Pokud jste nečetli můj předchozí článek Nepodceňujme rizika kvantových počítačů, doporučuji začít nejprve tam.
Nejrůznější příspěvky o rizicích kvantových počítačů pro bitcoin a další blockchainy nabírají v posledních týdnech značnou trakci. Namátkou budu jmenovat vybrané novinky, které se udály za pouhý poslední měsíc:
Coinbase oznámila vytvoření expertního týmu, který má za úkol chránit kryptoaktiva před budoucími hrozbami spojenými s kvantovými počítači.
Project Eleven, který se zabývá post-kvantovou kryptografií pro různé blockchainy, získal investici ve výši 20 miliónů dolarů na další projekty a výzkum.
Ethereum Foundation ustavila nový post-kvantový tým a spustila komplexní strategii pro plný přechod Etherea na kvantově odolnou kryptografii.
O kvantové počítače se začíná zajímat i známý VC fond A16Z.
Christopher Wood z investiční banky Jefferies vzal zpět své dřívější doporučení na 10% alokaci do bitcoinu kvůli obavám o jeho bezpečnost v budoucnu. Vedla ho k tomu nedávná studie od Chaincode Labs — mimochodem doporučuji přečíst, je opravdu povedená.
Kvantová rizika pro bitcoin se nyní probírají i v podcastech, namátkou mohu doporučit například Jonase Nicka u Stephana Livery, nebo Matta Coralla u Odella.
Tým BitMEX Research zveřejnil článek popisující za mne zatím nejsmysluplnější způsob přechodu bitcoinu na post-kvantovou kryptografii.
Tématu si začínají všímat i tradiční investoři.
Na závěr — značná část mé timeline na sociální síti X je plná nejrůznějších hádek o tom, zda kvantové počítače vůbec někdy budou mít dostatečný výkon na prolomení kryptografie používané v bitcoinu. A takto bych mohl pokračovat…
Jak je vidět, téma kvantových počítačů ekosystémem digitálních aktiv docela značně rezonuje. Jedná se pouze o nafouknutou bublinu, která po nějaké době zmizí nebo o existenční riziko?
Jak to tedy je?
Zaprvé — rozhodně není potřeba panikařit. Můj osobní názor však bude velmi pravděpodobně odlišný od toho většinového. Konkrétně totiž nevidím největší problém v samotném potenciálním útoku. Proč?
Existuje totiž velmi vysoká pravděpodobnost, že sestavení dostatečně výkonného kvantového počítače bude trvat ještě mnoho let. Navíc, pokud dnes používáte adresy založené na hashovacích funkcích, jste proti kvantovým útokům chráněni — alespoň proti tzv. long-range typu. Dále se toto téma začíná mezi předními bitcoinovými vývojáři čím dál intenzivněji diskutovat, což mi dává trochu naděje, že na implementaci post-kvantové kryptografie by se snad brzy mohlo začít pracovat.
Na druhou stranu bych toto riziko rozhodně nepodceňoval. Jaké jsou tedy podle mého názoru tři zásadnější problémy, než samotné riziko útoku?
Post-kvantové podpisové algoritmy jsou ve většině případů extrémně velké a výpočetně náročné. Ty založené na hashovacích funkcích (tzv. hash-based) navíc postrádají potřebné algebraické struktury — můžeme tak zapomenout na HD peněženky, agregaci podpisů, adaptor signatures a další pokročilé konstrukce. Naproti tomu tzv. lattice-based algoritmy jsou v tomto ohledu o něco praktičtější, avšak i u nich jsou jistá omezení oproti dnešnímu bitcoinu založenému na eliptických křivkách. Výzkum nicméně neustále pokračuje, zmínit lze například tento paper od společnosti Blockstream, přesto to zatím vypadá, že přechod na post-kvantovou kryptografii si vyžádá výrazné kompromisy.
Je potřeba si uvědomit, že nezáleží na tom, kdy doopravdy budeme mít k dispozici dostatečně výkonný kvantový počítač. Klíčové je, čemu bude věřit většina investorů. A jak jsem uvedl na začátku článku, příspěvky o rizicích kvantových počítačů se na investory nyní chrlí ze všech stran. Pokud by propukla masová panika, lidé by mohli ve velkém prodávat bitcoin, i kdyby bylo reálné riziko ještě roky vzdálené. Stejně jako davová mánie během bull marketů žene cenu prudce nahoru, může se sentiment stejným způsobem otočit i opačným směrem — a odstartovat tak několikaletý bear market.
Odhaduje se, že zranitelných bitcoinů je dnes přibližně 6,8 miliónu. S nástupem post-kvantové kryptografie se značná část z nich přesune na bezpečné adresy, přesto však několik milionů bitcoinů téměř jistě zůstane na nadále zranitelných adresách. Bitcoinová komunita tak bude stát před nelehkým rozhodnutím: co s těmito bitcoiny uděláme? Zmrazíme je, nebo je ponecháme napospas útočníkovi vybavenému kvantovým počítačem?
Ve zbytku článku se do detailu podíváme právě na poslední z výše uvedených problémů.
Zranitelné množství
I když mezi zranitelné adresy patří i nejnovější typ P2TR, na kterém se nachází necelých 200 tisíc bitcoinů, největším strašákem zůstávají staré adresy typu P2PK z tzv. Satoshiho éry. Na nich dnes leží více než 1,7 milionu bitcoinů. Předpokládá se, že přes jeden milion z nich náleží samotnému zakladateli — Satoshimu Nakamotovi.
Lze očekávat, že většina těchto P2PK bitcoinů se nikdy nepřesune na bezpečné adresy, ať už na ty využívající hashovací funkce, nebo v budoucnu na nové typy založené na post-kvantové kryptografii. Důvod je jednoduchý: jejich majitelé už nemusí být mezi námi, případně k těmto prostředkům ztratili privátní klíče.
Další balík, čítající necelých 5 milionů bitcoinů, je zranitelný z důvodu tzv. address reuse. Jedná se o adresy, které mají nenulový zůstatek a z nichž již bylo v minulosti alespoň jednou utraceno — veřejný klíč je tedy navždy odhalen.
Ve většině případů to jsou adresy patřící kryptoměnovým burzám, pro které je provozně jednodušší používat jednu a tutéž adresu opakovaně. Obrázek níže zobrazuje pět největších adres, které jsou kvůli address reuse zranitelné. S vysokou mírou pravděpodobnosti by tak právě ony představovaly první cíl případného útočníka.
Oproti adresám typu P2PK zde lze však očekávat výrazně vyšší míru přesunu prostředků na bezpečnější adresy. Jejich majitelé totiž ve většině případů stále disponují privátními klíči a je v jejich osobním ekonomickém zájmu o tyto prostředky nepřijít.
Tak či onak se jednoho dne pravděpodobně dostaneme do situace, kdy bude většina společnosti přesvědčena, že dostatečně výkonný kvantový počítač je otázkou nejbližších let. A v tu chvíli tu budeme stále mít miliony zranitelných bitcoinů, které budou doslova čekat jako odměna pro případného útočníka.
Pro zbytek tohoto textu je přitom zcela irelevantní, zda k tomu dojde za pět let, nebo až za třicet. Stejně tak není podstatné, zda půjde o dva miliony, nebo čtyři miliony bitcoinů. V každém případě se bude jednat o astronomickou částku a dohady o jejím přesném vyčíslení jsou nakonec stejně zbytečné, jako polemizovat nad tím, zda máte větší šanci na přežití, když vás na železničním přejezdu srazí vlak s 30 vagóny uhlí, nebo „jen“ s 20…
Co s tím?
Už nyní se tak stále častěji objevují debaty o tom, co bychom s těmito bitcoiny měli jako komunita dělat. Příkladem může být článek Jamesona Loppa, který se jasně staví proti tomu, aby byly bitcoiny ponechány případnému útočníkovi. Podobné diskuse se objevují i v odborných článcích věnovaných technickým implementacím post-kvantové kryptografie a nelze opomenout ani řadu podcastů či debat na sociálních sítích.
Jak je již zvykem, bitcoinová komunita v tomto směru rozhodně není jednotná. Existují hlasití zastánci obou přístupů, stejně jako významná část uživatelů, která zatím nemá vyhraněný názor.
Samozřejmě, že nejlepší řešení by bylo ponechat bitcoiny původnímu majiteli, avšak za předpokladu, že zde jednoho dne budeme mít kvantový počítač, tato možnost bohužel není na výběr. Bitcoiny se buď zmrazí nebo je získá útočník, nic mezi tím.
Možná si teď říkáte, že pokud dostatečně výkonný kvantový počítač jako první sestaví například IBM nebo Google, bude pro vládu USA mnohem výhodnější tuto zásadní technologickou převahu držet v utajení. Namísto útoku na bitcoin by takový stroj mohl sloužit především k dešifrování komunikace geopolitických protivníků nebo k získávání strategických zpravodajských informací. A ano — tato úvaha je naprosto racionální a dává smysl.
Problém je však v tom, že tímto způsobem riziko pouze odsouváme v čase.
Podobná situace nastala i při vývoji atomové bomby. Spojené státy ji úspěšně otestovaly v roce 1945 a po krátkou dobu disponovaly naprostou technologickou dominancí. Ta však netrvala dlouho — Sovětský svaz provedl svůj první jaderný test již v roce 1949, tedy pouhé čtyři roky poté. Následně se k jadernému arzenálu postupně dostaly i další státy.
Stejný scénář se tak pravděpodobně odehraje i v případě kvantových počítačů. I pokud by byly první funkční kvantové počítače dlouhou dobu dostupné pouze vybraným státům, bude jen otázkou let, než se tato technologie rozšíří dál — ať již do rukou soukromých firem maximalizujících zisk, nebo států s výrazně nižšími zábranami, jako je například Severní Korea. Pro ty už by útok na bitcoin mohl představovat výrazně atraktivnější cíl.
Argumenty
Zastánci ponechání bitcoinů na zranitelných adresách ve většině případů argumentují známým heslem:
⚙️ Code is the law!
Obávají se, že případné zmrazení těchto bitcoinů by vytvořilo nebezpečný precedens, který by v budoucnu mohl otevřít dveře k debatám o zmrazení i dalších prostředků. Tím by byla narušena jedna ze základních vlastností bitcoinu — skutečnost, že vám žádná třetí strana nemůže svévolně sáhnout na váš majetek. Právě tato vlastnost byla jedním z hlavních důvodů jeho vzniku.
Zároveň zde existuje riziko, že by ke zmrazení došlo v rámci paniky příliš brzy. Někteří majitelé by tak mohli o své prostředky přijít jednoduše proto, že by si je nestihli včas přesunout na bezpečnější adresy.
Naopak zastánci zmrazení zranitelných bitcoinů argumentují především snahou minimalizovat systémové riziko pro celý ekosystém. Pokud by dostatečně výkonný kvantový počítač umožnil útočníkovi ukrást prostředky z milionů adres, jednalo by se o zásadní narušení důvěry v bitcoin jako bezpečného uchovatele hodnoty. Média by byla doslova zaplavena články jako:
⚙️ Údajně nejbezpečnější aktivum na světě selhalo! Milióny bitcoinů byly ukradeny kvůli technologické chybě.
Navíc, masivní přesun starých mincí zpět do oběhu by mohl výrazně zvýšit cirkulující nabídku k prodeji a způsobit extrémní cenovou destabilizaci.
Dalším klíčovým argumentem je ochrana vlastnických práv. Podle této skupiny není získání privátního klíče pomocí kvantového výpočtu legitimním vlastnictvím, ale technicky umožněnou krádeží. Bitcoin byl navržen tak, aby prostředky mohl utratit pouze ten, kdo vlastní privátní klíč, nikoliv ten, kdo jej dokáže dopočítat díky technologické převaze.
No, už je vám asi jasné, že shodnout se na řešení nebude vůbec jednoduché…
Soft-fork
Zde se již dostáváme spíše na pole spekulací a mého subjektivního názoru. Osobně se domnívám, že pokud se bude vývoj kvantových počítačů posouvat mílovými kroky vpřed, bude jen otázkou času, než někdo navrhne soft-fork, který od určitého bloku zakáže utrácení bitcoinů ze zranitelných adres — a tím je prakticky zmrazí.
Než se však podíváme na to, zda by měl takový fork vůbec šanci na úspěch, je potřeba si připomenout několik důležitých faktů:
Naprostá většina vlastníků bitcoinu mu technicky nerozumí a ani rozumět nechce. Už jen to, že čtete tento článek, z vás dělá naprostou výjimku. Jako ilustraci lze uvést například skutečnost, že podíl prodaných hardwarových peněženek (napříč všemi výrobci) představuje přibližně 2 % odhadovaného počtu držitelů bitcoinu. Pro většinu investorů je zcela dostačující držet prostředky na Revolutu, kryptoměnových burzách nebo prostřednictvím ETF. Představa, že by se tento poměr někdy v budoucnu výrazně změnil, je dle mého názoru naivní.
Zároveň drtivá majorita uživatelů řeší pouze cenu. Decentralizace, neutralita, nekonfiskovatelnost, necenzurovatelnost a další fundamentální vlastnosti bitcoinu se nacházejí až na konci pomyslného žebříčku hodnot, jehož vrcholu dominuje jediné kritérium — number go up.
Pokud by tak v budoucnu někdo relevantní navrhl soft-fork umožňující zmrazení bitcoinů náchylných ke krádeži, a zároveň by kvantové počítače představovaly stále reálnější hrozbu, můj osobní odhad je, že by takový návrh měl velmi vysokou šanci na úspěch. Proč?
Většina investorů totiž bude preferovat minimalizaci rizika masivního cenového propadu, ke kterému by mohlo dojít v případě, že by se na trhu náhle objevily miliony ukradených bitcoinů k prodeji. Otázka porušení absolutní nedotknutelnosti majetku by v takové situaci zajímala především cypherpunkovou komunitu — ta však s vysokou pravděpodobností zůstane v naprosté menšině.
Avšak není to pouze o drobných investorech — co například takový největší institucionální vlastník bitcoinu, firma Strategy vedená Michaelem Saylorem? Ten v nedávném tweetu uvedl následující:
To mluví za vše. Osobně věřím tomu, že zrovna Saylor by byl schopen všech 700 tisíc mincí forku BTC-steal poslat na trh, aby shodil jeho cenu a nakoupil co nejvíce jemu preferovaného BTC-freeze. Jinak řečeno bychom tu mimo zranitelných bitcoinů měli další prodejní tlak.
A co bitcoinová ETF, ve kterých se dnes nachází necelých 1,5 milionu bitcoinů? Například společnost BlackRock výslovně uvádí, že v případě forku má výhradní právo rozhodnout, na které síti bude její ETF pokračovat — nemusí se tedy řídit například největším hashratem ani jinými technickými metrikami.
Odhadovat, ke které straně by se ETF přiklonila, by bylo čistou spekulací. Pokud by se však přiklonila k takzvané „Saylorově straně“, bylo by s největší pravděpodobností rozhodnuto.
O vítězi by dále rozhodovaly burzy a směnárny — tedy to, který fork by byl zalistován pod výchozím tickerem BTC/Bitcoin. I tento faktor by sehrál významnou roli. Nesmíme zapomínat ani na různé platební brány, které by určitý fork mohly, nebo naopak nemusely podporovat pro platby. A v neposlední řadě zde máme těžaře. Ti budou s vysokou pravděpodobností nakloněni tomu forku, který jim svou tržní cenou zajistí dostatečnou odměnu k přežití v již tak extrémně náročném byznysu.
A že vám zde chybí běžní uživatelé, hodleři, provozovatelé uzlů a podobně? Nebojte, ani na ně jsem nezapomněl. I oni by samozřejmě měli velmi silné hlasovací právo. To, na které síti by provozovali své uzly, případně který fork by se rozhodli podporovat či prodávat, by mělo rovněž zásadní vliv. Je však potřeba si uvědomit, že s rostoucí institucionalizací bitcoinu již nejde o jedinou skupinu, která by o výsledku rozhodovala.
Je jasné, že poražený fork by jen tak nezmizel. Každopádně osobně se domnívám, že o pomyslném vítězi by se rozhodlo v průběhu pouhých několika dní a poraženého by čekal podobný osud, jako například projekt Bitcoin Cash.
Závěr a můj názor
Dlouhou dobu jsem na tuto problematiku neměl vyhraněný názor. Avšak po studiu, což byla moje hlavní náplň posledních týdnů až měsíců, se přikláním k následujícímu:
Na kvantové rezistentních digitálních podpisech pro bitcoin bychom měli začít pracovat již nyní. Ne proto, že by kvantové počítače byly za dveřmi, ale proto, že jejich implementace bude extrémně náročná a časově velmi zdlouhavá.
Jako ideální řešení se mi jeví přístup popsaný v článku na blogu BitMEX Research. Tedy vznik nového typu P2TR adres, u nichž by byla deaktivována keyPath cesta a pro utrácení by bylo možné využít jeden ze dvou stromů v rámci scriptPath.
Obrovská výhoda tohoto přístupu je, že si každý uživatel může individuálně určit, od jakého momentu chce své bitcoiny používat s využitím kvantově rezistentních podpisů.
Pokud by nastal průlom v praktickém využití kvantových počítačů, které by tak byly otázkou nejbližších let, osobně se přikláním na stranu těch, kteří by hlasovali pro zmrazení kvantové zranitelných adres, jelikož více souzním s jejich argumenty. Věřím, že důvěra v bitcoin by byla samotným útokem a následnou krádeží ohrožena více, než plánované zmrazení.
Nutnou podmínkou pro výše uvedené je však opravdu reálná hrozba kvantového útoku a toto plánované zmrazení by muselo být oznámeno několik let dopředu, aby měli všichni uživatelé dostatek času na migraci.
Následně bychom tak měli eliminováno riziko propadu ceny kvůli zaplavení trhu ukradenými bitcoiny a zároveň by byly k dispozici nové podpisové algoritmy kompletně eliminující riziko kvantových počítačů.
Osobně bych však byl pro to zmrazené bitcoiny nadále využívat. A to tím způsobem, že by se vrátily do oběhu jako další složka block subsidy pro těžaře.
Pokud bychom například do každého bloku přidali novou odměnu 3 BTC, vydrželo by nám 3 milióny zmrazených bitcoinů na dalších 20 let a efektivně bychom tím o 2 dekády oddálili riziko nedostatečného security budgetu. Dvě mouchy jednou ranou.
Těžaři by měli větší motivaci těžit a pravděpodobně by se zvýšil hashrate, čímž by se síť stala ještě bezpečnější. Zároveň by tím nebyl porušen limit 21 miliónů.
Alternativa
Pokud by se vám výše popsaný návrh s distribucí zmrazených bitcoinů nelíbil, existuje ještě jedna zajímavá alternativa, o které nedávno hovořil Matt Corrallo.
Ta spočívá v tom, že by existovala možnost přesunout bitcoiny ze zranitelných adres i po jejich zmrazení. To by mohlo přijít vhod například v situaci, kdy se po třiceti letech vrátíte z vězení a konečně si budete chtít koupit své vysněné lambo.
Aby vám však bitcoinová síť takový přesun umožnila, nebylo by možné použít klasický ECDSA či Schnorr podpis založený na eliptických křivkách. V takovém případě by totiž nebylo možné rozlišit, zda transakci podepisuje skutečný vlastník, nebo útočník disponující kvantovým počítačem.
Co by ale možné bylo, je následující: vzít váš seed phrase (obvyklých 12/24 slov) a vytvořit tzv. zero knowledge důkaz, který by prokazoval znalost vstupních dat (seed phrase), z nichž lze derivovat daný zranitelný klíč — a to samozřejmě bez nutnosti ho komukoliv odhalit.
Bitcoinová síť by následně tento důkaz ověřila a v případě jeho platnosti by přesun prostředků povolila. Celý koncept je postaven na skutečnosti, že pro získání master private key ze seed phrase se používá hashovací funkce, kterou kvantové počítače, až na určité zrychlení, nedokážou prolomit.
Toto řešení má však dvě omezení:
Muselo by se jednat o bitcoiny na peněžence vytvořené s využitím seed phrase. Pokud by šlo například o velmi starou peněženku generovanou přímo v Bitcoin Core, nebylo by toto řešení použitelné.
Bylo by nutné přidat nový OP_CODE, které by umožňoval ověřování výše zmíněných zero-knowledge důkazů.
I přes tato omezení mi však výše popsaná alternativa připadá jako velmi zajímavé a elegantní řešení.
