การคำนวณควอนตัมและคริปโตเคอร์เรนซี: ภัยคุกคามและวิธีแก้ปัญหา
การคำนวณควอนตัมแสดงถึงภัยคุกคามด้านการเข้ารหัสลับที่มีนัยสำคัญที่สุดในระยะยาวสำหรับคริปโตเคอร์เรนซี แม้ว่าคอมพิวเตอร์ควอนตัมในปัจจุบันมีขนาดเล็กเกินไปและมีความผิดพลาดมากจนไม่สามารถทำให้การเข้ารหัสลับที่ปกป้อง Bitcoin และบล็อกเชนอื่น ๆ พังทลายได้ เทคโนโลยีนี้ก็กำลังพัฒนาอย่างรวดเร็ว การเข้าใจลักษณะของภัยคุกคาม เวลาที่สมจริง และการป้องกันที่กำลังพัฒนา เป็นสิ่งจำเป็นสำหรับใครก็ตามที่ตัดสินใจเกี่ยวกับการเก็บคริปโตเคอร์เรนซีในระยะยาว
คู่มือนี้ให้การประเมินความเสี่ยงของการคำนวณควอนตัมต่อความปลอดภัยของคริปโตเคอร์เรนซีที่ยึดติดกับหลักการทางเทคนิค — สิ่งที่อยู่ในความเสี่ยงจริง ๆ สิ่งที่ไม่มี และขั้นตอนที่คุณสามารถดำเนินการได้วันนี้
พื้นฐานของการคำนวณควอนตัม
การคำนวณแบบคลาสสิกเทียบกับควอนตัม
คอมพิวเตอร์แบบคลาสสิกประมวลผลข้อมูลเป็นบิต — แต่ละบิตเป็นไปตามอย่างใดอย่างหนึ่ง 0 หรือ 1 คอมพิวเตอร์ควอนตัมใช้ qubits ซึ่งสามารถมีอยู่ในการซ้อนทับของ 0 และ 1 พร้อมกันได้ เมื่อ qubits ถูกพันกัน การดำเนินการบน qubit หนึ่งตัวสามารถส่งผลกระทบต่อตัวอื่น ๆ ช่วยให้สามารถดำเนินการคำนวณบางอย่างได้เร็วขึ้นแบบเอกโพเนนเชียลมากกว่าวิธีคลาสสิกใด ๆ
ความแตกต่างที่สำคัญ: คอมพิวเตอร์ควอนตัมไม่ได้เร็วกว่าคอมพิวเตอร์แบบคลาสสิกในทุกกรณี พวกเขาให้การเร่งความเร็วเฉพาะสำหรับปัญหาบางประเภทที่มีอัลกอริทึมควอนตัม งานคำนวณจำนวนมากไม่ได้รับประโยชน์จากการคำนวณควอนตัม
ปัญหาที่มีความสำคัญสำหรับ Crypto
อัลกอริทึมควอนตัมสองตัวเกี่ยวข้องกับคริปโตเคอร์เรนซี:
-
Shor's algorithm — แก้ปัญหาการแยกตัวประกอบจำนวนเต็มและลอการิทึมแยกส่วนได้อย่างมีประสิทธิภาพ สิ่งนี้คุกคามโดยตรงต่อการเข้ารหัสลับเส้นโค้งวงรี (ECDSA, Schnorr) ที่ใช้สำหรับการลงนามในธุรกรรมคริปโตเคอร์เรนซี
-
Grover's algorithm — ให้การเร่งความเร็วแบบกำลังสองสำหรับการค้นหาในฐานข้อมูลที่ไม่มีโครงสร้าง สิ่งนี้ส่งผลกระทบต่อฟังก์ชันแฮช (SHA-256, RIPEMD-160) และการเข้ารหัสลับสมมาตร ซึ่งลดความปลอดภัยบิตของพวกเขาลงครึ่งหนึ่งอย่างมีประสิทธิผล
สิ่งที่คอมพิวเตอร์ควอนตัมคุกคาม
ลายเซ็นดิจิทัลเส้นโค้งวงรี (ECDSA)
Bitcoin, Ethereum และคริปโตเคอร์เรนซีส่วนใหญ่อื่น ๆ ใช้ ECDSA กับเส้นโค้ง secp256k1 สำหรับการลงนามในธุรกรรม ความปลอดภัยของ ECDSA ขึ้นอยู่กับปัญหาลอการิทึมแยกส่วนเส้นโค้งวงรี (ECDLP): เมื่อมีคีย์สาธารณะ (จุดบนเส้นโค้ง) จะไม่สามารถคำนวณได้ที่จะได้มาซึ่งคีย์ส่วนตัว (ตัวคูณสเกลาร์)
Shor's algorithm สามารถแก้ ECDLP ได้อย่างมีประสิทธิภาพบนคอมพิวเตอร์ควอนตัมขนาดใหญ่พอสมควร สิ่งนี้หมายความว่า:
- เมื่อมีคีย์สาธารณะ คอมพิวเตอร์ควอนตัมสามารถหาคีย์ส่วนตัวได้
- เมื่อมีคีย์ส่วนตัว ผู้โจมตีสามารถปลอมแปลงลายเซ็นธุรกรรมและขโมยเงินได้
นี่คือภัยคุกคามควอนตัมหลักสำหรับคริปโตเคอร์เรนซี
เมื่อใดที่คีย์สาธารณะถูกเปิดเผย?
ภัยคุกคามจาก Shor's algorithm ใช้เฉพาะเมื่อผู้โจมตีรู้คีย์สาธารณะ ใน Bitcoin คีย์สาธารณะจะถูกเปิดเผยในเวลาต่าง ๆ ขึ้นอยู่กับประเภทของที่อยู่:
| ประเภทที่อยู่ | การเปิดเผยคีย์สาธารณะ | ความเสี่ยงควอนตัม |
|---|---|---|
| P2PKH (Legacy, 1...) | เปิดเผยเมื่อใช้จ่าย | มีความเสี่ยงหลังจากการใช้จ่ายครั้งแรก |
| P2SH (3...) | เปิดเผยเมื่อใช้จ่าย | มีความเสี่ยงหลังจากการใช้จ่ายครั้งแรก |
| P2WPKH (bc1q...) | เปิดเผยเมื่อใช้จ่าย | มีความเสี่ยงหลังจากการใช้จ่ายครั้งแรก |
| P2TR (Taproot, bc1p...) | เปิดเผยในที่อยู่เอง | มีความเสี่ยงทันที |
| Pay-to-Public-Key (P2PK) | คีย์สาธารณะคือที่อยู่ | มีความเสี่ยงทันที |
ความเข้าใจหลัก: ที่อยู่ Bitcoin ที่ใช้ pay-to-public-key-hash (P2PKH, P2SH, P2WPKH) ไม่เปิดเผยคีย์สาธารณะจนกว่าธุรกรรมจะถูกลงนามจากที่อยู่นั้น จนกว่าจะถึงจุดนั้น เฉพาะแฮชของคีย์สาธารณะเท่านั้นที่มองเห็นได้บนบล็อกเชน และ Shor's algorithm ไม่สามารถย้อนกลับแฮชได้
อย่างไรก็ตาม เมื่อคุณใช้จ่ายจากที่อยู่หนึ่ง (เปิดเผยคีย์สาธารณะในธุรกรรม) คีย์สาธารณะจะอยู่บนบล็อกเชนตลอดไป ผู้โจมตีที่มีคอมพิวเตอร์ควอนตัมจะสามารถหาคีย์ส่วนตัวได้และขโมยเงินที่เหลือที่อยู่นั้นได้
ที่อยู่ Taproot (P2TR) เปิดเผยคีย์สาธารณะโดยตรง (ที่อยู่เข้ารหัสคีย์สาธารณะที่ปรับแต่ง ไม่ใช่แฮช) สิ่งนี้หมายความว่าที่อยู่ Taproot มีความเสี่ยงต่อการโจมตีควอนตัมมากกว่าประเภทที่อยู่ที่อ้างอิงแฮช แม้ว่าการปรับแต่งคีย์จะเพิ่มความซับซ้อนเพียงเล็กน้อย
ที่อยู่ที่มีความเสี่ยงมากที่สุด
-
เหรียญของ Satoshi — Bitcoin ในช่วงแรกใช้รูปแบบ Pay-to-Public-Key (P2PK) ซึ่งคีย์สาธารณะเป็นที่อยู่ โดยประมาณ 1.1 ล้าน BTC ในเหรียญที่คาดว่าเป็นของ Satoshi อยู่ในรูปแบบ P2PK และมีความเสี่ยงโดยตรง
-
ที่อยู่ที่ใช้ซ้ำ — ที่อยู่ใดที่ถูกใช้เพื่อส่งธุรกรรมจะมีคีย์สาธารณะเปิดเผย เงินที่ส่งไปหลังจากนั้นมีความเสี่ยง
-
ที่อยู่ Taproot — คีย์สาธารณะมองเห็นได้ในที่อยู่
-
ธุรกรรมที่รอคำยืนยันนาน — หากธุรกรรมอยู่ในเมมพูลเป็นเวลานานก่อนการยืนยัน ผู้โจมตีควอนตัมอาจดึงคีย์สาธารณะจากธุรกรรมและแข่งขันเพื่อสร้างธุรกรรมที่ขัดแย้งกันโดยใช้คีย์ส่วนตัวที่ได้มา
สิ่งที่ไม่ได้ถูกคุกคาม (หรือคุกคามน้อยลง)
อัลกอริทึมแฮช (SHA-256, RIPEMD-160)
Grover's algorithm ให้การเร่งความเร็วแบบกำลังสองสำหรับการค้นหา preimage แฮช ซึ่งลดความปลอดภัยบิตลงครึ่งหนึ่งอย่างมีประสิทธิผล:
- SHA-256: ความปลอดภัย 256 บิตกลายเป็น 128 บิตต่อการโจมตีควอนตัม
- RIPEMD-160: ความปลอดภัย 160 บิตกลายเป็น 80 บิตต่อการโจมตีควอนตัม
ความปลอดภัย 128 บิตยังคงถือว่าแข็งแรง (ต้องใช้ 2^128 การดำเนินการ) และการป้องกันที่อ้างอิงแฮชปัจจุบันไม่อยู่ในความเสี่ยงทันทีจากการคำนวณควอนตัม
การขุด Bitcoin (Proof of Work)
Grover's algorithm สามารถทำให้การขุด (การหา nonce ที่สร้างแฮชที่ต่ำกว่าเป้าหมาย) เร่งความเร็วได้ แต่ข้อดีเพียงแค่กำลังสอง (รากที่สอง) และเศรษฐศาสตร์ของการขุดควอนตัมไม่ได้พิสูจน์ความเป็นธรรมชาติของต้นทุนอุปกรณ์ควอนตัมที่มหาศาล กลไกการปรับความยากยังจะชดเชยความเร่งในการขุดใด ๆ
การเข้ารหัสลับสมมาตร (AES)
Grover's algorithm ลดความยาวคีย์ที่มีประสิทธิผลของรหัสสมมาตร (AES-256 กลายเป็นความปลอดภัยที่เทียบเท่า AES-128) AES-256 ที่มีความปลอดภัย 128 บิตควอนตัมยังคงแข็งแรง
เวลา: เมื่อใดที่คอมพิวเตอร์ควอนตัมจะกลายเป็นภัยคุกคาม?
สถานะปัจจุบันของการคำนวณควอนตัม (2025)
ณ ปี 2025 คอมพิวเตอร์ควอนตัมที่ใหญ่ที่สุดมีประมาณ 1,000-1,500 qubits ทางกายภาพ อย่างไรก็ตาม สิ่งเหล่านี้เป็น qubits ที่มี "เสียงรบกวน" ที่มีอัตราข้อผิดพลาดสูง เพื่อให้ Shor's algorithm ทำงานกับ secp256k1:
- ความต้องการที่คาดหมาย: ประมาณ 2,500 logical qubits
- qubits ทางกายภาพที่จำเป็น: เนื่องจากค่าใช้จ่ายในการแก้ไขข้อผิดพลาด นี่ต้องใช้ประมาณ 1-20 ล้าน qubits ทางกายภาพ (ขึ้นอยู่กับคุณภาพ qubit และแผนการแก้ไขข้อผิดพลาด)
- ช่องว่างปัจจุบัน: เรายังห่างไกลจากการมีพอ qubits ทางกายภาพที่มีคุณภาพเพียงพอประมาณ 3-4 ลำดับขนาด
การประมาณเวลาของผู้เชี่ยวชาญ
| แหล่งที่มา | การประมาณสำหรับ QC ที่เกี่ยวข้องกับการเข้ารหัส | ปี |
|---|---|---|
| NIST | "ไม่ใช่ในทศวรรษถัดไป อาจจะอยู่ในทศวรรษหลัง" | 2035-2045 |
| IBM Quantum Roadmap | 100K+ qubits ภายในปี 2033 (ไม่เพียงพอในตัวมันเอง) | N/A |
| Google Quantum AI | ความสำเร็จที่สำคัญในการแก้ไขข้อผิดพลาดภายในปี 2030 | N/A |
| การประมาณทางวิชาการต่าง ๆ | 15-30 ปีสำหรับความสามารถในการทำให้ ECDSA พังทลาย | 2040-2055 |
| สถานการณ์ที่เลวร้ายที่สุด | ความก้าวหน้าที่ไม่คาดคิดเร่งให้เวลาเปลี่ยนไป | 2030-2035 |
ความเห็นพ้องต้องกันในหมู่นักเข้ารหัสลับคือภัยคุกคามนั้นเป็นจริงแต่ไม่ใช่สิ่งที่เร่งรีบ การประมาณส่วนใหญ่แนะนำ 15-30 ปีก่อนที่คอมพิวเตอร์ควอนตัมจะสามารถทำให้ ECDSA พังทลายได้ อย่างไรก็ตาม ความก้าวหน้าในการคำนวณควอนตัมบางครั้งเกินความคาดหมาย ดังนั้นการหลับใหลจึงไม่ควร
ภัยคุกคาม "เก็บตอนนี้ ถอดรหัสภายหลัง"
แม้ว่าคอมพิวเตอร์ควอนตัมไม่สามารถทำให้ ECDSA พังทลายได้วันนี้ ผู้โจมตีอาจบันทึกข้อมูลบล็อกเชนทั้งหมดในขณะนี้เพื่อจุดประสงค์ในการเอาประโยชน์จากมันเมื่อความสามารถควอนตัมมีอยู่ สำหรับ Bitcoin คีย์สาธารณะทั้งหมดที่เคยถูกเปิดเผย (จากธุรกรรม) ถูกบันทึกไว้ในบล็อกเชนอย่างถาวร ข้อมูลนี้ไม่สามารถได้รับการป้องกันอย่างย้อนหลังได้
กลยุทธ์ "เก็บตอนนี้ ถอดรหัสภายหลัง" นี้หมายความว่าคีย์สาธารณะใด ๆ ที่เปิดเผยวันนี้อาจมีความเสี่ยงใน 15-30 ปี สำหรับการถือครองในระยะยาว นี่คือภัยคุกคามที่เกี่ยวข้อง
การเข้ารหัสลับหลังควอนตัม (PQC)
มาตรฐาน Post-Quantum ของ NIST
NIST นำหน้ากระบวนการหลายปีในการกำหนดมาตรฐานอัลกอริทึมการเข้ารหัสลับหลังควอนตัม มาตรฐานแรกได้รับการสรุปในปี 2024:
ML-KEM (เดิมชื่อ CRYSTALS-Kyber)
กลไกการห่อหุ้มคีย์ที่อ้างอิงแลตทิซ (สำหรับการเข้ารหัสลับ/การแลกเปลี่ยนคีย์):
- ขึ้นอยู่กับปัญหา Module Learning With Errors (MLWE)
- ไม่มีอัลกอริทึมควอนตัมที่มีประสิทธิภาพที่เป็นที่รู้จักสำหรับปัญหานี้
- ขนาดคีย์ที่ค่อนข้างเล็กและการดำเนินการที่รวดเร็ว
ML-DSA (เดิมชื่อ CRYSTALS-Dilithium)
โครงร่างลายเซ็นดิจิทัลที่อ้างอิงแลตทิซ:
- ขึ้นอยู่กับปัญหา Module Learning With Errors และ Short Integer Solution
- การแทนที่ที่เป็นไปได้สำหรับ ECDSA ในคริปโตเคอร์เรนซี
- ขนาดลายเซ็นมีขนาดใหญ่กว่า ECDSA (~2,400 ไบต์เทียบกับ ~72 ไบต์)
SLH-DSA (เดิมชื่อ SPHINCS+)
โครงร่างลายเซ็นดิจิทัลที่อ้างอิงแฮช:
- ความปลอดภัยขึ้นอยู่กับคุณสมบัติของฟังก์ชันแฮชอย่างสิ้นเชิง
- ไม่มีการพึ่งพาโครงสร้างทางคณิตศาสตร์ที่อาจเสี่ยงต่อควอนตัม
- ลายเซ็นที่ยาวมาก (~17,000-49,000 ไบต์) แต่มีสมมติฐานความปลอดภัยที่อนุรักษ์นิยมอย่างมาก
- มีประโยชน์เป็นการสำรองหากสมมติฐานที่อ้างอิงแลตทิซถูกทำลาย
ลายเซ็น Post-Quantum เทียบกับ ECDSA
| คุณสมบัติ | ECDSA (secp256k1) | ML-DSA (Dilithium) | SLH-DSA (SPHINCS+) |
|---|---|---|---|
| ต้านทานควอนตัม | ไม่ | ใช่ | ใช่ |
| ขนาดคีย์สาธารณะ | 33 ไบต์ | ~1,312 ไบต์ | ~32-64 ไบต์ |
| ขนาดลายเซ็น | ~72 ไบต์ | ~2,420 ไบต์ | ~17,000-49,000 ไบต์ |
| ความเร็วการยืนยัน | รวดเร็ว | รวดเร็ว | ช้ากว่า |
| ความเร็วการสร้างคีย์ | รวดเร็ว | รวดเร็ว | ค่อนข้าง |
| พื้นฐานทางคณิตศาสตร์ | Elliptic curve DLP | ปัญหาแลตทิซ | ฟังก์ชันแฮช |
การเพิ่มขึ้นอย่างมีนัยสำคัญในขนาดลายเซ็นเป็นความท้าทายหลักสำหรับการยอมรับบล็อกเชน บล็อค Bitcoin มีขนาด จำกัด และลายเซ็นที่ใหญ่ขึ้นหมายถึงธุรกรรมน้อยลงต่อบล็อก
ผลกระทบต่อคริปโตเคอร์เรนซีเฉพาะ
Bitcoin
การตอบสนองของ Bitcoin ต่อการคำนวณควอนตัมจะเกี่ยวข้องกับ:
- ประเภทที่อยู่ใหม่ — soft fork ที่นำเสนอประเภทที่อยู่ใหม่โดยใช้ลายเซ็น post-quantum (เช่นเดียวกับการอัปเกรด SegWit หรือ Taproot)
- ระยะเวลาการย้ายถิ่น — ผู้ใช้จำเป็นต้องย้ายเงินจากที่อยู่เก่า (เสี่ยงต่อควอนตัม) ไปยังที่อยู่ใหม่ (ต้านทานควอนตัม)
- การรวมลายเซ็น — การวิจัยการรวมลายเซ็น post-quantum เพื่อลดฟุตพริ้นของบล็อกเชน
- ที่อยู่ที่อ้างอิงแฮชยังคงมีประโยชน์ — ที่อยู่ P2PKH ที่ไม่ได้ใช้ (ซึ่งคีย์สาธารณะไม่เคยถูกเปิดเผย) ให้ความต้านทานต่อควอนตัมผ่านการป้องกันแฮช
ชุมชน Bitcoin กำลังหารือเกี่ย