Topic: ¿Qué opináis de esta noticia? (Read 262 times)

Justo hace unos días volví a leer algo sobre el tema y escribí algo en el subforo alemán.

Aparentemente hay una distinción importante cuando hablamos de qubits: los qubits "lógicos" y los qubits "físicos".

Los qubits lógicos serían los que sirven plenamente para realizar operaciones matemáticas. Pero debido a que las computadoras cuánticas también necesitan algunos elementos adicionales, sobre todo para la llamada corrección de errores cuántica, se estima que se necesitan decenas o hasta cientos de qubits "físicos" para un sólo qubit "lógico".

Para "romper" claves ECDSA de 256 bits, tal como las usa Bitcoin, serían necesarios, como mínimo absoluto, 2619 qubits lógicos, según esta fuente que parece confiable.

Sin embargo, aunque podamos construir una computadora cuántica de 2619 qubits lógicos con, digamos, 25000 qubits "físicos", esta tardaría varios años para calcular la clave privada, si puede acceder a la clave pública. Se necesitan 7,43 "megaqubit days" para este cálculo, es decir una computadora cuántica con un millón de qubits tardaría 7,43 días. En el futuro, con algoritmos más eficientes, es posible que este número baje, pero no a mucho menos de un megaqubit day.

Mi conclusión es: Es posible que en algunas pocas décadas existirán computadoras cuánticas, muy caras, que serían capaces de robar los coins de Satoshi (si éste no los mueve). Estos coins fueron minados con transferencias P2PK, es decir que las claves públicas son conocidas ya que se almacenaron en la blockchain en el momento que fueron minados. Un atacante, de esta manera, tiene todo el tiempo del mundo para tratar de descifrarlas, y quizá existirán computadoras con 2619 qubits lógicos y 25.000 qubits físicos como las describí arriba.

Pero de este "hito" hasta que estén en peligro coins que se mueven continuamente, aún si se re-usan algunas direcciones por poco tiempo (días hasta semanas), tardaríamos bastante más ya que se necesitarían computadoras cuánticas con millones de qubits físicos. Además, es probable que haya varios grupos que intenten "crackear" los coins, sean los de Satoshi u otros, y sería una lotería bastante riesgosa ya que perderían todo lo invertido si algún otro grupo se adelanta.

Por eso creo: por el momento nos podemos relajar, pero sí, una vez que "el mundo" se pase a los algoritmos post-cuánticos y estos estén maduros y probados, Bitcoin también debería seguir esta tendencia y no "dormirse".

Tras meses de lectura de artículos dispersos acerca de que viene el lobo en forma de ordenadores cuánticos, los hay que se atreven a decir que aún queda mucho, al punto de indicar que los ordenadores cuánticos necesarios para crackear las claves privadas de bitcoin, deberían ser 1.000.000 de veces más potentes que los actuales.

El artículo indica que la potencia actual es de 127 qubits en los casos mayores, pero estima que se precisarían:
-   1,9 billones de qubits para romper una clave en 10 minutos.
-   317 millones de qubits para romperla en 1 hora.
-   13 millones de qubits para romperla en 1 día.

Indica que es improbable que se tenga esta potencia en una década, lo cual no está tanto tiempo si lo vemos con perspectiva, pero si da margen para planificar las cosas.

Ver: https://www.newscientist.com/article/2305646-quantum-computers-are-a-million-times-too-small-to-hack-bitcoin/

En el caso de que se tuviese que recurrir a algo en la línea de una migración de los hacia direcciones quantum-resistent, además de todos los intangibles en este momento acerca de cuál sería el proceso, bajo el punto de vista económico global (demanda/oferta y tal), me pregunto en qué dirección se movería el impacto.

Ciñendo la vista hacia bitcoin, uno diría que habría que valorar positivamente haber establecido una hipotética solución al problema potencial. No obstante, ¿esto generaría más demanda? Diría de aisladamente no, dado que es un "se le supone", pero depende de cómo está todo el entorno adicional en términos de afectación.

Uno podría argumentar que el oro no ha de velar por esos problemas, y es así en el oro físico, pero no en los productos financieros derivados.  Podrían proseguir con que bitcoin, como cualquier software, es potencialmente vulnerable, y que la solución de migración de direcciones les sirve a los que están encima de sus bitcoins, pero dejará a buen seguro un conjunto vulnerable que no va a migrarse solo.

Quedarían afectadas principalmente las direcciones de las que ya se conoce la clave pública, por eso no quedarían todas "en circulación" nuevamente - faltarían (probablemente para siempre) las monedas "perdidas" que fueron transferidas a sus direcciones actuales a través de transacciones P2PKH o P2WPKH y las direcciones no se han re-utilizado. Claro que la fiebre de oro se podrá desatar por los antiguos coins de Satoshi que fueron minados a través de transferencias P2PK.

Para mí claramente esta es la opción preferible - ya hoy en día todos podemos transferir todos nuestros coins a una dirección (casi) segura, una que nunca fue utilizada. Una vez que el tema cobre urgencia, tendremos algo de tiempo para moverlos a una dirección "post-cuántica". Si bien los que posean computadoras cuánticas podrán tratar de captar la clave pública en los ~10 minutos que dura la transferencia, habrá poco tiempo para esta operación y luego ejecutar el algoritmo de Shor para generar la clave privada, el cual dependiendo de los qbits del atacante es más probable que al comienzo tarde días o semanas para esta tarea.

Los que no se duerman, digamos, por un par de años, aún después del "día D" (cuando se hayan robado los primeros coins a través de un ataque cuántico) probablemente podrán transferir sus coins de manera segura ya que en los primeros meses, aún años, después del día D un ataque sería extremamente caro y lento, y recién cuando evolucione la tecnología y aparezcan computadoras con cientos a miles de millones de qbits (lo cual no ocurrirá de manera instantánea) se abre lentamente la posibilidad de lanzar un ataque en los ~10 minutos que dura una transacción de BTC.

Una "fecha límite" no me parece una opción adecuada. Con esto se castiga a todos los que utilizan al Bitcoin hoy de forma segura, es decir sin reutilizar direcciones, o al menos "ordenando" los coins de vez en cuando. Estos correrían el riesgo de perder sus coins por algún error, o por "dormirse" etc., sin que haya demasiado peligro que les roben los coins (=esto solo puede ocurrir mientras ellos transfieren los coins a una dirección "segura").

Tendría un poco más de sentido una fecha límite de este tipo para los coins transferidos via P2PK, por la cantidad de coins de Satoshi "en juego" (si es que no las mueve en algún momento), pero creo que esto llevará a grandes disputas en la comunidad y crea el peligro de una forkcoin (ver abajo).

Eso no creo que se pueda realizar sin que se desprenda una forkcoin (tipo BCash) que mantuviera el ritmo actual de "emisión" de Bitcoin, y que posiblemente "ganaría la carrera" ya que contaría con más escasez.

PD: Estuve leyendo un poco más sobre el riesgo de colisiones de SHA-256. En términos simples, se trata del peligro que alguien que conozca una dirección de BTC del estilo actual o antiguo (da lo mismo si es bech32 o Base58) encuentre una clave pública "compatible" (aunque no sea la misma que la original) que permita generar la clave privada para mover los coins en ella, a través de un algoritmo cuántico.

Según este post en Stackexchange aparentemente los algoritmos cuanticos conocidos hasta ahora son aún más lentos para esta tarea que el mejor algoritmo de búsqueda "clásico". Esto obviamente no significa que sea imposible que se encuentre un mejor algoritmo cuántico. Pero parece que por lo menos a través de este vector, no hay mayor peligro.

No en 4 años.   (*)    No debería haber pánico al menos no para ese lapso de tiempo.

Que la tecnología estará disponible en un tiempo determinado o denominado largo plazo, si.

De hecho es un tema muy serio no solo por el hecho que nos compete, pero poder predecir por ejemplo, el estado del clima ayudaría a salvar vidas, pero el solo hecho de realizar el algoritmo para usarse es de por si algo tan complejo que llevaría unos cuantos años o meses, no es algo que va a la par con los Qbits.

---

^{*Me comprometo en pasar por aquí dentro de 4 años, el miércoles 10 de diciembre del año 2025 a darle la razón a cualquiera, de hecho estoy dando ventaja en dar unos cuantos dìas màs que uno solo.}
 

Concuerdo con lo que indicas, si bien es posible que se tarde más, más pronto o más tarde parece que va a llegar, y hay que explorar las vías de defensa y planificar milimétricamente los pasos a seguir, máxime sabiendo del consenso que requiere entre los programadores en primera instancia, y los mineros en segunda. A todo ello, añadir el cacao que puede suponer tomar decisiones sobre cantidades ingentes de BTCs que, en apariencia, nadie controla ya por pérdida de claves (o similar). Tampoco se trata de dejar la via libre para llevarse lo dicho.

Por otro lado, como ya hemos comentado, el efecto es aún mayor a nivel bancario. No sé qué estarán trabajando en este sentido, pero tampoco se oye nada al respecto, y las implicaciones son potencialmente netamente superiores.

Me da un poco de gracia que se diga "eso no va a cambiar en 4 años" como si hablarande una eternidad, muchachos es mañana, es mas el solo hecho de que exista la remota posibilidad de que ocurra en 4 años ya tendria que ser una alarma de panico.

En referencia al OP y su eventual título.

La factorización de un número en la relevancia de utilidad está muy lejos de que ocurra con las computadoras cuánticas actuales y esto no va a cambiar en 4 años. Y eso es básicamente lo fundamental y necesario para provocar un caos no solo en una red como bitcoin.

Si hay avances y muy interesantes en esa área, las de las bases de datos cuánticas, por ejemplo, entre otras aplicaciones que no solo se desarrollan si no se venden actualmente.

Por ejemplo, hace unos meses leía sobre el tema de direcciones certificadas y lo propuse en el norte para discusión, pero el tema decanto por la idea que se desarrolla o que intenta darse en la noticia del OP en una de sus vertientes las claves criptográficas.

Al final un usuario entendió por donde iban las intenciones en la idea del post, discutir en esa particularidad de poder tener direcciones certificadas cuanticas y que se generaba como negocio rentable, pero hay un eventual mercado.

Es muy interesante el tema, por ahora con 57cubits no creo que sean capaces de romper los códigos, de hecho, el potencial cuántico si es posible que pueda hacer muchas cosas, los más creyentes dan un plus a que si se puede romper tales códigos, soy de los que piensan que si se desarrolla más computadoras cuánticas y pasan al menos unos 10 años desarrollandolas si es posible, pero por ahora no lo veo factible ni capaz de hacerlo, sólo a medida que vayan incrementando su poder cuántico, en ese momento si, pero imagino que cuando se descubra tal vulnerabilidad, los devs tomarán cartas en el asunto y desarrollarán mejor seguridad informática.

Yo también vería mejor el segundo escenario entre las opciones que indicas. No obstante, cabría que todo el plazo se diese con cierta antelación a que la capacidad cuántica pudiese hacer que los early power-quantics pudiesen llegar a hacerse con bitcoins antes que se cerrase la ventana de tiempo para migrar.

En cualquier escenario, y aunque pudiese interpretarse en tono positivo ("bitcoin hace esto porque sabe defenderse y anticiparse") hay la posibilidad de un fuerte daño reputacional tanto si se llegan a romper claves, como por la cantidad de casos ingentes que habría de gente que no se enteró de la ventana, se equivocó durante la migración, no supo hacerlo y vete a saber qué más. En todo caso, de llegar el momento, el problema es potencialmente mayor en el ámbito bancario y de la seguridad.

Pues se me ocurren tres escenarios de que se podría hacer con esas monedas en caso de un hard fork y que nos viésemos en la necesidad de mover nuestras monedas a direcciones resistentes a computadoras cuánticas, podría haber más pero mi mente no da para tanto.

1. No hacer nada, en este caso los desarrolladores no hacen nada al respecto de las monedas perdidas o de aquellos que no están poniendo atención al mercado, esto significa que una fiebre de oro se desataría para ver quién puede encontrar las claves privadas de todas las direcciones con algún saldo en bitcoin y quedárselas, esto tiene un lado positivo, dado que significaría que todas las monedas minadas alguna vez podrían circular nuevamente.

2. Los desarrolladores podrían poner una fecha límite para mover tus monedas a las nuevas direcciones y una vez se alcance ese límite todo bitcoin en una dirección vulnerable no podrá ser ingresado a una nueva dirección, esto sería similar al proceso de quemar monedas que vemos en las altcoins, lo cual podría incrementar el precio de bitcoin aún más al bajar el supply, y aunque actores maliciosos podrían hacerse de esas monedas no importaría dado que no las podrían usar.

3. La última opción sería similar a la segunda, los desarrolladores ponen una fecha límite y se deben mover las monedas a nuevas direcciones, sin embargo, en vez de simplemente asumir que esas monedas no son más parte del supply de bitcoin, podrían considerarse como monedas no minadas nuevamente, todo esto sin aumentar el supply en si obviamente, e incrementar el premio que los mineros obtienen con cada bloque, dándoles mas tiempo antes de que tengan que subsistir tan solo de las fees de cada transacción incluida en los bloques que minan.

Personalmente yo me decantaría por el segundo escenario, pero los otros dos escenarios también tienen algún mérito.

Aclaro que no soy experto en criptografía, pero lo que he entendido yo es más o menos:

- Que ECDSA es el algoritmo usado en BTC para crear las combinaciones clave pública - clave privada, es decir para verificar las firmas (véase: https://en.bitcoin.it/wiki/Elliptic_Curve_Digital_Signature_Algorithm).
- Que SHA256 se usa para calcular la dirección hasheando dos (o tres? ver https://en.bitcoin.it/wiki/Technical_background_of_version_1_Bitcoin_addresses) veces la clave pública (más un par de cosas más como los bits de verificación)

En otras aplicaciones (banking etc.) aparentemente se usan tanto ECDSA como RSA.

EDSCA realmente es el algoritmo de la firma de BTC (entre otros), basada en la curva elíptica (ver https://academy.bit2me.com/que-es-ecdsa-curva-eliptica/), y es la parte que, a fecha de hoy, se considera más vulnerable en caso de que los equipos quantum alcanzasen la potencia suficiente.

En resumen, es algo como lo siguiente:

-   De dirección pública a clave pública -> haría falta "descifrar" el doble SHA.
-   De clave pública a clave privada -> Hace falta "descifrar" el EDSCA. Es la parte considerada más "vulnerable" a los Quantums (cuando llegue la potencia necesaria).
-   Al firmar una dirección, exponemos necesariamente la dirección pública al blockchain.
-   Si no enviamos desde una dirección, pero si recibimos, se supone que está a salvo (por ahora).

Como ejercicio "previsor" de fase I, se podría estudiar el nivel de reutilización de las direcciones de cada cual.

Como ejercicio previsor global, los desarrolladores deberían ponderar que lo que se conoce probablemente sea la mitad de potente de lo que se tenga realmente.

Lo del ataque 51% se menciona como un riesgo, pero no lo he visto todavía desarrollado.

Hmmmm, creo que yo lo he entendido distinto.

ECDSA, es, por lo que he interpretado del post, el sistema de cifrado criptografico "habitual" que se utiliza en industrias bancarias a fecha actual.

BTC utiliza SHA256, asique tiene ya un añadido de seguridad. Por si fuera poco, la dirección que nosotros proporcionamos es un hash de un hash, por lo que hay mas pasos a realizar para el posible atacante. Además, solo se puede hacer si se expone la clave pública, pero esta solo se expone al enviar, ya que es la que se utiliza para firmar la transacción. Esto no ocurre en el caso de que solo recibamos.

Pero puedo haberlo entendido mal (seguramente)

Como ya lo mencionó DdmrDdmr en el último post (un poco escondido), las direcciones en si están seguras hasta el momento en el cual se publica la clave pública, lo cual generalmente ocurre cuando se hace una transacción desde la dirección. La dirección es un hash de la clave pública, pero no es posible derivar la clave pública de la dirección de BTC. Pero las computadoras cuánticas podrían derivar la clave privada de la clave pública.

La diferencia, si interpreto bien el post de DdmrDdmr, es que la función de hash que se utiliza para calcular las direcciones (SHA256) es más resistente a ataques cuánticos que el algoritmo para derivar la clave pública de la privada (ECDSA).

Por tal razón, las direcciones BTC que solo han recibido transacciones P2PKH o P2WPKH, sin que se hayan enviado BTC desde ellas,  están seguras a mi entender. Ahora bien, al comienzo se usaron transacciones P2PK, sobre todo en la minería, en las cuales se transfieren los coins directamente a una clave pública y esta es revelada en la transacción; es decir justo los coins de Satoshi probablemente sí podrían ser atacados.

De todos modos parece que aún la computación cuántica está muy lejos de convertirse en un peligro. Aparentemente un gran problema es la cantidad de errores que aparecen en el proceso, y este desafío aumenta con la cantidad de qbits.

Según este artículo en inglés, se necesitaría una computadora cuántica con 20 millones de qbits para "quebrar" un mensaje encriptado con RSA2048 en 8 horas a través del algoritmo de Shor. Se estima que ECDSA es, según Microsoft, algo más sencillo de "quebrar" que RSA (Fuente). Desconozco cuanto se tardará para "revertir" un hash SHA256.

Por lo que he leído en el artículo hay 2 factores de los cuales preocuparse:

1.-Ataque del 51%...

Para que una computadora cuántica aporte el 51% en minería, esta debería de ser mas potente que el total de mineros en el mundo, lo cual es algo difícil de imaginar ya que actualmente el poder de minado en la red de Bitcoin es de 156M TH/s.

2.-Fuerza Bruta en direcciones.

Imaginemos que alguien ejecuta vanity gen y pone tu dirección con todos sus caracteres. Si suponemos que nuestra tarjeta de video nos permite buscar 1,000 Mkeys/s entonces tardaríamos 3.3^33 años, incluso con una computadora cuántica no creo que este cálculo se pueda reducir a días o minutos.

He estado mirando un video al respecto (22 minutos), donde se cita que:

-   El problema es sí estaría con la estructura de las direcciones.

-   Como citaba antes, los algoritmos cuánticos, se supone, partirían de una clave pública para derivar la privada.

-   Se ha hablado sobre el problema, pero no parece haber nada fáctico realizado.

-   ¿Se trataría con un soft fork (sin nueva cadena) o hard fork (con nueva cadena)?

-   Soft fork casi seguro que no, pues el problema está en las direcciones.

-   Hard fork: precisa seguramente que mantenga compatibles las direcciones vigentes con las nuevas, y la pregunta está en cómo hacer que la gente sea consciente que puede/debe migrar.

-   Es consenso del proceder es duro de lograr.

-   Con comprometer algunas direcciones, sería suficiente para desacreditar toda la seguridad de bitcoin.

Ver: https://youtu.be/cbP2ejgSxcA (Quantum Resistant Ledger - algo soso, pero bueno)



Andreas Antonopoulos por su lado indica que (2019):

-   (Distinguir entre clave pública y dirección pública).
 
-   Las firmas digitales son el elemento más vulnerable (ECDSA).

-   No tanto las funciones de Hash (SHA256) por ahora.

-   La clave pública no se presenta al sistema de manera abierta hasta que no gastas. La dirección pública es una versión doblemente hasheada de la clave pública, lo cual da un nivel de protección adicional.

-   Best Practice: usar la dirección una única vez (en modo gasto)-> Gastar todos los fondos la primera vez que firmas (envías), y no volver a usarla. De esta manera, cuando se desvela la clave pública, sería sólo en el momento de generar la TX, y sólo sería vulnerable mediante un doble gasto mientras no recibe su confirmación. Esto es un nicho temporal mucho menor que si dejamos fondos en la dirección tras desvelar la clave pública en una TX previa.

Del video 2018:
-   Sabremos que existe Quantum Computing cuando se muevan los BTCs de Satoshi (básicamente porque se supone que no está para moverlos él). Aunque no envió nunca desde ellos, por lo que están más protegido según visto en el video arriba descrito (quizás se pueda llegar a craquear ECDSA pero puede que no, o tarde más, SHA256).
 
-   Los BTCs "perdidos" podrían ser teóricamente recuperados por Quantum Computing, supeditado a lo anterior.

-   Ulteriormente, sería cuestión de mover los fondos a las direcciones nuevas Quantum Resistant.

Ver:
https://www.youtube.com/watch?v=eo7mwcsUbdo (2019)
https://www.youtube.com/watch?v=wlzJyp3Qm7s (2018)

Esto. El potencial del peligro de la computación cuantica no es un tema nuevo, y se ha hablado incontables veces sobre ello durante bastantes años. La conclusion general es que si, la computación cuantica es peligrosa, pero bastaría con adaptar el "algoritmo" (por llamarlo de alguna forma no tecnica) a algo resistente a esta clase de computación.

Moneditas gratis... tampoco vamos a quejarnos

También me ha preocupado el impacto que pueden tener los ordenadores cuanticos en el futuro de la criptografía.
Pero me he dado cuenta de que la criptografía post-cuantica o resistente a las tecnologías cuanticas es posible, asi que solo es cuestión de tiempo para empiece una migración a algoritmos criptográficos que mitiguen este problema.

Lo que no entiendo muy bien es como se manejaría este soft-fork.
Porque doy por hecho que la implementación de este tipo de mejora requeriria que los usuarios muevan sus monedas a direcciones resistentes a ataques cuanticos. De ser así, las monedas perdidas como las de satoshi estarían en peligro de ser recuperadas por un actor malintencionado (probablemente un gobierno).

Así que no me sorprendería que quizá al final, los desarrolladores de Bitcoin Core se inclinen por un hard-fork, lamentablemente.

Si alguno de ustedes conoce más de este tema, me gustaría que me ayude a entender más sobre el posible futuro del mercado.

Enlace sin tracking: https://computerhoy.com/noticias/tecnologia/ordenadores-cuanticos-acabaran-criptomonedas-blockchain-973867