รายงานสำคัญจาก a16z: ช่องโหว่ของรหัสอันตรายกว่าการคำนวณควอนตัม อย่าให้ความตื่นตระหนกนำทาง

a16z Crypto ชี้ให้เห็นว่าภัยคุกคามของคอมพิวเตอร์ควอนตัมนั้นเกินจริง และความน่าจะเป็นของ CRQC (คอมพิวเตอร์ควอนตัมที่เกี่ยวข้องกับการเข้ารหัส) ก่อนปี 2030 นั้นต่ํามาก ลายเซ็นดิจิทัลและ zkSNARK ไม่อยู่ภายใต้การโจมตีแบบ “รวบรวมก่อนและถอดรหัสในภายหลัง” และการสลับเร็วเกินไปจะทําให้เกิดความเสี่ยง ภัยคุกคามในปัจจุบันคือช่องโหว่ของโค้ดและปัญหาด้านการกํากับดูแล และขอแนะนําให้จัดลําดับความสําคัญของการทดสอบการตรวจสอบมากกว่าการอัปเกรดอย่างเร่งรีบ

a16z หักล้างการเล่าเรื่องของ CRQC ก่อนปี 2030

a16z Crypto เผยแพร่บทความวิเคราะห์ในบัญชีทางการ โดยระบุว่าการตัดสินเวลาของตลาดเกี่ยวกับ “คอมพิวเตอร์ควอนตัมที่คุกคามสกุลเงินดิจิทัล” มักเกินจริง และความน่าจะเป็นของคอมพิวเตอร์ควอนตัมที่มีพลังทําลายล้างที่สมจริงจะปรากฏขึ้นก่อนปี 2030 นั้นต่ํามาก สิ่งที่เรียกว่า “คอมพิวเตอร์ควอนตัมที่มีความหมายในการเข้ารหัส” หมายถึงคอมพิวเตอร์ควอนตัมที่ทนต่อข้อผิดพลาดและแก้ไขข้อผิดพลาดที่สามารถทํางานได้ และอัลกอริทึม Shor มีขนาดใหญ่พอที่จะโจมตีการเข้ารหัสเส้นโค้งวงรีหรือ RSA ภายในเวลาที่เหมาะสม

จากการตีความเหตุการณ์สําคัญสาธารณะและการประมาณการทรัพยากรอย่างสมเหตุสมผลเรายังห่างไกลจากการสร้างคอมพิวเตอร์ควอนตัมในระดับนี้ สถาปัตยกรรมปัจจุบันทั้งหมดไม่ว่าจะเป็นไอออนที่ถูกคุมขังคิวบิตตัวนํายิ่งยวดและระบบอะตอมที่เป็นกลางไม่สามารถเข้าใกล้ขนาดของคิวบิตที่เป็นของแข็งหลายแสนหรือหลายล้านคิวบิตได้ ปัจจัยจํากัดไม่เพียง แต่จํานวนคิวบิตเท่านั้น แต่ยังรวมถึงความเที่ยงตรงของเกต การเชื่อมต่อคิวบิต และความลึกของวงจรแก้ไขข้อผิดพลาดต่อเนื่องที่จําเป็นในการเรียกใช้อัลกอริทึมควอนตัมเชิงลึก

ปัจจุบันบางระบบมีคิวบิตทางกายภาพมากกว่า 1,000 คิวบิต แต่ตัวเลขนี้ทําให้เข้าใจผิดอย่างมาก ระบบเหล่านี้ขาดการเชื่อมต่อคิวบิตและความเที่ยงตรงของเกตที่จําเป็นสําหรับการคํานวณที่เกี่ยวข้องกับการเข้ารหัส ยังมีช่องว่างขนาดใหญ่ระหว่างการพิสูจน์ว่าหลักการแก้ไขข้อผิดพลาดควอนตัมเป็นไปได้และมาตราส่วนที่จําเป็นเพื่อให้บรรลุการวิเคราะห์การเข้ารหัส กล่าวโดยย่อ: เว้นแต่จํานวนคิวบิตและความเที่ยงตรงจะเพิ่มขึ้นหลายลําดับความสําคัญคอมพิวเตอร์ควอนตัมที่มีความหมายในการเข้ารหัสยังคงอยู่ไกลเกินเอื้อม

ความเข้าใจผิดทั่วไปสามประการเกี่ยวกับความตื่นตระหนกของควอนตัม

ข้อได้เปรียบควอนตัมนั้นสับสน: การสาธิตที่อ้างว่า “ความได้เปรียบทางควอนตัม” มุ่งเป้าไปที่งานที่มนุษย์ออกแบบ ไม่ใช่การถอดรหัสรหัสผ่านจริง

เครื่องหลอมควอนตัมทําให้เข้าใจผิด: อ้างสิทธิ์หลายพันคิวบิต แต่หมายถึงเครื่องหลอม ไม่ใช่เครื่องโมเดลเกตที่ใช้อัลกอริทึม Shor

การละเมิดคิวบิตเชิงตรรกะ: บางบริษัทอ้างว่าเป็น “คิวบิตเชิงตรรกะ” แต่ใช้การเข้ารหัสระยะทาง 2 เพื่อตรวจจับข้อผิดพลาดและไม่แก้ไข

การโจมตี HNDL ใช้ไม่ได้กับลายเซ็นและ zkSNARK

บทความชี้ให้เห็นว่าโซลูชันลายเซ็นดิจิทัลกระแสหลักและระบบที่ไม่มีความรู้ เช่น zkSNARK ไม่อ่อนไหวต่อรูปแบบการโจมตีควอนตัม “รวบรวมก่อน ถอดรหัสทีหลัง” การโจมตี Harvest Now, Decryption Later (HNDL) หมายถึงกองกําลังศัตรูที่จัดเก็บทราฟฟิกที่เข้ารหัสแล้วถอดรหัสหลังจากคอมพิวเตอร์ควอนตัมที่มีความสําคัญในการเข้ารหัสปรากฏขึ้น การโจมตีนี้ก่อให้เกิดภัยคุกคามที่แท้จริงต่อการเข้ารหัส ซึ่งเป็นเหตุผลว่าทําไมการเข้ารหัสจึงจําเป็นต้องเปลี่ยนแปลงในปัจจุบัน อย่างน้อยก็สําหรับผู้ที่ต้องการการรักษาความลับมานานกว่า 10-50 ปี

อย่างไรก็ตาม ลายเซ็นดิจิทัลที่บล็อกเชนทั้งหมดพึ่งพานั้นแตกต่างจากการเข้ารหัส: ไม่มีความลับของการโจมตีที่ตรวจสอบย้อนกลับได้ กล่าวอีกนัยหนึ่งหากการดําเนินการควอนตัมที่เกี่ยวข้องกับการเข้ารหัสปรากฏขึ้นก็เป็นไปได้ที่จะปลอมแปลงลายเซ็น แต่ลายเซ็นในอดีตไม่ได้ “ซ่อน” ความลับเช่นข้อความที่เข้ารหัส ตราบใดที่คุณรู้ว่าลายเซ็นดิจิทัลถูกสร้างขึ้นก่อนที่ CRQC จะปรากฏขึ้น ก็ไม่สามารถปลอมแปลงได้ สิ่งนี้ทําให้การเปลี่ยนไปใช้ลายเซ็นดิจิทัลหลังควอนตัมมีความเร่งด่วนน้อยกว่าการเปลี่ยนไปใช้การเข้ารหัสหลังควอนตัม

zkSNARK (อาร์กิวเมนต์ความรู้แบบไม่โต้ตอบที่กระชับความรู้เป็นศูนย์) เป็นกุญแจสําคัญในการปรับขนาดและความเป็นส่วนตัวในระยะยาวของบล็อกเชน และอยู่ในสถานการณ์ที่คล้ายคลึงกับลายเซ็น ในขณะที่ zkSNARK ใช้การเข้ารหัสเส้นโค้งวงรี แต่คุณสมบัติที่ไม่มีความรู้นั้นปลอดภัยหลังควอนตัม แอตทริบิวต์ความรู้เป็นศูนย์ช่วยให้มั่นใจได้ว่าไม่มีการเปิดเผยข้อมูลเกี่ยวกับพยานลับในระหว่างกระบวนการพิสูจน์ – แม้แต่กับศัตรูควอนตัม – ดังนั้นจึงไม่มีข้อมูลที่เป็นความลับที่จะ “รวบรวมทันที” เพื่อถอดรหัสในภายหลัง

ด้วยเหตุนี้ zkSNARK จึงไม่อยู่ภายใต้การโจมตีแบบจับก่อนและถอดรหัส เช่นเดียวกับลายเซ็นที่ไม่ใช่หลังควอนตัมที่สร้างขึ้นในปัจจุบันนั้นปลอดภัย การพิสูจน์ zkSNARK ใด ๆ ที่สร้างขึ้นก่อนการถือกําเนิดของคอมพิวเตอร์ควอนตัมที่มีความหมายในการเข้ารหัสก็น่าเชื่อถือ หลังจากการเกิดขึ้นของคอมพิวเตอร์ควอนตัมที่มีความหมายในการเข้ารหัสแล้วผู้โจมตีสามารถพบหลักฐานที่น่าเชื่อถือของข้อความเท็จได้ รายละเอียดทางเทคนิคนี้มีความสําคัญต่อการทําความเข้าใจความถูกต้องของภัยคุกคามควอนตัม

ต้นทุนหลักสามประการและความเสี่ยงของการย้ายถิ่นก่อนวัยอันควร

การผลักดันให้บล็อกเชนเปลี่ยนไปใช้โซลูชันที่ทนต่อควอนตัมเร็วเกินไปอาจทําให้เกิดปัญหาต่างๆ เช่น การเสื่อมสภาพของประสิทธิภาพ ความไม่สมบูรณ์ทางวิศวกรรม และข้อบกพร่องด้านความปลอดภัยที่อาจเกิดขึ้น ต้นทุนประสิทธิภาพของลายเซ็นหลังควอนตัมนั้นมีนัยสําคัญมาก ลายเซ็นที่ใช้แฮชมีขนาด 7-8 KB ในขณะที่ลายเซ็นดิจิทัลที่ใช้เส้นโค้งวงรีในปัจจุบันมีขนาดเพียง 64 ไบต์ ซึ่งต่างกันประมาณ 100 เท่า โซลูชันกริดนั้นดีกว่าเล็กน้อย โดยมีลายเซ็น ML-DSA ตั้งแต่ 2.4 KB ถึง 4.6 KB ซึ่งยังคงใหญ่กว่าโซลูชันปัจจุบัน 40 ถึง 70 เท่า

การเพิ่มขนาดนี้มีความหมายต่อบล็อกเชนอย่างไร ลายเซ็นที่ใหญ่ขึ้นหมายถึงค่าธรรมเนียมการทําธุรกรรมที่สูงขึ้นการแพร่กระจายบล็อกที่ช้าลงและต้นทุนการจัดเก็บโหนดที่สูงขึ้น สําหรับบล็อกเชนอย่าง Bitcoin ซึ่งเผชิญกับความท้าทายด้านความสามารถในการปรับขนาดอยู่แล้วการเปลี่ยนไปใช้ลายเซ็นหลังควอนตัมอาจทําให้ปัญหาแย่ลงได้หลายสิบเท่า นอกจากนี้ รูปแบบลายเซ็นหลังควอนตัมยังมีความท้าทายในการใช้การรักษาความปลอดภัยมากกว่าลายเซ็นที่ใช้เส้นโค้งวงรี และ ML-DSA มีความเสี่ยงด้านความปลอดภัยมากกว่าและตรรกะการสุ่มตัวอย่างการปฏิเสธที่ซับซ้อนซึ่งต้องมีการป้องกันช่องสัญญาณด้านข้าง

บทเรียนของประวัติศาสตร์เป็นคําเตือนที่ยิ่งใหญ่กว่า Rainbow (รูปแบบลายเซ็นที่ใช้ MQ) และ SIKE/SIDH (รูปแบบการเข้ารหัสตามความคล้ายคลึงกัน) เป็นผู้สมัครชั้นนําที่ถูกถอดรหัสด้วยคอมพิวเตอร์แบบดั้งเดิมในภายหลังในกระบวนการกําหนดมาตรฐานของ NIST สิ่งนี้แสดงให้เห็นถึงการทํางานปกติของวิทยาศาสตร์ แต่ยังชี้ให้เห็นว่าการกําหนดมาตรฐานและการปรับใช้ก่อนเวลาอันควรอาจย้อนกลับมาได้ ความท้าทายเฉพาะของบล็อกเชนยังทําให้การย้ายข้อมูลก่อนเวลาอันควรเป็นอันตรายอย่างยิ่ง เช่น ข้อกําหนดเฉพาะของบล็อกเชนสําหรับรูปแบบลายเซ็น โดยเฉพาะอย่างยิ่งความสามารถในการรวบรวมลายเซ็นจํานวนมากอย่างรวดเร็ว

a16z เจ็ดข้อเสนอแนะ: จัดการกับภัยคุกคามควอนตัมอย่างรอบคอบ

a16z เน้นย้ําเพิ่มเติมว่าเมื่อเทียบกับความเสี่ยงด้านคอมพิวเตอร์ควอนตัมที่ยังไม่เป็นรูปเป็นร่างความท้าทายที่เป็นจริงมากขึ้นที่เชนสาธารณะกระแสหลักเช่น Bitcoin และ Ethereum ต้องเผชิญในปัจจุบันมาจากความยากลําบากในการอัปเกรดการทํางานร่วมกันความซับซ้อนในการกํากับดูแลและช่องโหว่ของโค้ดเลเยอร์การใช้งาน แนะนําให้นักพัฒนาวางแผนเส้นทางที่ทนต่อควอนตัมล่วงหน้าตามกรอบเวลาการประเมินที่เหมาะสม แทนที่จะเร่งรีบผ่านการย้ายข้อมูล ในขณะเดียวกันก็ชี้ให้เห็นว่าในอนาคตอันใกล้ปัญหาด้านความปลอดภัยแบบดั้งเดิมเช่นข้อบกพร่องของโค้ดการโจมตีช่องสัญญาณด้านข้างและการฉีดข้อผิดพลาดยังคงคุ้มค่ากับการลงทุนลําดับความสําคัญมากกว่าการประมวลผลควอนตัมและควรมุ่งเน้นไปที่การเสริมสร้างการตรวจสอบการคลุมเครือและการตรวจสอบอย่างเป็นทางการ

a16z สรุปคําแนะนําหลักเจ็ดข้อ

ปรับใช้การเข้ารหัสแบบไฮบริดวันนี้: อย่างน้อยก็ในสถานการณ์ที่การรักษาความลับในระยะยาวเป็นสิ่งสําคัญ

ใช้ลายเซ็นตามแฮช: ในสถานการณ์ความถี่ต่ําที่มีขนาดที่ยอมรับได้ เช่น การอัปเดตซอฟต์แวร์

บล็อกเชนได้รับการวางแผนอย่างรอบคอบ: อย่ารีบย้าย แต่เริ่มวางแผนเส้นทางของคุณตอนนี้

ห่วงโซ่ความเป็นส่วนตัวต้องมาก่อน: หากประสิทธิภาพเป็นที่ยอมรับ ควรทําการเปลี่ยนแปลงโดยเร็วที่สุด

จัดลําดับความสําคัญของความปลอดภัย: การตรวจสอบและทดสอบเร่งด่วนกว่าการต่อต้านควอนตัม

ให้ทุนสนับสนุนการวิจัยและพัฒนาควอนตัม: ป้องกันไม่ให้คู่ต่อสู้ได้รับความสามารถก่อน

ดูประกาศอย่างมีเหตุผล: ถือว่ารายงานความคืบหน้าเป็นเหตุการณ์สําคัญแทนที่จะเป็นทริกเกอร์การดําเนินการ

นักพัฒนาบล็อกเชนควรทําตามตัวอย่างของชุมชน Web PKI โดยใช้แนวทางที่รอบคอบในการปรับใช้ลายเซ็นหลังควอนตัม สิ่งนี้ช่วยให้โครงร่างลายเซ็นหลังควอนตัมได้รับการปรับปรุงอย่างต่อเนื่องในแง่ของประสิทธิภาพและความปลอดภัย เป็นสิ่งสําคัญอย่างยิ่งสําหรับชุมชน Bitcoin ที่จะต้องเริ่มวางแผนในตอนนี้ เนื่องจากการกํากับดูแลที่ช้าและที่อยู่ที่มีมูลค่าสูง อาจถูกละทิ้ง และช่องโหว่ทางควอนตัมจํานวนมากก่อให้เกิดความท้าทายพิเศษ