Riguardo alla minaccia quantistica per Bitcoin e le blockchain, ci sono due visioni generali: (1) Il quantistico non sarà rilevante per molto tempo, quindi non c'è bisogno di urgenza. (2) Il quantistico è già rilevante, e dobbiamo agire con urgenza. Per quanto ne so, i veri fisici quantistici e gli esperti di sicurezza si stanno sempre più schierando con il mondo (2). Le persone che credono di essere nel mondo (1) sono armate di fatti errati, assunzioni sbagliate, o semplicemente non vogliono pensare in modo critico all'impatto. 🧵

1/ Esibizione 1: L'ultimo post del blog di Google a cura di Hartmut Neven (responsabile di @GoogleQuantumAI) e Kent Walker (Responsabile Affari Pubblici per Google/Alphabet) inquadra la transizione verso la crittografia post-quantistica come urgente, sistemica, richiedendo un'azione coordinata ora per "accelerare i progressi" e l'adozione.

2/ L'argomento di Google è semplice: i computer quantistici romperanno la crittografia che protegge internet. I metodi crittografici attuali si basano su problemi che i computer classici non possono risolvere in modo efficiente. Il quantistico rompe quel paradigma e non sarà "per sempre a un decennio di distanza".

3/ E non stanno solo teorizzando. I ricercatori di Google hanno appena pubblicato un lavoro che dimostra che per rompere la crittografia RSA a 2048 bit sono necessari circa 1 milione di qubit rumorosi, non i miliardi stimati in precedenza. I requisiti di risorse stanno diminuendo più rapidamente del previsto, quindi la tempistica si sta comprimendo.

4/ (A proposito dei commentatori che potrebbero far notare che Bitcoin non utilizza RSA, rispondo preventivamente che l'ECDSA potrebbe essere più facile da violare rispetto a RSA-2048 perché l'algoritmo di Shor funziona in tempo polinomiale rispetto alla lunghezza della chiave, e le chiavi a curva ellittica sono molto più corte delle chiavi RSA, rendendo potenzialmente questa situazione ancora più urgente).

5/ Domanda: Perché Google investirebbe pesantemente nell'accelerare l'adozione della crittografia post-quantistica per i propri sistemi se fosse scettica riguardo ai progressi quantistici? Risposta: Stanno osservando le proprie curve di capacità e agendo di conseguenza.

6/ Anche assumendo che ciò che è pubblico sia all'avanguardia (non lo è), la posizione di Google è razionale: prepararsi per la capacità prima che arrivi, perché una volta che è qui, sei già in ritardo. Classica postura difensiva. Questo non riguarda solo Google. Le aziende leader che danno priorità alla sicurezza (come @Cloudflare e @Apple) stanno dando priorità alla sicurezza post-quantistica nei loro piani. Quale motivo hanno per dare priorità a questo che noi non abbiamo?

7/ Allegato 2: Scott Aaronson, uno dei più prominenti scettici della computazione quantistica e un fisico noto per aver denunciato l'hype quantistico, ha riconosciuto i progressi genuini fatti negli ultimi due anni, sottolineando l'incertezza riguardo ai tempi futuri. @preskill ha fatto osservazioni simili. Ecco Scott:

8/ Quando persone a questo livello, che hanno costruito la loro reputazione su scetticismo quantistico e integrità accademica, dicono che i progressi sono reali e che le tempistiche potrebbero accelerare, questo dovrebbe far riflettere tutti. Scommettere sulla sicurezza di trilioni di asset su "sarà lento" è avventato.

9/ Esibizione 3: Il governo degli Stati Uniti ha imposto che tutti i sistemi critici devono migrare verso la crittografia post-quantistica entro il 2030. Il NIST ha finalizzato gli standard PQC nel 2024. La NSA è ovviamente un fattore importante nel guidare queste scadenze, lavorando a ritroso dalle informazioni sulle minacce. Se richiedono la migrazione entro il 2030, stanno potenzialmente vedendo tempistiche di capacità che giustificano tale urgenza. Potrebbero sapere cose che noi non sappiamo.

10/ In breve, il consenso degli esperti provenienti da persone che stanno realmente costruendo computer quantistici, o da organizzazioni che hanno molto a rischio è: i progressi sono accelerati, le tempistiche sono incerte, la preparazione è essenziale e le poste in gioco sono alte.

11/ Ora confronta questo con il campo del "non fare nulla". Le loro prove sono spesso auto-referenziali, ignorano completamente gli esperti di quantum e ripetono affermazioni empiricamente errate in una camera d'eco. Caso studio: il rapporto di @coinshares (pubblicato lo stesso giorno del post del blog di Google menzionato sopra). Analizziamo gli errori in quel post poiché è un esempio illustrativo.

12/ Errore #1: L'autore afferma che solo ~1,6M BTC è vulnerabile, con forse 10.200 BTC in grado di causare una perturbazione del mercato. La matematica qui è semplicemente sbagliata.

13/ Fattore: L'entità ritenuta essere Satoshi detiene da sola 1.096.152 BTC su 21.924 indirizzi. Tutti vulnerabili. E non si tratta solo di indirizzi P2PK. Qualsiasi indirizzo che ha firmato una transazione una volta (e ha lasciato fondi residui lì) è vulnerabile ad attacchi quantistici. Questo include molti dei più grandi indirizzi BTC di oggi.

14/ Manteniamo un tracker costantemente aggiornato delle vulnerabilità quantistiche di Bitcoin qui: Controlla il rapporto tecnico eccellente di @ChaincodeLabs sulle minacce quantistiche a Bitcoin qui: In entrambi i casi, l'esposizione è di gran lunga maggiore di quanto suggerisca il rapporto di @coinshares.

15/ Errore #2: La loro "prova" che il quantum è lontano è una citazione del CTO di Ledger. Rispetto quella persona e non ho nulla contro di lui, ma questo è un puro appello all'autorità con un evidente bias. Se le firme resistenti al quantum vengono adottate, ogni dispositivo @Ledger esistente potrebbe diventare obsoleto. Quindi considera l'incentivo e considera la fonte. Almeno, dovremmo riconoscere che questa è una visione singola, e una potenzialmente "selezionata" per confermare un bias.

16/ Errore #3: Sebbene vengano consultati esperti non specializzati sulla loro esperienza nel dominio quantistico, non si fa alcun tentativo di comprendere lo sforzo o la complessità unici nell'applicare soluzioni post-quantistiche a una blockchain esistente già implementata. Questi includono: - milioni di chiavi distribuite che devono essere migrate separatamente - nessuna autorità decisionale centralizzata - proprietà degli asset interamente basata su una firma digitale (senza opzioni di ripiego)

17/ Secondo ricerche peer-reviewed, la blockchain di BTC dovrebbe chiudere per 76 giorni per elaborare le transazioni di migrazione per l'attuale set di UTXO. Questo è il miglior scenario.

18/ Errore #4: L'autore deride chiunque sollevi consapevolezza sui rischi quantistici come "truffatori." Se un computer quantistico che rompe le fondamenta crittografiche di $ trilioni in asset digitali non è un problema serio, non so cosa lo sia. Caricaturare ricercatori e costruttori come truffatori è autolesionistico.

19/ Anche se prendi l'affermazione "10 anni di distanza" per buona (e ci sono buone ragioni per non farlo), sembra lontana finché non realizzi che: - è la stima ottimistica che ora ha un paio d'anni, e i requisiti di risorse stanno diminuendo più velocemente del previsto, e - la sfida tecnica di migrare questi sistemi è significativamente più complessa di quanto le persone si aspettino.

20/ La buona notizia è che possiamo risolvere questo problema. Le blockchain possono adattarsi. La crittografia post-quantistica esiste. Ma ignorare gli avvertimenti degli esperti di quantum perché la minaccia sembra lontana è esattamente il modo in cui ci si trova impreparati.

21/ Le persone amano la certezza. Sfortunatamente, l'unica certezza riguardo ai computer quantistici rilevanti dal punto di vista crittografico è che romperanno Bitcoin e quasi ogni altra rete di asset digitali. Prevedere esattamente quando arriverà quel momento è un'impresa da sciocchi. Ma non c'è motivo per cui non potrebbe arrivare prima del previsto, proprio come i progressi dell'AI hanno ripetutamente sfidato le tempistiche pessimistiche attraverso un avanzamento esponenziale.

22/ Preferirei che la sicurezza delle blockchain non fosse basata sull'assunzione che i progressi nel calcolo quantistico saranno lenti. /Fine

Riguardo alle linee temporali quantistiche, il motivo per cui penso che ci sia una disconnessione è che le persone non comprendono la non linearità del progresso qui. In parole semplici, i computer quantistici saranno o incapaci di fare qualcosa di criptograficamente significativo (oggi), oppure saranno capaci di ogni algoritmo asimmetrico classico implementato. Non c'è motivo di investire nella costruzione di un sistema per il terreno di mezzo. La differenza chiave tra uno e l'altro è la capacità di correzione degli errori. **Ecco perché** stai vedendo tutti gli investimenti e gli sforzi applicati lì. Perché una volta che questo sarà risolto, scalare questi sistemi per la rilevanza criptografica non sarà così difficile. Niente, e poi tutto in una volta.

@reardencode @dallairedemers @Ethan_Heilman Inoltre, ci sono tutte le ragioni per credere che, man mano che le cose progrediscono, ci siano molte meno ragioni per pubblicizzare lo stato dell'arte. In effetti, potrebbe già essere successo.