Pages:
Author

Topic: Intel ha un processore quantistico a 49 qubit (Read 615 times)

legendary
Activity: 2506
Merit: 1120
February 18, 2018, 04:45:58 PM
#41
...
Oppure i wallet deterministici consentono di scoprire anche le altre chiavi private una volta che ne ho individuata una ?   (mi sembrava di aver letto nel libro di Antonopoulos che erano state prese misure per evitare questo rischio ma non ricordo più bene)
Non saprei. Credo che la scelta più sicura sia generare indirizzi partendo da chiavi casuali. A naso direi che i deterministici sono meno sicuri ma non ho le conoscenze (e probabilmente neanche le competenze) per dare un parere.
jr. member
Activity: 31
Merit: 20
Ma alla fine il paper wallet non è semplicemente una stampa di chiave pubblica e privata? Che poi comunque sono immagazzinate nella blockchain.

Una brute force di una rete di computer con un gozzilione di operazioni al picosecondo alla fin fine possono violare qualunque chiave. Anche se le possibilità sono 1 su 10 alla 79 o giù di lì, si tratta solo di ridurre il tempo che ci impieghi a provare tutti gli indirizzi nel range dato, tramite incremento esponenziale di potenza di calcolo.

O sbaglio?


Tecnicamente un paper wallet può essere rappresentato stampando solo ed unicamente la chiave privata, la relativa chiave pubblica si può sempre facilmente ricalcolare.

Se hai la chiave privata entri nel caveau in cui sono custoditi i tuoi bitcoin, se la perdi i tuoi bitcoin sono persi per sempre.
Sulla blockchain non è mai indicata la chiave privata altrimenti chiunque potrebbe entrare nel caveau e rubarti i bitcoin.

L'immagine del caveau può aiutarti a visualizzare come è strutturato il meccanismo di difesa del sistema Bitcoin.

Immagina una cassaforte con una parete di acciaio spessa parecchi metri.
Questo è il primo presidio di difesa rappresentato dalla Crittografia a Curve Ellittiche (ECC).
Questo tipo di crittografia è quanto di più avanzato ed elegante esista attualmente in letteratura e supera in "potenza" di un fattore 12 la vecchia crittografia RSA (ancora in uso) basata sulla fattorizzazione di grossi numeri primi.  


La cassaforte inoltre è protetta da due larghi e profondi fossati concentrici (con coccodrilli assortiti al loro interno).
Il primo fossato rappresenta la funzione di hash SHA256, il secondo fossato la funzione di hash RIPEMD-160.

-----------------------------
ATTACCO DI UN INDIRIZZO CON CHIAVE PUBBLICA MAI ESPOSTA

Supponiamo ora che tu possieda un paper wallet in cui hai appena versato 100 bitcoin.
In quel momento il tuo tesoretto è protetto da tutti i presidi previsti:  cassaforte e doppio fossato con coccodrilli.

Per dare una misura di quanto sei protetto si ragiona in numero di tentativi necessari per scoprire UNA delle chiavi private che permetta di arrivare a superare i fossati e aprire la cassaforte, cioè di prelevare i bitcoin accreditati sul tuo paper wallet.

Se hai notato ho scritto "UNA" delle chiavi private perchè si assume esistano ben 2^96 chiavi private in grado di superare i fossati e aprire la cassaforte.
Questo può lasciare qualcuno scioccato per un istante: per accedere alla cassaforte non è necessario trovare esattamente la stessa chiave privata stampata sul paper wallet, basta trovarne una qualunque delle 2^96 in grado di aprirla, cioè esistono circa 10 miliardi di miliardi di miliardi di chiavi private in grado di aprire il tuo paper wallet.

Questo riduce lo spazio di attacco da circa 2^256 (numero di chiavi private possibili) a circa 2^160 chiavi private da provare, un numero comunque MOSTRUOSO.

Questo è l'approccio adottato dal progetto LBC (Large Bitcoin Collider) https://lbc.cryptoguru.org/stats

--------------------------------------------------------------
ATTACCO DI UN INDIRIZZO CON CHIAVE PUBBLICA ESPOSTA

Ora supponiamo che tu decida di prelevare qualche bitcoin dal tuo paper wallet.
Nel momento in cui viene pubblicata la transazione sulla blockchain automaticamente perdi la protezione di entrambi i fossati con i coccodrilli in quanto viene esposta al mondo intero la chiave pubblica.

Però ti rimane la notevole protezione data dalla cassaforte (ECC), vediamo il numero di chiavi private che è necessario testare per riuscire ad entrare.

In questo caso esiste una sola chiave privata (quella stampata sul paper wallet) in grado di generare la chiave pubblica esposta durante la transazione.
Il numero di chiavi private possibili è ancora 2^256  per cui apparentemente sembrerebbe meno oneroso l'approccio precedente piuttosto che attaccare direttamente la chiave pubblica.

Per ridurre il numero di tentativi ci viene in soccorso un vecchio metodo degli anni '70 detto Pollard's RHO che permette di abbattere statisticamente il numero di tentativi necessari  a scoprire la chiave privata da 2^256 a circa 2^128 (numero ancora incredibilmente MOSTRUOSO).

-------------------------------------------------------------------

Per riassumere, se la chiave pubblica non è mai stata esposta è necessario adottare il primo approccio esplorando uno spazio di circa 2^160 chiavi.
Se la chiave pubblica è stata esposta conviene sfruttarla attaccandola con il metodo Pollard's RHO esplorando uno spazio di circa 2^128 chiavi.



Oggi i tempi necessari per esplorare tali spazi sono nell'ordine di miliardi anni con le attuali tecnologie, si ritiene già largamente sicuro uno spazio superiore a 2^100 chiavi, figuriamoci 2^128 o 2^160 chiavi.

Non essendoci scorciatoie matematiche all'orizzonte, l'unica via oggi percorribile è la forza bruta.

Si sta fantasticando molto sull'uso dell'algoritmo di Shor con i futuri computer quantistici.
Ad oggi non si hanno le idee chiare nemmeno sulla tecnologia conveniente nel realizzare un singolo qubit, siamo ancora in piena fase di ricerca, potrebbero volerci ancora 20 anni prima di vedere una macchina quantistica appena appena competitiva con la tecnologia binaria tradizionale.

E se anche per ipotesi tale macchina dovesse prima o poi apparire, sarebbe già un risultato strabiliante riuscire ad abbattere i tempi di calcolo per rompere la ECC dai miliardi di anni attuali a qualche anno di elaborazione quantistica parallela.

E nel frattempo chissà quali adeguamenti saranno già avvenuti nel sistema di protezione del Bitcoin (o come si chiamerà fra 20 anni la sua naturale evoluzione...).

Personalmente dormirei sonni tranquilli per molto tempo anche con chiave pubblica esposta.

P.S. un suggerimento per i più paranoici: tenete d'occhio i primi 20 indirizzi con i maggiori saldi assoluti in bitcoin, diversi hanno la chiave pubblica esposta e pure con diverse transazioni in uscita. Finchè nessuno di quegli indirizzi verrà craccato allora di certo nessuno al mondo spenderà risorse per tentare di aprire il vostro personale indirizzo con qualche frazione di BTC...

legendary
Activity: 2562
Merit: 2640


quindi di base se io creo un nuovo seed, mando all'indirizzo di questo seed i miei btc e da tale seed non faccio partire niente verso fuori, sto al sicuro?

si, anche da un potenziale attacco quantistico.

e' sempre buona norma non tenere grandi valori su un address che ha avuto transazioni in output.

ti ringrazio, non sapevo questa cosa. Però non capisco da cosa dipende. Insomma, perchè non si può sempre provare a caso a indovinare la mia chiave privata? (tralasciando il discorso dei limiti di tempo, dico solo a livello teorico)
Credo sia corretto aggiungere che quando spendi esponi la chiave pubblica.
Con un PC quantistico, conoscendo la chiave pubblica risali a quella privata agevolmente.
Se invece conosci solo l'address non riesci a "craccare" l'hash (in realtà la procedura è un insieme di hash a cascata) e ricavare la chiave pubblica. Ti manca un passaggio.
Se spendi tutto e mandi il resto a nuovo address non dovresti avere problemi.

 

Fin qui vi ho seguito ma ho un dubbio.
Prima asdlolciterquit chiedeva:

Quote
quindi di base se io creo un nuovo seed, mando all'indirizzo di questo seed i miei btc e da tale seed non faccio partire niente verso fuori, sto al sicuro?

in realtà non serve creare un nuovo seed per essere al sicuro, ma dovrebbe bastare inviare tutto ad un nuovo address anche di quello stesso wallet, dico bene ?
Oppure i wallet deterministici consentono di scoprire anche le altre chiavi private una volta che ne ho individuata una ?   (mi sembrava di aver letto nel libro di Antonopoulos che erano state prese misure per evitare questo rischio ma non ricordo più bene)
legendary
Activity: 2506
Merit: 1120


quindi di base se io creo un nuovo seed, mando all'indirizzo di questo seed i miei btc e da tale seed non faccio partire niente verso fuori, sto al sicuro?

si, anche da un potenziale attacco quantistico.

e' sempre buona norma non tenere grandi valori su un address che ha avuto transazioni in output.

ti ringrazio, non sapevo questa cosa. Però non capisco da cosa dipende. Insomma, perchè non si può sempre provare a caso a indovinare la mia chiave privata? (tralasciando il discorso dei limiti di tempo, dico solo a livello teorico)
Credo sia corretto aggiungere che quando spendi esponi la chiave pubblica.
Con un PC quantistico, conoscendo la chiave pubblica risali a quella privata agevolmente.
Se invece conosci solo l'address non riesci a "craccare" l'hash (in realtà la procedura è un insieme di hash a cascata) e ricavare la chiave pubblica. Ti manca un passaggio.
Se spendi tutto e mandi il resto a nuovo address non dovresti avere problemi.

 
hero member
Activity: 1666
Merit: 565

ti ringrazio, non sapevo questa cosa. Però non capisco da cosa dipende. Insomma, perchè non si può sempre provare a caso a indovinare la mia chiave privata? (tralasciando il discorso dei limiti di tempo, dico solo a livello teorico)

si certo ma a quel punto un computer quantistico non ti aiuta.

anche ora uno puo' cercare di indovinare a caso la tua chiave privata,
e se ha a disposizione  un googolplex di anni, la trova di sicuro.

ah ok, ora è chiaro. Il discorso di prima immagino si riferiva quindi solamente ad algoritmi diversi da un bruteforce, che giustamente richiete un tempo oltre ogni limite..
legendary
Activity: 3276
Merit: 2898

ti ringrazio, non sapevo questa cosa. Però non capisco da cosa dipende. Insomma, perchè non si può sempre provare a caso a indovinare la mia chiave privata? (tralasciando il discorso dei limiti di tempo, dico solo a livello teorico)

si certo ma a quel punto un computer quantistico non ti aiuta.

anche ora uno puo' cercare di indovinare a caso la tua chiave privata,
e se ha a disposizione  un googolplex di anni, la trova di sicuro.
hero member
Activity: 1666
Merit: 565


quindi di base se io creo un nuovo seed, mando all'indirizzo di questo seed i miei btc e da tale seed non faccio partire niente verso fuori, sto al sicuro?

si, anche da un potenziale attacco quantistico.

e' sempre buona norma non tenere grandi valori su un address che ha avuto transazioni in output.

ti ringrazio, non sapevo questa cosa. Però non capisco da cosa dipende. Insomma, perchè non si può sempre provare a caso a indovinare la mia chiave privata? (tralasciando il discorso dei limiti di tempo, dico solo a livello teorico)
legendary
Activity: 3276
Merit: 2898


quindi di base se io creo un nuovo seed, mando all'indirizzo di questo seed i miei btc e da tale seed non faccio partire niente verso fuori, sto al sicuro?

si, anche da un potenziale attacco quantistico.

e' sempre buona norma non tenere grandi valori su un address che ha avuto transazioni in output.
hero member
Activity: 1666
Merit: 565

Quindi hanno aggirato il problema? Come? Questo tipo di controllo può essere fatto solo creando una blockchain centralizzata! Cioè il contrario del concetto di blockchain, forse qualcosa mi sfugge non so ...

provo a spiegarlo semplicemente:

- La sicurezza degli indirizzi di bitcoin si basa su an algoritmo a chiavi pubbliche e chiavi private.

- questo genere di algoritmi si basa sul fatto che c'e' un'operazione facile fa fare, che permette di trovare la chiave pubblica partendo
  dalla chiave privata, ma invece trovare la chiave privata partendo dalla pubblica e' un'operazione difficilissima, praticamente infattibile
  in tempi umani, con i computer tradizionali e gli algoritmi tradizionali noti.

- ci sono algoritmi quantistici che permetto di rendere "facile" anche la seconda operazione, inficiando
   (se e quando esistera' un computer quantistico sufficentemente potente, direi ben superiore a 1000 qbit) la sicurezza della chiave privata
  (per approfondimenti cercare Shor's discrete logarithm quantum algorithm for elliptic curves)

- pero' finche' un indirizzo NON SPENDE i soldi ricevuti, cioe' non c'e' nessuna operazione in output, la chiave pubblica
  non viene esposta, quindi non c'e' modo di applicare un eventuale algoritmo quantistico per svelare anche la chiave privata.

- per ora non viene percepito come problema imminente... ci sono molti indirizzi da migliaia di bitcoin che hanno fatto operazioni in output,
 e quindi hanno la chiave pubblica esposta, ma non si preoccupano di spostarli (che e' comunque una cattiva abitudine)



quindi di base se io creo un nuovo seed, mando all'indirizzo di questo seed i miei btc e da tale seed non faccio partire niente verso fuori, sto al sicuro?
sr. member
Activity: 599
Merit: 273
---
Riguarda anche i paper wallet?

Se depositi su paper wallet no.

Se depositi su paper wallet, e poi fai un prelievo totale no.

Se depositi su paper wallet, e poi fai un prelievo parziale si, solo sul residuo, cioè la parte che resta sulla paper wallet.

Ma questa è la teoria, non andrei nel panico per il momento.

Ma alla fine il paper wallet non è semplicemente una stampa di chiave pubblica e privata? Che poi comunque sono immagazzinate nella blockchain.

Una brute force di una rete di computer con un gozzilione di operazioni al picosecondo alla fin fine possono violare qualunque chiave. Anche se le possibilità sono 1 su 10 alla 79 o giù di lì, si tratta solo di ridurre il tempo che ci impieghi a provare tutti gli indirizzi nel range dato, tramite incremento esponenziale di potenza di calcolo.

O sbaglio?
member
Activity: 80
Merit: 205
La cosa che mi spaventa maggiormente è che al momento non puoi crittare un file e pubblicarlo (es. ipfs) se non accetti il rischio che tra 10, 20 o 40 anni qualcuno potrà decrittarlo senza sforzi.


Esatto, ci sarà sempre qualcuno che potrebbe averne tenuto una copia proprio in attesa che ciò avvenga.
Va anche tenuto in considerazione che con la mole di dati che anno dopo anno l'umanità sta generando, è difficile pensare che qualcuno conservi TUTTO.
E' chiaro che se si riesce ad individuare l'autore del file, potrebbe essere fatta una conservazione selettiva di documenti, oppure si potrebbe pensare ad una clusterizzazione dei dati di cui solo l'autore conosce la struttura.

In quest'ultimo caso per un attaccante sarebbe difficile già solo ricostruire il singolo file, non conoscendo i vari pezzi che lo compongono, la loro successione, ecc.
legendary
Activity: 2506
Merit: 1120
La cosa che mi spaventa maggiormente è che al momento non puoi crittare un file e pubblicarlo (es. ipfs) se non accetti il rischio che tra 10, 20 o 40 anni qualcuno potrà decrittarlo senza sforzi.
member
Activity: 98
Merit: 16

Va fatta differenza tra sistemi in grado di accellerare il processo di calcolo degli hash, e processi in grado di "rompere" la cifratura.
I primi vengono gestiti tranquillamente dalla tecnologia attuale, i secondi richiedono degli adeguamenti al protocollo.

Con questi mostri credo che la velocità del calcolo degli hash sarà estremamente rapido.
member
Activity: 80
Merit: 205

Questi punti sono davvero interessanti, sarà una grande rivoluzione in tutti i settori:

Per fare un esempio, prendiamo l’applicazione delle nuove scienze quantistiche alle risonanze magnetiche. Attualmente, una risonanza magnetica ha una risoluzione massima di circa un millimetro. Secondo Kristiel Michielsen, applicando la tecnologia quantica la risoluzione potrà scendere a meno di un micron (oltre mille volte quella attuale).

Cambiando campo e arrivando ai microprocessori, le cose diventano forse ancora più incredibili. Secondo Vladimir Belotelov, sostituendo dei magneton ai transistor, i computer potranno arrivare a frequenze di un teraherz, senza incorrere nell’effetto Joule (quello che causa il surriscaldamento delle attuali CPU).

“Per questo” – conclude Protasov – “abbiamo bisogno di veri dispositivi quantistici in grado di darci una crittografia affidabile anche nei prossimi anni. E i dispositivi attuali non sono ancora davvero pronti per questo. Mentre quelli che proteggono la trasmissione dei dati sono veri dispositivi quantistici, quanto troviamo sul mercato per la crittografia non sono ancora quello che ci serve”.

Invece ciò che riguarda la questione mining significa che un computer quantistico sarà in grado per esempio di minare tutti i bitcoin in una manciata di minuti?!

Va fatta differenza tra sistemi in grado di accellerare il processo di calcolo degli hash, e processi in grado di "rompere" la cifratura.
I primi vengono gestiti tranquillamente dalla tecnologia attuale, i secondi richiedono degli adeguamenti al protocollo.
member
Activity: 98
Merit: 16

Questi punti sono davvero interessanti, sarà una grande rivoluzione in tutti i settori:

Per fare un esempio, prendiamo l’applicazione delle nuove scienze quantistiche alle risonanze magnetiche. Attualmente, una risonanza magnetica ha una risoluzione massima di circa un millimetro. Secondo Kristiel Michielsen, applicando la tecnologia quantica la risoluzione potrà scendere a meno di un micron (oltre mille volte quella attuale).

Cambiando campo e arrivando ai microprocessori, le cose diventano forse ancora più incredibili. Secondo Vladimir Belotelov, sostituendo dei magneton ai transistor, i computer potranno arrivare a frequenze di un teraherz, senza incorrere nell’effetto Joule (quello che causa il surriscaldamento delle attuali CPU).

“Per questo” – conclude Protasov – “abbiamo bisogno di veri dispositivi quantistici in grado di darci una crittografia affidabile anche nei prossimi anni. E i dispositivi attuali non sono ancora davvero pronti per questo. Mentre quelli che proteggono la trasmissione dei dati sono veri dispositivi quantistici, quanto troviamo sul mercato per la crittografia non sono ancora quello che ci serve”.

Invece ciò che riguarda la questione mining significa che un computer quantistico sarà in grado per esempio di minare tutti i bitcoin in una manciata di minuti?!
legendary
Activity: 2562
Merit: 2640

No, la logica ternaria e le funzione di hash contano relativamente. Il punto è come vengono generati gli address e l'uso che se ne fa.

Sì vero, ho riguardato, lascio un paio di link a info sul tema. Il secondo spiega bene la pericolosità del fare doppi o molteplici invii da un unico indirizzo:

https://learn.iota.org/faq/what-makes-iota-quantum-secure

https://www.reddit.com/r/Iota/comments/778ohp/how_is_iota_quantum_resistant/
member
Activity: 80
Merit: 205
Riguarda anche i paper wallet?

Se depositi su paper wallet no.

Se depositi su paper wallet, e poi fai un prelievo totale no.

Se depositi su paper wallet, e poi fai un prelievo parziale si, solo sul residuo, cioè la parte che resta sulla paper wallet.

Ma questa è la teoria, non andrei nel panico per il momento.
jr. member
Activity: 82
Merit: 2
Riguarda anche i paper wallet?
member
Activity: 80
Merit: 205

Anche IOTA dichiara di essere quantum resistant, o per lo meno meno attaccabile della blockchain: paragrafo 4.3 del WP.

Mi chiedo come facciano a fare tali affermazioni senza aver subito uno stress test reale per mettere alla prova la sicurezza. Solo tramite calcoli o modelli teorici? L'unica cosa certa è che l' NSA sta lavorando a una soluzione al problema, ovviamente per motivi di sicurezza nazionale.

No il motivo (almeno per quello che ho capito io - ammetto di non aver approfondito più di tanto) è che IOTA utilizza algoritmi totalmente diversi da quelli che usa bitcoin. Ad esempio è stata molto (ma molto!) criticata perché si è addirittura inventata un proprio algoritmo di hash invece di usare uno di quelli stracollaudati da altre cripto.

Per la domanda specifica che hai fatto: il motivo da quel che ho capito è che Iota utilizza una logica ternaria (non binaria come tutto il resto del mondo) e questo mette al sicuro contro i computer quantistici - almeno a detta loro.
Tieni presente che per operare con questa logica ternaria oggi emulano ovviamente il calcolo in binario, ma stanno sviluppando un processore hw (chiamato Jinn) che dovrebbe funzionare nativamente con questa logica (non chiedermi come perché non mi interessava e non ho approfondito, ma se googli "jinn iota" trovi tutto).

No, la logica ternaria e le funzione di hash contano relativamente. Il punto è come vengono generati gli address e l'uso che se ne fa.



Pages:
Jump to: