a16z｜Computación cuántica y blockchain: igualar la "urgencia" con amenazas reales

Chainfeeds Guía de lectura:

Este artículo aclara conceptos erróneos comunes sobre la amenaza cuántica, incluyendo su impacto en los algoritmos criptográficos, mecanismos de firma y pruebas de conocimiento cero (ZKP), y discute lo que esto significa para los sistemas blockchain.

Fuente del artículo:

a16z

Opinión:

a16z: El primer riesgo de seguridad real que trae la computación cuántica no es un "ataque futuro", sino el ataque Harvest Now, Decrypt Later (HNDL), es decir, los atacantes almacenan ahora las comunicaciones cifradas y esperan hasta tener capacidad cuántica en el futuro para descifrarlas. Esto significa que las comunicaciones altamente confidenciales (especialmente a nivel nacional), aunque hoy no puedan ser descifradas, podrían quedar expuestas en el futuro. Por lo tanto, para sistemas que requieren confidencialidad durante 10-50 años o más, es necesario empezar a desplegar nuevos cifrados resistentes a la computación cuántica ahora. Sin embargo, esta amenaza no se aplica a los sistemas de firmas digitales. Las firmas digitales no contienen "contenido privado que pueda ser descifrado retroactivamente", ni existe el problema de que "la verificación pasada pueda ser invalidada por la computación cuántica". Incluso si en el futuro la computación cuántica puede falsificar firmas, solo afectaría a transacciones y autorizaciones futuras, sin invalidar firmas pasadas ni revelar información oculta. Basado en esta lógica, los mecanismos de firma más comunes en blockchain (ECDSA, EdDSA) necesitarán actualizarse en el futuro, pero no es urgente migrar de inmediato. Además, el modelo de seguridad de zkSNARKs es aún más diferente al del cifrado. Incluso si los zkSNARKs actuales se basan en curvas elípticas, su propiedad de conocimiento cero sigue siendo segura frente a ataques cuánticos, ya que la prueba no contiene datos privados que puedan ser recuperados por algoritmos cuánticos. Por lo tanto, los zkSNARKs tampoco corren el riesgo de ser archivados y descifrados posteriormente. En otras palabras, las cadenas de privacidad tienen más urgencia, las cadenas públicas no tanto, las firmas deben actualizarse después del cifrado, y los SNARKs aún menos urgentes que las firmas: este es el verdadero orden de prioridad de la amenaza cuántica en el mundo blockchain. Aunque el ecosistema blockchain en general no necesita cambiar inmediatamente a firmas resistentes a la computación cuántica, bitcoin es una excepción. La razón no es que la amenaza cuántica sea inminente, sino la lentitud en la gobernanza, la complejidad histórica de la estructura de transacciones y la dependencia de la migración activa por parte de los usuarios. Primero, los cambios en el protocolo de bitcoin son extremadamente lentos, cualquier modificación relacionada con el consenso o la lógica de seguridad puede causar controversia, divisiones o incluso hard forks. En segundo lugar, la actualización de bitcoin no puede migrar automáticamente todos los activos, ya que las claves de firma son propiedad de los usuarios y el protocolo no puede forzar la actualización. Esto significa que las carteras inactivas, perdidas o sin gestión (se estima que contienen varios millones de BTC) quedarán permanentemente expuestas a futuros ataques cuánticos. Más problemático aún, bitcoin utilizó en sus inicios P2PK (estructura de dirección que expone directamente la clave pública), cuyas claves públicas ya son visibles en la cadena, y la computación cuántica puede utilizar el algoritmo de Shor para derivar directamente la clave privada de una clave pública visible. Esto es diferente del modelo de dirección moderno (hash que oculta la clave pública), donde la clave pública solo se expone al realizar una transacción, permitiendo competir contra el atacante en una ventana temporal. Por lo tanto, la migración de bitcoin no es solo un problema técnico, sino un proyecto a largo plazo que involucra riesgos legales (pérdida vs prueba de propiedad), cooperación social, tiempo de implementación y costos. Aunque la amenaza cuántica está lejana, bitcoin necesita empezar ahora a planificar una hoja de ruta de migración irreversible. Aunque la amenaza cuántica existe, una actualización apresurada y total podría traer riesgos reales aún mayores. Actualmente, muchos algoritmos resistentes a la computación cuántica presentan costes de rendimiento significativos, complejidad de implementación e incluso casos históricos de ser vulnerados por algoritmos clásicos (como Rainbow, SIKE). Por ejemplo, las firmas post-cuánticas principales actuales como ML-DSA y Falcon son decenas o incluso cientos de veces más grandes que las firmas actuales, y su implementación es susceptible a ataques de canal lateral, vulnerabilidades de coma flotante o errores de parámetros que pueden provocar la filtración de claves. Por lo tanto, blockchain no debe migrar ciegamente, sino adoptar una estrategia de arquitectura escalonada, multicanal y reemplazable: desplegar cifrado híbrido (post-quantum + clásico) para comunicaciones confidenciales a largo plazo; utilizar sistemas de firmas hash anticipadamente en escenarios donde no se requieran firmas frecuentes (firmware, actualizaciones de sistema); mantener la planificación y la investigación a nivel de cadena pública, siguiendo el ritmo prudente del PKI de Internet; y adoptar diseños de abstracción de cuentas o modulares, de modo que los sistemas de firma puedan actualizarse en el futuro sin comprometer la identidad y el historial de activos en la cadena. [El original está en inglés]