a16z｜Calcolo quantistico e blockchain: abbinare "urgenza" e minacce reali

Chainfeeds Guida alla lettura:

Questo articolo chiarisce i malintesi comuni riguardo alle minacce quantistiche, inclusi gli impatti sugli algoritmi crittografici, i meccanismi di firma e le prove a conoscenza zero (ZKP), e discute cosa significano per i sistemi blockchain.

Fonte dell'articolo:

a16z

Punti di vista:

a16z: Il primo rischio reale per la sicurezza portato dal calcolo quantistico non è un "attacco futuro", ma un attacco Harvest Now, Decrypt Later (HNDL), ovvero l'attaccante memorizza ora le comunicazioni cifrate e aspetta di avere in futuro la capacità di decifrarle tramite il calcolo quantistico. Questo significa che comunicazioni altamente confidenziali (specialmente a livello nazionale), anche se oggi non possono essere violate, potrebbero essere esposte in futuro. Pertanto, per i sistemi che richiedono segretezza per oltre 10-50 anni, è necessario iniziare ora a implementare nuove crittografie resistenti al quantistico. Tuttavia, questa minaccia non si applica ai sistemi di firma digitale. Le firme digitali non contengono "contenuti privati che possono essere decifrati retroattivamente", né esiste il problema che "una verifica passata venga annullata dal calcolo quantistico". Anche se in futuro il calcolo quantistico potrà falsificare firme, ciò influenzerà solo le transazioni e le autorizzazioni future, senza invalidare le firme passate o rivelare informazioni nascoste. Sulla base di questa logica, i meccanismi di firma più utilizzati sulla blockchain (ECDSA, EdDSA) dovranno essere aggiornati in futuro, ma non è urgente migrare immediatamente. Inoltre, il modello di sicurezza degli zkSNARKs è ancora più diverso dalla crittografia. Anche se gli zkSNARKs attuali si basano su curve ellittiche, la proprietà di conoscenza zero rimane sicura contro gli attacchi quantistici, poiché la prova non contiene dati privati recuperabili da algoritmi quantistici. Pertanto, anche gli zkSNARKs non sono a rischio di archiviazione in attesa di decrittazione. In altre parole, le chain orientate alla privacy sono più urgenti, le public chain non lo sono, le firme devono essere aggiornate dopo la crittografia, e gli SNARK ancora dopo le firme: questo è il reale ordine di priorità delle minacce quantistiche nel mondo blockchain. Sebbene la blockchain nel suo insieme non abbia bisogno di passare immediatamente a firme resistenti al quantistico, Bitcoin è un'eccezione. Il motivo non è una minaccia quantistica imminente, ma la lentezza della governance, la complessità storica della struttura delle transazioni e la dipendenza dalla migrazione attiva degli utenti. Innanzitutto, il protocollo Bitcoin evolve molto lentamente e qualsiasi cambiamento che coinvolga il consenso o la logica di sicurezza può causare controversie, divisioni o addirittura hard fork. In secondo luogo, l'aggiornamento di Bitcoin non può migrare automaticamente tutti gli asset, poiché le chiavi di firma sono detenute dagli utenti e il protocollo non può imporre l'aggiornamento. Questo significa che i wallet scaduti, persi o non gestiti (stimati in milioni di BTC) saranno permanentemente esposti a futuri attacchi quantistici. Ancora più problematico, Bitcoin utilizzava inizialmente P2PK (indirizzi che espongono direttamente la chiave pubblica), le cui chiavi pubbliche sono già visibili sulla chain, e il calcolo quantistico può utilizzare l'algoritmo di Shor per ricavare direttamente la chiave privata da una chiave pubblica visibile. Questo è diverso dai moderni modelli di indirizzo (hash che nasconde la chiave pubblica), dove la chiave pubblica viene esposta solo al momento della transazione e può competere con l'attaccante in una finestra temporale. Pertanto, la migrazione di Bitcoin non è solo una questione tecnica, ma coinvolge rischi legali (perdita vs prova di possesso), collaborazione sociale, tempi e costi di implementazione a lungo termine. Anche se la minaccia quantistica è lontana, Bitcoin deve iniziare ora a pianificare una roadmap di migrazione irreversibile. Sebbene la minaccia quantistica esista davvero, una migrazione affrettata e totale comporta rischi reali ancora maggiori. Attualmente, molti algoritmi resistenti al quantistico presentano costi prestazionali significativi, complessità di implementazione e persino casi storici di essere stati violati da algoritmi classici (come Rainbow, SIKE). Ad esempio, le attuali firme post-quantistiche più diffuse come ML-DSA e Falcon sono decine o centinaia di volte più grandi delle firme attuali, e la loro implementazione è soggetta ad attacchi side-channel, vulnerabilità nei numeri floating point o errori nei parametri che portano alla perdita della chiave. Pertanto, la blockchain non dovrebbe migrare ciecamente, ma adottare una strategia a fasi, multi-traccia e architettura sostituibile: implementare la crittografia ibrida (post-quantum + classica) per comunicazioni confidenziali a lungo termine; utilizzare sistemi di firma hash in anticipo in scenari che non richiedono firme frequenti (firmware, aggiornamenti di sistema); mantenere pianificazione e ricerca a livello di public chain, adottando lo stesso ritmo prudente della PKI di Internet; utilizzare design modulari o account abstraction, in modo che i futuri sistemi di firma possano essere aggiornati senza compromettere l'identità e la storia degli asset on-chain. [L'originale è in inglese]