a16z｜Computación cuántica y blockchain: igualando la “urgencia” con amenazas reales

Resumen de Chainfeeds:

Este artículo aclara conceptos erróneos comunes sobre las amenazas cuánticas, incluyendo su impacto en algoritmos criptográficos, mecanismos de firma y pruebas de conocimiento cero (ZKP), y discute lo que esto significa para los sistemas blockchain.

Fuente:

a16z

Opinión:

a16z: El primer riesgo real de seguridad que trae la computación cuántica no es un "ataque futuro", sino el ataque Harvest Now, Decrypt Later (HNDL), es decir, el atacante almacena comunicaciones cifradas ahora y espera a tener capacidad cuántica en el futuro para descifrarlas. Esto significa que las comunicaciones altamente confidenciales (especialmente a nivel estatal) podrían quedar expuestas en el futuro, aunque hoy no puedan ser descifradas. Por lo tanto, para sistemas que requieren confidencialidad por más de 10-50 años, es necesario empezar a implementar nuevos cifrados resistentes a la computación cuántica desde ahora. Sin embargo, esta amenaza no aplica a los sistemas de firmas digitales. Las firmas digitales no contienen "contenido privado que pueda ser descifrado retroactivamente", ni existe el problema de que "la verificación pasada pueda ser invalidada por la computación cuántica". Incluso si en el futuro la computación cuántica puede falsificar firmas, solo afectaría transacciones y autorizaciones futuras, sin invalidar firmas pasadas ni revelar información oculta. Basado en esta lógica, los mecanismos de firma más comunes en blockchain (ECDSA, EdDSA) necesitarán una actualización en el futuro, pero no es urgente migrar de inmediato. Además, el modelo de seguridad de los zkSNARKs es aún más diferente al cifrado. Aunque los zkSNARKs actuales se basan en curvas elípticas, su propiedad de conocimiento cero sigue siendo segura ante ataques cuánticos, ya que la prueba no contiene datos privados que puedan ser recuperados por algoritmos cuánticos. Por lo tanto, los zkSNARKs tampoco enfrentan el riesgo de ser archivados para descifrado futuro. En otras palabras, las cadenas de privacidad son más urgentes, las cadenas públicas no tanto, las firmas deben actualizarse después del cifrado, y los SNARKs después de las firmas: este es el verdadero orden de prioridad de las amenazas cuánticas en el mundo blockchain. Aunque el ecosistema blockchain en general no necesita cambiar de inmediato a firmas resistentes a la computación cuántica, Bitcoin es la excepción. No porque la amenaza cuántica sea inminente, sino por su gobernanza lenta, la complejidad histórica de su estructura de transacciones y la dependencia de la migración activa por parte de los usuarios. Primero, los cambios en el protocolo de Bitcoin son extremadamente lentos; cualquier modificación en la lógica de consenso o seguridad puede causar controversias, divisiones o incluso hard forks. Segundo, la actualización de Bitcoin no puede migrar automáticamente todos los activos, ya que las claves de firma las poseen los usuarios y el protocolo no puede forzar la actualización. Esto significa que las billeteras inactivas, perdidas o sin gestión (se estima que contienen millones de BTC) quedarán expuestas permanentemente a ataques cuánticos futuros. Más complicado aún, Bitcoin usó en sus inicios P2PK (estructura de dirección con clave pública expuesta), por lo que las claves públicas ya son visibles en la cadena, y la computación cuántica podría usar el algoritmo de Shor para derivar la clave privada directamente de la clave pública visible. Esto es diferente al modelo de direcciones moderno (hash que oculta la clave pública), donde la clave pública solo se expone al enviar una transacción, permitiendo una carrera contra el atacante en una ventana de tiempo. Por lo tanto, la migración de Bitcoin no es solo un problema técnico, sino un proyecto a largo plazo que involucra riesgos legales (pérdida vs prueba de propiedad), colaboración social, tiempo de implementación y costos. Aunque la amenaza cuántica esté lejana, Bitcoin necesita empezar ahora a definir una hoja de ruta de migración irreversible. Si bien la amenaza cuántica es real, una actualización apresurada y total podría traer riesgos aún mayores en la práctica. Actualmente, muchos algoritmos resistentes a la computación cuántica tienen costos de rendimiento significativos, complejidad de implementación e incluso antecedentes de haber sido vulnerados por algoritmos clásicos (como Rainbow, SIKE). Por ejemplo, las firmas post-cuánticas más populares como ML-DSA y Falcon son decenas o incluso cientos de veces más grandes que las firmas actuales, y su implementación es susceptible a ataques de canal lateral, vulnerabilidades de punto flotante o errores de parámetros que pueden provocar la filtración de claves. Por lo tanto, blockchain no debe migrar ciegamente, sino adoptar una estrategia de arquitectura por etapas, multicanal y reemplazable: implementar cifrado híbrido (post-cuántico + clásico) para comunicaciones confidenciales a largo plazo; usar sistemas de firmas basados en hash anticipadamente en escenarios donde no se requieran firmas frecuentes (firmware, actualizaciones de sistema); mantener la planificación y la investigación a nivel de cadena pública, siguiendo el ritmo prudente de la PKI de Internet; y adoptar diseños de abstracción de cuentas o modulares para que los sistemas de firma puedan actualizarse en el futuro sin afectar la identidad y el historial de activos en la cadena. [El texto original está en inglés]