Сеть Lightning Network не «беспомощно сломана»
Сообщение Уди Вертхаймера, опубликованное несколько недель назад, попало в заголовки крипто-СМИ с резким заявлением: сеть Lightning Network «беспомощно сломана» в постквантовом мире, и ее разработчики ничего не могут с этим поделать. Заголовок разлетелся быстро. Для компаний, которые создали реальную платежную инфраструктуру на Lightning или оценивают ее, последствия оказались тревожными.
Это заслуживает взвешенного ответа.
Вертхаймер — уважаемый разработчик биткойнов, и его основная обеспокоенность вполне обоснована: квантовые компьютеры, если они когда-нибудь станут достаточно мощными, станут настоящей долгосрочной проблемой для криптографических систем, от которых зависят биткойн и Lightning. Это правда, и сообщество разработчиков биткойнов уже серьезно над этим работает. Но представление Lightning как «беспомощно сломанного» скрывает больше, чем показывает, и предприятия, принимающие инфраструктурные решения, заслуживают более четкой картины.
В чем Вертхаймер был прав
Каналы Lightning требуют от участников делиться открытыми ключами со своим контрагентом при открытии платежного канала. В мире, где существуют криптографически значимые квантовые компьютеры (CRQC), злоумышленник, получивший эти открытые ключи, теоретически может использовать алгоритм Шора для получения соответствующего закрытого ключа и оттуда украсть средства.
Это настоящее структурное свойство работы Lightning. Что не хватает в заголовке
Угроза гораздо более конкретная и гораздо более условная, чем «ваш баланс Lightning может быть украден».
Во-первых, сами каналы защищены хешем, пока они открыты. В транзакциях финансирования используется P2WSH (Pay-to-Witness-Script-Hash), что означает, что необработанные открытые ключи внутри схемы с мультиподписью 2 из 2 скрыты в цепочке до тех пор, пока канал остается открытым. Платежи Lightning также основаны на хешировании и маршрутизируются через HTLC (хэшированные контракты временной блокировки), которые полагаются на раскрытие прообраза хэша, а не на раскрытие открытых ключей. Квантовый злоумышленник, пассивно наблюдающий за блокчейном, не может увидеть нужные ему ключи.
Реальное окно атаки гораздо уже: силовое закрытие. Когда канал закрывается и транзакция фиксации транслируется в цепочке, сценарий блокировки впервые становится публично видимым, включая local_delayedpubkey, стандартный открытый ключ эллиптической кривой. По задумке узел, который передает его, не может немедленно потребовать свои средства: сначала должен истечь срок действия CSV (CheckSequenceVerify), обычно 144 блока (около 24 часов).
В постквантовом сценарии злоумышленник, наблюдающий за мемпулом, может увидеть, что транзакция фиксации подтверждена, извлечь открытый ключ, запустить алгоритм Шора для получения закрытого ключа и попытаться потратить выходные данные до истечения срока блокировки. Выходные данные HTLC при принудительном закрытии создают дополнительные окна, некоторые длиной до 40 блоков, что составляет примерно шесть-семь часов.
Это реальная и специфическая уязвимость. Но это рассчитанная на время гонка против злоумышленника, который должен активно решить одну из самых сложных математических задач в течение фиксированного окна для каждого отдельного результата, который он хочет украсть. Это не пассивное и бесшумное опустошение всех кошельков Lightning одновременно.
Проверка реальности квантового оборудования
Вот та часть, которая редко попадает в заголовки газет: сегодня не существует криптографических квантовых компьютеров, и разрыв между тем, где мы находимся, и тем, где нам нужно было бы быть, огромен.
Чтобы взломать криптографию эллиптической кривой Биткойна, необходимо решить дискретный логарифм с помощью 256-битного ключа, примерно 78-значного числа, с использованием миллионов стабильных логических кубитов с исправлением ошибок, работающих в течение длительного периода. Наибольшее число, когда-либо учтенное с использованием алгоритма Шора на реальном квантовом оборудовании, составляет 21 (3 × 7), оно было достигнуто в 2012 году с использованием значительной помощи классической постобработки. Самый последний рекорд — это гибридный квантово-классический факторинг 90-битного числа RSA, впечатляющий прогресс, но все же примерно в 2⁸³ раза меньший, чем то, что на самом деле потребовалось бы, чтобы взломать Биткойн.
Квантовые исследования Google реальны и заслуживают внимания. Сроки, обсуждаемые серьезными исследователями, варьируются от оптимистических оценок на конец 2020-х годов до более консервативных прогнозов на 2030-е годы или далее. Ничто из этого не означает, что «ваш баланс Lightning сегодня под угрозой».
Сообщество разработчиков не сидит на месте
Формулировка Вертхаймера о том, что разработчики Lightning «беспомощны», также не соответствует тому, что происходит на самом деле. Только с декабря сообщество разработчиков биткойнов выдвинуло более пяти серьезных пост-квантовых предложений: SHRINCS (324-байтовые подписи на основе хэша с сохранением состояния), SHRIMPS (подписи размером 2,5 КБ на нескольких устройствах, что примерно в три раза меньше стандарта NIST), BIP-360, документ Blockstream о подписях на основе хэша, а также предложения по OP_SPHINCS, OP_XMSS и STARK-кодам операций в тапскрипт.
Правильная формулировка не в том, что Лайтнинг сломан и его невозможно починить. Дело в том, что Lightning, как и весь Биткойн, и как большая часть криптографической инфраструктуры Интернета, требует обновления базового уровня, чтобы стать квантовоустойчивым.