Coinshares Logo

Profil d'investisseur

Type d'investisseur

Pays

Luxembourg

Angle down icon

Derniers articles & actualités

Accueilarrow-right-grayPerspectivesarrow-right-grayAnalyses et Donnéesarrow-right-gray

La sécurisation quantique de Bitcoin n'est pas si difficile que cela

Timer13 min de lecture

Alors que des chercheurs chinois ont récemment affirmé avoir fait des progrès considérables pour casser certaines classes de cryptage et que Google a annoncé de nouvelles avancées dans le domaine des puces quantiques, je pense qu’il est opportun de rappeler quelques-uns des fondements du Bitcoin et leur lien avec la menace potentielle que représentent les ordinateurs quantiques.

Commençons par clarifier le fait que toute menace quantique réelle pour le Bitcoin est encore lointaine, mais il s’agit néanmoins d’un sujet qui, je pense, en intéressera plus d’un. J’utiliserai cet article pour expliquer, aussi simplement que possible, comment le Bitcoin utilise la cryptographie et dans quelle mesure les ordinateurs quantiques menacent ses composants.

Ensuite, j’expliquerai, toujours aussi simplement que possible, quelles mesures peuvent être prises et quel processus serait nécessaire pour les mettre en œuvre. Si vous ne poursuivez pas votre lecture, voici un résumé : la menace, telle qu’elle est actuellement comprise, peut être atténuée assez facilement et ce, tout simplement au moyen d’un soft fork.

Je consacrerai le reste de ce document à en expliquer les raisons de manière aussi brève et simple que possible, compte tenu de la profonde complexité du sujet.

Le Bitcoin utilise deux Catégories de cryptographie

La plupart des gens savent que le Bitcoin fait appel à la cryptographie pour assurer sa sécurité, mais très peu savent comment. Cela n’est peut-être pas très surprenant étant donné que la cryptographie semble extrêmement difficile pour la plupart des gens. En réalité, les fondements de la cryptographie sont assez simples : elle repose en majeure partie sur certaines fonctions qui peuvent facilement être calculées dans un sens, mais pas dans l’autre. Nous les appelons les fonctions à trappe.

Le Bitcoin utilise deux types différents de fonctions à trappe, et ce pour accomplir des tâches assez différentes. Tout d’abord, il utilise la classe relativement bien connue des paires de clés cryptographiques, composées d’une clé privée et d’une clé publique. Deuxièmement, il utilise la classe moins connue des fonctions de hachage.

Voyons brièvement leurs rôles respectifs.

Les paires de clés cryptographiques sont utilisées pour envoyer et recevoir des transactions

Le modèle de sécurité principal du Bitcoin repose sur l’utilisation de paires de clés cryptographiques pour les transactions. Pour résumer, on peut considérer que les transactions sont envoyées vers une clé publique à partir d’une clé privée. De manière plus précise, le script de déverrouillage d’une sortie de transaction non dépensée (UTXO) est verrouillé sur une clé publique et déverrouillé par une signature numérique produite par sa clé privée correspondante.

Le Bitcoin utilise actuellement deux algorithmes de signature, l’algorithme de signature numérique à courbe elliptique (ECDSA) et les signatures Schnorr, qui utilisent tous deux la même structure de clé publique (multiplication de la courbe elliptique sur la courbe secp256k1). Cette méthode s’avère vulnérable face aux ordinateurs quantiques utilisant l’algorithme de Shor, ce qui présente un risque potentiel pour les coins envoyés à ces deux types d’adresses.

Les fonctions de hachage sont utilisées pour la troncature et la validation, le règlement et l’obscurcissement des adresses

L’autre grande catégorie d’outils cryptographiques, les fonctions de hachage, joue plusieurs rôles différents. Il est toutefois très important de noter que les fonctions de hachage ne sont pas utilisées pour autoriser les transactions. Deux fonctions de hachage sont utilisées dans le Bitcoin : la fonction SHA-256 et la fonction RIPEMD-160, SHA-256 étant utilisée à diverses fins.

Les trois principaux rôles des fonctions de hachage sont la troncature et la validation, le règlement et l’obscurcissement des adresses. Je ne parlerai pas des fonctions de troncature et de validation, car elles ne sont pas pertinentes dans le cadre de notre analyse.

Le règlement

La fonction SHA-256 est utilisée dans le cadre du règlement par un réseau de mineurs afin d’établir un ordre temporel décentralisé des transactions. La régularité du règlement des transactions est déterminée par l’ajustement de la difficulté, de sorte que, quel que soit le nombre de mineurs participant au processus de règlement, de nouvelles tranches de transactions (blocs) sont saisies en moyenne toutes les 10 minutes.

Sachant que la fonction SHA-256 n’est pas réversible, mais uniquement devinable, le réseau peut imposer une certaine difficulté dans la recherche de nouveaux blocs, de sorte que le processus ne puisse pas se dérouler plus rapidement que prévu. De cette manière, la courbe d’émission du Bitcoin est fixe dans le temps et ne peut être ni accélérée ni ralentie.

Ce processus entraîne également un coût important pour les participants, et celui-ci a un effet dissuasif sur les acteurs malveillants cherchant à annuler les transactions qu’ils ont effectuées ou à empêcher d’autres personnes d’effectuer des transactions. Il est important de noter ici qu’aucun mineur, même s’il détenait 100 % du réseau minier, ne pourrait rediriger les transactions d’autres personnes après qu’elles ont eu lieu. Il ne pourrait rediriger que les siennes, car il ne peut pas produire de signatures numériques à partir des clés publiques d’autres personnes.

L’obscurcissement des adresses

Un autre rôle clé des fonctions de hachage est l’obscurcissement des adresses Bitcoin. En effet, envoyer des Bitcoins de manière efficace signifie les envoyer vers une clé publique. Cependant, il est également possible d’envoyer des Bitcoins vers le hach d’une clé publique. Ce type de transaction est appelé p2pkh ou Pay to Public Key Hash. Nous considérons p2pkh comme un type d’adresse de Bitcoin. Un autre type d’adresse est le p2pk, ou Pay to Public Key. Il existe également le type d’adresse p2sh, ou Pay to Script Hash.

L’élément clé à prendre en compte ici est que lorsque des Bitcoins sont envoyés au hash d’une clé publique, la clé publique n’est pas révélée au réseau, seule une forme occultée de la clé publique est visible sur le réseau. Cela signifie qu’un ordinateur quantique malveillant tentant de calculer des clés privées à partir de clés publiques ne dispose de rien et ne peut donc rien faire.

Les ordinateurs quantiques Réduisent la sécurité de la cryptographie, mais ne l’Éliminent pas nécessairement

Lorsque l’on analyse la vulnérabilité du Bitcoin face aux ordinateurs quantiques, il convient de préciser un certain nombre de choses : premièrement, ce que les ordinateurs quantiques sont capables de faire exactement, et deuxièmement, quel en serait l’effet précis sur le Bitcoin. Voyons cela de plus près.

La cryptographie repose généralement sur l’incapacité des ordinateurs à calculer certaines choses dans un délai raisonnable. Par exemple, avec des ordinateurs ordinaires, trouver une collision de hachage dans la fonction SHA-256 est si difficile que même si vous disposiez d’un ordinateur de la taille de la Terre utilisant toute l’énergie produite par notre soleil, cela prendrait des milliers de milliards de fois plus de temps que l’âge de l’Univers.

Le temps nécessaire pour « inverser » les fonctions à trappe dépend de la longueur de la clé ou de la longueur du condensat. Les clés plus longues nécessitent plus de temps pour être inversées. Par exemple, une clé de 256 bits, bien que seulement deux fois plus longue qu’une clé de 128 bits, prendrait 2^128, soit ~10^39[1] fois plus de temps pour être inversée.

En revanche, les ordinateurs plus puissants réduiront le temps nécessaire à l’inversion de ces fonctions proportionnellement à leur taille, de sorte qu’un ordinateur deux fois plus rapide réduira le temps d’inversion de moitié seulement.

Les ordinateurs quantiques réduisent le temps nécessaire pour inverser ces fonctions en fonction de la taille de l’ordinateur utilisé. Par exemple, cela signifie qu’un ordinateur quantique qui possède deux fois plus de qubits qu’un autre peut inverser certaines fonctions à trappe quatre fois plus vite. Cela signifie que les principes sur lesquels reposent certains types de cryptographie, qui sont vulnérables aux ordinateurs quantiques, ne tiennent plus. Mais cela ne veut pas dire que ces systèmes arrêteraient immédiatement de fonctionner.

Prenons l’exemple de la fonction SHA-256. Selon l’université de l’Illinois, un ordinateur quantique utilisant l’algorithme de Grover réduirait la sécurité de SHA-256 de 256 à 128 bits. En d’autres termes, alors qu’un ordinateur normal cherchant à trouver l’entrée de SHA-256 à partir d’une sortie devrait essayer 2^256[2] fois pour être sûr de trouver une sortie, un ordinateur quantique n’aurait besoin « que » de 2^128 essais.

Pour mettre cela en perspective, même si vous disposiez d’un ordinateur quantique mille milliards de fois plus rapide que l’ordinateur quantique actuel le plus rapide au monde, il lui faudrait encore un million d’années (et une quantité astronomique d’énergie) pour trouver une collision. Ce n’est pas très pratique, mais c’est tout de même beaucoup plus rapide que les 367 milliards de milliards de milliards de milliards de milliards de milliards d’années qu’il faudrait à un ordinateur ordinaire.

En d’autres termes, les adresses cachées derrière des hachages SHA-256 resteront probablement sécurisées même si des ordinateurs quantiques de très grande taille deviennent viables. En ce qui concerne le minage, un ordinateur quantique ne représenterait finalement qu’un mineur plus rapide, et compte tenu de son coût et de sa complexité (pour autant qu’il soit possible d’en fabriquer un d’une taille intéressante), il n’est pas certain que cela soit rentable.

Le caractère vulnérable du Bitcoin est limité, et son exploitation pratique nécessite des avancées technologiques considérables

Maintenant que nous avons une idée des nombres dont il est question et des dimensions encore nécessaires pour inverser, par exemple, la fonction SHA-256, examinons de plus près le caractère vulnérable du Bitcoin sur le plan quantique.

Commençons par les adresses protégées par ECDSA, qui sont en principe vulnérables aux ordinateurs quantiques utilisant l’algorithme de Shor[3]. Rappelons qu’il est possible d’envoyer des Bitcoins directement vers des clés publiques, de sorte que tous les coins stockés dans des adresses révélant la clé publique seraient menacés si quelqu’un pouvait calculer la clé privée à partir de la clé publique. À titre de référence, il s’agit d’environ 1,9 million de Bitcoins, soit 9 % de l’offre.

Les transactions dans les adresses Schnorr, telles que Taproot UTXO, sont également vulnérables puisque leurs clés publiques sont également visibles. Cependant, étant donné que ce format d’adresse ne contient qu’environ 0,1 % des coins, nous le laisserons de côté dans cette analyse.

Selon les chercheurs, pour inverser une clé publique en l’espace d’une journée, un pirate aurait besoin d’un ordinateur quantique doté d’une tolérance aux pannes et d’une capacité de limitation des erreurs encore jamais atteintes, et de 13 millions de qubits physiques, soit environ 100 000 fois plus que l’ordinateur quantique actuel le plus puissant[4]. Pour y parvenir en moins d’une heure[5], il faudrait qu’il soit 3 millions de fois plus performant que les ordinateurs quantiques actuels.

Il n’est pas facile d’estimer le taux de croissance annuel actuel des qubits physiques. Cela s’explique en partie par le fait qu’il existe de nombreux types de qubits différents, mais aussi parce que nous ne disposons pas d’un grand nombre de données. Selon les données recueillies par la Quantum Zeitgeist, la croissance des qubits physiques fonctionnels est similaire à celle des puces informatiques ordinaires, telle que décrite par la loi de Moore, avec des chiffres doublant tous les deux ans environ. À ce rythme, il faudrait plus de 15 ans pour atteindre 13 millions de qubits.

Et ce, en supposant qu’il soit possible de faire passer les qubits à cette échelle tout en obtenant des taux d’erreur inférieurs à ceux enregistrés jusqu’à présent, sans parler de la question des coûts.

Pour résoudre le problème de la vulnérabilité initiale, il suffit d’adopter un nouveau format d’adresse au moyen d’un soft fork

Cependant, si nous partons du principe que cette suprématie quantique se produira à un moment ou à un autre, il existe encore de nombreuses mesures permettant de sécuriser les coins. Celles-ci vont des simples mesures basées sur la confiance, qui ne nécessitent aucune modification de Bitcoin, jusqu’au remplacement complet des outils cryptographiques. 

La solution la plus simple consiste à n’utiliser que des formats d’adresse protégés par des hachages, puis à envoyer les transactions sortantes directement aux mineurs ou aux pools, en partant du principe qu’ils n’utiliseront pas ces types d’ordinateurs quantiques et n’essaieront pas de vous voler (ce pour quoi ils seraient bien entendu responsables sur le plan pénal). Une autre méthode consiste à envoyer des transactions suffisamment petites pour que l’utilisation d’un ordinateur quantique ultra-perfectionné (et probablement très puissant et coûteux) pendant une heure coûte plus cher que la valeur de la transaction elle-même.

Mais ces types de mesures d’atténuation ne satisferont probablement pas la communauté Bitcoin, réputée pour son côté paranoïaque, et un nouveau type d’adresse utilisant une cryptographie capable de résister aux attaques quantiques sera probablement nécessaire. En réalité, une proposition d’amélioration de Bitcoin (BIP) pour lancer un nouveau format d’adresse sécurisé sur le plan quantique a déjà été envoyée et fait l’objet d’une concertation en ce moment même. L’introduction d’un nouveau format d’adresse, même s’il ne s’agit évidemment pas d’un changement mineur, ne nécessiterait qu’un soft fork, ce qui ne devrait pas susciter trop de controverse.

Le principal problème qui réduit la volonté de prendre des dispositions de manière urgente à ce stade est que la plupart ou l’ensemble des alternatives de sécurité quantique proposées présentent des tailles de signature beaucoup plus grandes que les signatures actuelles du Bitcoin. Cela pose un léger problème car le Bitcoin est soumis à une limite stricte en ce qui concerne la taille des blocs, de sorte que le fait d’exiger plus de données pour les transactions réduit inévitablement le nombre de transactions pouvant être intégrées dans un même bloc. Ce problème peut également être résolu en augmentant la part des témoins dans les blocs de Bitcoin, qui ne sont en principe pas soumis aux limites de taille des blocs, mais cette approche nécessiterait probablement un article à part entière pour être traitée de manière appropriée.

Une fois cette mesure mise en œuvre, les coins qui se trouvent actuellement dans des adresses vulnérables devront être déplacés vers de nouvelles adresses sécurisées. Cette tâche incombera au propriétaire de chaque adresse. Fait intéressant : la majorité des coins les plus vulnérables sont ceux qui, selon les hypothèses les plus répandues, appartiendraient à Satoshi Nakamoto. Cela signifie que soit ces coins devront être déplacés, prouvant ainsi que Satoshi est toujours en vie, soit ils serviront effectivement de pot de miel pour les créateurs d’ordinateurs quantiques.

En résumé : les ordinateurs quantiques représentent une menace, mais celle-ci n’est ni immédiate ni particulièrement problématique

Les ordinateurs quantiques problématiques, en supposant qu’il soit possible de les créer, sont encore relativement lointains, ce qui signifie que les changements nécessaires ont largement le temps d’être examinés et mis en œuvre. Et même si ces ordinateurs apparaissent un jour, il sera relativement facile de modifier le Bitcoin pour atténuer les risques qu’ils présentent.

Le principal risque pour le Bitcoin est le vol de coins à partir d’adresses dont les clés publiques sont visibles. Ces adresses représentent un peu moins de 10 % de la totalité des coins. Pour assurer la sécurité de ces derniers après la venue d’ordinateurs quantiques opérationnels suffisamment grands, les coins contenus dans ces adresses devront être déplacés vers un nouveau format d’adresse sécurisé sur le plan quantique.

Ensuite, si un ordinateur quantique suffisamment grand et performant existe, toutes les adresses utilisant ECDSA ou Schnorr (même celles masquées par un hash) seraient vulnérables, car il est possible que leurs clés soient inversées pendant le court laps de temps durant lequel les transactions signées attendent dans le pool de mémoire. À ce stade, tous les coins devraient être déplacés vers des adresses sécurisées sur le plan quantique.

Un format d’adresse sécurisé au niveau quantique peut être ajouté au Bitcoin par le biais d’un soft fork, ce qui signifie qu’il peut être introduit volontairement par ceux qui le souhaitent et ignoré par ceux qui ne le souhaitent pas. Ainsi, le changement serait relativement facile à mettre en œuvre et il est peu probable qu’il soit considéré comme suffisamment problématique pour en retarder le déploiement.

[1] Soit 340,282,366,920,938,463,463,374,607,431,768,211,456 fois.

[2] Soit ~10^78, ou 115,792,089,237,316,195,423,570,985,008,687,907,853,269,984,665,640,564,039,457,584,007,913,129,639,936 fois.

[3] Pour résumer, cela est dû au fait que la multiplication de la courbe elliptique utilisée sur la courbe secp256k1 est vulnérable.

[4] L’estimation des « qubits physiques » est quelque peu délicate car il existe de nombreux types de qubits différents, qui ne présentent pas les mêmes performances ni les mêmes caractéristiques. Compte tenu du niveau de connaissance de notre public, nous avons donc opté pour la clarté, la simplification et la généralisation plutôt que pour l’exactitude absolue dans ce document.

[5] Cette période est considérée comme une période de vulnérabilité importante car même les clés publiques protégées par SHA-256 sont visibles par le réseau pendant une courte période lorsqu’elles sont en train d’être dépensées, en attendant qu’un mineur les ajoute à un bloc.

Ecrit par
Christopher Bendiksen
Publié le17 Déc 2024

Bienvenue
to CoinShares

Personal data

0102

Lorsque vous consultez le site Internet de CoinShares, les cookies améliorent votre expérience en nous aidant à vous présenter un contenu plus pertinent. Certains cookies, nécessaires au fonctionnement du site, seront activés en permanence. Le refus de certains types de cookies peut avoir une incidence sur votre expérience de notre site Internet et sur les services qui y sont proposés.

Nous utilisons des cookies sur notre site pour optimiser nos services. En savoir plus sur notre politique de cookies pour l’UE ou notre politique de cookies pour les États-Unis.

  • Necessary
    Question circle icon
  • Preferences
    Question circle icon
  • Statistical
    Question circle icon
  • Marketing
    Question circle icon