ซื้อคริปโต
ชําระเงินด้วย
USD
USD
buy.sell
Hot
header.quick_buy_desc
P2P
0 Fees
header.p2p_desc
Gate Card
บัตรชำระเงินคริปโตทำให้ทำธุรกรรมทั่วโลกได้อย่างราบรื่น
โซนซื้อขาย
เทรด
Basic
Advanced
สัญญา
สัญญา
Hundreds of contracts settled in USDT or BTC
TradFi
Gold
Trade global traditional assets with USDT in one place
ออปชั่น
Hot
เทรดออปชัน Vanilla สไตล์ยุโรป
บัญชีครบวงจร
เพิ่มประสิทธิภาพเงินทุนของคุณให้สูงสุด
เริ่มต้นฟิวเจอร์ส
เตรียมพร้อมสำหรับเทรดฟิวเจอร์สของคุณ
กิจกรรมในอนาคต
ร่วมกิจกรรมลุ้นรางวัลสุดคุ้ม
เทรดเดโม
ใช้เงินเสมือนจริงเพื่อสัมผัสประสบการณ์การซื้อขายที่ปราศจากความเสี่ยง
Earn
เริ่มต้น
CandyDrop
tag
รวบรวมลูกอมเพื่อรับ Airdrop
Launchpool
Staking อย่างรวดเร็ว รับโทเค็นใหม่ที่มีศักยภาพ
HODLer Airdrop
ถือ GT ไว้แล้วรับ Airdrop ฟรีจำนวนมาก
Launchpad
รีบเข้าร่วมโครงการโทเค็นใหญ่ๆ ตัวถัดไป
alpha.point.titlenew
alpha.point.subtitlenew
Futures Points
Earn futures points and claim airdrop rewards
การลงทุน
ชุมชน
Square
แชร์โพสต์ของคุณและรับข้อมูลเกี่ยวกับคริปโตและอื่นๆ
Live
moments live
การวิเคราะห์ตลาดคริปโตแบบสด
แชท
แชทกับเทรดเดอร์คริปโต
News
What is happening in crypto
เพิ่มเติม
โปรโมชัน
Others
TradFi
giveaways
ศูนย์รางวัล

a16zรายงาน: ห้าปีหรือสิบปี? การประเมินเส้นเวลาของภัยคุกคามจากคอมพิวเตอร์ควอนตัม

動區BlockTempo
BTC4.27%
ETH3.63%
SOL5.07%

量子คอมพิวเตอร์เมื่อไหร่จะสามารถโจมตีเทคโนโลยีการเข้ารหัสที่มีอยู่ได้? a16z ผู้ร่วมวิจัยเชิงลึกวิเคราะห์เส้นเวลาที่แท้จริงของภัยคุกคามจากควอนตัม ชี้ให้เห็นความแตกต่างของความเสี่ยงระหว่างการเข้ารหัสและลายเซ็น และเสนอคำแนะนำ 7 ข้อสำหรับอุตสาหกรรมบล็อกเชน บทความนี้อ้างอิงจากรายงานการวิจัยของ Justin Thaler / a16z แปลและเรียบเรียงโดย 動區
(ข้อมูลเบื้องต้น: ผู้เชี่ยวชาญด้านฟิสิกส์: อีก 5 ปี คอมพิวเตอร์ควอนตัมก็สามารถโจมตีคีย์ส่วนตัวของบิทคอยน์ได้แล้ว ต้องอัปเกรด BTC ต้องหยุดทำงานทั้งหมดไหม?)
(ข้อมูลเสริม: เจาะลึกการแฮ็กบิทคอยน์ก่อนปี 2030? Google Willow “Quantum Echo” จุดชนวนการถกเถียงของผู้เชี่ยวชาญ: คีย์สาธารณะส่วนใหญ่เปิดเผยแล้ว)

สารบัญบทความ

  • เส้นเวลา: คอมพิวเตอร์ควอนตัมยังห่างไกลจากการโจมตีเทคโนโลยีการเข้ารหัสแค่ไหน?
  • การโจมตี “โจรกรรมปัจจุบัน ถอดรหัสในอนาคต”: ใครเหมาะสม? ใครไม่เหมาะสม?
  • สิ่งนี้หมายถึงอะไรสำหรับบล็อกเชน?
  • ปัญหาเฉพาะของบิทคอยน์: ทางตันด้านการบริหารและ “เหรียญนอนหลับ”
  • ต้นทุนและความเสี่ยงของลายเซ็นหลังควอนตัม
  • ความท้าทายเฉพาะของบล็อกเชนเทียบกับโครงสร้างพื้นฐานอินเทอร์เน็ต
  • เราควรรับมืออย่างไร? คำแนะนำ 7 ข้อ

คอมพิวเตอร์ควอนตัมที่สามารถโจมตีบิทคอยน์ได้เมื่อไหร่จะออกมา? เรายังห่างไกลแค่ไหน?

เมื่อไหร่คอมพิวเตอร์ควอนตัมจะสามารถแฮ็กเทคโนโลยีการเข้ารหัสที่มีอยู่ได้? คำถามนี้มักถูกเกินความเป็นจริง จนทำให้เกิดคำเรียกร้อง “ต้องเปลี่ยนไปใช้หลังควอนตัมเข้ารหัสอย่างเร่งด่วนและครอบคลุม”

แต่คำเรียกร้องเหล่านี้มักมองข้ามต้นทุนและความเสี่ยงของการเปลี่ยนแปลงก่อนเวลา รวมถึงไม่เข้าใจความแตกต่างของภัยคุกคามที่เทคโนโลยีเข้ารหัสแต่ละแบบเผชิญ:

  • การเข้ารหัสหลังควอนตัมต้องถูกนำไปใช้ทันที ไม่ว่าจะมีต้นทุนเท่าใด เพราะ “โจรกรรมปัจจุบัน ถอดรหัสในอนาคต” (HNDL) เป็นเทคนิคการโจมตีที่มีอยู่แล้ว ข้อมูลที่เข้ารหัสในปัจจุบัน แม้จะถูกโจมตีด้วยคอมพิวเตอร์ควอนตัมในอีกหลายสิบปีข้างหน้า ก็ยังคงมีคุณค่า การเข้ารหัสหลังควอนตัมอาจทำให้ประสิทธิภาพลดลงและมีความเสี่ยงในการใช้งาน แต่สำหรับข้อมูลที่ต้องเก็บเป็นความลับระยะยาว เราไม่มีทางเลือกอื่น
  • ลายเซ็นดิจิทัลหลังควอนตัมเป็นเรื่องคนละประเด็น พวกมันไม่ค่อยเสี่ยงต่อการถูกโจมตีแบบ “โจรกรรม-เก็บ-ถอดรหัส” เท่ากับการเข้ารหัส และต้นทุน/ความเสี่ยง (ขนาดใหญ่ขึ้น, ประสิทธิภาพลดลง, เทคโนโลยียังไม่สมบูรณ์, ช่องโหว่ที่อาจเกิดขึ้น) ต้องได้รับการวางแผนอย่างรอบคอบ ไม่ใช่ดำเนินการทันที

การแยกแยะจุดนี้สำคัญมาก ความเข้าใจผิดจะบิดเบือนการวิเคราะห์ต้นทุน-ผลประโยชน์ ทำให้ทีมมองข้ามความเสี่ยงด้านความปลอดภัยที่เร่งด่วนกว่า เช่น ช่องโหว่ของซอฟต์แวร์ ความสำเร็จในการเปลี่ยนผ่านเทคโนโลยีเข้ารหัสหลังควอนตัมที่แท้จริงคือการทำให้ความเร่งรีบของการดำเนินการสอดคล้องกับภัยคุกคามที่แท้จริง บทความนี้จะชี้แจงความเข้าใจผิดทั่วไปเกี่ยวกับภัยคุกคามจากการคำนวณควอนตัมต่อการเข้ารหัส รวมถึงผลกระทบต่อบล็อกเชน

เส้นเวลา: คอมพิวเตอร์ควอนตัมยังห่างไกลจากการโจมตีเทคโนโลยีการเข้ารหัสแค่ไหน?

แม้จะมีการโฆษณาเกินจริงอยู่เรื่อยๆ โอกาสที่คอมพิวเตอร์ควอนตัมที่เกี่ยวข้องกับการเข้ารหัสจะปรากฏในศตวรรษที่ 20 นี้นั้นต่ำมาก

“คอมพิวเตอร์ควอนตัมที่เกี่ยวข้องกับการเข้ารหัส” หมายถึง คอมพิวเตอร์ควอนตัมที่มีความสามารถในการแก้ไขข้อผิดพลาดและความผิดพลาด (fault-tolerant) ซึ่งสามารถรันอัลกอริทึม Shor ได้ และมีขนาดพอที่จะโจมตี ECC (เช่น secp256k1) หรือ RSA (เช่น RSA-2048) ได้ภายในเวลาที่สมเหตุสมผล (เช่น ใช้เวลารวมไม่เกินหนึ่งเดือน)

จากข้อมูลเทคโนโลยีและเป้าหมายที่เปิดเผย เรายังห่างไกลจากคอมพิวเตอร์เช่นนี้มาก แม้บริษัทบางแห่งอ้างว่าจะสามารถสร้างได้ภายในปี 2030 หรือ 2035 แต่ความก้าวหน้าที่ทราบในปัจจุบันยังไม่สนับสนุนคำกล่าวเหล่านั้น

ปัจจุบัน ไม่ว่าจะเป็น ion trap, superconductor qubits หรือ atomic systems ก็ยังไม่มีแพลตฟอร์มควอนตัมใดที่ใกล้เคียงกับการโจมตี RSA-2048 หรือ secp256k1 ซึ่งต้องการจำนวน qubits หลายแสนถึงหลายล้านตัว (ขึ้นอยู่กับอัตราความผิดพลาดและการแก้ไขข้อผิดพลาด)

อุปสรรคไม่ใช่แค่จำนวน qubits แต่รวมถึงความแม่นยำของเกต (gate fidelity), การเชื่อมต่อระหว่าง qubits, และความลึกของวงจรที่ต้องใช้ในการรันอัลกอริทึม Shor เมื่อเทคโนโลยีบางระบบมี qubits เกิน 1000 ก็ยังเป็นข้อมูลที่บิดเบือน เพราะขาดความเชื่อมโยงและความแม่นยำที่จำเป็นสำหรับการคำนวณเข้ารหัส

ระบบล่าสุดกำลังเข้าใกล้เกณฑ์ข้อผิดพลาดทางกายภาพ (physical error rate) สำหรับการแก้ไขข้อผิดพลาด แต่ยังไม่มีใครสามารถรันวงจร logic ที่มีความแม่นยำสูงและลึกหลายพันชั้น เพื่อรันอัลกอริทึม Shor ได้อย่างมั่นคง จากการพิสูจน์แนวคิดสู่การใช้งานในเชิงเข้ารหัสยังคงห่างไกลกันมาก

สรุปง่ายๆ: จนกว่าจะมีจำนวน qubits และความแม่นยำเพิ่มขึ้นหลายระดับ การสร้างคอมพิวเตอร์ควอนตัมที่สามารถโจมตีการเข้ารหัสได้ยังเป็นเรื่องไกลเกินเอื้อม

อย่างไรก็ตาม ข่าวประชาสัมพันธ์และสื่อมักสร้างความสับสน จุดที่เข้าใจผิดหลักๆ ได้แก่:

  1. การแสดง “ข้อได้เปรียบจากควอนตัม” ที่ปัจจุบันเป็นเพียงการออกแบบงานที่มีความซับซ้อนเพื่อแสดงให้เห็นว่าสามารถรันบนฮาร์ดแวร์ปัจจุบันและดูเหมือนจะเร็วขึ้นเท่านั้น ซึ่งมักถูกลดความสำคัญในโฆษณา
  2. การโฆษณา “หลายพัน qubits” มักหมายถึงเครื่องควอนตัมแบบ annealing ไม่ใช่คอมพิวเตอร์ที่สามารถรันอัลกอริทึม Shor ได้
  3. การใช้คำว่า “qubits เชิงตรรกะ” อย่างผิดๆ: qubits ทางกายภาพมีเสียงรบกวน (noise) ส่วนอัลกอริทึมที่ใช้งานจริงต้องอาศัย qubits เชิงตรรกะที่สร้างขึ้นจาก qubits ทางกายภาพผ่านการแก้ไขข้อผิดพลาด (error correction) การรันอัลกอริทึม Shor ต้องการหลายพันของ qubits เชิงตรรกะ ซึ่งแต่ละตัวต้องใช้หลายร้อยถึงหลายพัน qubits ทางกายภาพ บางบริษัทอ้างเกินจริง เช่นอ้างว่าใช้รหัสแก้ไขข้อผิดพลาด “ระยะ -2” (ซึ่งสามารถตรวจจับแต่ไม่สามารถแก้ไขข้อผิดพลาดได้) เพื่อสร้าง qubits เชิงตรรกะเพียง 2 ตัวจาก qubits ทางกายภาพ 48 ตัว ซึ่งไม่มีความหมาย
  4. การวางแผนเส้นทาง (roadmap) ที่เข้าใจผิด: เส้นทางหลายแห่งอ้างว่า “qubits เชิงตรรกะ” รองรับเฉพาะ “การดำเนินการแบบ Clifford” ซึ่งสามารถจำลองได้อย่างมีประสิทธิภาพโดยคอมพิวเตอร์คลาสสิก และไม่เพียงพอสำหรับรันอัลกอริทึม Shor ที่ต้องใช้ “กลุ่มคำสั่งนอก Clifford” (เช่น T gates) ดังนั้น แม้เส้นทางใดอ้างว่า “ใน X ปี จะมี qubits เชิงตรรกะหลายพันตัว” ก็ไม่ได้หมายความว่าบริษัทจะสามารถแฮ็กเข้ารหัสในเวลานั้น

แนวทางเหล่านี้บิดเบือนความเข้าใจของสาธารณชน (รวมถึงนักสังเกตการณ์ระดับสูง) เกี่ยวกับความก้าวหน้าของการคำนวณควอนตัม

แน่นอนว่า ความก้าวหน้าก็น่าตื่นเต้น เช่น Scott Aaronson เคยเขียนว่า ด้วย “อัตราการพัฒนาของฮาร์ดแวร์ที่น่าทึ่ง” เขาคิดว่า “ก่อนการเลือกตั้งประธานาธิบดีสหรัฐครั้งหน้า เราอาจมีคอมพิวเตอร์ควอนตัมที่สามารถรันอัลกอริทึม Shor ได้จริง” แต่เขาก็ชี้แจงว่า นั่นไม่ใช่คอมพิวเตอร์ควอนตัมที่เกี่ยวข้องกับการเข้ารหัส — แม้แต่การแยก 15=3×5 ด้วยมือก็เร็วกว่าแล้ว นั่นเป็นเพียงการแสดงระดับเล็กๆ และเป้าหมายของการทดลองเหล่านี้มักเป็นเลข 15 เพราะคำนวณง่ายกว่าเลขที่ใหญ่กว่า เช่น 21

สรุปสำคัญ: การคาดการณ์ว่าใน 5 ปีข้างหน้า จะมีคอมพิวเตอร์ควอนตัมที่สามารถโจมตี RSA-2048 หรือ secp256k1 ได้ — ซึ่งเป็นสิ่งสำคัญสำหรับการเข้ารหัสในเชิงปฏิบัติ — ไม่มีหลักฐานสนับสนุนความก้าวหน้าในปัจจุบัน แม้จะเป็น 10 ปี ก็ยังเป็นเป้าหมายที่ท้าทาย

ดังนั้น ความตื่นเต้นกับความก้าวหน้า และเส้นเวลาที่บอกว่า “อีกสิบกว่าปี” จึงไม่ขัดแย้งกัน

แล้วรัฐบาลสหรัฐฯ ตั้งเป้าให้ปี 2035 เป็นเส้นตายสำหรับการเปลี่ยนผ่านระบบราชการสู่หลังควอนตัมอย่างเต็มรูปแบบ เป็นไปได้ไหม? ผมมองว่านี่เป็นแผนเวลาที่สมเหตุสมผลสำหรับการเปลี่ยนแปลงขนาดใหญ่ แต่ไม่ได้หมายความว่าจะเกิดคอมพิวเตอร์ควอนตัมที่เกี่ยวข้องกับการเข้ารหัสในเวลานั้น

“โจรกรรมปัจจุบัน ถอดรหัสในอนาคต” สำหรับใคร? ไม่ใช่สำหรับใคร?

“โจรกรรมปัจจุบัน ถอดรหัสในอนาคต” หมายถึง ผู้โจมตีเก็บข้อมูลการสื่อสารที่เข้ารหัสไว้ในปัจจุบัน แล้วรอให้คอมพิวเตอร์ควอนตัมที่เกี่ยวข้องกับการเข้ารหัสปรากฏขึ้นในอนาคต จึงค่อยถอดรหัส สหรัฐฯ และหน่วยงานระดับชาติอาจเก็บบันทึกข้อมูลการสื่อสารของรัฐบาลไว้จำนวนมาก เพื่อรอการถอดรหัสในอนาคต

ดังนั้น การเข้ารหัสจึงต้องได้รับการอัปเกรดทันที อย่างน้อยสำหรับข้อมูลที่ต้องเก็บเป็นความลับนานกว่า 10-50 ปี

แต่ลายเซ็นดิจิทัล (ซึ่งเป็นรากฐานของบล็อกเชนทั้งหมด) แตกต่างจากการเข้ารหัสตรงที่ ไม่มีความลับที่ต้องย้อนกลับไปโจมตีในอนาคต แม้ในอนาคตคอมพิวเตอร์ควอนตัมจะปรากฏ ก็สามารถปลอมแปลงลายเซ็นได้เท่านั้น ตั้งแต่ตอนนั้นเป็นต้นไป แต่ไม่สามารถ “ถอดรหัส” ลายเซ็นในอดีตได้ ตราบใดที่คุณสามารถพิสูจน์ได้ว่าลายเซ็นนั้นสร้างขึ้นก่อนการมาของคอมพิวเตอร์ควอนตัม ก็จะไม่สามารถปลอมแปลงได้

สิ่งนี้ทำให้การเปลี่ยนผ่านไปสู่ลายเซ็นดิจิทัลหลังควอนตัมไม่เร่งด่วนเท่ากับการอัปเกรดการเข้ารหัส

แพลตฟอร์มหลักๆ ก็ทำเช่นนี้:

  • Chrome และ Cloudflare ได้เริ่มใช้งานการเข้ารหัสแบบผสมผสาน X25519 + ML-KEM สำหรับ TLS แล้ว “ผสม” หมายถึง การใช้เทคโนโลยีหลังควอนตัม (ML-KEM) ควบคู่กับเทคโนโลยีเดิม (X25519) เพื่อความปลอดภัยทั้งสองแบบ ทั้งป้องกัน HNDL และรักษาความปลอดภัยแบบคลาสสิกในกรณีที่เทคโนโลยีหลังควอนตัมมีปัญหา
  • Apple’s iMessage (โปรโตคอล PQ3) และ Signal (โปรโตคอล PQXDH และ SPQR) ก็ได้ใช้งานการเข้ารหัสแบบผสมผสานหลังควอนตัมเช่นกัน

ในทางตรงกันข้าม การใช้งานลายเซ็นดิจิทัลหลังควอนตัมในโครงสร้างพื้นฐานเครือข่ายสำคัญยังถูกเลื่อนออกไป จนกว่าคอมพิวเตอร์ควอนตัมที่เกี่ยวข้องกับการเข้ารหัสจะใกล้เข้ามา เพราะเทคโนโลยีลายเซ็นหลังควอนตัมในปัจจุบันอาจทำให้ประสิทธิภาพลดลง (รายละเอียดด้านล่าง)

Zero-knowledge proofs (zkSNARKs) ก็อยู่ในสถานะคล้ายคลึงกัน ถึงแม้ zkSNARKs ที่ไม่ปลอดภัยต่อควอนตัม (เช่น ใช้ elliptic curve cryptography) ก็ยังคงคุณสมบัติ “ศูนย์ความรู้” ที่ปลอดภัยต่อควอนตัมในตัว มันรับประกันว่าการพิสูจน์ไม่เปิดเผยข้อมูลลับใดๆ (แม้แต่คอมพิวเตอร์ควอนตัมก็ไม่สามารถโจมตีได้) ดังนั้น จึงไม่มีข้อมูลลับใดที่สามารถ “โจรกรรมในปัจจุบัน” แล้วถอดรหัสในอนาคตได้ ยิ่งไปกว่านั้น zkSNARKs ที่สร้างขึ้นก่อนการมาของคอมพิวเตอร์ควอนตัม ก็ยังคงเป็นที่เชื่อถือได้ (แม้จะใช้ elliptic curve cryptography) แต่ในอนาคต ผู้โจมตีอาจปลอมแปลงหลักฐานเท็จได้

สิ่งนี้หมายความว่าอะไรสำหรับบล็อกเชน?

โดยส่วนใหญ่แล้ว บล็อกเชนไม่ค่อยเสี่ยงต่อการถูกโจมตีแบบ HNDL

เช่นเดียวกับบิทคอยน์และอีเทอเรียมในปัจจุบัน ซึ่งเป็นเครือข่ายแบบไม่เป็นความลับ การเข้ารหัสแบบไม่ใช่หลังควอนตัมใช้สำหรับการอนุมัติธุรกรรม (เช่น ลายเซ็นดิจิทัล) ซึ่งไม่ได้เป็นความลับ การลายเซ็นเหล่านี้ไม่เสี่ยงต่อ HNDL ตัวอย่างเช่น บล็อกเชนบิทคอยน์เป็นสาธารณะ ความเสี่ยงจากภัย HNDL อยู่ที่การปลอมแปลงลายเซ็น (ขโมยเงิน) ไม่ใช่การถอดรหัสข้อมูลธุรกรรมที่เปิดเผยแล้ว ซึ่งทำให้ความเร่งด่วนด้านเทคนิคของการเปลี่ยนผ่านลดลง

น่าเสียดายที่แม้แต่หน่วยงานเช่น Federal Reserve ก็เคยรายงานผิดพลาดว่า บิทคอยน์เสี่ยงต่อ HNDL ซึ่งเป็นการเกินความเป็นจริงของความเร่งด่วนในการเปลี่ยนผ่าน

แน่นอนว่า ความเร่งด่วนลดลงไม่ได้หมายความว่าบิทคอยน์ปลอดภัย 100% มันยังต้องเผชิญกับแรงกดดันจากการเปลี่ยนแปลงโปรโตคอล ซึ่งต้องใช้ความร่วมมือระดับสังคมอย่างมาก (รายละเอียดด้านล่าง)

ข้อยกเว้นในปัจจุบันคือ เครือข่ายความเป็นส่วนตัว หลายเครือข่ายเข้ารหัสหรือซ่อนข้อมูลผู้รับและจำนวนเงิน ซึ่งข้อมูลลับเหล่านี้อาจถูกโจรกรรมในปัจจุบัน และเมื่อคอมพิวเตอร์ควอนตัมในอนาคตสามารถถอดรหัส ECC ได้ ก็สามารถย้อนรอยปลดล็อกความเป็นส่วนตัวของธุรกรรมเหล่านี้ได้ ความรุนแรงของการโจมตีขึ้นอยู่กับการออกแบบ เช่น การใช้ ring signatures ของ Monero หรือการสร้างภาพรวมของธุรกรรม ซึ่งอาจทำให้แผนผังธุรกรรมถูกสร้างใหม่ได้ หากผู้ใช้กังวลว่าธุรกรรมของตนจะถูกเปิดเผยในอนาคต ควรเปลี่ยนไปใช้เทคโนโลยีหลังควอนตัม (หรือแบบผสมผสาน) หรือใช้โครงสร้างที่ไม่สามารถถอดรหัสความลับบนบล็อกได้

ความท้าทายเฉพาะของบิทคอยน์: ทางตันด้านการบริหารและ “เหรียญนอนหลับ”

สำหรับบิทคอยน์ มีปัจจัยสองประการที่ผลักดันให้เร่งวางแผนลายเซ็นหลังควอนตัม ซึ่งทั้งสองไม่เกี่ยวข้องกับเทคโนโลยีควอนตัมโดยตรง:

  • กระบวนการบริหารช้า: การเปลี่ยนแปลงในบิทคอยน์ช้าเกินไป การถกเถียงกันอาจนำไปสู่การ fork ที่เป็นอันตราย
  • ไม่สามารถเปลี่ยนผ่านแบบ passive: ผู้ถือเหรียญต้องดำเนินการย้ายสินทรัพย์ด้วยตนเอง ซึ่งหมายความว่าเหรียญที่ถูกทิ้งไว้และอ่อนแอต่อการโจมตีด้วยควอนตัมจะไม่ได้รับการปกป้อง คาดว่าเหรียญ BTC ที่ “นอนหลับ” และอ่อนแอต่อการโจมตีด้วยควอนตัม อาจมีจำนวนหลายล้านเหรียญ มูลค่าหลายแสนล้านดอลลาร์ตามราคาปัจจุบัน

อย่างไรก็ตาม ภัยคุกคามจากควอนตัมต่อบิทคอยน์ไม่ได้เป็น “วันสิ้นโลก” ทันที แต่เป็นกระบวนการที่เลือกเป้าหมายและค่อยเป็นค่อยไป การโจมตีด้วยควอนตัมในระยะแรกจะมีต้นทุนสูงและช้า นักโจมตีจะเลือกเป้าหมายที่มีมูลค่าสูงเป็นพิเศษ

นอกจากนี้ การหลีกเลี่ยงการใช้ address ซ้ำและไม่ใช้ Taproot (ซึ่งเปิดเผยกุญแจสาธารณะบนเชนโดยตรง) ก็ช่วยให้ปลอดภัยในระดับหนึ่ง แม้จะไม่มีการอัปเกรดโปรโตคอล กุญแจสาธารณะของผู้ใช้ยังคงซ่อนอยู่หลัง hash จนกว่าจะมีการใช้จ่าย เมื่อมีการใช้จ่าย กุญแจสาธารณะจะเปิดเผย ซึ่งเป็นจุดที่นักโจมตีควรรีบคำนวณกุญแจส่วนตัวให้เร็วที่สุดเท่าที่จะทำได้

ดังนั้น เหรียญที่เสี่ยงที่สุดคือเหรียญที่กุญแจสาธารณะเปิดเผยแล้ว เช่น เหรียญ P2PK เดิม, address ที่ใช้ซ้ำ, และเหรียญที่ใช้ Taproot

สำหรับเหรียญที่ถูกทิ้งไว้และอ่อนแอ การแก้ปัญหายาก: ต้องมีข้อตกลงในชุมชนว่า “กำหนดเส้นตาย” สำหรับการอัปเกรด หากไม่ดำเนินการเหรียญจะถูกทำลาย หรือปล่อยให้คนที่มีคอมพิวเตอร์ควอนตัมในอนาคตโจมตี ซึ่งอาจก่อให้เกิดปัญหาทางกฎหมายและความปลอดภัย

ปัญหาเฉพาะของบิทคอยน์อีกประการคือ ความสามารถในการทำธุรกรรมต่ำ แม้จะมีแผนการเปลี่ยนผ่านแล้ว การดำเนินการเปลี่ยนแปลงเหรียญที่อ่อนแอทั้งหมดอาจใช้เวลาหลายเดือน

ความท้าทายเหล่านี้ทำให้บิทคอยน์ต้องเริ่มวางแผนการเปลี่ยนผ่านหลังควอนตัมตั้งแต่ตอนนี้ ไม่ใช่เพราะคอมพิวเตอร์ควอนตัมจะปรากฏในปี 2030 แต่เพราะการเปลี่ยนแปลงที่ต้องใช้เวลานาน เช่น การบริหารจัดการและเทคโนโลยี

ภัยคุกคามจากควอนตัมต่อบิทคอยน์เป็นความจริง แต่แรงกดดันด้านเวลาเกิดจากข้อจำกัดของตัวเอง ไม่ใช่จากการมาของคอมพิวเตอร์ควอนตัมในทันที

หมายเหตุ: ช่องโหว่ที่กล่าวถึงในลายเซ็นนี้ไม่ได้ส่งผลต่อความปลอดภัยทางเศรษฐกิจของบิทคอยน์ (เช่น ระบบ Proof of Work) PoW ขึ้นอยู่กับการคำนวณแฮช ซึ่งได้รับผลกระทบจากอัลกอริทึมการค้นหา Grover เป็นหลัก และการใช้งานจริงก็มีต้นทุนสูง จนแทบเป็นไปไม่ได้ที่จะเร่งความเร็วอย่างมีนัยสำคัญ แม้จะทำได้ ก็จะทำให้เหมืองขนาดใหญ่ได้เปรียบมากขึ้น ไม่ทำลายโมเดลความปลอดภัยทางเศรษฐกิจของมัน

ต้นทุนและความเสี่ยงของลายเซ็นหลังควอนตัม

ทำไมบล็อกเชนไม่ควรเร่งนำลายเซ็นหลังควอนตัมมาใช้? เราต้องเข้าใจต้นทุนด้านประสิทธิภาพและความเชื่อมั่นในเทคโนโลยีใหม่เหล่านี้ที่ยังอยู่ในระหว่างการพัฒนา

เทคโนโลยีเข้ารหัสหลังควอนตัมส่วนใหญ่อาศัยปัญหาทางคณิตศาสตร์ 5 กลุ่ม: การเข้ารหัสด้วยแฮช, การเข้ารหัสแบบรหัส, การเวกเตอร์, ระบบสมการเชิงพหุนาม, และ elliptic curve cryptography (ECC) ความหลากหลายนี้เกิดจากความสัมพันธ์ระหว่างประสิทธิภาพของแต่ละเทคโนโลยีกับโครงสร้างของปัญหา: ยิ่งมีโครงสร้างมาก โอกาสที่อัลกอริทึมโจมตีจะเจาะได้ก็ยิ่งสูง ซึ่งเป็นการชั่งน้ำหนักพื้นฐาน

  • เทคโนโลยีแฮชเป็นแบบอนุรักษ์ที่สุด (ปลอดภัยที่สุด) แต่ประสิทธิภาพต่ำ เช่น การเข้ารายชื่อด้วยแฮชที่เป็นมาตรฐานของ NIST มีขนาดอย่างน้อย 7-8 กิโลไบต์ ในขณะที่ลายเซ็น ECC ปัจจุบันมีขนาดเพียง 64 ไบต์ ซึ่งต่างกันประมาณร้อยเท่า
  • ระบบรหัส (lattice) เป็นเป้าหมายหลักของการใช้งานในปัจจุบัน NIST เลือกเทคโนโลยี ML-KEM เป็นเทคโนโลยีเข้ารหัสหลังควอนตัมเดียวที่รับรอง และมีสองในสามของลายเซ็นที่ใช้เทคโนโลยี lattice (ML-DSA, Falcon)
  • ลายเซ็น ML-DSA มีขนาดประมาณ 2.4-4.6 กิโลไบต์ ซึ่งใหญ่กว่าลายเซ็นปัจจุบันประมาณ 40-70 เท่า
  • ลายเซ็น Falcon มีขนาดเล็ก (0.7-1.3 กิโลไบต์) แต่ซับซ้อนมากในการสร้างและใช้งาน ต้องใช้การคำนวณแบบคงที่ (constant-time) ซึ่งอาจเปิดช่องโหว่ด้าน side-channel ได้ นักวิจัยหนึ่งกล่าวว่านี่เป็น “อัลกอริทึมเข้ารหัสที่ซับซที่สุดที่เคยสร้างขึ้น”
  • การใช้งานจริงมีความท้าทายมากขึ้น: ลายเซ็น lattice มีข้อมูลกลาง (intermediate values) ที่อ่อนไหวต่อความปลอดภัยและมีขั้นตอนการสุ่มที่ซับซ้อน ซึ่งต้องการการป้องกันด้าน side-channel และ fault injection ที่แข็งแกร่งขึ้น

ความเสี่ยงจากปัญหาเหล่านี้มีมากกว่าความเสี่ยงจากคอมพิวเตอร์ควอนตัมในอนาคตเสียอีก

ประสบการณ์ในอดีตสอนให้เราต้องระมัดระวัง: เทคโนโลยีที่เคยเป็นผู้นำในกระบวนการมาตรฐาน เช่น Rainbow (ลายเซ็นแบบ MQ) และ SIKE/SIDH (เข้ารหัสแบบรหัส) ก็เคยถูกโจมตีโดยคอมพิวเตอร์คลาสสิก ซึ่งแสดงให้เห็นว่าการกำหนดมาตรฐานและใช้งานล่วงหน้ามีความเสี่ยง

โครงสร้างพื้นฐานอินเทอร์เน็ตก็ระมัดระวังในการเปลี่ยนผ่านลายเซ็น ซึ่งเป็นสิ่งที่ต้องใช้เวลานาน เช่น การเปลี่ยนจาก MD5/SHA-1 ก็ใช้เวลาหลายปีและยังไม่เสร็จสมบูรณ์

ความท้าทายเฉพาะของบล็อกเชน vs. โครงสร้างพื้นฐานอินเทอร์เน็ต

ข้อดีคือ ชุมชนโอเพนซอร์สของบล็อกเชน เช่น Ethereum, Solana สามารถอัปเกรดได้เร็วกว่าโครงสร้างพื้นฐานแบบดั้งเดิม แต่ข้อเสียคือ โครงข่ายแบบดั้งเดิมสามารถเปลี่ยนคีย์บ่อยๆ เพื่อลดความเสี่ยงได้ ในขณะที่เหรียญและคีย์ที่เชื่อมโยงอาจเปิดเผยเป็นเวลานาน

โดยรวมแล้ว ควรให้บล็อกเชนเลียนแบบกลยุทธ์การเปลี่ยนผ่านลายเซ็นของโครงสร้างพื้นฐานเครือข่าย การเปลี่ยนแปลงลายเซ็นไม่ค่อยเสี่ยงต่อ HNDL แต่การเปลี่ยนแปลงก่อนเวลาอาจมีต้นทุนและความเสี่ยงสูง

แต่บล็อกเชนก็มีความซับซ้อนเฉพาะตัวที่ทำให้การเปลี่ยนแปลงล่วงหน้าเป็นอันตรายมากขึ้น เช่น:

  • ความต้องการการรวมลายเซ็น (signature aggregation): บล็อกเชนมักต้องรวบรวมลายเซ็นจำนวนมากอย่างรวดเร็ว เช่น BLS signatures ซึ่งแม้จะรวดเร็ว แต่ไม่ปลอดภัยต่อควอนตัม
  • อนาคตของ SNARKs: ปัจจุบันชุมชนสนใจ SNARK ที่อิงกับแฮชเป็นหลัก แต่เชื่อว่าในอีกไม่กี่เดือนถึงหลายปี ข้อเสนอที่อิงกับ lattice จะปรากฏขึ้น ซึ่งจะมีประสิทธิภาพดีกว่าในหลายด้าน (เช่น ความยาวของหลักฐาน)

ปัญหาที่สำคัญกว่าคือ ความปลอดภัยในการใช้งานจริง

ในอีกหลายปีข้างหน้า ช่องโหว่ด้านการใช้งานจะเป็นความเสี่ยงที่ใหญ่กว่าความเสี่ยงจากคอมพิวเตอร์ควอนตัม สำหรับ SNARKs ความเสี่ยงหลักคือช่องโหว่ของซอฟต์แวร์ เช่น บั๊กในโปรแกรม ลายเซ็นดิจิทัลและการเข้ารหัสก็มีความท้าทายอยู่แล้ว แต่ SNARKs ยิ่งซับซ้อนมากขึ้น

ความเสี่ยงด้าน side-channel และ fault injection เป็นความเสี่ยงเร่งด่วนสำหรับการใช้งานลายเซ็นหลังควอนตัม ชุมชนต้องใช้เวลาหลายปีในการเสริมความแข็งแกร่งให้กับการใช้งานเหล่านี้

ดังนั้น การเปลี่ยนผ่านก่อนเวลาอาจทำให้ติดอยู่กับเทคโนโลยีรองรับที่ไม่สมบูรณ์ หรือจำเป็นต้องเปลี่ยนอีกครั้งในอนาคตเพื่อแก้ไขช่องโหว่

เราควรรับมืออย่างไร? คำแนะนำ 7 ข้อ

จากข้อเท็จจริงข้างต้น ผมขอเสนอคำแนะนำสำหรับทุกฝ่าย (ตั้งแต่ผู้สร้างไปจนถึงผู้กำหนดนโยบาย) หลักการสำคัญคือ: ให้ความสำคัญกับภัยคุกคามจากควอนตัมอย่างจริงจัง แต่ไม่ควรคาดหวังว่าในปี 2030 จะมีคอมพิวเตอร์ควอนตัมที่เกี่ยวข้องกับการเข้ารหัสในเชิงปฏิบัติแล้ว พร้อมกันนี้ ควรดำเนินการบางอย่างตั้งแต่ตอนนี้:

  1. เริ่มใช้งานการเข้ารหัสแบบผสมผสานทันที: อย่างน้อยในพื้นที่ที่ต้องเก็บข้อมูลนานมาก เช่น เบราว์เซอร์, CDN, แอปพลิเคชันสื่อสาร (เช่น iMessage, Signal) การใช้เทคโนโลยีผสมผสาน (หลังควอนตัม + เทคโนโลยีเดิม) ช่วยป้องกัน HNDL และลดความเสี่ยงของเทคโนโลยีหลังควอนตัมที่อาจมีปัญหา
  2. สำหรับกรณีที่สามารถรับขนาดข้อมูลใหญ่ได้ ควรใช้ลายเซ็นแบบแฮชในทันที เช่น การอัปเดตซอฟต์แวร์/เฟิร์มแวร์ในกรณีที่ความถี่ต่ำและไม่เน้นขนาด การใช้ลายเซ็นแบบผสมผสาน (Hybrid Hash Signatures) เป็นแนวทางอนุรักษ์นิยมเพื่อป้องกันความเสี่ยงจากเทคโนโลยีใหม่
  3. บล็อกเชนไม่จำเป็นต้องรีบใช้ลายเซ็นหลังควอนตัม แต่ควรเริ่มวางแผนทันที:
  4. นักพัฒนาควรเลียนแบบแนวทางระมัดระวังของชุมชน PKI ของอินเทอร์เน็ต เพื่อให้เทคโนโลยีมีความพร้อมมากขึ้น
  5. บล็อกเชนสาธารณะ เช่น Bitcoin ควรกำหนดเส้นทางการเปลี่ยนผ่านและนโยบายสำหรับเหรียญ “นอนหลับ” ที่อ่อนแอต่อควอนตัม โดยเฉพาะอย่างยิ่ง ควรเริ่มวางแผนตั้งแต่ตอนนี้ เนื่องจากความท้าทายหลักไม่ใช่ด้านเทคนิค แต่เป็นด้านการบริหารและการประสานงาน
  6. ควรให้เวลาการวิจัยและพัฒนาลายเซ็นหลังควอนตัมและลายเซ็นแบบรวมกลุ่ม (Aggregatable Signatures) ที่มีความเสถียรและพร้อมใช้งานในอนาคตอีกหลายปี เพื่อหลีกเลี่ยงการล็อคตัวเองในเทคโนโลยีรองรับที่ไม่สมบูรณ์
  7. สำหรับบัญชีใน Ethereum: กระเป๋าแบบสมาร์ทคอนแทรกต์ (Upgradeable Smart Contract Wallets) อาจให้ทางเลือกที่ราบรื่นกว่าในการเปลี่ยนผ่าน แต่ความแตกต่างหลักคือ ชุมชนควรสนับสนุนการวิจัยและแผนรับมือหลังควอนตัมอย่างต่อเนื่อง การออกแบบที่แยกตัวตนของบัญชีและเทคโนโลยีลายเซ็น (เช่น การแยกบัญชีแบบออบเจ็กต์) จะให้ความยืดหยุ่นมากขึ้น ทั้งในด้านการเปลี่ยนผ่านหลังควอนตัม การสนับสนุนธุรกรรมแบบสนับสนุน และการกู้คืนทางสังคม
  8. สำหรับเครือข่ายความเป็นส่วนตัว ควรเร่งเปลี่ยนผ่าน (ถ้าประสิทธิภาพยังรับได้) เนื่องจากข้อมูลลับของผู้ใช้เสี่ยงต่อ HNDL การใช้เทคโนโลยีผสมผสานหรือปรับโครงสร้างเพื่อป้องกันความลับที่สามารถถอดรหัสได้บนบล็อกเป็นสิ่งที่ควรพิจารณา
  9. ในระยะสั้น ควรให้ความสำคัญกับความปลอดภัยของการใช้งานมากกว่าการกังวลเรื่องภัยคุกคามจากควอนตัม เช่น ช่องโหว่ในซอฟต์แวร์, การทดสอบแบบ fuzzing, การตรวจสอบเชิงฟอร์มาลา และการป้องกันเชิงลึก เพื่อไม่ให้ความกังวลเรื่องควอนตัมบดบังความเสี่ยงที่สำคัญกว่า
  10. ควรสนับสนุนการวิจัยและพัฒนาควอนตัมอย่างต่อเนื่อง ทั้งในระดับชาติและระดับอุตสาหกรรม เพื่อป้องกันความเสี่ยงด้านความมั่นคงของประเทศ หากคู่แข่งรายใดได้เปรียบในด้านเทคโนโลยีควอนตัมที่เกี่ยวข้องกับการเข้ารหัส ก็อาจเป็นภัยคุกคามร้ายแรง
  11. ควรมีมุมมองเชิงวิจารณ์ต่อข่าวสารเกี่ยวกับควอนตัมในอนาคต เพราะแต่ละความก้าวหน้าก็แสดงให้เห็นว่า เรายังห่างไกลจากเป้าหมาย ควรใช้ข่าวสารเป็นข้อมูลประกอบการวิเคราะห์อย่างมีวิจารณญาณ ไม่ใช่สัญญาณให้เราดำเนินการเร่งด่วน

แน่นอนว่า ความก้าวหน้าทางเทคโนโลยีอาจเร็วขึ้น หรืออุปสรรคอาจทำให้เป้าหมายล่าช้าออกไป ผมไม่ได้กล่าวว่าใน 5 ปีจะเป็นไปไม่ได้ แต่เชื่อว่าน้อยมาก หากปฏิบัติตามคำแนะนำข้างต้น จะช่วยลดความเสี่ยงที่ชัดเจนและเป็นไปได้มากกว่า เช่น ช่องโหว่ของซอฟต์แวร์ การเปลี่ยนผ่านที่เร่งรีบ และความผิดพลาดในการเปลี่ยนแปลงเทคโนโลยีเข้ารหัส

ดูต้นฉบับ
news.article.disclaimer
แสดงความคิดเห็น
0/400
ไม่มีความคิดเห็น