Un nuovo documento programmatico del Coinbase Independent Advisory Board on Quantum Computing and Blockchain sostiene che la minaccia quantistica per le criptovalute non è immediata, ma che il processo di migrazione non può più essere considerato un problema lontano. Il messaggio centrale del rapporto è chiaro: Bitcoin, Ethereum e l'intero settore blockchain dovrebbero iniziare a elaborare piani per il post-quantistico fin da ora, senza aspettare l'arrivo di un computer quantistico tollerante ai guasti.
L' articolo , pubblicato il 21 aprile e redatto da un gruppo che comprende Scott Aaronson, Dan Boneh, Justin Drake, Sreeram Kannan, Yehuda Lindell e Dahlia Malkhi, afferma di avere "elevata fiducia" nel fatto che un computer quantistico su larga scala e tollerante ai guasti verrà alla fine costruito.
Coinbase mette in guardia gli sviluppatori di Bitcoin ed Ethereum
Allo stesso tempo, il documento sottolinea che violare l'attuale crittografia a chiave pubblica richiede ancora una macchina ben oltre i dispositivi odierni e che la minaccia rimane una sfida ingegneristica piuttosto che un evento di mercato imminente. La raccomandazione del NIST di completare le migrazioni post-quantistiche entro il 2035 occupa un posto di rilievo in questa prospettiva, sebbene gli autori aggiungano di "non essere certi" che i computer quantistici crittograficamente rilevanti non esisteranno entro tale data o successivamente.
Tuttavia, il rapporto sconsiglia vivamente ogni forma di compiacimento. "Aspettare che la situazione diventi urgente non è una buona idea", scrivono gli autori. "Il dibattito sul calcolo quantistico spesso verte sulle tempistiche. Tuttavia, riteniamo che questo dibattito sulle tempistiche sia in gran parte irrilevante (a parte il fatto che non si tratta di un'esigenza imminente), poiché le migrazioni dovrebbero essere pianificate e preparate fin da ora".
Il comitato consultivo sostiene che la protezione post-quantistica sia necessaria sia a livello di consenso, dove i validatori firmano i blocchi, sia a livello di esecuzione, dove gli utenti firmano le transazioni. Il problema è che le alternative crittografiche più pulite sono spesso molto più complesse dei sistemi a curva ellittica utilizzati oggi dalle blockchain, soprattutto se si considerano le dimensioni della firma, i costi di verifica e l'aggregazione.
Per quanto riguarda Bitcoin, il rapporto distingue tra UTXO le cui chiavi pubbliche rimangono nascoste dietro hash e output in cui la chiave pubblica in chiaro è già esposta sulla blockchain. Cita una stima del Project 11 secondo cui circa 6,9 milioni di BTC si trovano in UTXO per i quali è nota la chiave pubblica in chiaro, inclusi circa 1,7 milioni di BTC in vecchi output pay-to-public-key , tra cui le cosiddette monete Satoshi . Queste sono le monete che sarebbero più vulnerabili a un attacco del tipo "raccogli ora, distruggi dopo" una volta che esisterà una macchina quantistica sufficientemente potente.
La sezione dedicata a Bitcoin non sembra un invito al panico. Sottolinea che è improbabile che l'algoritmo di Grover offra presto ai miner quantistici un vantaggio rispetto agli ASIC classici, poiché il sovraccarico dovuto all'esecuzione della ricerca quantistica rimane troppo elevato. Tuttavia, delinea alcune idee pratiche per mitigare il problema, tra cui un approccio commit-reveal per spendere in modo più sicuro gli UTXO pre-quantistici e una proposta "Hourglass" che limiterebbe la spesa degli output P2PK esposti a 1 BTC per blocco, trasformando di fatto le monete dormienti in un canarino anziché in un jackpot immediato.
Il percorso di Ethereum descritto nel documento è più ampio. Gli autori affermano che la rete si trova ad affrontare quattro superfici sensibili ai computer quantistici: la firma delle transazioni EOA a livello di esecuzione, le firme dei validatori BLS a livello di consenso, i sistemi di prova basati su accoppiamenti nell'EVM e gli impegni KZG a livello di dati. Il rapporto afferma che l'attuale direzione di Ethereum è quella di passare a firme basate su hash sia per il consenso che per l'esecuzione, utilizzando leanXMSS per i validatori e leanSPHINCS per l'esecuzione a livello utente, per poi comprimere il carico di firma risultante tramite aggregazione basata su SNARK. In tale configurazione, la firma aggregata on-chain sarebbe dell'ordine di 128 KB.
In termini più generali, il documento raccomanda una migrazione graduale piuttosto che una sostituzione brusca. A livello di consenso, propone checkpoint post-quantistici periodici che possano ancorare la cronologia precedente anche prima di un passaggio completo.
A livello di esecuzione, il sistema privilegia un approccio "1 su 2", in cui gli utenti possono firmare utilizzando l'attuale schema a curva ellittica o uno schema post-quantistico, consentendo alle blockchain di mantenere bassi i costi attuali e al contempo preservando la possibilità di disabilitare le firme legacy in futuro. "Crediamo fermamente che un computer quantistico su larga scala e tollerante ai guasti verrà prima o poi costruito", scrivono gli autori. "Questo non significa che la minaccia sia imminente… Tuttavia, crediamo che sia giunto il momento di iniziare a prepararsi".
Al momento della stesura di questo articolo, il Bitcoin veniva scambiato a 77.974 dollari.
