나는 양자 물리학, 특히 양자 컴퓨팅을 깊이 이해한다고 가장하지 않을 것이다. 나는 그렇지 않지만, 그 이론이 타당하다는 것을 알 만큼은 이해하고 있다.
특정 병렬화 가능한 계산 클래스의 경우, 양자 컴퓨터의 큐비트의 물리적 특성은 고전 컴퓨터보다 매우 큰 검색 공간에서 올바른 답을 찾는 것을 기하급수적으로 더 효율적으로 가능하게 한다. 우리는 여러 가지 다른 계산 문제에 대해 이러한 더 빠른 계산을 위한 수학적 알고리즘을 증명했으며, 아직 증명되지 않은 알고리즘이 더 많이 있다.
문제는 엔지니어링 관점에서 실용적으로 달성할 수 있는지, 즉 실제로 효율적이고 신뢰할 수 있으며 강력한 기계를 구축하여 실제 문제를 해결하는 데 유용한 방식으로 양자 이론을 활용할 수 있는지 여부이다.
그래서 나는 샌프란시스코의 비트코인 프레시디오에서 열린 양자 비트코인 정상 회의에 참석했다.
하루 반 동안의 작은 정상 회의에는 양자 컴퓨팅 산업의 전문가와 비트코인 개발자들이 참석했다. 양자 컴퓨팅의 현재 상태, 실용적인 양자 컴퓨터 개발 이후 우리가 다루어야 할 비트코인에 대한 특정 위험, 포스트 양자 암호화에 대한 잠재적 솔루션, 문제의 다양한 측면을 처리하는 방법에 대한 토론이 있었다.
상황의 상태
양자 컴퓨팅 프로젝트에 참여하는 다양한 회사들이 네 가지 다른 아키텍처를 개발하고 있다. 중성 원자, 포획된 이온, 초전도 회로, 그리고 광자. 이러한 다양한 물리적 플랫폼은 계산 속도, 안정성 및 기본 물리적 아키텍처의 확장성 측면에서 서로 다른 트레이드 오프를 제시한다.
이러한 다양한 플랫폼에 대한 연구는 지금까지 주로 한 가지 문제, 즉 오류 수정에 집중되어 왔다. 양자 컴퓨팅의 전체 개념은 큐비트, 즉 비트의 양자 버전에 기반하고 있다. 전통적인 컴퓨터에서는 물리적 하드웨어가 전기적 충전을 사용하여 1 또는 0을 나타내는 단일 비트의 정보를 유지한다. 큐비트는 두 상태의 중첩 상태로 존재할 수 있어 특정 병렬화 가능한 문제에 유용하다.
문제는 큐비트를 구현하기 위해 설계된 물리적 구조가 계산에 방해가 되는 노이즈에 매우 취약하다는 것이다. 따라서 오류 수정에 집중하게 되었다. 이로 인해 물리적 큐비트의 구현은 매우 중복적이었으며, 경우에 따라 안정적이고 일관되게 유지할 수 있는 “논리 큐비트”를 구현하기 위해 최대 천 개의 물리적 큐비트가 필요했다.
최근에는 물리적 큐비트와 논리적 큐비트의 비율을 낮추는 개선이 이루어졌지만, 여전히 큰 도전 과제가 남아 있다: 여러 논리 큐비트를 물리적으로 대규모로 연결하는 방법이다. 현재 이 문제에 대해 공개적으로 큰 진전은 이루어지지 않았다.
비트코인에 대한 위협
쇼어의 알고리즘은 타원 곡선 암호화(ECC)를 깨뜨릴 수 있는 양자 알고리즘이다. 만약 합리적인 시간 내에 실행할 수 있는 충분히 성능이 좋은 양자 컴퓨터가 개발된다면, 비트코인은 심각한 문제에 직면하게 된다. 현재 비트코인은 여러 가지 스크립트 템플릿과 주소 유형을 가지고 있지만, 양자 컴퓨팅과 관련하여 고려해야 할 두 가지 주요 “클래스”의 주소가 있다: 코인을 사용하기 전에 원시 공개 키를 공개하는 주소와 그렇지 않은 주소이다.
공개 키를 사용하기 전에 공개하지 않은 코인은 소유자가 코인을 사용하기 위해 공개 키를 공개할 때까지 양자 도난으로부터 안전하다. 이는 양자 컴퓨터가 거래가 확인되기 전에 공개 키를 개인 키로 역전시킬 만큼 강력할 경우에 해당한다. 이러한 주소는 원시 공개 키 대신 공개 키 해시를 사용하기 때문이다. 이러한 코인은 “단거리 공격”에 취약하다. 이미 공개 키를 공개한 코인은 언제든지 도난당할 수 있다. 이러한 코인은 “장거리 공격”에 취약하다.
장거리 공격에 취약한 코인에는 공개 키로 지불(P2PK), 다중 서명으로 지불(P2MS), 탭루트 주소(P2TR) 및 주소를 재사용하는 모든 주소 체계가 포함된다. 나머지는 단거리 공격에만 취약하다.
이는 두 가지 필요한 솔루션을 제시한다: 사용자들이 이동할 수 있는 양자 안전한 새로운 암호화 체계와, 단거리 공격에 취약한 코인을 이동하여 사용자를 보호할 수 있는 방법이다. 위협이 예상치 못하게 발생하거나 사용자가 이동하지 않은 경우에 대비하여 보호할 수 있다.
비트코인을 운영하는 사용자에게 여전히 제기되는 주요 문제는 문제가 발생할 때까지 이동하지 않은 장거리 공격에 취약한 코인을 어떻게 처리할 것인가이다.
압수할 것인가 말 것인가
장거리 양자 공격에 취약한 P2PK 주소에 거의 200만 개의 코인이 잠겨 있다. 이는 비트코인 전체 공급량의 거의 10%에 해당한다. 많은 비트코인 사용자들은 이렇게 큰 양의 코인이 공개 시장에 덤핑될 경우 비트코인 가격에 미칠 수 있는 잠재적 영향에 대해 매우 우려하고 있다.
따라서 많은 생태계 참여자들은 비트코인을 공격할 수 있는 양자 컴퓨터가 개발될 경우 이러한 코인을 소각하여 영원히 사용할 수 없도록 하자는 아이디어를 제안했다. 이는 광범위한 생태계를 보호하기 위해 압수 조치를 취할 것인지, 아니면 이동하지 않은 양자 취약 코인이 양자 공격자에게 휩쓸리고 도난당하도록 허용할 것인지에 대한 윤리적 딜레마의 핵심이 되었다.
Hunter Beast와 Michael Casey의 Hourglass와 같은 중간 지대 제안도 있다. 이는 양자 취약 코인을 동결하는 대신 단순히 제한하거나 속도를 조절하자는 것이다. Hourglass는 활성화 후 블록당 1개의 양자 취약 코인만 채굴할 수 있도록 하여 도난당한 코인이 시장에 미치는 영향을 제한하고, 실제 소유자가 개인 키를 여전히 소유하고 있다면 일부 코인을 회수할 수 있는 희박한 기회를 제공한다.
어쨌든, 만약 양자 공격자가 충분히 강력한 컴퓨터를 가지고 나타난다면, 이 문제는 결정되어야 할 것이다.
우리가 가진 도구
양자 안전 암호화와 관련하여, 우리는 격자 기반 암호화 체계 또는 해시 기반 암호화 체계 중에서 선택할 수 있는 두 가지 광범위한 옵션이 있다. 격자 기반 체계는 새로운 암호화 가정을 도입하지만, 키 집합 체계와 같은 우리가 구축할 때 가정해온 기능을 지원한다. 해시 기반 체계는 키 집합 체계를 지원하지 않거나 개인 키 자료 없이 결정론적 공개 키 생성을 지원하지 않지만, 새로운 암호화 가정을 도입하지 않는다. 해시 함수는 일반적으로 양자 저항성이 있는 것으로 알려져 있으며, 해시 함수의 난이도는 암호화 보안에 관한 유일한 가정이다.
해시 기반 서명 체계는 격자 기반 체계보다 훨씬 큰 서명을 생성하지만, 두 체계 모두 ECC 서명보다 상당히 크다. 어떤 체계가 선택되든, 포스트 양자 서명 체계의 채택으로 블록체인의 처리량이 대폭 감소할 것이다. 이는 수용해야 하거나, 큰 양자 증인 할인을 통해 블록 무게를 비례적으로 증가시켜야 하며, 전체 노드를 운영하는 비용이 크게 증가할 것이다.
이동 체계 측면에서, 두 가지 주요 경로가 있다: 커밋-리빌 방식 또는 개인 키와 관련된 비밀을 제어한다는 것을 증명하는 제로 지식 증명 방식이다. 후자는 계몽 단어 씨드를 사용하여 생성된 키에 저장된 코인에 대해서만 작동한다.
커밋-리빌 방식은 먼저 지출 거래의 해시를 커밋하지 않고 단거리 공격에 취약한 코인의 지출을 무효화한다. 사용자는 양자 안전한 코인을 사용하여 취약한 코인이 지출되도록 커밋할 수 있으며, 그 후 충분한 작업 증명 아래에 묻힌 후에야 양자 안전 주소로 이동하는 실제 거래가 확인될 수 있다.
제로 지식 방식은 공개 키를 공개하지 않은 관련 키 또는 비밀을 제어한다는 제로 지식 증명을 생성하는 데 사용될 수 있다. 모든 취약한 코인은 지출하기 위해 그러한 증명이 필요하도록 제한될 수 있다. 증명은 공격자가 절대 발견할 수 없는 키를 사용하여 생성해야 하므로, 공개 키가 공개되지 않기 때문에 공격자가 생성할 수 없도록 해야 한다. 그러나 이는 결정론적 지갑이 발명되기 전에 만들어진 주소에 저장된 코인에는 사용할 수 없다.
그렇다면 우리는 무엇을 해야 하는가?
양자 컴퓨팅 이론은 정당하며, 비트코인은 강력한 양자 컴퓨터에 시스템적으로 취약하다. 그렇다면 우리는 무엇을 해야 할까?
나는 개인적으로 대규모 근본적인 돌파구가 바로 코앞에 있다고 확신하지 않지만, 그것들이 불가능하다고도 확신하지 않는다. 솔직히 말해서, 나는 진정으로 독립적으로 평가할 수 있는 능력이 없다. 내가 아는 것은 이러한 돌파구가 발생할 가능성에 대해 방어 조치를 취하는 데 필요한 최소한의 도구가 있다는 것이다.
주소를 재사용하지 않고 취약한 주소 유형을 사용하지 않는 것은 장거리 공격으로부터 코인을 안전하게 지키고 이동 프로토콜을 사용할 수 있게 한다. 대규모 거래소와 경제적 행위자들이 이러한 기본적인 조치를 취하는 것이 특히 중요하다. 만약 이것이 당신에게 우려가 된다면, 그러한 조치를 취하거나, 우려가 된다면 그러한 주소로 이동할 준비를 하라.
적극적인 변화 측면에서, 해시 기반 서명 체계는 새로운 가정 없이 양자 안전한 것으로 알려져 있으며, Hourglass v1 및 전면적인 코인 압수는 시스템적 시장 위험을 처리하기 위해 간단하게 변경할 수 있다(이 문제에 대해 아무것도 하지 않는 것은 훨씬 더 쉽다). 커밋-리빌 및 제로 지식 이동 체계는 위협이 이미 현실이 된 후 코인을 이동할 수 있는 수단을 제공한다.
우리는 이러한 간단한 제안들을 배포 준비가 된 상태로 만들거나, 도달하기 위한 작업량을 최소화할 수 있는 장소에 두고, 그 후에는 우려하는 사람들이 계속해서 이 주제에 대해 논의하고 연구하는 동안 상황을 주시해야 한다.
오늘 하늘이 무너지는 것은 아니며, 아마도 결코 무너지지 않을 것이다. 이는 사람들이 밤에 잠을 이루지 못하게 할 문제는 아니지만, 우리가 완전히 무시해서는 안 되는 문제이기도 하다. 우리는 이미 최소한의 실행 가능한 솔루션을 갖추고 있으며, 이를 합리적인 상태로 만들고, 그 후에는 이 문제에 더 많은 자원을 집단적으로 할당해야 할 신호가 있는지 상황을 계속 모니터링해야 한다.
그러나 우리가 절대 하지 말아야 할 한 가지는, 공황 상태에 빠져 모든 다른 문제보다 이 문제에 시간과 자원을 맹목적으로 쏟는 것이다.
이 문제에 대해 더 알고 싶다면, 정상 회의 참석자들과의 인터뷰를 주목하라. 여기에서 기록된 발표를 시청할 수도 있다:
