Hier ( https://bitcoincore.org/en/2017/03/23/schnorr-signature-aggregation/ ) heißt es, Schnorr ersetzt ECDSA, wir wissen, dass ECDSA durch Quantencomputer gebrochen werden kann. Ist Schnorr sicher vor Q-Computern?
Nein, ECDSA und EC-Schnorr sowie verwandte Schemata wie EdDSA gehören alle zur Klasse der Kryptografie mit elliptischen Kurven. Ihre Sicherheit basiert auf der Annahme, dass der diskrete EC-Logarithmus unmöglich schwer zu berechnen ist. Diese Annahme ist nicht wahr, wenn ein ausreichend starker Allzweck-Quantencomputer existieren würde.
Es gibt quantenresistente Signaturalgorithmen, aber sie sind alle auf sehr große Signaturen angewiesen – was sie für Zwecke wie Bitcoin undurchführbar teuer machen kann. Darüber hinaus gibt es viel weniger Forschung zu Funktionen (wie homomorphe Ableitung wie BIP32-Verwendungen oder Aggregation), was sie in Bezug auf die Funktionalität effektiv zu einem Rückschritt macht, wenn wir dies stattdessen übernehmen würden.
Allerdings mache ich mir darüber keine großen Sorgen. Quantencomputer im Allgemeinen haben noch einen sehr langen Weg vor sich, bevor sie auch nur annähernd Probleme wie das Lösen diskreter Logarithmen für Kurven unserer Größe angehen können. Eine Allzweck-QC mit mehreren 1000 Qbits wäre erforderlich, und es ist nicht einmal bekannt, ob es physikalisch möglich ist, einen solchen Computer zu bauen.
Dies ist im Grunde eine ungültige Frage. Es spielt keine Rolle, wie Sie Daten signieren. Solange Sie elliptische Kurven und (EC) DLP (Elliptic Curve Discrete Logarithm Problem) verwenden, sollte ein Quantencomputer (per Definition mit Shors Algorithmus) in der Lage sein, es zu brechen. Dies liegt daran, dass die Signaturprüfung einen öffentlich verfügbaren öffentlichen Schlüssel erfordert. Wenn Sie einen Quantencomputer und einen öffentlichen Schlüssel haben, erhalten Sie den privaten Schlüssel.
Die Frage, ob Quantencomputer digitale Signaturen knacken können, ist wie die Frage, ob ein verstärkter Safe von jedermann geöffnet werden kann, während der Schlüssel zu diesem Safe öffentliche Informationen sind. Es spielt keine Rolle, wie Sie den Safe verstärken, ob es eine Möglichkeit gibt, einen Schlüssel herzustellen, der diesen Safe für jedermann öffnet.
Pieter Wuille
Der Quantenphysiker
Pieter Wuille
Pieter Wuille
Der Quantenphysiker