阵列10(2021)100065区块链技术对量子攻击Joseph J.卡洛斯·科尔尼佩雷斯-德尔加多*肯特大学计算机学院,坎特伯雷,肯特CT2 7NF,英国A R T I C L E I N F O关键词:网络安全区块链比特币以太坊量子计算后量子密码学A B S T R A C T量子计算对当今运行的许多密码协议构成了威胁据估计,到2035年,将有一台量子计算机能够破解重要的加密方案RSA 2048。区块链技术依赖于加密协议来实现其许多基本子例程。这些协议中的一些,但不是全部,对量子攻击开放在这里,我们分析了目前部署的主要基于区块链的加密货币,包括比特币、以太坊、莱特币和ZCash,并确定了它们面临的量子攻击风险。我们对所研究的加密货币及其底层区块链技术以及它们对量子攻击的相对脆弱性进行了比较分析1. 介绍区块链系统与其他密码系统不同,因为它们不仅仅是为了保护信息资产。区块链是一个分类账,因此它是资产。区块链通过使用加密技术来保护值得注意的是,非对称加密方案(如RSA或椭圆曲线(EC)加密)用于生成保护存储在区块链上的数据资产的私钥/公钥对。相关的安全性依赖于使用RSA时分解的困难,或EC的离散对数问题。在传统的银行系统中,公钥和私钥密码系统用于实施数据机密性、完整性和访问规则。然而,数据本身与密钥对解耦例如,如果加密密钥丢失或泄露,其有效性可以很容易地被中央机构撤销。可以发出新的密钥对并将其关联到数据。及时撤销密钥可确保数据的持续完整性和机密性如果数据泄露发生,则可以将服务器从网络中移除,和/或使用备份如果帐户受到损害,通常存在允许合法所有者恢复此帐户的机制相比之下,在区块链系统中,没有中央机构来管理用户根据定义,资源的所有者是持有私有加密密钥的人没有任何备份。区块链,一个始终在线的加密系统,被认为是资源,或者至少是对它的权威描述 如果密钥丢失,这总是意味着受保护的数据资产必然丢失。 如果密钥或存 储 密钥 的设备被泄露,或者漏洞可以被利用,那么数据资产就可能被窃取。简而言之,在区块链中,受保护的资源不能轻易地与正在使用的加密系统这使得区块链技术特别容易受到量子技术进步的影响。要完全准确地预测未来技术的进步和发展是不可能的也就是说,可以推断量子技术进步的当前和过去趋势所有基本组件,如量子位数,门的保真度,纠错和容错[1]。这样做,我们可以有把握地得出结论,到2035年,量子技术很可能已经足够先进,能够有效地打破RSA 2048。这一结论得到了公认的研究人员的赞同(见,例如参考文献[2,3]),以至于美国国家标准与技术研究所(NIST)已经开始标准化和部署量子安全公钥密码学的过程[4]。考虑到区块链中数据和密码系统之间的强耦合,这些密码系统对量子攻击的潜在脆弱性,在中期未来可能引入有能力的量子计算机-更不用说区块链所保护的资产通常具有很高的货币价值-更深入地了解其当前的脆弱性水平非常重要。在本文中,我们分析了一些最流行的区块链技术-比特币,以太坊,莱特币,门罗币和ZCash-特别关注它们对即将到来的量子技术攻击的脆弱性。我们对这些区块链技术进行了比较分析* 通讯作者。电子邮件地址:jjk30@kent.ac.uk(J. J. Kearney),c. kent.ac.uk(C.A. Perez-Delgado)。https://doi.org/10.1016/j.array.2021.100065接收日期:2020年11月4日;接收日期:2021年4月8日;接受日期:2021年4月12日2021年4月23日在线提供2590-0056/©2021作者。爱思唯尔公司出版这是CC BY许可下的开放获取文章(http://creativecommons.org/licenses/by/4.0/)。可在ScienceDirect上获得目录列表阵列期刊主页:www.elsevier.com/journals/array/2590-0056/open-access-journalJ·J·科尔尼,CA 佩雷斯-德尔加多阵列10(2021)1000652ð Þ ð ÞffiffiffiffiðÞ2. 背景我们首先提供一些相关的背景资料。2.1. 量子网络安全威胁量子计算机的工作原理是利用量子物理效应,通过创建和利用量子叠加来减少解决(某些)计算问题所需的时间。有两个主要的量子算法家族是相关的到目前的讨论:子组查找算法,和振幅放大。第一类算法最好的代表是Shor该算法既能分解大整数,又能在多项式 时 间 内 求 解 离 散 对 数 特别地 , 它 可 以 在时间上分 解 一 个 整 数 NOlog2NloglogNlogloglogN(或者更简洁地说是O log3N)和空间上分解OlogN。或者,作为输入大小的函数(以位为单位)n/4logN,Shor的算法在时间上运行O n 2 log n loglog n n/这是特别相关的,因为今天部署的大多数公钥密码系统-包括RSA,EC,ElGamal和Diffie-Hellman-依赖于这两个问题之一的计算难度 为了理解这个问题的严重性,可以以RSA 2048为例。在撰写本文时,这被认为是安全性的“黄金标准”。一个简单的计算表明,使用当前最好的技术,一台拥有5Ghz CPU的经典计算机大约需要137亿年才能破解RSA 2048密码一台运行在10Mhz的量子计算机将能够在大约42分钟内完成[1]然而,为了做到这一点,设备需要能够在量子存储器中保存一个足够大的状态,以(至少)表示问题的输入和输出。 如前所述,可以估计,到2035年,一台足以破解RSA-2048的量子计算机可能会准备就绪(参见参考文献)。[2,3])。第二类算法-振幅放大[6,7]-构造Grover这些算法允许在任意基数搜索空间中找到解N在时间上OpN。简而言之,这使得任何NP完全问题都可以比任何已知的经典算法都要快 虽然速度的提高比前面的情况要小得多,但这些算法的重要性在于它们的普遍适用性。简而言之,任何问题的解决方案都可以被有效地验证(即,NP中的任何问题)允许二次量子加速。振幅放大算法在这里特别相关,因为许多(如果不是全部的话)区块链技术的共识算法依赖于解决NP完全问题(更多细节见下文)。2.2. 区块链技术区块链和分布式账本技术(DLT)市场预计到2024年将达到75.9亿美元[9]。具有强大用例的行业包括金融[10],物流[11]和法律领域[12],许多大型全球公司都加入并整合了这项技术:例如IBM [13],JP摩根[14]和亚马逊[15],Facebook也宣布了自己的加密货币Libra [16]。该技术消除了对可信第三方的需求,以实现数据和资产的传输。区块链基于群体共识;交易的有效性由一组不需要相互信任的节点决定区块链由独立的节点管理,这些节点必须在使用新验证的交易更新分类账之前达成共识。 有许多机制可以使网络获得共识,其中最重要的是1我们通过计算RSA 2048公钥所需的量子门计数错误纠正的数量来计算。工作量证明(PoW)[17]。 这种共识机制和底层的加密技术赋予了区块链不可信任的能力。一般来说,区块链是通过按时间顺序连接区块来工作的这些区块是节点已经广播到网络的信息或加密货币的交易组。 这就形成了一系列不可变的信息,或者说是一条链。链中的每个区块将包含一组交易及其已向网络声明这通常是通过代币(加密货币)的转移这些代币像传统的法定货币一样拥有内在价值,而不是简单地保存有关价值的信息,比如银行账户余额。然而,与传统货币不同,它们不是由中央银行铸造的代币被分发给矿工,矿工是形成群体共识的节点,因此在网络上执行工作,作为对良好工作的奖励。这项工作主要包括在链中创建区块,以及验证交易是否格式良好,并且在网络上是否在数学上是公平的。 不创建或销毁令牌,并且不花费超过用户转移令牌所能负担的费用。正是通过这种群体共识,网络和网络的底层经济才能独立于任何中央权威而公平地区块链技术可以简化为两个组成部分,共识协议和交易机制。交易机制是参与者如何转移令牌和信息;这要求他们提供数字签名,以验证他们拥有用于创建数字签名的公钥和私钥。 共识机制决定了网络上的验证者或挖掘节点如何就下一次区块链更新达成一致,添加哪些交易,以及交易和区块在加密和结构上是否有效。PoW是区块链中最常用的共识机制。PoW要求矿工证明他们通过消耗计算资源来产生新块,从而付出了比特币采用了这种机制,迫使矿工在将交易编译成块的同时执行一些工作,即: 花费计算和财务资源来解决问题。 这激励矿工生成仅包含有效交易的有效区块。 这项工作也很容易通过连接到网络的任何节点进行验证。 这种消耗的能量保证了成本与创建块相关联。粗心或恶意的矿工花费能量来完成PoW算法,但已经创建了一个坏块(包括至少一个交易的块,如果包括在链中,将创建错误的状态,例如,超过用户余额的花费)将被网络中的其他节点发现。该区块将是无效的,其他矿工不会将其视为主链的一部分,这使得矿工的财务状况更糟,因为他们不会获得挖矿奖励。 这确保了被网络视为当前最长链(矿工将尝试将链中的下一个块添加到该块)的头部的块中包含的信息的有效性。这个PoW的难度决定了每个区块被添加到链中的速度:如果问题的难度增加,那么矿工将需要更长的时间来解决问题,因为它需要挖掘节点执行更多的工作[18]。与中央控制的网络和金融交易所相比,区块链网络内资产所有权的确定相对更为复杂某些代币的持有者必须能够证明他们有能力和权力使用代币。在一个集中的系统中,这是由一个中央机构控制在去中心化系统中,必须使用加密技术(如签名方案)来证明所有权。签名方案允许令牌的持有者对交易进行加密,并且该签名直接与用户的公钥/私钥对相关,用户的帐户是从该公钥/私钥对创建的有许多不同的签名方案,例如ElGamal [19],RSA [20]和Schnorr [21]。 椭圆曲线数字签名算法(ECDSA)是一种基于椭圆曲线上离散对数问题求解困难的数字签名方案。与其他方案相比,J·J·科尔尼,CA 佩雷斯-德尔加多阵列10(2021)1000653ECDSA允许使用更小的密钥实现相同级别的安全性-例如,256位,而RSA则为2048位[22]。签名和验证速度以及紧凑的签名大小对于区块链技术来说都是至关重要的。 这使得ECDSA特别适合在区块链中使用。然而,鉴于其安全性依赖于离散对数问题,加上其较小的密钥大小,ECDSA特别容易受到量子攻击[23]。3. 相关工作目前的文献涵盖了所有主要加密货币的安全分析[24 这包括这里涵盖的所有区块链加密货币,以及区块链基础设施的第三方元素,例如。加密货币钱包和客户端提供商[28,29]。 尽管如此,到目前为止,文献几乎完全集中在来自经典参与者的网络安全威胁上,几乎完全忽略了来自量子攻击的日益增长的威胁。在更广泛的密码学领域,人们对量子攻击和防御方法进行了全面的研究。 这个研究领域被称为后量子密码学,它太庞大了,无法在这里适当覆盖,但一些好的资源包括[30- 32 ]。然而,后量子区块链密码学领域似乎相当贫瘠。适用于区块链技术的量子优势的存在在此之前肯定已经注意到了,例如参考文献。[33这一认识导致了对区块链系统的研究,这些系统对量子攻击更具弹性(参见参考文献)。[35,36]),以及Corda [37],Bitcoin Post-Quantum [38]和Abelian [39]等区块链技术,这些技术正在寻求为区块链部门提供后量子基础设施。然而,这些项目要么处于早期开发阶段,要么在撰写本文时还没有被广泛使用。 目前还没有将这种类型的工作纳入现有的、广泛使用的加密货币的计划。据我们所知,在本文之前,对区块链进行的唯一后量子,深入,严格的分析是Aggarwal等人的工作。al. 关于比特币对量子攻击的安全性[2]。据我们所知,本文所介绍的工作是首次尝试更全面,更严格地研究加密货币对量子攻击的脆弱性。在本文中,我们考虑了五种主要的加密货币(及其一些变体):比特币,以太坊,莱特币,门罗币和ZCash。例如比特币,这些加密货币都没有(公开可用的)严格的后量子漏洞分析。然而,我们可以考虑关于经典网络安全攻击的科学文献的现状,为这里提出的工作提供一些进一步的背景。比特币是最古老和最流行的加密货币,已经从经典计算的角度进行了广泛的分析。比特币的分析涵盖了底层协议[40]以及保护交易的密码学[41]。此外,比特币是唯一一个对量子攻击进行分析的区块链[2]。莱特币作为比特币区块链的硬分叉,共享其大部分基础设施,虽然没有像比特币那样对该项目进行专门的研究从安全角度来看,对其协议结构的分析有很好的记录[42,43]。对Litecoin使用的Equihash PoW算法的安全性也进行了研究[44]。与莱特币不同,以太坊与比特币没有太多相似之处,因为它是自己独特的协议(并且不会从任何其他区块链硬分叉)。以太坊的大部分安全分析都基于其新颖的区块链功能:智能合约[45,46]。由于以太坊与其他协议的差异,也有大量的与本文分析的其他区块链相比,Monero和ZCash的用户群较小尽管如此,重要的由于这两种加密货币对机密交易的独特使用,已经对它们进行了安全分析[26,49大量的文献并不完全符合上述类别,因为它同时涵盖了各种区块链的安全性,参见例如。参考文献[52这种类型的分析是有意义的,因为区块链之间的相似性以及它们的加密协议结构的相似性一般来说,大多数区块链使用ECDSA(或该方案的某种变体)来提供加密签名,以证明区块链上资产的所有权,而PoW仍然是在区块链网络上生成共识的最流行机制。虽然从经典的角度来看,协议中的许多微小差异对网络的整体安全性影响不大,但这些差异可能会对网络上的量子攻击的严重程度产生重大影响,正如我们在随后的章节中所展示的那样4. 方法首先,我们选择了一组具有代表性的区块链技术。 在决定是否包含特定的区块链技术时,我们考虑了几个因素。第一个是受欢迎程度,通过使用Google趋势的流行兴趣和使用学术引用数量的学术兴趣来衡量我们还努力确保在技术和加密技术方面的多样性。 对于所选择的每一种区块链技术,我们都仔细研究了所使用的加密原语,以及它们对已知易受量子攻击的加密协议的依赖程度。这一分析与Aggarwal等人对比特币的原始分析一致。al. [2]的文件。 对于每种技术,我们考虑了两种主要的攻击媒介。首先,我们考虑使用量子振幅放大算法对区块链网络的共识机制进行攻击。然后,我们研究了Shor的基于算法的攻击区块链方案的交易签名方案。 当与区块链技术相关时,我们还研究了Aggarwal等人未涵盖的潜在攻击向量。al. .此外,还讨论了攻击的吸引力或盈利能力等考虑因素(如适用)(见表1)。完成上述分析后,我们以下列方式整理结果。 对于每一种选定的区块链技术,我们都展示了其对量子攻击的脆弱性并对其进行了排名。然后,我们描述了最具破坏性的攻击对网络的潜在财务或声誉损失在相关的情况下,还考虑是否可以删除或减轻这些漏洞然后,这些因素被组合成表2中的分数,代表区块链的整体脆弱性。这使我们能够根据区块链的相对脆弱性对区块链进行排名,从脆弱性评分较低的量子攻击潜力有限的区块链到脆弱性评分非常高的量子技术引入后完全无法使用的区块链。另一方面,易受量子攻击的区块链,但采用的技术可以劝阻攻击者或使攻击更加困难,将被给予中等评级。该信息总结见第4页的表2最后,我们对2035年可能推出的可以打破RSA 2028的量子计算机的估计是基于量子技术基本组成部分的当前和过去趋势的外推,例如量子位数,门的保真度,纠错和容错[1]。我们的估计是基于该领域各种专家的共识[2,3],并由官方国家政策[4]所反映。5. 结果在本节中,我们将讨论几种区块链技术,它们使用的加密方案,以及这些依赖关系如何被具有量子能力的攻击者利用。 虽然本节的工作几乎完全是原创的,但比特币部分的结果遵循Aggarwal et.”[2]这是他们第一次报道这些消息。J·J·科尔尼,CA 佩雷斯-德尔加多阵列10(2021)1000654表1关键区块链技术的漏洞:该表显示了关键加密货币对两种形式的量子攻击的漏洞。一个量子点表示区块链对量子攻击有很强的脆弱性:由于这种攻击的指数量子优势,一旦量子通信,表2区块链量子漏洞概述:此表显示了本文讨论的区块链漏洞的总结。该表从左到右显示了计算机具有足够的内存,这些可以用来有效地攻击有问题的区块链A区块链风险等级目标漏洞量子优势是存在的,这只是二次性的,因此量子技术要发展到成为威胁的程度还需要更长的时间。最后,加密货币意味着加密货币目前被认为是安全的,不受量子攻击。BitcoinHighTransactions宣布到网络向网络很容易受到量子攻击,特别是关于他们的签名方案。已识别的主要攻击形式是针对尚未合并到块中的向网络声明的交易。使用交易发送方声明的公钥,量子攻击者可以找到私钥。这将允许他们在任何他们想要的输出位置复制交易。5.1. 比特币比特币,首先由一个人或一个化名为中本聪的团体在一篇论文中描述[55],是最受欢迎和第一个真正的区块链技术。2008年的论文为分布式账本技术空间的发展铺平了道路作为一种点对点的支付方式,它消除了对中央机构的需求它以加密方案为基础,该加密方案允许网络中的对等方在不信任的环境中验证交易,并将这些交易存储在以太坊公钥的高度重用以太坊是在一个基于帐户的系统,在该系统中,公钥的重用是常见的。我们发现的攻击机制可以针对之前向网络申报交易的账户,同时仍然在账户中保留一些以太币。通过使用Shor算法求解公钥以获得私钥,量子攻击者可以通过生成有效的交易签名来伪造以用户名义进行的交易。加密安全且不可变的账本 这些加密技术在经典计算机上是安全的,但是,它们可以被足够强大的量子计算机利用。比特币使用Hashcash作为其PoW机制。Hashcash [56]最初被设计为电子邮件系统的拒绝服务对策这是通过要求潜在的发送者在能够发送一封电子邮件之前花费时间解决一个计算困难的问题来完成的。Litecoin高交易宣布到网络由于Litecoin与比特币共享其大部分技术结构,因此它同样容易受到量子攻击。比特币中最具破坏性的攻击技术是针对尚未添加到区块链中的网络交易。电子邮件. 正如在比特币中实现的那样,Hashcash需要预期的矿工计算头的SHA-256散列值加上一些随机数,使得散列值小于预定数。这个数字是比特币网络中的一个可调参数数字越小,问题的计算难度越高使用Hashcash PoW机制有两个净效应。第一,在当前的高难度参数下,矿工被激励使用专业硬件,如ASIC矿工,和/或加入矿池,在矿池中,工作和奖励在不同的用户之间分配。更比特币黄金BitcoinCore比特币现金向网络申报的高交易向网络申报的高交易向网络申报的高交易由于与比特币加密元素的相似性,Bitcoin Gold具有相同的漏洞。由于与比特币加密元素的相似性,Bitcoin Core具有相同的漏洞。由于与比特币加密元素的相似性,Bitcoin Cash具有相同的漏洞。重要的是,PoW减少了将坏块添加到网络. 由于纠错,这些区块很有可能被网络拒绝,从而确保潜在矿工的成本非常高。比特币中的交易机制使用ECDSA签名方案来证明令牌的权威性和所有权,以及无可辩驳的证据,证明令牌已经被花费,并且在交易签名后交易没有被干预比特币ECDSA采用的椭圆曲线是secp 256-k1。的MoneroMedium混淆交易和向网络Monero EdDSA中使用的签名方案很容易受到量子攻击,因为它依赖于离散对数问题。然而,门罗币通过其用户的匿名性以及交易的金额获得了一些对量子攻击的弹性。虽然门罗币中使用的防弹协议可以实现这种交易(接下页)J·J·科尔尼,CA 佩雷斯-德尔加多阵列10(2021)1000655ð Þð Þð Þ¼ ð ð Þ þ·Þ表2(续)区块链风险等级目标漏洞然而,由于交易量很容易受到量子攻击,攻击者将依赖运气来选择具有重大价值的交易。此外,由于最近在Monero上实施的共识协议的变化,其中引入了RandomX,它也将进一步抵抗试图利用Grover算法执行51%攻击的量子攻击签名 在此过程中,用户还必须声明与其帐户相关联的公钥,以便进行验证。交易的每一次输入都需要这个过程签名,否则交易将是无效的,不会被添加到区块链中的一个区块中。比特币及其底层加密方案容易受到可能的量子攻击。一个这样的攻击使用Grover攻击者的目标是生成与网络其余部分总和一样多的PoW-有效地迫使攻击者对任何想要的块达成共识(这被称为51%攻击)。目前的ASIC矿工能够执行大约18 TH/s。这一点,再加上比特币网络目前的规模,使得基于量子的51%攻击暂时不可行。我们自己的计算基于当前的ASIC技术,以及其他的BEAMMedium混淆交易和向网络GrinMedium混淆交易和向网络BEAM的签名方案以及混淆技术Mimblewimble容易受到量子攻击。量子攻击既可以拦截广播到网络的交易,也可以从隐藏的交易中删除匿名性。然而,与门罗币一样,隐藏交易和账户值消除了量子攻击者的一些动机。Grin量子攻击既可以拦截广播到网络的交易,也可以从隐藏的交易中删除匿名性。然而,与门罗币一样,隐藏交易和账户值消除了量子攻击者的一些动机。Thors [2,3]认为这种攻击最早可能在2028年发生然而,ASIC技术的进步可能会将这一日期推得更远。然而,对比特币区块链最具破坏性的攻击是针对其ECDSA方案;更具体地说,是针对已经向网络声明但尚未添加到区块链的交易椭圆曲线离散对数问题的难度决定了椭圆曲线离散对数问题的难度。 如前一节所述,这个问题可以在足够大的量子计算机上在多项式时间O n3内解决,而在经典计算机上,它可以在指数时间近似O 2 n内解决。在比特币网络上,不仅可以劫持个人交易,还必须考虑到量子攻击也可以控制用户的整个比特币钱包。如果在公钥成为公共知识之后使用相同的公钥/私钥对来持有用户的比特币,则由密钥对保护的所有资金都将是脆弱的然而,还必须考虑到比特币钱包往往不会重复使用相同的密钥对。比特币交易发送一个完整的UTXO(可能是多个,取决于用户是否拥有一个大于交易金额 在最简单的比特币交易形式中,一个UTXO将被用作输入,然后将有两个输出。创建一个新的UTXO,其金额将被转移到相关帐户。如果输入中的UTXO大于UTXOZCash非常高公开参数在Zk-SNARK仪式ZCash非常容易受到针对其一致性算法和签名方案的量子攻击。然而,针对ZCash发现的最具破坏性的攻击是其零知识证明协议ZK-SNARKS的漏洞,因为这种混淆方法需要可信设置,因此需要产生公共参数,即公钥。如果量子攻击者获得了这个公共参数的私钥,他们将能够随意生成令牌在输出中,创建第二个UTXO作为更改,并将其返回给原始用户。更改发送到的帐户通常由新生成的公钥/私钥对控制这意味着,在比特币网络上,旨在访问整个用户钱包的攻击不太可能通过每次交易后更改公钥/私钥对的常见安全机制来实现有效的量子攻击将包括在向网络广播签名的交易后公开公钥时找到私钥 这将允许攻击者使用私钥对新事务进行签名,从而冒充密钥所有者。只要量子攻击者能够确保他们的交易在真正的交易之前被放置在区块链上,他们就可以“窃取”交易,并将新创建的未使用交易输出(UTXO)导入他们选择的任何账户。很容易计算-比特币中的签名由两个值S和R组成[57]。R是椭圆曲线上一点的x坐标2该点是临时公钥/私钥对的公钥,由用户在签署交易的过程中创建S,则签名的另一半可以如下创建:S k-1SHA256m dA R modp。其中k是临时私钥,SHA 256 m是交易消息的散列,dA是签名私钥,p是椭圆域的素数阶。给定签名的S和R,签名可以被任何用户验证,因为K,即临时公钥,可以从以下两部分中找到:[2]椭圆曲线密码学的进一步描述可以在这里找到[58]。最近,一台拥有485,550个量子比特并以10 GHz时钟速度运行的量子计算机可以在30分钟内使用Shor算法解决这个问题与此同时,当前等待被整合到比特币区块链中的块中的交易池中的交易的平均等待时间经常超过30分钟[59]。这使得这种攻击非常可行。在比特币实现的早期,比特币用户可以直接向他们的公钥(P2PK)支付,而不是公钥的散列,这通常被称为用户的支付地址。这对旧的比特币账户有潜在的影响。其中一个例子是Hal Finey和Satoshi Nakamoto之间的第一笔比特币交易,位于比特币区块链的第170块。这种形式的J·J·科尔尼,CA 佩雷斯-德尔加多阵列10(2021)1000656ð Þffiffiffið Þ232r交易在早期的coinbase交易中很常见,用于奖励比特币矿工。 这意味着一些原始的(通常是相当复杂的)账户可能在比特币区块链的早期阶段就泄露了他们的公钥。因此,这些账户非常容易受到使用Shor算法的量子攻击。与前面描述的对ECDSA签名方案的攻击不同,执行这种类型的攻击没有时间限制。一旦存在足够大的量子计算机(估计到2035年),量子攻击者就可以轻松计算这些账户的私钥,以这些用户的身份签署新的量子攻击的威胁引发了一个名为Bitcoin Post-Quantum的项目[38]。 该项目从比特币网络中硬分叉,区块高度为555,000(2018年12月22日开采)。 该项目使用量子安全数字签名方案[60],并利用生日paradox实现工作量证明机制,如第5.5节中讨论的Z-Cash。然而,因为这个项目是一个分叉,它没有为原始比特币链提供实际的安全利益。因此,本节的讨论仍然非常相关。总之,比特币将非常容易受到使用Shor算法的量子攻击 最容易受到攻击的漏洞将是已经向网络声明但尚未添加到块中的交易。最脆弱的账户是那些在比特币网络早期泄露公钥的账户最后,比特币然而,由于Grover的算法只提供了二次优势,经典计算机技术的进步可能会使比特币免受这种类型的攻击,而不是Shor的基于算法的攻击。5.2. 以太坊以太坊被认为是第二代区块链技术。它有一个相关的加密货币,以太币,并引入了智能合约和分布式应用程序(dApps)的使用。以太坊使用基于账户的系统,每笔交易都会将以太币扣除或添加到用户 智能合约允许区块链用户创建计算绑定合约,这意味着它允许创建依赖于某些可跟踪目标的交易。以太坊目前正在从工作量证明(PoW)共识机制过渡到权益证明(PoS)机制。EthHash是一种PoW机制,在撰写本文时用于以太坊的当前实现。单轮SHA-3(Shakecak-265)哈希用于创建PoW问题,与比特币类似然后,挖掘节点竞争生成解决PoW问题的哈希。第二个是目前尚未实现的PoS机制,称为Casper [61]。 如前所述,PoW用于提供计算任务分配问题,以确保矿工产生的块是有效的。然而,PoS阻止了坏矿工试图颠覆系统,因为如果他们表现不佳,他们可能会失去以太币。系统的安全性依赖于这样一个事实,即赌注越大,矿工将获得越多的投票权,通过赌注更多的硬币,用户更有可能诚实行事,因为如果被发现,他们会失去更多进一步的安全性来自用户必须拥有大量以太币才能执行攻击的抑制因素,成功的攻击将不可避免地导致加密货币的价格下降,从而对以太币富有的用户产生以太坊,像比特币一样,使用基于secp 256-k1椭圆曲线的ECDSA方案的变体[62,63]。 在以太坊交易中,没有“from”字段,这意味着与账户相关联的主公钥K没有显式显示。然而,它可以通过一个称为公钥恢复的过程来检索,其中用户可以从另一个用户的交易签名中重建公钥类似于比特币的共识机制,量子攻击者可以利用Grover的算法来攻击EthHash。 我们可以计算量子计算机上可能对以太坊的哈希率,如下首先,我们计算以太坊PoW的难度D:D^Hr×B,其中H是网络哈希率,B是区块链的区块时间。在以太坊中,B目前是16 s,而Hr目前是18×1013 H/s [64].因此,目前的困难值为670,552。量子计算机的等效哈希率是hq<$40: 04×spD,其中s是计算机的时钟速度即使ASIC没有任何进展,根据这项技术,量子攻击者需要大约5 THz的时钟速度,才能尝试对以太坊的共识机制进行51%以太坊签名方案对于使用Shor算法的攻击是高度不安全的这可以求解多项式时间(O n3)使用肖尔以太坊确实有一个小优势,那就是与比特币相比,它的交易处理时间要短得然而,这有一个主要的缺点:以太坊使用基于账户的交易。 每一笔交易都需要使用账户的私钥进行签名,并可以使用公钥进行验证。一旦用户有一个传出的交易,帐户的公钥可供任何人使用因此,量子攻击者可以请求公钥,使用Shor算法计算私钥,从而接管整个帐户。Etherscan等工具的存在加剧了这一漏洞[65]这使得攻击者能够搜索并锁定持有大量以太币的账户这种攻击将具有严重的破坏性,因为与针对单个交易相比,潜在的奖励(对于攻击者)和损失(对于受害者)将显着更高,因为量子攻击者将针对整个帐户的令牌余额。总之,虽然以太坊与比特币相比具有更短的区块时间,但由于其基于账户的交易系统,它更容易受到量子攻击。 虽然其他一些区块链允许用户在多个交易中重复使用相同的公钥,但这种情况并不常见,并且用户被劝阻不要这样做。 在以太坊中,所有传出的交易都使用与账户相关联的单个私钥/公钥对进行签名。这使得整个账户余额在一笔交易后变得脆弱5.3. 莱特币莱特币是比特币区块链的源代码分支 这意味着它与比特币有许多相似之处。然而,Litecoin也有显着的差异:这些包括区块时间以及PoW机制[66]。它与比特币作为电子支付方式的用例非常相似然而,由于更短的区块时间,它的目标是比比特币更快地处理交易。莱特币使用与比特币不同的PoW方案,称为Scrypt。它的目标是消耗计算资源,以解决一个问题,即赋予用户在链上创建下一个区块的权限Scrypt被设计为使用更少的哈希能力;这可以在与比特币的比较中看出,比特币的哈希率约为46,000,000 TH/s [67],而莱特币为298 TH/s[68]。Scrypt是由C创建的密码推导函数的简化版本。Percival [69],最初用于Tarsnap在线备份系统。 Scrypt与其他PoW方案的不同之处在于,它不是高度密集的处理能力,而是高度密集地使用挖掘节点上的RAM。最初选择这一点是为了减少与区块链技术相比使用ASIC矿工的优势,从而减少ASIC矿工的流行然而,很快就证明了Scrypt不具有ASIC抗性[70]。Litecoin使用ECDSA方案来签署交易。与比特币类似,它使用secp-256 k1椭圆曲线实现其签名方案。像其他PoW系统一样,Scrypt可能容易受到量子攻击。J·J·科尔尼,CA 佩雷斯-德尔加多阵列10(2021)1000657ð Þ232ðÞ¼ðÞð Þ¼¼¼ð þðÞÞ·ð Þ¼使用Grover算法的51%攻击。莱特币目前的哈希率为320 TH/s [ 71 ]。莱特币的难度可以计算为:D 11175870。因此,量子计算机必须以2.4Thz的时钟速度运行,才能以当前的哈希率尝试这种攻击。这一点,加上未来ASIC技术的改进,使得这种类型的攻击在可预见的未来不太可能发生。由于使用ECDSA,莱特币在使用Shor算法对等待被合并到块中的交易执行时,容易受到多项式时间为O n3的这可能是量子攻击者最有利可图的攻击与比特币相比,Litecoin具有更短的区块时间和更快的吞吐量的优势因此,与比特币相比,莱特币对量子攻击的抵抗力略有提高。然而,这种优势是最小的:给定一台能够攻击比特币的量子计算机,其时钟速度的轻微增加将足以使其能够攻击莱特币。虽然本节主要关注莱特币,但类似的分析适用于更多这些范围从比特币区块链的直接硬分叉(目前有45个活跃的项目),到比特币cashcartebcash,比特币黄金[72]和比特币核心[73],再到莱特币等 虽然详细讨论每一个“山寨币”必然超出了本文的范围,但本节旨在强调所有基于ECDSA的区块链(包括几乎所有比特币分叉)对使用Shor算法的量子攻击的脆弱性。总之,由于其与比特币的相似性,莱特币对量子攻击表现出相同的漏洞。此外,莱特币可以用来展示基于比特币的区块链技术所面临的严重漏洞。许多这些山寨币的交易处理时间比比特币要短得多 这使得这些区块链对基于Shor算法的攻击具有更高的弹性-尽管它们最终都很容易受到此类攻击。另一方面,考虑到目前的哈希率,以及ASIC技术的可能改进,在可预见的未来,Litecoin可能不会受到Grover然而,这种哈希率的下降-例如,由于完成PoW的区块奖励减少,就像之前发生的那样[74]-可能会使网络更加脆弱。5.4. MoneroMonero是一个专注于用户隐私的区块链。大多数区块链通过使用假名来倡导匿名然而,假名身份并不向用户提供匿名性,因为其他用户知道他们的假名通过使用链分析技术,可以发现谁发送和接收了交易,此外还可以发现发送或接收的令牌数量或账户余额。门罗币通过使用进一步的加密技术来混淆用户的身份和交易的价值。 它 通过 使 用PedersenCommitments [75]和Range Proofs [76]为其用户提供真正的匿名性。Monero 使 用 抗 ASIC 的 CryptoNight v8 PoW 方 案 , 该 方 案 源 自CryptoNote的平等主义工作证明[77]。该方案依赖于以随机间隔访问慢速存储器Crypto-Night特别需要大量内存,每个实例需要2 MbEdDSA被用作Monero中的签名算法EdDSA使用扭曲的Edwards曲线Ed25519实现。 该签名方案是ECDSA的一个变体,仍然依赖于离散对数问题的困难性。使用keccak-256(SHA-3)散列函数H。使用EdDSA签署交易的签名由两部分R和s组成[78]。首先,用户必须计算他们的私钥k的哈希值,以便创建h k。然后,他们计算rHh k;m,其中m是交易的消息。r则与该生成器的生成器相关联椭圆曲线G形成R rG。然后,第二签名分量s被计算为RHR;K;mk,其中K是用户的公钥。这个签名方案通过使用环签名在Monero中扩展。门罗币的另一个感兴趣的领域是它如何获得交易匿名性。它通过使用三种技术协同工作来实现:隐形地址,环签名和环机密交易。简单来说,隐形地址和环签名的工作方式如下对于每笔交易,Monero还会向交易广播几个只有交易的发起者和接收者才知道哪一个是正确的交易承诺,因为令牌的发起者和接收者共享一个密钥。此外,如果事务中有多个接收者,则只有发送者知道整个事务。该过程由用户包括使用来自他们的钱包的UTXO(余额)的一个输入,以及用额外随机选择的花费输出填充到交易直到环大小。例如,如果环的大小是5,那么另外四个随机选择的花费输出将作为输入添加到交易中。哪一个输入是正确的(由用户签名)将不会推断给其他用户[79]。门罗币网络需要一种方法来确保上述交易正确平衡,换句话说,进入交易的货币等于流出的货币。门罗币目前的机制被称为防弹机制[ 80 ]。Bulletproof是一种零知识证明协议,可以保证交易的平衡它比以前的零知识范围证明更有效,无论是在计算方面还是在区块链上记录这些证明所需的空间量方面Monero最近将其RandomX是一个PoW系统,基于在一个特殊的任务集上执行随机程序,该任务集由整数数学、浮点数学和分支组成。 这个PoW系统的开发旨在最大限度地减少PoW中的GPU优势。然而,这也可能间接地导致更多的量子弹性。在撰写本文时,还没有已知的用于获得Ran- domX的量子优势的方法Monero然而,Monero攻击者不知道目标交易中转移的金额。因此,如果没有事先的攻击,价值交易是不可观察的。此外,使用RingCT意味着量子攻击者需要解决多个Pedersen承诺,以便找到交易中使用的正确公钥这使得门罗币比其他区块链网络更安全,或者至少对量子攻击者防弹系统特别容易受到量子攻击。 他们依赖于离散对数问题的硬度,所以同样可以解决在多项式时间为O n3。安全性依赖于这样一个事实,即没有人知道任何xG H和没有xH G代表佩德森的承诺。量子攻击者可以违反承诺,泄露其中包含这将允许攻击者揭示所有以前被混淆的交易,因为区块链的关键特征之一是它是不可变的。虽然这没有任何经
我的内容管理
展开
