Какое влияние окажет масштабируемый квантовый компьютер на Биткойн?

У вас хорошее обсуждение в:

https://bitcointalk.org/index.php?topic=133425.0

По сути, ECDSA скомпрометирован, а хеширование — нет. С квантовым компьютером вы можете легко вывести закрытый ключ, соответствующий открытому ключу. Если у вас есть только адрес, представляющий собой хешированный открытый ключ, закрытый ключ безопасен. В любом случае, чтобы провести транзакцию, вам нужно отправить публичный ключ. В этот момент вы уязвимы, но атака непростая.

В общем, квантовые компьютеры не экспоненциально лучше, чем классические компьютеры. Вы не можете получить доступ ко всем состояниям в суперпозиции, только к глобальным свойствам. Вы можете прочитать http://www.cs.virginia.edu/~robins/The_Limits_of_Quantum_Computers.pdf , чтобы получить представление о том, что они могут и чего не могут делать.

Худший вариант развития событий:

1. Алгоритм Биткойн ECDSA будет нарушен. Поскольку квантовые компьютеры могут легко расшифровать закрытый ключ с помощью открытого ключа, любой, у кого есть квантовый компьютер, может извлечь биткойны с помощью соответствующего открытого ключа.

2. Хеширование биткойнов станет экспоненциально сложным. Уже предсказывается рост сложности майнинга из-за появления ASIC, а квантовые компьютеры создадут всплеск сложности майнинга, по сравнению с которым эффекты майнинга ASIC меркнут. В краткосрочной перспективе это приведет к гиперинфляции, но долгосрочные последствия пока неизвестны.

3. Преимущество квантового компьютера в хешировании будет ограничено ограничениями майнинга блоков. Цитата из биткойн-вики:

«Сложность — это мера того, насколько сложно найти новый блок по сравнению с самым простым из возможных. Она пересчитывается каждые 2016 блоков до значения, при котором предыдущие 2016 блоков были бы сгенерированы ровно за две недели, если бы все майнинг на этой сложности. Это будет давать в среднем один блок каждые десять минут. Чем больше майнеров присоединится, скорость создания блоков будет расти. скорость создания блоков снижается».

Это означает, что квантовые компьютеры не будут влиять на скорость создания блоков (увеличение генерации ключей пропорционально увеличению сложности, что приводит к общей скорости добычи 1 биткойн-блока каждые 10 минут), но это резко увеличит сложность майнинга, экспоненциально больше, чем у майнера ASIC. Это дает майнерам с квантовыми компьютерами (предположительно корпорациям, правительственным учреждениям или другим властным организациям) большое преимущество, вплоть до того, что они считаются монополистами на рынке биткойнов.

Если только квантовые компьютеры:

(a) становятся общедоступными (b) им присваивается собственный класс для целей хеширования, чтобы ограничить их преимущество в майнинге

Тогда майнеры, имеющие доступ к квантовым компьютерам, получают несправедливое преимущество в майнинге, которое может (и будет) использоваться для манипулирования стоимостью и распределением биткойнов. Более того,

4. Хеш-мощность квантового компьютера может быть использована в качестве мощности голосования. Если коалиция людей с масштабируемыми квантовыми компьютерами сможет генерировать достаточное количество хэшей, чтобы составить более 51% от общего количества хэшей Биткойн, они смогут использовать эту мощность для значительного манипулирования сетью Биткойн.

Как объясняется в вики Биткойн («Слабые стороны»)

«Злоумышленник, контролирующий более 50% вычислительной мощности сети, может на то время, которое он контролирует, исключать и изменять порядок транзакций. Это позволяет ему:

Отменить транзакции, которые он отправляет, пока он контролирует. Это может привести к двойному расходу транзакций, которые ранее уже наблюдались в цепочке блоков. Предотвратить получение каких-либо подтверждений некоторыми или всеми транзакциями Запретить некоторым или всем другим майнерам добывать любые допустимые блоки

Злоумышленник не может:

Reverse other people's transactions
Prevent transactions from being sent at all (they'll show as 0/unconfirmed)
Change the number of coins generated per block
Create coins out of thin air
Send coins that never belonged to him 

При менее чем 50% возможны такие же атаки, но с вероятностью успеха менее 100%. Например, кто-то, у кого всего 40% вычислительной мощности сети, может пройти подтвержденную транзакцию с глубиной 6 с вероятностью успеха 50%.

Изменить исторические блоки гораздо сложнее, и чем дальше вы уходите, тем сложнее становится экспоненциально. Как и выше, изменение исторических блоков позволяет только исключить и изменить порядок транзакций. Невозможно изменить блоки, созданные до последней контрольной точки».

Однако:

«Поскольку эта атака не дает такой большой власти над сетью, ожидается, что никто не попытается ее осуществить. Человек, стремящийся к прибыли, всегда получит больше, просто следуя правилам, и даже тот, кто попытается разрушить систему, вероятно, найдут другие атаки более привлекательными. Однако, если эта атака будет успешно выполнена, будет трудно или невозможно «распутать» созданный беспорядок - любые изменения, внесенные злоумышленником, могут стать постоянными».

С учетом всего сказанного, возможно ли, чтобы масштабируемый квантовый компьютер (особенно тот, который запрограммирован (например, ASIC) для хеширования блоков) имел экспоненциальное преимущество перед традиционными компьютерами, FPGA, ASICS и т. д.?

Этот вопрос лучше решить здесь: https://cs.stackexchange.com/questions/586/could-quantum-computing-eventually-be-used-to-make-modern-day-hashing-trival-to

Здесь задействовано много математики, что немного выше моих академических знаний, но мы можем вывести, по крайней мере, вот что:

Большинство алгоритмов квантовых компьютеров, которые известны тем, что они эффективно используют (алгоритм Шора, алгоритм поиска Гровера), вероятно, не могут быть использованы для хеширования биткойн-блоков. Одним из отмеченных возможных исключений является атака столкновений, которая, если она выполняется с использованием алгоритма Гровера, может выполнять атаки лучше, чем обычные компьютеры:

«Могут ли квантовые компьютеры выполнять атаки столкновений лучше? На самом деле я не уверен в этом. Алгоритм Гровера можно расширить так, что если есть t элементов (то есть прообразов), время на поиск одного из них сокращается до O(N /t−−−−√). Но это не дает коллизии — повторный запуск алгоритма может вернуть тот же прообраз. С другой стороны, если мы выберем m1 наугад, а затем воспользуемся алгоритмом Гровера, вполне вероятно, что он вернет другое сообщение. Я не уверен, что это дает лучшие атаки».

https://cs.stackexchange.com/questions/586/could-quantum-computing-eventually-be-used-to-make-modern-day-hashing-trily-to

В случае, если масштабируемым квантовым компьютерам удастся загнать сеть Биткойн в угол, будет выпущен новый код для исправления этой уязвимости, поэтому, хотя в краткосрочной перспективе сеть может выйти из строя в долгосрочной перспективе, пользователям Биткойн не о чем беспокоиться. в долгосрочной перспективе.

Я хочу отметить быстрый, возможно, важный момент.

Как упоминалось в других ответах, текущие реализации Биткойн могут быть скомпрометированы квантовым компьютером.

Однако квантовые компьютеры не решают все известные классически сложные проблемы, и поэтому любая криптография, основанная на проблемах, которые также трудно решить квантовому компьютеру, должна работать так же хорошо, как и классическая криптография, которая также живет под экзистенциальной угрозой того, что кто-то обнаружит алгоритм полиномиального времени для факторинга и подобных задач.

При текущей сложности майнинга классическим компьютерам требуется в среднем 2*10^21 вызовов SHA256D, чтобы найти одноразовый номер блока. Квантовому компьютеру потребуется выполнить 4,5*10^10 вызовов, что в миллиарды раз «быстрее». Это означает, что ответ таков: он сможет удваивать столько раз, сколько захочет квантовый противник.

Алгоритм, составляющий биткойн-адрес, является ECDSA и будет полностью нарушен (вы сможете найти свой закрытый ключ с помощью открытого ключа). Таким образом, вы сможете потратить любой биткойн.

Хотя майнинг основан на sha-256 и по-прежнему «безопасен», я имею в виду, что его нельзя просто отменить, но он все же может быть грубой силой. А поскольку квантовый компьютер экспоненциально мощнее, люди с контролем качества начнут майнить как черти, и сложность возрастет до невиданного уровня. Поскольку сложность является всего лишь экспоненциальным ограничением, время добычи для квантового компьютера будет расти только линейно до тех пор, пока не будет достигнута максимальная сложность (для максимальной сложности потребуется хэш 0....все нули).

Когда наступит это время, возможно, он заблокирует цепочку (а может и нет), потому что нулевой хэш, возможно, невозможно получить, но в любом случае блокчейну был бы нанесен огромный ущерб.

Это произойдет, если квантовый компьютер будет представлен завтра, если у нас будет более прогрессивный подход, мы сможем успеть изменить наш алгоритм на квантовый, биткойн может изменить свой алгоритм.

Существует технический документ о криптовалюте, основанный на последствиях квантового компьютера. http://arxiv.org/abs/1604.01383

Таким образом, биткойн может быть устаревшим для этого решения. Однако собрать этот компьютер невозможно, и не все проблемы на данный момент устранены.

Квантовые компьютеры могут выполнять хеширование (см . Квантовое исправление ошибок ).

Квантовая телепортация произведет революцию в распространении блокчейна.

Квантовый компьютер может произвести революцию в добыче биткойнов, поскольку вычислительная мощность квантового компьютера намного выше, чем у традиционных компьютеров.

Причина такой скорости кроется в фотонах и законах квантовой механики, а именно:

1. Принцип неопределенности Гейзенберга
2. Теорема о запрете клонирования

Соответственно, чем больше у нас будет вычислительной мощности, тем легче будет добывать биткойны.