¿Es exagerado el miedo a la amenaza cuántica hacia Bitcoin?

Un informe publicado por el grupo de desarrolladores de a16z crypto puso en duda la urgencia planteada, por una parte del ecosistema de criptomonedas, sobre una transición inmediata hacia criptografía postcuántica.  

Según el reporte, «los plazos hacia una computadora cuántica criptográficamente relevante se exageran con frecuencia», lo que conduce a «llamados a migraciones urgentes y generalizadas». 

Todos estos pedidos, conforme indica el  documento publicado el 24 de enero, no siempre consideran ítems importantes como:  

• Costos operativos. 

• Riesgos de implementación. 

• Las diferencias fundamentales entre los distintos tipos de primitivas criptográficas. 

Tal como viene informando Criptonoticias, esas diferencias entre los analistas ha hecho que la relación de Bitcoin con la computación cuántica se encuentre entre la realidad y el FUD. La situación lleva a tener que analizar si el potencial peligro que esa tecnología representa, impactará en el precio de la moneda.

Lo que la cuántica implica (y lo que no) para Bitcoin

Para a16z crypto, la amenaza cuántica sobre Bitcoin no se manifestaría como un colapso repentino, sino como «un proceso selectivo y progresivo».

El algoritmo de Shor (cuántico) puede teóricamente romper la criptografía de curva elíptica usada en Bitcoin, llamada ECDSA. Es esta la que asegura las firmas digitales de las transacciones. 

Ese algoritmo cuántico, según detalla el reporte de a16z, tendría que aplicarse clave por clave. Un proceso que haría que los primeros ataques sean «extremadamente caros y lentos».

El informe también aclara que, una parte significativa de los usuarios, está relativamente protegida. «Incluso sin cambios inmediatos de protocolo».  

Quienes evitan la reutilización de direcciones, y no emplean salidas que exponen directamente la clave pública, mantienen sus fondos protegidos detrás de funciones hash.  En esos casos, el riesgo aparece recién al gastar los fondos.

Sin embargo, en la situación presente, alrededor de 7 millones de bitcoins (BTC) serían vulnerables a la cuántica, debido a la reutilización de direcciones, tal como  notificó a inicios de este mes el sitio Project Eleven.

El eslabón más débil de Bitcon contra un ordenador cuántico

El reporte de a16z crypto toma en cuenta esta vulnerabilidad. Observa que el mayor problema lo representan estas monedas potencialmente abandonadas, con claves públicas ya expuestas. «Algunas estimaciones sitúan estos bitcoins en millones de unidades». Lo que introduce dilemas técnicos, económicos y legales de gran magnitud. 

El documento menciona opciones teóricas: declarar esas monedas quemadas o dejarlas vulnerables a ser reclamadas. Aunque advierte que esta última alternativa «plantea serios problemas legales y de seguridad».

A este tema de las monedas abandonadas se suman limitaciones propias de Bitcoin: gobernanza lenta, baja capacidad de transacciones y la imposibilidad de una migración pasiva.  

En palabras del informe, «la presión temporal no proviene de computadoras cuánticas inminentes, sino de la logística social y técnica de coordinar una transición».

«Hay una exageración en el riesgo cuántico»

El reporte subraya que, uno de los principales errores que se presentan en el actual debate, es tratar a toda la criptografía como un bloque homogéneo.  

No todas las herramientas criptográficas cumplen la misma función ni enfrentan el mismo nivel de exposición ante la computación cuántica. 

Reporte a16z crypto. 

Con ello, advierten los desarrolladores, aplicar una urgencia uniforme distorsiona el análisis de riesgos. 

En particular, el documento distingue entre cifrado, utilizado para proteger la confidencialidad de la información; y firmas digitales. Estas sirven para autenticar mensajes y autorizar transacciones, como ocurre en Bitcoin y Ethereum. 

Ambos componentes (cifrado y firmas) reaccionan de forma muy distinta ante una eventual llegada de la computadora cuántica funcional. 

Cifrado, firmas y la diferencia clave

Las prácticas «‘harvest now, decrypt later’ (HNDL, o recolectar ahora y descifrar después) ya están en marcha«, señala el informe. Con ello hace referencia a adversarios que almacenan hoy comunicaciones cifradas para descifrarlas en el futuro, cuando exista una computadora cuántica suficientemente potente.  

Por ese motivo, para a16z crypto, «el cifrado postcuántico exige un despliegue inmediato». Incluso asumiendo sobrecostos y riesgos de implementación. En cambio, «las firmas digitales enfrentan un cálculo distinto y no son susceptibles a ataques HNDL”.

Es así debido a que no contienen secretos que puedan descifrarse retroactivamente.  Si una firma fue creada antes de la existencia de una computadora cuántica relevante, no puede considerarse falsa a posteriori.  

Como explica el documento, tanto Bitcoin como Ethereum «utilizan criptografía no postcuántica principalmente para autorización de transacciones, no para cifrado». Esto elimina la urgencia inmediata asociada a HNDL. 

El verdadero horizonte cuántico

El estudio también define con precisión qué se entiende por computadora cuántica criptográficamente relevante (CRQC): una máquina tolerante a fallos, con corrección de errores, capaz de ejecutar el algoritmo de Shor a escala suficiente para romper esquemas como ECDSA o RSA-2048 en plazos razonables.  

Una CRQC en la década de 2020 es altamente improbable.

Reporte a16z crypto.

Es por ello que desde a16z crypto cuestionan anuncios corporativos sobre «ventaja cuántica» o «miles de cúbits lógicos». Advierten que «el conteo bruto de cúbits es engañoso». Sin corrección de errores sostenido, esos sistemas no sirven para criptoanálisis.  

En síntesis, la expectativa de una máquina capaz de romper ECDSA o RSA-2048 en los próximos cinco años «no está respaldada por el progreso público conocido», y en un horizonte de diez años «sigue siendo ambicioso». 

Como conclusión se hace énfasis en que el mayor riesgo inmediato para las blockchains no es cuántico, sino operativo. «Durante años, las vulnerabilidades de implementación serán una amenaza mucho mayor que una CRQC».