Ich zitiere hier einen Benutzer namens „blk014“, der auf Pieters Taproot-Tweets vom 24. Januar geantwortet hat. Ich finde die Kommentare dieses Benutzers sehr interessant und möchte einen Entwicklerexperten fragen, wie sehr diese "Schnorr-Linearität" ein Sicherheitsproblem im zukünftigen Prozess der Suche nach quantenresistenten Lösungen darstellen kann? Und wie kann man diese Risiken im Vorfeld mindern oder verhindern?
Während sowohl ECDSA- als auch Schnorr-Signaturen gegenüber Quantencomputern unsicher sind, nutzt Taproot die Linearität von Schnorr aus, für die heute kein quantensicherer Ersatz bekannt ist . Während es bereits schwierig ist, Bitcoin quantensicher zu machen, wird es ein Albtraum sein, Bitcoin-Taproot quantensicher zu machen.
Die Aktivierung von Pfahlwurzeln sollte jetzt durch eine rationale Risikobewertung unterstützt werden. Das Ergebnis hängt von Ihrer Wahl der folgenden Parameter ab: (1) Zeit, bis QCs ECC brechen (2) Zeit, bis QC-sicherer Ersatz für Pfahlwurzeln entwickelt und geprüft ist (3) Zeit, um das Netzwerk zu aktualisieren, ...
Was tun mit unwissenden/toten Benutzern, die kein Upgrade durchführen (Satoshi, Adresswiederverwender), deren UTXOs angreifbar werden durch (1)
Angesichts dieser Risiken ist ein Upgrade auf Tap-Root nicht sehr risikoscheu, was der angemessene Ansatz bei der Entwicklung sicherheitskritischer Systeme ist und bisher verfolgt wurde.
Es ist nicht nur eine Frage der Prioritäten, denn ohne Pfahlwurzel ist es schwierig, QC-Sicherheit zu erreichen, aber ein Weg zeichnet sich zumindest am Horizont ab (vgl. aktuelle NIST-Standardisierungsbemühungen). Nach Taproot ist das Problem völlig offen.
Eine letzte Anmerkung: Ich persönlich bin nicht gegen die Aktivierung von Taproot (sehr elegant), aber ich möchte auch einen Konsens über eine rationale Bewertung der Risiken haben, die hier [mit Taproot] in Kauf genommen werden.
Der Benutzer beschreibt einen 3-Schritte-Ansatz für eine Lösung, bei der ohne Taproot nur 2 Schritte erforderlich wären. Aber bei Taproot kommt ein viel schwierigerer 3. Schritt ins Spiel:
Ich denke, es gibt 3 große QC-Probleme zu lösen: (1) Finden eines geeigneten Post-Quanten-DSA (2) Lösen des Übergangsproblems, bevor QCs groß werden, (3) Finden eines linearen PQ-DSA. Die Punkte (1)-(2) müssen auf jeden Fall gelöst werden, solange Sie glauben, dass QCs irgendwann groß werden.
Und das jüngste Quantum Supremacy-Experiment von Goolge ist ein deutlicher Beweis dafür, dass wir uns auf diesem Weg befinden. Mit aktiviertem taproot müssen wir auch (3) lösen. Wenn wir (1) und (3) zusammen lösen, kann dies zu lange dauern, um (2) zu erreichen. Dieses Risiko gehen wir ein, indem wir Taproot jetzt aktivieren.
Es könnte die Zeit, Bitcoin quantensicher zu machen, von 5-10 auf 10-20 Jahre verschieben, da viel mehr Forschung erforderlich ist. Die Risikobewertung sollte zu dem Schluss kommen, ob wir die Zeit haben und das Risiko eingehen wollen.
Vielen Dank für Ihre Expertenmeinungen zu diesem Thema.
Lassen Sie mich zunächst auf die Missverständnisse in den Beiträgen eingehen, die Sie zitieren.
DSA (und Schnorr) basieren von Natur aus auf dem diskreten Logarithmusproblem, das für (ausreichend leistungsfähige) Quantencomputer anfällig ist. Folglich gibt es so etwas wie ein „Post-Quanten-DSA“ nicht. DSA hat auch nicht die Linearitätseigenschaft von Schnorr - wenn "lineares DSA" etwas bedeutet, wäre es nur eine seltsame Art, sich auf Schnorr zu beziehen (DSA ist eine Modifikation von Schnorr, die sein Patent umgehen sollte). Es gibt digitale Signaturschemata, die (plausibel) postquantensicher sind, aber sie basieren nicht auf dem Problem des diskreten Logarithmus und sind im Allgemeinen sehr umfangreich.
Ein weiteres Missverständnis ist, dass sich Taproot auf Schnorrs Linearität verlässt. Das ist nicht der Fall - Taproot könnte auch mit ECDSA erstellt werden; es wäre nur viel weniger nützlich. Die Linearitätseigenschaft wird für eine einfache Schlüsselaggregation benötigt, damit ein einzelner Schlüssel die Zustimmung mehrerer Parteien darstellen kann.
Macht es also schwieriger, sich auf die Linearität von Schnorr zu verlassen, um zu PQC-Signaturen zu migrieren?
Linearität wird nur als Werkzeug verwendet, um die Privatsphäre (und Effizienz) des Skriptsystems von Bitcoin zu erhöhen, ohne viel zu ändern. Lineare Signaturen sind jedoch nicht die einzige Möglichkeit, diese abstrakten Ziele zu erreichen. Ein PQC-Ersatz würde nicht versuchen, die Eigenschaften von Schnorr in ein anderes Signaturschema zu stecken – es würde in erster Linie nur für private Multisignaturen (oder mehr) gebaut. Wenn ein solches Schema nicht gefunden werden kann, würden wir nur diese Datenschutzvorteile verlieren (Effizienzgewinne würden sich im Allgemeinen sowieso nicht umsetzen) und nicht schlechter dran sein, als wenn wir Schnorr/Taproot überhaupt nicht übernommen hätten.
Es gibt jedoch Hindernisse, die nichts mit Schnorr/Taproot zu tun haben. Der wahrscheinlich größte ist, wie die Schlüsselableitung heute funktioniert. PCQ-Signaturschemata haben nichts Ähnliches wie BIP32, und es ist nicht trivial, einen Großteil der Infrastruktur zu übertragen, die heute rund um die Schlüsselgenerierung existiert (xpubs, Ableitungspfade, PSBT, Hardware-Wallets, ...). Ich vermute, dass dies ein viel schwieriger zu lösendes Problem sein wird als die Konstruktionen, die Taproot auf Skript-für-Skript-Basis zulässt.
Wie würden sich all diese Funktionen im Idealfall auf PQC-Systeme übertragen lassen?
Bevor ich darauf antworte, möchte ich darauf hinweisen, dass Schnorr/Taproot in vielerlei Hinsicht nur ein Schritt sind, um ein paar Dinge vor Skripten zu verbergen. Es bringt nur Vorteile, wenn Outputs von einer Partei oder kooperativ von vielen ausgegeben werden können. In einer idealen Welt würden sie durch einen Zero-Knowledge-Beweis ersetzt, dass alle Eigenschaften, mit denen der Empfänger einer Münze ihren Speicher belasten wollte, beim Ausgeben zufrieden waren, ohne etwas anderes preiszugeben.
Wenn man sich das Problem so ansieht, wird klar, dass wir eigentlich einen Zero-Knowledge-Beweis brauchen, keine Signatur. Eine Signatur ist auf eine einzelne Partei beschränkt, die einem einzelnen Verifizierer etwas beweist, der weiß, was er will. Das ist nicht das, was wir brauchen: Im Allgemeinen sind mehrere Parteien beteiligt, und die Prüfer (vollständige Knoten, die Konsensregeln durchsetzen) kümmern sich nicht wirklich darum, welche Richtlinie erfüllt wurde – nur, dass sie mit der vom Eigentümer der Münze festgelegten Richtlinie übereinstimmt.
Es gibt Zero-Knowledge-Proof-Systeme, die dies heute (in kleinerem oder größerem Umfang) tun könnten, obwohl sie mit Leistungs-/Größenkompromissen oder Sicherheitsannahmen einhergehen, die für das Ökosystem derzeit möglicherweise schwer zu übernehmen sind. Allerdings hat sich dieser Bereich der Wissenschaft in den letzten Jahren enorm weiterentwickelt, und ich gehe davon aus, dass dies auch weiterhin der Fall sein wird.
Zurück zu PQC: Einige dieser Zero-Knowledge-Proof-Schemata können zu PQC gemacht werden. Wie PQC-Signaturschemata sind sie im Allgemeinen umfangreich (noch größer als Signaturen), aber es werden Verbesserungen vorgenommen. Für QC sprechen wir über Ereignisse, die wahrscheinlich Jahrzehnte entfernt sind (oder überhaupt nicht stattfinden werden), und in solch einer Zeitspanne kann viel passieren.
Diese besondere Reaktion ist ungefähr dämlich. Aufbauend auf dem Kommentar von Pieter Wuille.
Finden Sie eine geeignete Post-Quanten-DSA
Und
Es könnte die Zeit, Bitcoin quantensicher zu machen, von 5-10 auf 10-20 Jahre verschieben, da viel mehr Forschung erforderlich ist.
Wir wissen wirklich, was zu tun ist, um Bitcoin Quantum sicher zu machen. Seit 1979 gibt es Methoden zur Durchführung von Hash-basierter Kryptografie in verschiedenen Formen , die sogar Schnorr im Jahr 1991 vorausgingen . Das Hinzufügen eines neuen Signaturtyps zu Bitcoin kann mit einem Soft Fork erfolgen, obwohl die Einzelheiten, wie dies funktionieren würde (sie wären wahrscheinlich ein Merkle-Baum von öffentlichen Schlüsseln).
Ich persönlich habe 2015 einen Patch geschrieben, um ihn OP_LAMPORTVERIFYals Projekt hinzuzufügen, während ich gelangweilt im Flugzeug saß. Abgesehen davon, dass ich mir etwas Vernünftiges für die Formate einfallen ließ und verzweifelt versuchte, die Leute davon zu überzeugen, Adressen nicht wiederzuverwenden (diesmal wirklich!), ist es Technik das kann auf einem kurzen internationalen Flug erfolgen.
Mit aktiviertem taproot müssen wir auch (3) lösen. Wenn wir (1) und (3) zusammen lösen, kann dies zu lange dauern, um (2) zu erreichen. Dieses Risiko gehen wir ein, indem wir Taproot jetzt aktivieren.
Die beiden sind im Grunde orthogonal, es gibt keinen Unterschied zwischen der Migration zwischen Ausgaben, die mit taproot gespeichert sind, und denen, die rohes ECDSA verwenden. Die Existenz von Pfahlwurzel macht dies funktionell nicht mehr oder weniger schwierig.
Wenn Quantencomputing eine signifikante Bedrohung darstellen würde (dh nicht nur theoretisch oder langsamer als klassisches Computing wäre), müssten wir uns um viel mehr Sorgen machen als nur um Bitcoin.
Da beide obigen Antworten die gleiche Meinung haben und einige Vorurteile beinhalten, weil Pieter Wuille der Co-Autor von Taproot BIPs ist, möchte ich eine andere Meinung von Mark Friedenbach basierend auf einem Tweet-Thread hinzufügen :
Obwohl NIST den neuen Post-Quanten-Kryptografiestandard nicht vor 2024 veröffentlichen wird, fordert CISA die Verantwortlichen dringend auf, jetzt mit den Vorbereitungen für die Migration zu beginnen, indem sie der Post-Quanten-Kryptografie-Roadmap folgen. Warten Sie nicht, bis die Quantencomputer von unseren Gegnern verwendet werden, um zu handeln. Frühzeitige Vorbereitungen werden eine reibungslose Migration zum Post-Quanten-Kryptographie-Standard sicherstellen, sobald dieser verfügbar ist. Hinweis: Organisationen sollten bis zur offiziellen Veröffentlichung warten, um den neuen Standard in einer Produktionsumgebung zu implementieren.
https://www.cisa.gov/sites/default/files/publications/cisa_insight_post_quantum_cryptography_508.pdf
Relevante Tweets aus dem Thread:
Aber diese Art von Fix funktioniert nicht, wenn der Pubkey für alle sichtbar auf der Blockchain liegt. Also machen Sie die Luken zu und hören Sie auf, Pubkeys zu veröffentlichen, solange wir noch können.
Hashes sind PQC. Alle Schlüssel, die jetzt hinter einem SHA-256-Hash geschützt sind, haben 128-Bit-Sicherheit in einem Post-Quanten-Regime. zk-SNARKs erben ebenfalls das gleiche Schutzniveau. Ich sage nicht, dass es das beste PQC ist. Aber es ist verfügbar und bleiben wir bei Dingen, von denen wir wissen, dass sie QC-sicher sind.
Wenn Sie Ihre Schlüssel jetzt einfach hinter einen Hash legen, ohne dass andere Dinge vorhanden sind, bleiben Ihre Münzen sicher. Wenn morgen ein secp256k1-brechender QC gebaut würde, wären Ihre Schlüssel sicher, selbst wenn die Kette für Monate oder Jahre eingefroren wäre, während wir die Technik ausgearbeitet haben.
Die Verwendung nackter Schlüssel bedeutet andererseits, dass ein QC-Durchbruch Ihre Gelder auf eine Weise stehlen kann, auf die es keinen Rückgriff geben würde. Das Spiel wäre vorbei, danke fürs Spielen. Ich sehe dies nicht als gleichwertige Ergebnisse an.
Hängt davon ab, ob Sie warten können oder nicht, denke ich. Aber das absolute Worst-Case-Szenario hier ist das, was garantiert passiert, wenn Sie Taproot verwenden.
Pieter Wuille
johnsmiththelird
Pieter Wuille
Pieter Wuille