Bitcoin résistant aux quanta : voici comment faire face à la menace de l'ordinateur quantique

Les rumeurs sont vraies : Bitcoin n'est pas résistant au quantum... mais il pourrait l'être. Compte tenu du temps qu'il faut au réseau Bitcoin pour parvenir à un consensus et autoriser les mises à jour, ne devrions-nous pas discuter des solutions possibles à la menace quantique ? Ou, d'un autre côté, est-il trop tôt pour commencer à s'inquiéter d'un danger qui pourrait ne jamais survenir ? Un ordinateur quantique fonctionnel est-il même à l'horizon ?

Peut-être serions-nous tous d'accord pour dire qu'à un moment ou à un autre, le bitcoin doit devenir résistant, bien sûr, mais à quoi cela ressemble-t-il ? Un changement de cette ampleur implique de nombreux défis, questions et obstacles. Il pourrait être bénéfique d'entamer la conversation et de voir comment elle se déroule.

Par exemple, la solution impliquera probablement que tout le monde transfère ses pièces vers un portefeuille résistant au quantum, un processus qui prendrait des années. Mais qu'en est-il des pièces qui ne peuvent être déplacées ? Qu'advient-il des bitcoins perdus ?

‍

Qui peut déterminer que le bitcoin est perdu ?

Le concept de "bitcoin perdu" est problématique d'un point de vue épistémologique. Beaucoup affirment que les bitcoins ne sont jamais perdus, et ils n'ont peut-être pas tort. Même si quelqu'un perd l'accès à ses clés privées, il est impossible pour quiconque de valider la perte des clés. De même, il est impossible de prouver que personne ne possède les clés. 

Quelle est la solution ? Si l'objectif est d'empêcher la récupération du quantum en brûlant des pièces de monnaie, il faut établir une procuration. Comment ? Nous fixons une date limite et demandons à tous les détenteurs de migrer leurs pièces jusqu'à une date précise - par exemple, dans 10 ans à une hauteur de bloc X - et après cette date, nous pouvons considérer que les pièces qui n'ont pas migré sont perdues.

La communauté Bitcoin travaille d'arrache-pied pour débattre de ces questions et d'autres sujets fascinants liés à la résistance quantique, et les choses bougent. Un projet de proposition d'amélioration du bitcoin (Bitcoin Improvement Proposal ou BIP) est déjà en circulation ; il présente des mesures concrètes et décrit comment le réseau pourrait évoluer pour faire face à la menace quantique.

Rejoignez Blink pour explorer les différentes façons de rendre Bitcoin résistant au quantum et expliquer les implications financières, éthiques et philosophiques de la récupération quantique. Faut-il brûler les pièces perdues ou les laisser être récupérées et relâchées dans la nature ?

‍

Glossaire : Termes liés à la résistance quantique

Aidez Blink à vous aider. Pour comprendre le problème auquel le réseau Bitcoin est sur le point d'être confronté, explorons d'abord le vocabulaire du Bitcoin sans quantum et définissons certains concepts. Nous en aurons besoin pour expliquer la situation, les risques et les implications.

• Tous les ordinateurs quantiques ne constituent pas une menace pour le bitcoin. La technologie doit évoluer pour devenir une machine puissante et stable avant qu'il ne soit possible de casser une clé publique en 10 minutes ou moins. Le risque commence donc avec les "ordinateurs quantiques pertinents du point de vue de la cryptanalyse" ou CRQC. La proposition d'amélioration du bitcoin en question, BIP360, définit les CRQC comme suit :

"Un ordinateur agnostique est censé avoir l'architecture nécessaire pour maintenir cohérent un nombre suffisant de qubits logiques afin de pouvoir exécuter l'algorithme Shor de manière efficace. Le principal avantage de ces qubits est qu'ils peuvent briser les hypothèses cryptographiques de la cryptographie à courbe elliptique (ECC), qui sécurise les signatures de Bitcoin et les engagements Taproot."

• Cela nous amène à une question claire : quel est l'algorithme Shor ? La réponse se trouve dans le rapport de Deloitte intitulé "Quantum computers and the Bitcoin blockchain" :

"En 1994, le mathématicien Peter Shor a publié un algorithme quantique capable de briser l'hypothèse de sécurité des algorithmes les plus courants de la cryptographie asymétrique. Cela signifie que toute personne disposant d'un ordinateur quantique suffisamment grand pourrait utiliser cet algorithme pour dériver une clé privée à partir de la clé publique correspondante, et donc falsifier n'importe quelle signature numérique."

Cela nous amène directement sur le terrain des clés privées et publiques, un aspect du bitcoin que nous devrions examiner pour expliquer sa relation avec la résistance quantique.

‍

Clés privées et fenêtre de dix minutes

Dans le bitcoin, il y a une clé privée que personne ne doit voir et une clé publique que tout le monde peut partager librement. Cette dernière est dérivée de la première. Il existe une "relation mathématique entre les deux", comme le dit Deloitte. "Cela permet aux individus de produire une signature numérique (à l'aide de leur clé privée) qui peut être vérifiée par toute personne possédant la clé publique correspondante. Ce système est très répandu dans l'industrie financière pour prouver l'authenticité et l'intégrité des transactions.

Dans ce système équilibré, il est facile de prouver qu'une clé publique correspond à une clé privée. Cependant, il est presque impossible de dériver une clé privée de sa clé publique. Ou, devrions-nous dire, il est presque impossible jusqu'à l'arrivée d'ordinateurs quantiques stables et puissants. Ce fait, associé au suivant, constitue une combinaison dangereuse. Citation de BIP 360: 

"Habituellement, lorsqu'une transaction est signée, la clé publique est explicitement indiquée dans le script d'entrée. Cela signifie que la clé publique est exposée sur la blockchain lorsque la transaction est dépensée, ce qui la rend vulnérable aux attaques quantiques jusqu'à ce qu'elle soit minée."

Étant donné que le réseau bitcoin produit un bloc toutes les dix minutes en moyenne, il y a une fenêtre de dix minutes qu'un ordinateur quantique devrait dépasser pour être considéré comme un ordinateur quantique pertinent du point de vue cryptanalytique. Ce n'est pas facile. Selon l'article de recherche "The impact of hardware specifications on reaching quantum advantage in the fault tolerant regime" (L'impact des spécifications matérielles sur l'obtention d'un avantage quantique dans le régime de tolérance aux pannes) :

"Dans cette fenêtre, les transactions attendent dans le "mem pool" pendant une durée qui dépend de la taxe payée ; le temps nécessaire à ce processus est en moyenne de 10 minutes, mais il peut souvent être beaucoup plus long. Gidney et Ekerå ont estimé qu'il faudrait 20 ×¹⁰⁶ qubits bruyants et 8 heures pour casser le cryptage Rivest-Shamir-Adleman (RSA) 2048, qui est d'une difficulté comparable au cryptage EC de Bitcoin."

C'est vrai, cet ordinateur quantique théorique qui n'existe pas encore mettrait huit heures à casser du bitcoin.

‍

Bitcoin et Sha-256 résistants aux quanta

Un ordinateur quantique suffisamment puissant présenterait un autre risque. En attaquant SHA-256, il pourrait perturber le processus de minage et le mécanisme de consensus de la preuve de travail. Selon l'article de recherche cité dans la section précédente :

"Un ordinateur quantique peut atteindre une vitesse quadratique sur le hachage du protocole SHA256 avec l'algorithme de Grover. L'algorithme explique les temps de cycle d'horloge considérablement plus lents par rapport à l'état de l'art de l'informatique classique dans un avenir prévisible.

C'est peu probable. De plus, soyons clairs, le BIP 360 souligne : "L'impact pratique des attaques quantiques sur SHA-256 reste théorique puisque les circuits quantiques pour SHA-256 sont encore théoriques."

L'article de recherche cité dans la section précédente se poursuit :

La seconde menace, plus sérieuse, serait une attaque contre le cryptage à courbe elliptique des signatures".

Nous nous concentrons sur cette deuxième menace : la possibilité de dériver la clé privée de la clé publique, ou "une attaque sur le cryptage des signatures par courbe elliptique".

‍

BIP 360, une voie vers la résistance quantique 

Pour atteindre la résistance quantique, le réseau Bitcoin doit modifier ses signatures. La première proposition d'amélioration de Bitcoin qui aborde le sujet, BIP 360, propose :

"Mettre en œuvre un type de sortie Pay to Quantum Resistant Hash (P2QRH) qui repose sur un algorithme de signature PQC. Ce nouveau type de sortie protège les transactions soumises au mempool et aide à préserver le marché libre en empêchant le besoin de transactions privées, hors bande, du mempool."

Le principal argument de vente des auteurs de Surmount Systemsest que "cette approche de l'ajout d'un type de sortie sécurisée post-quantique ne nécessite pas de hard fork ni d'augmentation de la taille des blocs". Ce qui est déjà beaucoup. Cependant, ils demandent une augmentation de la réduction pour les témoins. Ce n'est pas trivial, et il convient de noter que les auteurs le reconnaissent : "Une augmentation de la décote des témoins ne doit pas être prise à la légère. Elle doit être résistante aux applications qui pourraient profiter de cette réduction (par exemple, le stockage de données arbitraires comme on le voit avec les "inscriptions") sans une augmentation correspondante de l'activité économique". 

‍

Qu'advient-il des pièces de Satoshi ?

Dans les milieux du bitcoin, le débat sur la résistance quantique s'intensifie. L'agitateur initial était Jameson Lopp et son article "Against Allowing Quantum Recovery of Bitcoin" (Contre l'autorisation de la récupération quantique de Bitcoin). Dans cet article, Lopp analyse la menace quantique et tente d'argumenter pour ou contre la récupération quantique. Que doit faire le réseau Bitcoin au sujet des pièces perdues ?

Selon Lopp, nous devrions les brûler. 

‍

Cinq points de réflexion essentiels pour comprendre le point de vue de Lopp

• Il n'y a pas de bonne façon de gérer la situation, il n'y a que des compromis. "Si l'informatique quantique devient une menace pour la cryptographie à courbe elliptique de Bitcoin, une propriété inviolable de Bitcoin sera violée d'une manière ou d'une autre." Le réseau sera confronté à une brèche, la question est de savoir comment la gérer : geler les fonds ou les laisser s'échapper ?
• Les fabricants d'ordinateurs quantiques méritent-ils ce trésor ? L'ont-ils mérité ? "Permettre la récupération quantique des bitcoins équivaut à une redistribution des richesses. Ce que nous autoriserions, c'est la redistribution des bitcoins entre ceux qui ignorent l'existence des ordinateurs quantiques et ceux qui ont gagné la course technologique à l'acquisition d'ordinateurs quantiques."
• Le bitcoin n'en est pas à son premier coup d'essai. Si nous vérifions les reçus et les précédents, la réponse est claire. "Les vulnérabilités des protocoles précédents n'ont pas été célébrées comme un "jeu équitable", mais ont plutôt été traitées comme des échecs auxquels il fallait remédier. Traiter le vol quantique différemment risque de réécrire l'histoire de Bitcoin comme une foire d'empoigne plutôt qu'un système qui cherche à protéger ses utilisateurs."
• Le réseau Bitcoin pourrait transformer cette crise en une opportunité d'évolution. "Si les bitcoiners reçoivent une "date limite" après laquelle ils savent que les fonds vulnérables seront brûlés, cette pression accélère l'adoption de la cryptographie post-quantique et renforce le bitcoin à long terme".
• Certaines personnes ont tendance à penser qu'il est important d'avoir la totalité de l'offre de bitcoins en circulation. Cependant, le fait est que le système fonctionne exactement de la même manière sans les pièces de Satoshi. "Le chiffre de 21 millions n'est pas en soi un détail particulièrement important - il n'est même pas mentionné dans le livre blanc. Ce qui est important, c'est que l'offre est bien connue et qu'elle n'est pas sujette à changement.

Cependant, tout n'est pas noir ou blanc. 

‍

Contrepoint : Qui se soucie de la fourchette ?

Même si M. Lopp semble favorable à l'idée de brûler les pièces perdues et d'en finir, il reconnaît les difficultés que cette décision pourrait entraîner. 

• Laisser les entreprises quantiques piller les pièces perdues affectera économiquement chaque utilisateur. D'autre part, "brûler des fonds vulnérables nécessite une prise de décision centralisée - un soft fork pour invalider certaines transactions. Cela crée un dangereux précédent pour les interventions futures, érodant la décentralisation de Bitcoin." 
• Ne vous y trompez pas, il n'y aura pas de consensus absolu sur la décision. Il est très probable que le fait de rendre le bitcoin résistant au quantum puisse créer une nouvelle pièce. "Un soft fork pour brûler un bitcoin vulnérable pourrait certainement aboutir à un hard fork s'il y a suffisamment de mineurs qui rejettent le soft fork et continuent d'inclure des transactions."

‍

Quelques avantages de la résistance quantique du bitcoin

Pour en finir avec la thèse de Lopp, il "s'attendrait à ce qu'une proposition neutre brûle tous les fonds dans le verrouillage des types de scripts connus pour leur vulnérabilité quantique. Ainsi, nous pourrions éliminer toute subjectivité du code". Un changement apparemment mineur qui pourrait avoir des implications gargantuesques. Aucune pression, mais cette décision pourrait être aussi déterminante pour l'éthique de Bitcoin que la guerre des blocs.

Et il n'y a pas de bonnes réponses...

Quoi qu'il en soit, il y a du bon dans tout cela. "Du côté positif, brûler tous les bitcoins vulnérables quantiques nous permettrait d'éliminer tous ces UTXO de l'ensemble des UTXO, ce qui nettoierait également beaucoup de poussière. Les UTXO poussiéreux sont un peu gênants et il y a même eu récemment une proposition pour inciter à les nettoyer."

‍

Est-il temps de s'attaquer au problème de la résistance quantique ?

Les ordinateurs quantiques évoluent peut-être, et même rapidement, mais les ordinateurs quantiques pertinents du point de vue de la cryptanalyse sont peut-être encore loin. Même l'article optimiste intitulé "The impact of hardware specifications on reaching quantum advantage in the fault tolerant regime" (L'impact des spécifications matérielles sur l'obtention d'un avantage quantique dans le régime de tolérance aux pannes) théorise qu'il faudra attendre une décennie.

Les auteurs ont fait des calculs et les résultats sont clairs. "Nous quantifions le nombre de qubits physiques nécessaires pour casser le cryptage en une heure en fonction du temps de cycle du code et du taux d'erreur physique de base. Il faudrait environ 317 ×¹⁰⁶ qubits physiques pour casser le cryptage en une heure". Cela fait beaucoup de qubits.

Les informations précédentes sont peut-être trop techniques pour la plupart d'entre nous, mais la conclusion de l'auteur est claire : "Ce grand nombre de qubits physiques requis implique que le réseau Bitcoin sera à l'abri des attaques informatiques quantiques pendant de nombreuses années (potentiellement plus d'une décennie)".

Sommes-nous en train de brûler les étapes en discutant de tout cela dix ans plus tôt ? Ou est-ce le signe d'un réseau Bitcoin sain et proactif ?

‍

Le calendrier décennal

Revenons à BIP 360 pour voir comment le gouvernement américain gère la résistance quantique :

"La Commercial National Security Algorithm Suite (CNSA) 2.0 prévoit la mise à niveau des logiciels et des équipements de réseau d'ici à 2030, les navigateurs et les systèmes d'exploitation devant être entièrement mis à niveau d'ici à 2033. Selon l'IR 8547 du NIST, la cryptographie à courbe elliptique devrait être interdite au sein du gouvernement fédéral américain après 2035."

Le gouvernement américain travaille également sur un délai de 10 ans. Étant donné qu'il s'agit d'une entité centralisée qui peut prendre des décisions unilatérales, il pourrait être crucial pour le réseau Bitcoin de commencer à discuter de la question dès le début. Surtout si l'on considère à quel point la communauté est divisée.

Dans un récent sondage de Stacker News intitulé "Que faire des pièces de Satoshi lorsque l'ECC est cassé ?", 50 % des participants ont voté pour "Rien, laisser l'attaquant les avoir" et l'autre moitié a évoqué des options telles que "les brûler", "interdire les transactions p2p dans le memepool", et d'autres encore. 

Le jeu est en marche. Le débat ne fait que commencer. La discussion sur la manière de rendre le bitcoin résistant au quantum et le débat sur la récupération quantique dureront des années. Merci d'avoir commencé votre voyage avec Blink.

‍