử dụng các thuật toán cơ bản tương đối đơn giản (về cơ bản, chỉ sử dụng các hàm băm ở đây). Mặt khác, nâng cấp giao thức, phát triển ví có khả năng xử lý quy trình này và thông báo cho người dùng về phương pháp khôi phục này có thể cực kỳ khó khăn.

Một vấn đề khác là việc tái sử dụng địa chỉ. Khóa công khai của các đầu ra P2PKH có thể đã bị lộ trên blockchain, miễn là địa chỉ đó chưa được sử dụng lần đầu tiên. Nếu phương thức khôi phục này được cho phép, kẻ tấn công lượng tử vẫn có thể đánh cắp tiền của người dùng miễn là việc tái sử dụng địa chỉ vẫn tồn tại, đóng băng trở nên vô hiệu. Một cách để khắc phục điều này là chỉ cho phép phương pháp khôi phục này được áp dụng cho các địa chỉ chưa được tái sử dụng. Tuy nhiên, điều này có thể gây ra gánh nặng đáng kể cho nút , vì chúng sẽ cần phải duyệt toàn bộ lịch sử Bitcoin để kiểm tra tính hợp lệ của giao dịch khôi phục. Trong trường hợp này, nút bị loại bỏ sẽ không thể kiểm tra tính hợp lệ của các giao dịch khôi phục.

Phương pháp cam kết từ khóa hạt giống

Điều đáng chú ý là nhiều người sử dụng cụm từ hạt giống gồm 12 hoặc 24 từ để tạo ví và lưu trữ Bitcoin . Ví dụ, họ có thể sử dụng tiêu chuẩn cụm từ hạt giống BIP-39 . Để suy ra cụm từ hạt giống ví từ cụm từ có thứ tự này, cần có một hàm suy luận khóa dựa trên mật khẩu. Điều này liên quan đến hàm băm SHA512, do đó nó an toàn trước máy tính lượng tử (ít nhất là theo như chúng ta biết). Vì vậy, mặc dù về mặt lý thuyết, máy tính lượng tử có thể nhìn lên blockchain và sau đó sử dụng phép thuật lượng tử để đảo ngược kỹ thuật private key của bạn, nhưng nó đơn giản là không thể sụp đổ cụm từ 12 từ có thứ tự của bạn một cách vô hạn.

Do đó, một ý tưởng là nếu quá trình tạo ra private key chính từ cụm từ 12 từ là an toàn lượng tử, thì việc sử dụng nó bằng cách công bố cụm từ hạt giống cũng phải an toàn lượng tử. Điều này bao gồm hai bước: một "giao dịch chuẩn bị" và một "giao dịch khôi phục". Phương pháp này thậm chí có thể được sử dụng trong các trường hợp khóa công khai đã bị lộ Chuỗi(chẳng hạn như tái sử dụng địa chỉ và đầu ra Taproot).

Cấu trúc của phương pháp phục hồi này được thể hiện trong hình sau:

d2

Các bước thực hiện như sau:

  1. Đặt lệnh xuất OP_Return vào "giao dịch chuẩn bị" ban đầu.
  2. Đang chờ xác nhận 100 khối.
  3. Việc tạo ra giao dịch thứ hai, còn được gọi là "giao dịch khôi phục", tốn các đồng tiền lượng tử dễ bị tổn thương; bản thân nó yêu cầu một chữ ký lượng tử dễ bị tổn thương chính xác để, theo các quy tắc cũ trước khi đóng băng lượng tử, giao dịch đó được coi là hợp lệ.
  4. Kết quả OP_Return của giao dịch thứ hai chứa các trường sau được nối liền nhau từ đầu đến cuối:
    • Đã sắp xếp 12 từ khóa gốc
    • Đường dẫn tạo ví
    • Chuyển địa chỉ đích
    • TXID dùng để chuẩn bị giao dịch
  5. Kết quả OP_Return để chuẩn bị giao dịch phải là giá trị băm của ba trường trong kết quả OP_Return của giao dịch được khôi phục, cụ thể là SHA256(种子词+ 派生路径+ 转账目标地址) . Như đã đề cập trước đó, TXID của giao dịch đã chuẩn bị không được bao gồm.

Cách tiếp cận này có nhiều nhược điểm tương tự như "cách tiếp cận khôi phục cam kết" đã đề cập ở trên, ngoại trừ việc cho phép cách tiếp cận này ngoài các tùy chọn đã nêu có tiềm năng khôi phục được nhiều đồng tiền hơn.

Phương pháp cam kết trước QDay

Hệ thống phục hồi dựa trên cam kết này thậm chí có thể được sử dụng để phục hồi các đầu ra P2PK, vốn dễ bị tổn thương nhất trước máy tính lượng tử — khóa công khai của kịch bản bị lộ ngay khi nhận được tiền tài trợ (khi đầu ra được tạo), trước cả khi một tiêu chuẩn về thuật ngữ hạt giống tồn tại. Sơ đồ sau minh họa phương pháp này:

d3

Điểm đặc biệt của phương pháp này nằm ở chỗ việc chuẩn bị giao dịch phải được công bố trên blockchain trước QDay (ngày máy tính lượng tử trưởng thành). Do đó, chúng ta có thể giả định rằng chỉ người sở hữu hợp pháp số tiền đó mới biết private key của mình. Phương án phục hồi này nghe có vẻ hơi nực cười vì, không giống như các hệ thống phục hồi đã đề cập trước đó, nó yêu cầu chủ sở hữu số tiền phải hành động trước QDay; tuy nhiên, nếu chủ sở hữu có thể hành động trước QDay, số tiền có thể được chuyển đến một đầu ra an toàn lượng tử. Xét cho cùng, việc chuyển tiền đến một đầu ra an toàn lượng tử sẽ dễ dàng hơn nhiều so với việc xây dựng quá trình chuẩn bị giao dịch.

Tuy nhiên, phương án phục hồi này có thể đặc biệt hữu ích cho Satoshi Nakamoto(hay nói đúng hơn là người đã nhận được phần lớn phần thưởng khai thác vào năm 2009). Satoshi Nakamoto có thể tạo ra một giao dịch chuẩn bị trước Ngày Lượng tử (QDay). Mọi người sẽ không biết Satoshi Nakamoto đang làm gì vì chúng ta chỉ thấy một giao dịch thông thường, dường như không liên quan đến số tiền của Satoshi Nakamoto, chỉ có đầu ra OP_Return (mang 256 bit dữ liệu). Điều này sẽ cho phép Satoshi Nakamoto duy trì một lý do hợp lý về việc liệu những đồng tiền cổ này có được sử dụng hay không, nhưng sau QDay, ông ta có thể thu hồi chúng một cách an toàn về mặt lượng tử nếu muốn. Tất nhiên, điều này giả định rằng Satoshi Nakamoto quan tâm đến việc này.

Chúng ta thậm chí có thể tạo ra một kịch bản trong đó cam kết 256 bit được mang trong một sàn giao dịch cam kết là hàm băm gốc Merkle của một Merkle trees khổng lồ, với các điều kiện khôi phục cho hàng ngàn đầu ra dễ bị tổn thương lượng tử. Do đó, một cam kết hàm băm 256 bit duy nhất trong đầu ra OP_Return có thể được sử dụng để khôi phục hàng ngàn đầu ra (có khả năng trị giá hàng trăm hoặc hàng ngàn BTC) sau này. Trong trường hợp này, giao dịch khôi phục sẽ có đầu ra OP_Return rất lớn vì cần phải cung cấp một đường dẫn từ lá đến gốc Merkle. (May mắn thay, các đầu ra OP_Return lớn hiện có thể được chuyển tiếp trên toàn mạng). Phương pháp gốc Merkle này cũng có thể giảm bớt tắc nghẽn blockchain do việc vội vàng tạo ra các giao dịch cam kết trước QDay gây ra.

Phương pháp từ khóa hạt giống bằng chứng không tiết lộ

Tất cả các phương án trên đều có một nhược điểm chí mạng: mỗi địa chỉ chỉ có thể khởi tạo thao tác khôi phục một lần. Tuy nhiên, có một khái niệm gọi là "Bằng chứng không tri thức(ZKP)". Bằng chứng không tri thức cho phép bạn chứng minh điều gì đó trong khi vẫn giữ bí mật một số thông tin về quy trình. Ví dụ, bằng chứng không tiết lộ thông tin có thể được sử dụng để chứng minh rằng bạn sở hữu một từ khóa hạt giống (từ khóa này tạo ra một địa chỉ và có thể tạo ra chữ ký số tương ứng), nhưng từ khóa hạt giống này vẫn được giữ bí mật. Mặc dù nhiều phương án ZKP dễ bị tấn công lượng tử, nhưng một số phương án, chẳng hạn như STARK , lại an toàn trước tấn công lượng tử.

Phương pháp ZKP được thể hiện trong hình sau:

d4

Một ưu điểm quan trọng của phương pháp này là cụm từ hạt giống không bị lộ khi sử dụng bằng chứng không tiết lộ thông tin (zero-knowledge proof). Do đó, cùng một địa chỉ có thể được sử dụng lần để chi tiêu (khôi phục) bằng chứng không tiết lộ thông tin. Điều này loại bỏ nhu cầu thực hiện hai giao dịch (chuẩn bị + khôi phục), chỉ cần một giao dịch duy nhất. Phương pháp chứng minh không tiết lộ thông tin này chỉ hữu ích cho cụm từ hạt giống và không thể được sử dụng trong "sơ đồ cam kết-khôi phục" vì chữ ký lượng tử dễ bị phá vỡ vẫn cần được công bố trên Chuỗi để giao dịch hợp lệ. Do đó, private key chắc chắn sẽ được tính toán bởi máy tính lượng tử.

Phương pháp này còn có một lợi thế khác: Bitcoin không cần phải chuyển tiền trước Ngày QDay. Phương thức chi tiêu mới này—mang theo bằng chứng không kiến ​​thức (zero-knowledge proof) trong đầu ra OP_Return để chứng minh người chi tiêu sở hữu từ khóa hạt giống—có thể được sử dụng như một phương pháp chi tiêu mới sau Ngày QDay. Mọi người có thể tiếp tục sử dụng ví của họ bình thường cho đến khi đóng băng; sau đó nâng cấp phần mềm ví, thêm đầu ra ZKP và tiếp tục chi tiêu tiền của mình. Sau Ngày QDay, mọi người có thể dần dần chuyển tiền của họ sang các đầu ra hiệu quả hơn ZKP (chẳng hạn như các đầu ra sử dụng chữ ký hàm băm SPHINCS+) khi cần thiết. Nhưng điểm mấu chốt là: trước Ngày QDay, bạn không cần phải lo lắng về việc chuyển đổi.

Một lợi ích tiềm năng khác của phương pháp ZKP này là cải thiện quyền riêng tư — việc công bố cụm từ hạt giống sẽ tiết lộ toàn bộ lịch sử giao dịch trước đây của ví. Tuy nhiên, với ZKP, các khoản chi tiêu có thể không được liên kết với quỹ phục hồi.

Một nhược điểm lớn của phương pháp này là không phải ai cũng sử dụng từ khóa bảo mật để tạo ví của riêng mình. Tuy nhiên, ví sử dụng từ khóa bảo mật đã cực kỳ phổ biến trong hơn 10 năm qua.

tóm lại

Các phương án phục hồi này chứng minh rằng, về mặt lý thuyết, chúng ta có thể xây dựng một phương án đóng băng lượng tử nếu thực sự muốn, giúp phục hồi hầu hết mọi loại tiền điện tử đang ở trạng thái gần đóng băng. Việc hỗ trợ nhiều tùy chọn phục hồi làm tăng khả năng phục hồi tiền điện tử. Ví dụ, phương pháp phục hồi bằng cụm từ hạt giống ZKP hoạt động đối với các ví có cụm từ hạt giống; trong khi nếu ví không có cụm từ hạt giống, phương pháp phục hồi bằng cam kết có thể được sử dụng. Điều này có thể bao gồm phần lớn các loại tiền điện tử. Chỉ những loại tiền điện tử chưa sử dụng cụm từ hạt giống và có khóa công khai đã bị lộ mới hoàn toàn không thể phục hồi được. Bảng dưới đây liệt kê các mệnh giá tiền điện tử hiện đang được nắm giữ bởi các loại mã lệnh khác nhau, cùng với các phương án phục hồi áp dụng.

Loại đầu ra mệnh giá tiền tệ Cổ phần cung chiếm tỷ lệ Các lựa chọn đóng băng tác hại do băng giá có thể áp dụng
P2WPKH 8.011.484 40,1% Giải pháp khôi phục cam kết, Giải pháp cam kết từ khóa hạt giống và Giải pháp từ khóa hạt giống ZKP
P2PKH 4.709.800 23,6% Giải pháp khôi phục cam kết, Giải pháp cam kết từ khóa hạt giống và Giải pháp từ khóa hạt giống ZKP
P2SH 4.045.377 20,3% Giải pháp khôi phục cam kết, Giải pháp cam kết từ khóa hạt giống và Giải pháp từ khóa hạt giống ZKP
P2WSH 1.296.835 6,5% Giải pháp khôi phục cam kết, Giải pháp cam kết từ khóa hạt giống và Giải pháp từ khóa hạt giống ZKP
P2PK 1.716.419 8,6% Cam kết băm trước QDay
Rễ cọc 196.292 1,0% Chương trình cam kết từ khóa hạt giống và chương trình từ khóa hạt giống ZKP
Đầu ra an toàn lượng tử mới 0 0,0% Không cần phục hồi
tổng cộng 19.976.207 100%

Nguồn dữ liệu: https://dune.com/murchandamus/bitcoins-utxo-set

Mỗi hệ thống phục hồi đóng băng lượng tử tiềm năng này đều có những nhược điểm riêng. Ví dụ, chúng có thể phức tạp, yêu cầu nâng cấp giao thức soft fork quy mô lớn và có khả năng gây ra vấn đề cho người vận hành nút(có thể dẫn đến các lỗ hổng DoS mới). Tuy nhiên, nếu chúng ta thực sự đóng băng, ít nhất những tùy chọn phục hồi này đang được xem xét một cách nghiêm túc. Ít nhất, chúng đại diện cho một thí nghiệm tư duy thú vị.

(qua)

Khu vực:
Modular Blockchain
Layer 2
Layer 1
Nguồn
Tuyên bố từ chối trách nhiệm: Nội dung trên chỉ là ý kiến của tác giả, không đại diện cho bất kỳ lập trường nào của Followin, không nhằm mục đích và sẽ không được hiểu hay hiểu là lời khuyên đầu tư từ Followin.
Thích
Thêm vào Yêu thích
Bình luận
Nội dung liên quan