Una publicació d’Udi Wertheimer fa unes setmanes va arribar als titulars dels mitjans de comunicació criptogràfic amb una afirmació contundent: la xarxa Lightning està “trencada sense ajuda” en un món postquàntic i els seus desenvolupadors no hi poden fer res. El titular va viatjar ràpid. Per a les empreses que han construït una infraestructura de pagament real a Lightning o que l’estan avaluant, les implicacions eren inquietants.
Mereix una resposta mesurada.
Wertheimer és un desenvolupador de Bitcoin respectat i la seva preocupació subjacent és legítima: els ordinadors quàntics, si mai arriben a ser prou potents, representen un veritable repte a llarg termini per als sistemes criptogràfics dels quals depenen Bitcoin i Lightning. Aquesta part és certa, i la comunitat de desenvolupament de Bitcoin ja hi està treballant seriosament. Però l’enquadrament de Lightning com a “trencament impotent” enfosquia més del que revela, i les empreses que prenen decisions sobre infraestructura mereixen una imatge més clara.
El que Wertheimer va encertar
Els canals Lightning requereixen que els participants comparteixin claus públiques amb la seva contrapart quan obrin un canal de pagament. En un món on existeixen ordinadors quàntics criptogràficament rellevants (CRQC), un atacant que obté aquestes claus públiques podria, teòricament, utilitzar l’algoritme de Shor per derivar la clau privada corresponent i, a partir d’aquí, robar fons.
Aquesta és una propietat estructural real de com funciona Lightning. El que deixa de banda el titular
L’amenaça és molt més específica i molt més condicional que “el teu saldo Lightning pot ser robat”.
En primer lloc, els propis canals estan protegits per un hash mentre estan oberts. Les transaccions de finançament utilitzen P2WSH (Pay-to-Witness-Script-Hash), és a dir, les claus públiques brutes dins de l’arranjament multisig 2 de 2 estan amagades en cadena mentre el canal romangui obert. Els pagaments Lightning també es basen en hash, encaminats a través de HTLC (Hashed Time-Lock Contracts), que es basen en la revelació de preimatge hash en lloc de claus públiques exposades. Un atacant quàntic que vegi passivament la cadena de blocs no pot veure les claus que necessitarien.
La finestra d’atac realista és molt més estreta: un tancament forçat. Quan es tanca un canal i s’emet una transacció de compromís en cadena, l’script de bloqueig es fa visible públicament per primera vegada, inclosa la clau local_delayedpubkey, una clau pública estàndard de corba el·líptica. Per disseny, el node que l’emet no pot reclamar immediatament els seus fons: primer ha de caducar un bloqueig de temps CSV (CheckSequenceVerify), normalment de 144 blocs (unes 24 hores).
En un escenari postquàntic, un atacant que vegi el mempool podria veure que una transacció de compromís confirma, extreu la clau pública ara exposada, executa l’algoritme de Shor per derivar la clau privada i intenta gastar la sortida abans que caduqui el bloqueig de temps. Les sortides HTLC al tancament forçat creen finestres addicionals, algunes de tan curtes com 40 blocs, aproximadament sis a set hores.
Aquesta és una vulnerabilitat real i específica. Però és una carrera cronometrada contra un atacant que ha de resoldre activament un dels problemes matemàtics més difícils que existeixen, dins d’una finestra fixa, per a cada sortida individual que vulgui robar. No és un drenatge passiu i silenciós de totes les carteres Lightning simultàniament.
La comprovació de la realitat del maquinari quàntic
Aquesta és la part que rarament surt als titulars: els ordinadors quàntics criptogràficament rellevants no existeixen avui en dia i la bretxa entre on som i on hauríem d’estar és enorme.
Trencar la criptografia de la corba el·líptica de Bitcoin requereix resoldre el logaritme discret d’una clau de 256 bits, un nombre d’aproximadament 78 dígits, utilitzant milions de qubits lògics estables i corregits per errors que s’executen durant un període prolongat. El nombre més gran que s’ha fet mai amb l’algoritme de Shor en maquinari quàntic real és 21 (3 × 7), aconseguit el 2012 amb importants ajudes clàssiques de postprocessament. El registre més recent és un factoratge quàntic-clàssic híbrid d’un nombre RSA de 90 bits, un progrés impressionant, però encara aproximadament 2⁸³ vegades més petit del que es necessitaria realment per trencar Bitcoin.
La investigació quàntica de Google és real i val la pena veure-la. Les línies de temps discutit per els investigadors seriosos van des d’estimacions optimistes per a finals de la dècada de 2020 fins a projeccions més conservadores per a la dècada de 2030 o més enllà. Res d’això és “el vostre saldo Lightning està en risc avui”.
La comunitat de desenvolupament no està quieta
L’enquadrament de Wertheimer, que els desenvolupadors de Lightning són “indefensos”, també està fora d’acord amb el que realment està passant. Només des de desembre, la comunitat de desenvolupament de Bitcoin ha produït més de cinc propostes postquàntiques serioses: SHRINCS (signatures basades en hash amb estat de 324 bytes), SHRIMPS (signatures de 2,5 KB en diversos dispositius, aproximadament tres vegades més petites que l’estàndard NIST), BIP-360, el document de signatures basat en hash de Blockstream i propostes per a STARKOP_SPHINMS i STAR_OP_SPHINMS. opcodes en tapscript.
L’enquadrament correcte no és que Lightning estigui trencat i irreparable. És que Lightning, com tot Bitcoin, i com la majoria de la infraestructura criptogràfica d’Internet, requereix una actualització de la capa base per fer-se resistent al quàntic, i aquest treball està en marxa.
Què significa això per a les empreses que es basen avui en Lightning
Lightning processa el volum de pagament real per a les empreses reals d’avui, les plataformes iGaming, els intercanvis criptogràfics, els neobancs i els proveïdors de serveis de pagament que mouen diners a tot el món a fraccions d’un cèntim amb una finalitat instantània. La pregunta que s’haurien de fer les empreses no és si abandonar Lightning en funció d’una amenaça futura teòrica, sinó si els equips que construeixen la infraestructura de Lightning estan prestant atenció al que vindrà i planejant en conseqüència.
La resposta, basada en el volum i la qualitat de la investigació postquàntica que es fa a la comunitat de desenvolupament de Bitcoin en aquest moment, és sí.
La xarxa Lightning no està trencada de manera impotent. S’enfronta al mateix repte criptogràfic a llarg horitzó que tot el sistema financer digital i té una comunitat de desenvolupament que treballa activament per abordar-lo. Aquesta és una història diferent de la que explicava el titular.
