El principio de gravedad cuántica

Por JP Aumasson

Los inversores en criptomonedas están inquietos. Las
computadoras cuánticas (CC)
podrían, en teoría, deducir las claves privadas a partir de las claves públicas de los usuarios de Bitcoin, firmando transacciones en su nombre y enviando bitcoins a otras direcciones.

Todo esto, siempre que las empresas de CC consigan escalar de mil a un millón de qubits.
Desde hace una década se predice que esto podría lograrlo en un plazo de cinco a diez años, pero soy escéptico de que llegue a ver una CC así en mi vida. A mis 43 años, no dependo de capital de riesgo ni subvenciones de investigación.

No importa cuándo surjan estas CC, ya sea la próxima semana o en mil años, ninguna CC será utilizada para robar bitcoins. A este fenómeno lo llamo el «principio de gravedad cuántica».

Analicemos los supuestos que sustentan esta afirmación. Esta lógica se aplica a todas las criptomonedas, salvo a aquellas que
ya utilizan firmas post-cuánticas (como Algorand) o
las pruebas que Ethereum ha estado llevando a cabo, como ETHDILITHIUM.

Bitcoin «vulnerable»

El protocolo criptográfico SHA-256, empleado para la seguridad de la red Bitcoin, es prácticamente irrompible para las computadoras actuales. Sin embargo, los
expertos apuntan
que, en diez años, la computación cuántica podría descifrar los protocolos existentes.

Aproximadamente cuatro millones de bitcoins, lo que representa un 25% del total, serían susceptibles a un ataque con una computadora cuántica, dado que sus propietarios emplean claves públicas sin cifrar o reutilizan direcciones BTC. La computadora cuántica tendría que ser lo suficientemente potente para descifrar la clave privada a partir de la dirección pública sin cifrar. Si se logra descifrar la clave privada, el atacante podría sustraer los fondos directamente del monedero del usuario.

No obstante, los expertos creen que la potencia de cálculo requerida para ejecutar estos ataques sería millones de veces mayor que la de las computadoras cuánticas actuales, que actualmente tienen menos de 100 qubits. Sin embargo, algunos investigadores han sugerido que podrían alcanzarse hasta 10 millones de qubits en los próximos 10 años.

Si Bitcoin adoptara firmas post-cuánticas para proteger direcciones antiguas, los sistemas cuánticos no podrían realizar un ataque exitoso. Por lo tanto, asumiremos que
Bitcoin sigue utilizando, por ejemplo,
ECDSA/Schnorr-Bitcoin
y
Taproot, no Bitcoin post-cuántico.

Firmas Schnorr

Las
firmas Schnorr
son un tipo de esquema diferente que opera de manera análoga al Elliptic Curve Digital Signature Algorithm que actualmente usamos, pero ofrecen notables ventajas. Las firmas Schnorr son, de hecho, anteriores al ECDSA, lo que ha suscitado la cuestión de por qué no se integraron en Bitcoin desde el principio. Una posible razón es que
Claus P. Schnorr
–el inventor del esquema– las patentó. Las patentes expiraron a principios de 2008, escasos meses antes de la publicación del whitepaper de Bitcoin; sin embargo, el esquema no había sido estandarizado de manera generalizada. Por ello, es plausible que Satoshi Nakamoto optara por el ECDSA, más ampliamente aceptado y de código abierto.

¿Cuándo se implementaron las firmas Schnorr en Bitcoin?

El 14 de noviembre de 2021, en el bloque 709.632, se activó la actualización
soft fork Taproot, que introdujo las
firmas Schnorr mediante BIP-340. Aunque la adopción de las firmas Schnorr ha sido gradual, se espera que su aceptación aumente a medida que más desarrolladores y usuarios reconozcan sus potenciales beneficios.

Seguridad frente a computadoras cuánticas con Taproot

Tim Ruffing publicó
un
artículo en el que investiga la seguridad de los compromisos de Taproot frente a la manipulación por parte de las CC. Analiza si estos compromisos mantendrían sus propiedades de vinculación y ocultación frente a computadoras clásicas. La conclusión es:

Un atacante cuántico necesitaría realizar al menos 2^81 evaluaciones de SHA256 para generar una salida de Taproot y abrirla a una raíz Merkle imprevista con una probabilidad de 1/2. Si el atacante solo tiene acceso a máquinas cuánticas cuya secuencia más larga de cálculos SHA256 está limitada a 2^20, necesitaría al menos 2^92 de estas máquinas para obtener una probabilidad de éxito de 1/2.

Si existiera un compromiso de Taproot frente a la manipulación por computadoras cuánticas, podríamos añadir resistencia cuántica a Bitcoin incorporando opcodes de verificación de firma resistentes a los ataques cuánticos. Una actualización (julio 2025) de
BIP360
pay-to-quantum-resistant realiza precisamente esta modificación.

Progresos públicos en sistemas cuánticos

No pasaremos de mil a un millón de qubits en un corto período. El progreso se traducirá en señales visibles como más qubits físicos y lógicos, tiempos de coherencia más prolongados, tasas de error reducidas y ejemplos de tolerancia a fallos, entre otros.

Si nos acercamos a un sistema cuántico capaz de atacar Bitcoin, los mercados reaccionarán de inmediato y verán un desplome. El valor de Bitcoin podría caer drásticamente, especialmente si se confirma la existencia de dicho sistema cuántico. No tiene sentido robar algo que no tenga valor.

Con avances en CC privada

¿Qué pasaría si algún gobierno como el de China, Estados Unidos, Rusia, Suiza o Nepal estuviera desarrollando un centro de datos en secreto?

En tal caso, este gobierno tendría varias opciones:

  1. Usar el centro de datos para descifrar información de inteligencia cifrada y comprometer sistemas extranjeros, manteniendo dicha capacidad en secreto.
  2. Robar bitcoins, logrando millones, pero… Esto revelaría la existencia del centro de datos, ya que las grandes transferencias y conversiones sospechosas de bitcoins a moneda fiduciaria no pasarían desapercibidas.
  3. Hacer que el precio de bitcoin colapse, reduciendo así las ganancias potenciales.

Los gobiernos suelen cometer errores, pero es improbable que un servicio de inteligencia opte por la segunda opción. Seguramente elegirían la primera. La ventaja estratégica supera con creces el beneficio monetario.

¿Pero qué pasaría si solo se enfocaran en cuentas abandonadas y mover pequeñas cantidades para no llamar la atención?

La relación costo-beneficio sería aún menos favorable. Las ganancias serían ínfimas (en comparación con el presupuesto del gobierno) y el riesgo de detección sería alto.

Supongamos que el atacante es racional y solo está motivado por el dinero y la inteligencia. ¿Qué ocurre si el adversario es un villano de cómic que desea ver el mundo arder y causar el colapso de las criptomonedas?

No descarto esta posibilidad. Sin embargo, un individuo así no robaría bitcoins (de forma rentable). Muchas personas perderían «valor» debido a la caída de precios, pero sus criptomonedas no serían robadas.

¿Y qué pasa si usas multifirmas, MPC (Multi-Party Computation) o HSM (Hardware Security Module)?

No cambia nada. Las claves públicas son, por naturaleza, públicas.

Sin avances en CC

Esta es una amenaza mayor. No hay avances significativos en CC, pero hay operaciones psicológicas en marcha:

  • Vender Bitcoin en corto.
  • Fabricar «pruebas» de la existencia de una CC: documentos falsificados, rumores falsos, sobornos a informantes, influencers pagados, vídeos deepfake, un podcast de Joe Rogan.
  • Observar cómo se desploman los mercados y beneficiarse de ello.

En cualquier caso, este escenario es mucho más probable que el robo de tus criptomonedas por una Computadora Cuántica actual.

Fuente:
JP Aumasson


Con Información de blog.segu-info.com.ar