Bitcoin resistente a la cuántica: así se afronta la amenaza de los ordenadores cuánticos

Los rumores son ciertos: Bitcoin no es resistente a la cuántica... pero podría serlo. Así que, teniendo en cuenta lo que tarda la red Bitcoin en alcanzar el consenso y autorizar las actualizaciones, ¿no deberíamos discutir posibles soluciones a la amenaza cuántica? O, por otro lado, ¿es demasiado pronto para empezar a preocuparse por un peligro que podría no llegar nunca? ¿Está siquiera en el horizonte un ordenador cuántico operativo?

Quizá todos estemos de acuerdo en que deberíamos hacer que Bitcoin fuera resistente al quantum en algún momento, seguro, pero ¿cómo sería eso? Un cambio de esta magnitud implica muchos retos, preguntas, obstáculos. Podría ser beneficioso iniciar la conversación y ver cómo avanza.

Por ejemplo, es probable que la solución implique que todo el mundo traslade sus monedas a un monedero resistente al quantum, un proceso que llevaría años. Pero, ¿qué pasa con las monedas que no pueden trasladarse? ¿Qué ocurre con los Bitcoin perdidos?

‍

¿Quién puede determinar que Bitcoin se ha perdido?

El concepto de "Bitcoin perdido" es problemático desde una perspectiva epistemológica. Muchos argumentan que los Bitcoin nunca se pierden, y puede que tengan razón. Incluso si alguien pierde el acceso a sus claves privadas, es imposible para cualquiera validar que las claves se han perdido. También es imposible probar que nadie tiene las claves. 

¿Cuál es la solución? Si el plan es impedir la recuperación cuántica quemando monedas, entonces hay que establecer un proxy. ¿Cómo? Fijamos una fecha límite y decimos a todos los titulares que migren sus monedas hasta una fecha determinada -por ejemplo, dentro de 10 años a X altura de bloque- y después de ese momento, podemos dar por perdidas las monedas que no se hayan movido.

La comunidad Bitcoin está trabajando duro debatiendo estos y otros temas fascinantes relacionados con la resistencia cuántica, y las cosas se están moviendo. Ya circula un borrador para una Propuesta de Mejora de Bitcoin o BIP (por sus siglas en inglés); presenta pasos concretos y describe cómo podría evolucionar la red para hacer frente a la amenaza cuántica.

Únase a Blink mientras exploramos las distintas formas de hacer que Bitcoin sea resistente al quantum y explicamos las implicaciones financieras, éticas y filosóficas de la recuperación del quantum. Deberíamos quemar las monedas perdidas o dejar que se recuperen y se liberen en la naturaleza?

‍

Glosario: Términos relacionados con la resistencia cuántica

Ayude a Blink a ayudarle. Para entender el problema al que está a punto de enfrentarse la red Bitcoin, exploremos primero el vocabulario del Bitcoin resistente al quantum y definamos algunos conceptos. Los necesitaremos para explicar la situación, los riesgos y las implicaciones.

• No todos los ordenadores cuánticos son una amenaza para Bitcoin. La tecnología tiene que evolucionar hasta convertirse en una máquina potente y estable antes de que sea posible romper una clave pública en 10 minutos o menos. Por lo tanto, el riesgo comienza con los "ordenadores cuánticos criptoanalíticamente relevantes" o CRQC. La Propuesta de Mejora de Bitcoin en cuestión, BIP360, define los CRQC como:

"Se supone que un ordenador agnóstico de hardware tiene la arquitectura para mantener coherente un número suficiente de qubits lógicos para poder ejecutar el algoritmo Shor de forma eficiente. es su potencial para romper los supuestos criptográficos de la Criptografía de Curva Elíptica (ECC), que asegura las firmas de Bitcoin y los compromisos de Taproot".

• Eso nos lleva a una pregunta clara: ¿cuál es el algoritmo Shor? La respuesta está en el informe de Deloitte "Quantum computers and the Bitcoin blockchain":

"En 1994, el matemático Peter Shor publicó un algoritmo cuántico que puede romper el supuesto de seguridad de los algoritmos más comunes de la criptografía asimétrica. Esto significa que cualquiera con un ordenador cuántico suficientemente grande podría utilizar este algoritmo para derivar una clave privada a partir de su correspondiente clave pública, y así, falsificar cualquier firma digital."

Esto nos lleva directamente al territorio de las claves privadas y públicas, un aspecto de Bitcoin que deberíamos revisar para explicar su relación con la resistencia cuántica.

‍

Claves privadas y la ventana de diez minutos

En Bitcoin, hay una clave privada que nadie debe ver y una clave pública que todo el mundo puede compartir libremente. Esta última se deriva de la primera. Existe una "relación matemática entre ambas", como dice Deloitte."Esto permite a los individuos producir una firma digital (utilizando su clave privada) que puede ser verificada por cualquiera que tenga la clave pública correspondiente". Este esquema es muy común en la industria financiera para probar la autenticidad e integridad de las transacciones."

En ese sistema equilibrado, es fácil demostrar que una clave pública coincide con la privada. Sin embargo, es casi imposible derivar una clave privada de su clave pública. O, mejor dicho, es casi imposible hasta que lleguen ordenadores cuánticos estables y potentes. Eso mezclado con el siguiente hecho hace una combinación peligrosa. Citando a BIP 360: 

"Normalmente, cuando se firma una transacción, la clave pública se indica explícitamente en el script de entrada. Esto significa que la clave pública queda expuesta en la blockchain cuando se gasta la transacción, lo que la hace vulnerable a ataques cuánticos hasta que es minada."

Dado que la red bitcoin produce un bloque cada diez minutos de media, hay una ventana de diez minutos que un ordenador cuántico tendría que superar para ser considerado un ordenador cuántico criptoanalíticamente relevante. Esto no es fácil. Según el artículo de investigación "The impact of hardware specifications on reaching quantum advantage in the fault tolerant regime":

"En esta ventana, las transacciones esperan en el "mem pool" durante un tiempo que depende de la tarifa pagada; el tiempo que tarda este proceso es de una media de 10 min, pero a menudo puede tardar mucho más. Gidney y Ekerå calcularon que se necesitarían 20 ×¹⁰⁶ qubits ruidosos y 8 h para romper el cifrado Rivest-Shamir-Adleman (RSA) de 2048, que es de una dificultad comparable al cifrado EC de Bitcoin."

Así es, ese ordenador cuántico teórico que aún no existe tardaría ocho horas en romper Bitcoin.

‍

Bitcoin y Sha-256 resistentes a la cuántica

Un ordenador cuántico suficientemente potente plantearía otro riesgo. Al atacar SHA-256, podría interrumpir el proceso de minería y el mecanismo de consenso de la prueba de trabajo. Según el artículo de investigación citado en la sección anterior:

"Un ordenador cuántico puede lograr una aceleración cuadrática en el hashing del protocolo SHA256 con el algoritmo de Grover. El algoritmo sp por los tiempos de ciclo de reloj considerablemente más lentos en relación con el estado de la técnica de computación clásica para el futuro previsible.

Es poco probable. Además, dejemos algo claro, el BIP 360 subraya: "El impacto práctico de los ataques cuánticos a SHA-256 sigue siendo teórico, ya que los circuitos cuánticos para SHA-256 siguen siendo teóricos".

Continúa el artículo de investigación citado en el apartado anterior:

La segunda amenaza, más grave, sería un ataque al cifrado por curva elíptica de las firmas".

Nos centramos en esa segunda amenaza: la posibilidad de derivar la clave privada a partir de la clave pública, o "un ataque al cifrado de firmas mediante curva elíptica" .

‍

BIP 360, un camino hacia la resistencia cuántica 

Para lograr la resistencia cuántica, la red Bitcoin tiene que cambiar sus firmas. La primera Propuesta de Mejora de Bitcoin que aborda el tema, BIP 360, propone:

"Implementar un tipo de salida Pay to Quantum Resistant Hash (P2QRH) que se basa en un algoritmo de firma PQC. Este nuevo tipo de salida protege las transacciones enviadas al mempool y ayuda a preservar el libre mercado al evitar la necesidad de transacciones privadas y fuera de banda del mempool."

El principal argumento de venta de los autores de SurmountSystems es que "este enfoque para añadir un tipo de salida segura post-cuántica no requiere un hard fork o un aumento del tamaño del bloque." Lo cual es mucho. Sin embargo, piden un aumento del descuento por testigo. Esto no es trivial, y hay que señalar que los autores lo reconocen: "Un aumento del descuento de testigo no debe tomarse a la ligera. Debe ser resistente a las aplicaciones que podrían aprovecharse de este descuento (por ejemplo, el almacenamiento de datos arbitrarios como se ve con las "inscripciones") sin un aumento correspondiente de la actividad económica." 

‍

¿Qué pasa con las monedas de Satoshi?

En los círculos Bitcoin, el debate en torno a la resistencia cuántica se está calentando. El agitador original fue Jameson Lopp y su artículo "Contra permitir la recuperación cuántica de Bitcoin". En él, Lopp analiza la amenaza cuántica e intenta argumentar a favor y en contra de la recuperación cuántica. ¿Qué debería hacer la red Bitcoin con las llamadas monedas perdidas?

Según Lopp, deberíamos quemarlos. 

‍

Cinco puntos de reflexión cruciales para comprender el punto de vista de Lopp

• No hay una forma correcta de manejar la situación, sólo hay compensaciones. "Si la computación cuántica se convierte en una amenaza para la criptografía de curva elíptica de Bitcoin, una propiedad inviolable de Bitcoin será violada de un modo u otro".La red se enfrentará a una brecha, la cuestión es cómo manejarla: ¿congelando los fondos o dejándolos sueltos?
• ¿Merecen los fabricantes de ordenadores cuánticos este tesoro? ¿Se lo han ganado? "Permitir la recuperación cuántica de bitcoin equivale a redistribuir la riqueza. Lo que estaríamos permitiendo es que el bitcoin se redistribuyera de quienes ignoran los ordenadores cuánticos a quienes han ganado la carrera tecnológica para adquirir ordenadores cuánticos."
• Este no es el primer rodeo de Bitcoin. Si revisamos los recibos y los precedentes, la respuesta está clara. "Las vulnerabilidades de protocolos anteriores no se celebraban como "juego limpio", sino que se trataban como fallos que debían remediarse. Tratar el robo cuántico de manera diferente corre el riesgo de reescribir la historia de Bitcoin como una batalla campal en lugar de un sistema que busca proteger a sus usuarios."
• La red Bitcoin podría convertir esta crisis en una oportunidad para evolucionar. "Si a los Bitcoiners se les da una "fecha de caducidad" después de la cual saben que los fondos vulnerables serán quemados, esta presión acelera la adopción de la criptografía post-cuántica y fortalece a Bitcoin a largo plazo."
• Algunas personas tienden a pensar que es importante tener el suministro total de Bitcoin en circulación. Sin embargo, la realidad es que el sistema funciona exactamente igual sin las monedas de Satoshi. "La cifra de 21 millones en sí misma no es un detalle especialmente importante, ni siquiera se menciona en el libro blanco. Lo importante es que la oferta es bien conocida y no está sujeta a cambios."

Sin embargo, no todo es blanco o negro. 

‍

Contrapunto: ¿A quién le importa un tenedor?

Aunque Lopp parece partidario de quemar las monedas perdidas y acabar de una vez, reconoce las dificultades que puede acarrear esta decisión. 

• Dejar que las empresas cuánticas saqueen las monedas perdidas afectará económicamente a todos y cada uno de los usuarios. Por otro lado, "quemar fondos vulnerables requiere una toma de decisiones centralizada: un soft fork para invalidar ciertas transacciones. Esto sienta un peligroso precedente para futuras intervenciones, erosionando la descentralización de Bitcoin." 
• No se equivoque, no habrá un consenso absoluto sobre la decisión. Hay una posibilidad muy alta de que hacer que Bitcoin sea resistente al quantum pueda crear una nueva moneda. "Una bifurcación suave para quemar bitcoin vulnerable podría ciertamente resultar en una bifurcación dura si hay suficientes mineros que rechazan la bifurcación suave y continúan incluyendo transacciones".

‍

Algunas ventajas de la resistencia cuántica de Bitcoin

Para terminar con la tesis de Lopp, él "esperaría que una propuesta neutral quemara todos los fondos en bloquear los tipos de escritura que se sabe que son vulnerables al quantum. Así, podríamos eliminar cualquier subjetividad del código".Un cambio aparentemente menor que podría tener implicaciones gargantuescas. Sin presiones, pero esta decisión podría ser tan definitoria para el ethos de Bitcoin como la Guerra del Tamaño de Bloque.

Y no hay respuestas correctas...

Sea como fuere, todo tiene su lado positivo. "Por el lado positivo, quemar todos los bitcoins cuánticos vulnerables nos permitiría eliminar todos esos UTXO del conjunto de UTXO, lo que también limpiaría mucho polvo. Los UTXOs polvorientos son un poco molestos e incluso ha habido una propuesta reciente sobre cómo incentivar su limpieza."

‍

¿Ha llegado el momento de abordar el problema de la resistencia cuántica?

Puede que los ordenadores cuánticos estén evolucionando, incluso que lo hagan rápidamente, pero los ordenadores cuánticos criptoanalíticamente relevantes podrían estar aún muy lejos. Incluso el optimista artículo "The impact of hardware specifications on reaching quantum advantage in the fault tolerantregime" (El impacto de las especificaciones de hardware en la consecución de ventajas cuánticas en el régimen tolerante a fallos) teoriza que están a una década de distancia.

Los autores hicieron números y los resultados son claros."Cuantificamos el número de qubits físicos necesarios para romper el cifrado en una hora en función del tiempo de ciclo del código y de la tasa de error físico base. Se necesitarían aproximadamente 317 ×¹⁰⁶ qubits físicos para romper el cifrado en una hora".Eso son muchos qubits.

La información anterior puede ser demasiado técnica para la mayoría de nosotros, pero la conclusión del autor es clara: "Este gran requisito de qubits físicos implica que la red Bitcoin será segura frente a ataques de computación cuántica durante muchos años (potencialmente más de una década)."

¿Nos estamos precipitando al hablar de todo esto una década antes? ¿O es señal de una red Bitcoin sana y proactiva?

‍

El plazo de diez años

Volvamos a BIP 360 para ver cómo el gobierno estadounidense está haciendo frente a la resistencia cuántica:

"El Conjunto de Algoritmos Comerciales de Seguridad Nacional (CNSA) 2.0 tiene un calendario para que el software y los equipos de red se actualicen antes de 2030, con los navegadores y los sistemas operativos totalmente actualizados antes de 2033. Según el NIST IR 8547, está previsto que la criptografía de curva elíptica quede desautorizada en el gobierno federal de EE.UU. después de 2035".

El gobierno de EE.UU. también está trabajando en un plazo de 10 años, ¿qué te parece? Teniendo en cuenta que son una entidad centralizada y que pueden tomar decisiones unilaterales, podría ser crucial para la red Bitcoin empezar a discutir el tema pronto. Especialmente considerando lo dividida que está la comunidad.

En una reciente quiniela de Stacker News titulada "¿Qué se debería hacer con las monedas de Satoshi cuando se rompa el ECC?", el 50% votó por "Nada, que se las quede el atacante" y la otra mitad flotó entre opciones como "quemarlas", "desautorizar las transacciones p2p en memepool" y otras. 

El juego está en marcha. El debate no ha hecho más que empezar. La discusión sobre cómo hacer que Bitcoin sea resistente al quantum y el debate en torno a la recuperación del quantum durarán años. Gracias por iniciar tu viaje con Blink.

‍