الحوسبة الكمومية والبلوكشين: مطابقة الإلحاح مع التهديد الفعلي

كتبه جاستن ثالر

التجميع: البلوكشين العامي

غالبا ما يكون الجدول الزمني لحواسيب الكمومية المرتبطة بالتشفير مبالغا فيه – مما يؤدي إلى الحاجة إلى انتقال عاجل وشامل إلى التشفير ما بعد الكم.

لكن هذه المكالمات غالبا ما تتجاهل التكاليف والمخاطر الناتجة عن الهجرة المبكرة وملفات المخاطر المختلفة تماما بين البدائيات التشفيرية:

يتطلب التشفير بعد الكم نشرا فوريا رغم تكلفته: "هجمات Harvest-Now-Decrypt-Later (HNDL) جارية بالفعل، حيث ستظل البيانات الحساسة المشفرة اليوم ذات قيمة عند وصول الحواسيب الكمومية، حتى لو كان ذلك بعد عقود من الآن. المخاطر التشغيلية والمخاطر التنفيذية للتشفير بعد الكم حقيقية، لكن هجمات HNDL لا تترك بيانات تتطلب سرية طويلة الأمد بلا بديل.

تواجه التواقيع ما بعد الكم اعتبارات مختلفة. فهي أقل عرضة لهجمات HNDL، وتكلفتها ومخاطرها (الحجم الأكبر، العبء التشغيلي للأداء، التنفيذ غير الناضج، والأخطاء) تتطلب دراسة مدروسة بدلا من الانتقال الفوري.

هذه الفروق حاسمة. يمكن أن تؤدي سوء الفهم إلى تحليل التكلفة والفائدة، مما يدفع الفرق إلى تجاهل المخاطر الأمنية الأبرز مثل الأخطاء.

التحدي الحقيقي للانتقال الناجح إلى التشفير ما بعد الكمومي يكمن في مواءمة الإلحاح مع التهديدات الحقيقية. فيما يلي، سأسلط الضوء على المفاهيم الخاطئة الشائعة حول تهديد التشفير الكمومي – بما يشمل التشفير، والتواقيع، وبراهين المعرفة الصفرية – مع التركيز بشكل خاص على تأثيرها على البلوك تشين.

كيف تسير جدولنا الزمني؟

على الرغم من الادعاءات البارزة، فإن احتمالية وجود حواسيب كمومية مرتبطة بالتشفير (CRQCs) في عشرينيات القرن الحادي والحادي والعشرين منخفضة للغاية.

ب “الحواسيب الكمومية المرتبطة بالتشفير”، أعني حاسوب كموري متحمل للأخطاء ومصحح أخطاء قادر على تشغيل خوارزميات Shor على نطاق كاف لكسر {secp}256{k}1 أو {RSA-2048} ويهاجم تشفير المنحنى الإهليلجي أو RSA ضمن إطار زمني معقول (مثلا، حتى شهر من الحوسبة المستمرة).

استنادا إلى أي تفسير معقول للمعالم العامة وتقديرات الموارد، ما زلنا بعيدين عن الحواسيب الكمومية المرتبطة بالتشفير. تدعي الشركات أحيانا أن CRQC قد تظهر قبل عام 2030 أو قبل عام 2035 بكثير، لكن التقدمات المعروفة علنا لا تدعم هذه الادعاءات.

للسياق، في جميع البنى الحالية – الأيونات المحبوسة، الكيوبتات فائقة التوصيل، والأنظمة الذرية المحايدة – لا تقترب منصات الحوسبة الكمومية اليوم من مئات الآلاف إلى الملايين من الكيوبتات الفيزيائية المطلوبة لتشغيل هجوم خوارزمية شور {RSA-2048} أو {secp}256{k}1 (اعتمادا على معدلات الخطأ وأنظمة تصحيح الأخطاء).

العوامل المحدودة ليست فقط عدد الكيوبتات، بل أيضا دقة البوابات، والاتصال بالكيوبت، وعمق دوائر تصحيح الأخطاء المستمرة المطلوبة لتشغيل خوارزميات كمومية عميقة. بينما تتجاوز بعض الأنظمة الآن 1000 كيوبت فيزيائي، فإن عدد الكيوبت الخام نفسه مضلل: هذه الأنظمة تفتقر إلى الاتصال الكيوبت ودقة البوابات المطلوبة للحسابات المتعلقة بالتشفير.

الأنظمة الحديثة قريبة من معدل الخطأ الفيزيائي الذي يظهر فيه تصحيح الأخطاء الكمومي، لكن لم يثبت أحد أن عددا كبيرا جدا من الكيوبتات المنطقية لها عمق دائرة تصحيح أخطاء مستمر… ناهيك عن آلاف الكيوبتات المنطقية عالية الدقة، الدوائر العميقة، والمقاومة للأعطال اللازمة لتشغيل خوارزمية Shor فعليا. الفجوة بين إثبات أن تصحيح الأخطاء الكمومي ممكن من حيث المبدأ والحجم المطلوب لتحقيق تحليل التشفير لا تزال كبيرة.

باختصار: ما لم يزد عدد الكيوبتات والدقة بعدة مراتب حجم، فإن الحواسيب الكمومية المرتبطة بالتشفير لا تزال بعيدة المنال.

ومع ذلك، قد تكون البيانات الصحفية للشركات والتغطية الإعلامية مربكة. فيما يلي بعض المصادر الشائعة للسوء فهم والارتباك، منها:

العروض التي تدعي “الأفضلية الكمومية” تستهدف حاليا مهام صممها الإنسان. تم اختيار هذه المهام ليس لفائدتها، بل لأنها يمكن أن تعمل على أجهزة موجودة مع ظهور الكثير من التسارع الكمومي – وهي حقيقة غالبا ما يتم تجاهلها في الإعلانات.

تدعي الشركة أنها حققت آلاف الكيوبتات الفيزيائية. لكن هذا يشير إلى أجهزة التلدين الكمومية، وليس آلات نماذج البوابات اللازمة لتشغيل خوارزمية شور لمهاجمة التشفير بالمفتاح العام.

تستخدم الشركة بحرية مصطلح “الكيوبتات المنطقية”. الكيوبتات الفيزيائية تكون صاخبة. كما ذكر سابقا، تتطلب خوارزميات الكم الكيوبتات المنطقية؛ خوارزمية شور تتطلب آلافا. مع تصحيح الأخطاء الكمومية، يمكن تنفيذ كيوبت منطقي باستخدام العديد من الكيوبتات الفيزيائية – عادة من مئات إلى آلاف، حسب معدل الخطأ. لكن بعض الشركات مدت هذا المصطلح إلى ما يتجاوز الشهرة. على سبيل المثال، إعلان حديث ادعى استخدام مسافة 2 ياردة وتنفيذ كيوبت منطقي يحتوي فقط على كيوبتين ماديين. هذا أمر سخيف: مسافة 2 ياردة تكتشف الأخطاء فقط، لا تصححها. الكيوبتات المنطقية المتسامحة حقا مع الأخطاء لتحليل التشفير تتطلب مئات إلى آلاف الكيوبتات الفيزيائية لكل منها بدلا من اثنين.

بشكل عام، تستخدم العديد من خرائط طريق الحوسبة الكمومية مصطلح “الكيوبتات المنطقية” للإشارة إلى الكيوبتات التي تدعم فقط عمليات كليفورد. يمكن تنفيذ هذه العمليات بكفاءة في المحاكاة الكلاسيكية، لذا فهي ليست كافية لتشغيل خوارزمية شور، التي تتطلب آلاف بوابات T لتصحيح الأخطاء (أو بشكل أعم، بوابات غير كليفورد).

حتى لو كانت إحدى خرائط الطريق تهدف إلى “تحقيق آلاف الكيوبت المنطقية في السنة X”، فهذا لا يعني أن الشركة تتوقع تشغيل خوارزمية Shor لفك التشفير الكلاسيكي في نفس السنة X.

لقد شوهت هذه الممارسات بشكل كبير تصور الجمهور عن مدى قربنا من الحواسيب الكمومية المرتبطة بالعملات المشفرة، حتى بين المراقبين المعروفين.

ومع ذلك، بعض الخبراء متحمسون جدا للتقدم. على سبيل المثال، كتب سكوت آرونسون مؤخرا أنه بالنظر إلى “السرعة المذهلة الحالية لتطوير الأجهزة,”

أعتقد الآن أنه من الممكن أن يكون لدينا حاسوب كمومي متسامح مع الأعطال يشغل خوارزمية شور قبل الانتخابات الرئاسية الأمريكية القادمة.

لكن آرونسون أوضح لاحقا أن تصريحه لا يعني وجود حواسيب كمومية مرتبطة بالتشفير: فقد جادل بأن حتى خوارزمية شور المتسامحة تماما مع الأخطاء التي تعمل بتحليل 15 = 3 \مضروب في 5 تعتبر تنفيذا — وأن الحساب يمكن إجراؤه بشكل أسرع بكثير باستخدام القلم والورق. المعيار لا يزال تنفيذ خوارزمية شور على نطاق صغير، بدلا من نطاق مرتبط بالتشفير، حيث استخدمت تجارب سابقة لتحليل 15 على حاسوب كمومي دوائر مبسطة بدلا من خوارزمية شور كاملة ومتسامحة مع الأخطاء. وهناك سبب يجعل هذه التجارب دائما تأخذ الرقم 15 في الحساب الحسابي: حساب المعامل 15 سهل، بينما تحليل عدد أكبر قليلا مثل 21 أصعب بكثير. لذلك، غالبا ما تعتمد التجارب الكمومية التي تدعي تفكيك 21 على تلميحات أو اختصارات إضافية.

بعبارات بسيطة، توقع وجود حاسوب كموري مرتبط بالتشفير قادر على اختراق {RSA-2048} أو {secp}256{k}1 خلال السنوات الخمس القادمة – وهو أمر حاسم للتشفير الفعلي – لا يدعمه التقدم المعروف علنا.

حتى لو كانت 10 سنوات لا تزال طموحا. بالنظر إلى مدى بعدنا عن الحواسيب الكمومية المتعلقة بالعملات الرقمية، فإن الحماس للتقدم يتناسب تماما مع الجدول الزمني الذي يزيد عن عقد من الزمن.

فماذا عن الموعد النهائي للحكومة الأمريكية في عام 2035 للهجرة الكاملة بعد الكمية (PQ) لأنظمة الحكومة؟ أعتقد أن هذا جدول زمني معقول لإكمال هذا الانتقال الواسع النطاق كهذا. ومع ذلك، ليس من المتوقع أن توجد حواسيب كمومية مرتبطة بالتشفير في ذلك الوقت.

ما هي الحالات التي تنطبق عليها هجمات HNDL (وأيها لا)؟

هجمات Acquire now, decrypt later (HNDL) هي عندما يخزن الخصم حركة مرور مشفرة بين الحين والآخر عندما يكون هناك كمبيوتر كمومي مرتبط بالتشفير. الخصوم على مستوى الدول القومية بالتأكيد بدأوا بالفعل في أرشفة الاتصالات المشفرة بشكل ضخم من الحكومة الأمريكية لفك تشفيرها بعد سنوات من وجود CRQC.

لهذا السبب تحتاج العملات الرقمية إلى انتقال فوري – على الأقل لأي شخص لديه احتياجات سرية لأكثر من 10-50 سنة.

لكن التواقيع الرقمية — التي تعتمد عليها جميع سلاسل الكتل — تختلف عن علم التشفير: لا توجد سرية لتتبع الهجوم.

بعبارة أخرى، يصبح تزوير التوقيعات ممكنا بالفعل من ذلك الحين فصاعدا إذا وصلت حواسيب كمومية مرتبطة بالتشفير، لكن التواقيع في الماضي لا “تخفي” الأسرار مثل الرسائل المشفرة. طالما أنك تعلم أن التوقيع الرقمي تم إنشاؤه قبل وصول CRQC، فلا يمكن تزويره.

وهذا يجعل الانتقال إلى التوقيعات الرقمية بعد الكم أقل إلحاحا من الانتقال بعد التشفير الكمومي.

تتصرف المنصات الكبرى وفقا لذلك: فقد قدمت كروم وكلاودفلير نظام هجين {X}25519+{ML-KEM} لتشفير طبقة نقل الشبكة (TLS).

في هذا المقال، لتسهيل القراءة، أستخدم أنظمة التشفير، رغم أن بروتوكولات الاتصال الآمنة مثل TLS تستخدم آليات تبادل المفاتيح أو تغليف المفاتيح بدلا من تشفير المفتاح العام.

كلمة ** “الهجين” هنا تعني استخدام كل من نظام الأمان بعد الكمومي (أي ML-KEM) والمخطط الحالي ({X}25519) للحصول على ضمان أمني مشترك لكليهما. وبهذه الطريقة، يمكنها (نأمل) صد هجمات HNDL باستخدام ML-KEM، مع الحفاظ على أمان كلاسيكي عبر {X}25519 في الحالات التي ثبت فيها ML-KEM أنه غير آمن حتى لأجهزة الكمبيوتر الحالية.

كما نشر iMessage من آبل هذا التشفير الهجين بعد الكم من خلال بروتوكول PQ3، كما نشرته Signal عبر بروتوكولات PQXDH وSPQR.

على النقيض من ذلك، يتم تأجيل نشر التواقيع الرقمية ما بعد الكم في البنية التحتية الحرجة للشبكات حتى تقترب الحواسيب الكمومية المرتبطة بالتشفير فعليا، حيث تؤدي أنظمة ما بعد التوقيع الكمومي الحالية إلى تدهور الأداء (سنتحدث عن ذلك لاحقا).

zkSNARKs – حجج معرفية موجزة وغير تفاعلية ذات معرفة صفرية، وهي مفتاح قابلية البلوكشين للتوسع والخصوصية على المدى الطويل – في وضع مشابه للتوقيعات. وذلك لأن خصائص المعرفة الصفرية لديهم آمنة بعد الكم حتى بالنسبة لأنظمة {zkSNARKs} غير الآمنة بعد الكمومية (التي تستخدم التشفير بالمنحنى الإهليلجي، كما هو الحال مع التشفير غير ما بعد الكمومي ومخططات التوقيع اليوم).

تضمن صفة المعرفة الصفرية عدم كشف أي معلومات عن الشهود السريين في الإثبات – حتى للخصم الكمومي – لذا لا تتوفر معلومات سرية ل “الحصول الأول” لفك التشفير لاحقا.

لذلك، فإن {zkSNARKs} غير عرضة لهجمات الجلب أولا لفك التشفير. تماما كما أن التواقيع غير ما بعد الكمومية المولدة اليوم آمنة، فإن أي دليل {zkSNARK} تم إنشاؤه قبل وصول الحواسيب الكمومية المرتبطة بالتشفير جدير بالثقة (أي أن العبارات المثبتة صحيحة تماما) – حتى لو استخدم {zkSNARK} التشفير بالمنحنى البيضاوي. فقط بعد وصول الحواسيب الكمومية ذات الصلة تشفيريا يمكن للمهاجمين إيجاد دليل مقنع على التصريحات الخاطئة.

ماذا يعني هذا بالنسبة للبلوكشين

معظم سلاسل الكتل غير معرضة لهجمات HNDL:

معظم سلاسل غير الخصوصية، مثل البيتكوين والإيثيريوم اليوم، تستخدم بشكل أساسي التشفير غير الكمومي لتفويض المعاملات – أي أنها تستخدم التوقيعات الرقمية وليس التشفير.

مرة أخرى، هذه التواقيع ليست مخاطر HNDL: هجمات “احصل أولا وفك التشفير لاحقا” مناسبة لتشفير البيانات. على سبيل المثال، بلوك تشين بيتكوين هو عام؛ التهديد الكمي هو تزوير التوقيعات (اشتقاق مفاتيح خاصة لسرقة الأموال) بدلا من فك تشفير بيانات المعاملات التي تم نشرها بالفعل. هذا يلغي الحاجة الفورية للتشفير التي تأتي مع هجمات HNDL.

للأسف، حتى تحليل من مصدر موثوق مثل الاحتياطي الفيدرالي يدعي زورا أن البيتكوين معرض لهجمات HNDL، وهو خطأ يبالغ في أهمية الانتقال إلى التشفير بعد الكم.

ومع ذلك، فإن انخفاض الحاجة الملحة لا يعني أن البيتكوين يمكنه الانتظار: فهو يواجه ضغوطا زمنية مختلفة بسبب التنسيق الاجتماعي الهائل المطلوب لتغيير البروتوكول.

الاستثناء الوحيد حتى اليوم هو سلاسل الخصوصية، التي يقوم العديد منها بتشفير أو إخفاء المستلم والمبلغ. بمجرد أن تتمكن الحواسيب الكمومية من فك تشفير المنحنى البيضاوي، يمكن الآن الحصول على هذه السرية وإلغاء هويتها بأثر رجعي.

بالنسبة لمثل هذه سلاسل الخصوصية، تختلف شدة الهجوم حسب تصميم البلوكشين. على سبيل المثال، بالنسبة لتوقيع الحلقة المعتمد على منحنى وصورة المفتاح من مونيرو (وهو تسمية قابلية الربط لكل مخرج يستخدم لإيقاف الإنفاق المزدوج)، فإن السجل العام وحده كاف لإعادة بناء رسم الإنفاق بأثر رجعي. لكن في سلاسل أخرى، الضرر أكثر محدودية – راجع مناقشة مهندس وباحث العملات الرقمية في زيكاش شون بو لمزيد من التفاصيل.

إذا كان من المهم ألا تكشف معاملات المستخدمين بواسطة الحواسيب الكمومية المرتبطة بالتشفير، فيجب أن تنتقل سلاسل الخصوصية إلى البدائيات ما بعد الكم (أو المخططات الهجينة) في أقرب وقت ممكن. بدلا من ذلك، يجب أن تعتمد بنية تتجنب وضع الأسرار القابلة لفك التشفير على السلسلة.

لغز البيتكوين الخاص: الحوكمة + العملات المهجورة

بالنسبة للبيتكوين على وجه الخصوص، هناك حقيقتان تدفعان إلى الانتقال الملح نحو التوقيعات الرقمية ما بعد الكمومية. ولا علاقة لأي منهما بتقنية الكم.

أحد المخاوف هو سرعة الحوكمة: البيتكوين بطيء في التغير. إذا لم يتفق المجتمع على حل مناسب، يمكن لأي قضية مثيرة للجدل أن تؤدي إلى انقسام صلب.

هناك قلق آخر وهو أن التواقيع الكمومية لا يمكن نقلها بشكل سلبي بعد تبديل البيتكوين: يجب على المالكين ترحيل عملاتهم بنشاط. وهذا يعني أن العملات المهجورة والمعرضة للكموم لا يمكن حمايتها. تشير بعض التقديرات إلى أن كمية البيتكوين المعرضة للكموم وربما المهجورة بالملايين، والتي تبلغ قيمتها عشرات المليارات من الدولارات بالأسعار الحالية (حتى ديسمبر 2025).

ومع ذلك، لن يكون التهديد الكمي للبيتكوين كارثة مفاجئة بين عشية وضحاها… إنها أشبه بعملية استهداف انتقائية وتدريجية. الحواسيب الكمومية لا تكسر جميع التشفير في نفس الوقت – يجب على خوارزمية شور أن تستهدف مفتاحا عاما واحدا في كل مرة. الهجمات الكمومية المبكرة ستكون مكلفة جدا وبطيئة للغاية. لذلك، بمجرد أن يتمكن الحاسوب الكمومي من اختراق مفتاح توقيع بيتكوين واحد، سيستغل المهاجمون محافظ عالية القيمة بشكل انتقائي.

بالإضافة إلى ذلك، فإن المستخدمين الذين يتجنبون إعادة استخدام العناوين ولا يستخدمون عناوين Taproot — التي تكشف المفاتيح العامة مباشرة عبر السلسلة — محميون إلى حد كبير، حتى بدون تغييرات في البروتوكول: حيث يتم إخفاء مفاتيحهم العامة خلف وظائف التجزئة قبل صرف عملاتهم. عندما يبثون أخيرا معاملة إنفاق، يصبح المفتاح العام مرئيا، ويحدث سباق فوري قصير بين المنفقين الصادقين الذين يحتاجون إلى تأكيد المعاملة والمهاجمين المجهزين بالكموم الذين يريدون العثور على المفاتيح الخاصة وإنفاق تلك العملات قبل إتمام المعاملة من قبل المالك الحقيقي. لذلك، العملات التي تكون عرضة للخطر حقا هي تلك التي تم كشف مفاتيحها العامة: مخرجات K المبكرة من نظير إلى نظير، عناوين معاد استخدامها، وممتلكات Taproot.

لا يوجد حل سهل للعملات الضعيفة التي تم التخلي عنها. بعض الخيارات تشمل:

يوافق مجتمع البيتكوين على “يوم العلامة” الذي يعلن بعده عن حرق أي عملات لم يتم نقلها.

ترك العملات الكمومية الضعيفة يمكن أن يأخذها بسهولة أي شخص لديه حواسيب كمومية مرتبطة بالتشفير.

الخيار الثاني يخلق قضايا قانونية وأمنية خطيرة. استخدام الحواسيب الكمومية لامتلاك عملات بدون مفتاح خاص – حتى لو ادعى أن لها ملكية قانونية أو نوايا حسنة – يمكن أن يسبب مشاكل خطيرة بموجب قوانين السرقة والاحتيال الحاسوبي في العديد من الولايات القضائية.

بالإضافة إلى ذلك، فإن “الهجر” نفسه يستند إلى افتراض عدم النشاط. لكن لا أحد يعرف حقا إذا كانت هذه العملات تفتقر إلى مالكين أحياء بمفاتيح. قد لا يكون الدليل على أنك تملك هذه العملات كافيا لمنح تفويض قانوني لكسر حماية العملات الرقمية لاستعادتها. هذا الغموض القانوني يزيد من احتمال وقوع العملات الكمومية المهجورة المعرض للخطر في أيدي جهات خبيثة مستعدة لتجاهل القيود القانونية.

المشكلة الأخيرة الفريدة للبيتكوين هي انخفاض معدل نقل المعاملات. حتى إذا تم الانتهاء من خطة الهجرة لترحيل جميع الأموال المعرضة للكموم إلى عناوين ما بعد التأمين الكمومي، فسيستغرق الأمر شهورا بمعدل معاملات البيتكوين الحالي.

تجعل هذه التحديات من الضروري أن يبدأ البيتكوين في التخطيط لانتقاله بعد الكم الآن – ليس لأن الحواسيب الكمومية المرتبطة بالعملات الرقمية قد تصل قبل عام 2030، بل لأن الحوكمة والتنسيق واللوجستيات التقنية المطلوبة لنقل العملات التي تساوي مليارات الدولارات ستستغرق سنوات لحلها.

التهديد الكمومي للبيتكوين حقيقي، لكن الضغط في الخط الزمني يأتي من حدود البيتكوين نفسها، وليس من الحاسوب الكمومي الوشيك. بينما تواجه سلاسل الكتل الأخرى تحدياتها الخاصة مع تمويلها المشمول للكموميات، تواجه البيتكوين تعفدا فريدا: حيث استخدمت أولى معاملاتها مخرجات الدفع إلى المفتاح العام (نظير إلى نظير K)، مما وضع المفاتيح العامة مباشرة على السلسلة، مما يجعل جزءا كبيرا من البيتكوين عرضة بشكل خاص لأجهزة الكمبيوتر الكمومية المرتبطة بالتشفير. هذا الاختلاف التقني—إلى جانب عمر البيتكوين، وتركيز القيمة، وانخفاض معدل الإنتاجية، والحوكمة الصارمة—يجعل المشكلة خطيرة بشكل خاص.

لاحظ أن الثغرة التي وصفتها أعلاه تنطبق على أمان التشفير لتوقيعات البيتكوين الرقمية – لكنها لا تنطبق على الأمان الاقتصادي لبلوكشين البيتكوين. ينبع هذا الأمن الاقتصادي من آلية إثبات العمل (PoW)، التي تكون أقل عرضة لهجمات الحواسيب الكمومية لثلاثة أسباب:

تعتمد PoW على التجزئة، لذا فهي تتأثر فقط بالتسارع الكمومي التربيعي لخوارزمية بحث جروفر وليس بالتسارع الأسي لخوارزمية شور.

التكاليف الفعلية لتنفيذ عمليات البحث في جروفر تجعل من غير المرجح جدا أن يتمكن أي حاسوب كمومي من تحقيق تسريع فعلي متوسط على آلية إثبات العمل في بيتكوين.

حتى إذا تم تحقيق تسارعات كبيرة، فإن هذه التسارعات ستمنح المعدنين الكموميين الكبار ميزة على المعدنين الأصغر حجما دون أن تضعف بشكل أساسي نموذج الأمان الاقتصادي للبيتكوين.

تكلفة ومخاطر التواقيع ما بعد الكمومية

لفهم سبب عدم ضرورة التسرع في نشر التوقيعات بعد الكمومية، نحتاج إلى فهم تكلفة الأداء وثقتنا بأن الأمن بعد الكمومي لا يزال يتطور.

تعتمد معظم التشفير ما بعد الكم على إحدى الطرق الخمس التالية:

هاش (hashing)

(codes) الترميز

(lattices) الشبكة

(multivariate الأنظمة التربيعية، MQ)

مرتبط (isogenies).

لماذا هناك خمسة طرق مختلفة؟ أمان أي بدائيات التشفير بعد الكم يستند إلى افتراض أن الحواسيب الكمومية لا يمكنها حل مشاكل رياضية محددة بفعالية. كلما كانت المشكلة أكثر “هيكلية”، زادت كفاءة بروتوكول التشفير الذي يمكننا بناؤه منها.

لكن لهذا إيجابيات وعيوب: الهيكل الإضافي يخلق أيضا مجالا أكبر لخوارزميات الهجوم للاستغلال. وهذا يخلق تناقضا جوهريا – فالافتراضات الأقوى تؤدي إلى أداء أفضل، ولكن على حساب الثغرات الأمنية المحتملة (أي زيادة احتمال خطأ الافتراضات).

بشكل عام، الأساليب القائمة على التجزئة هي الأكثر تحفظا من حيث الأمان، حيث نحن واثقون جدا من أن الحواسيب الكمومية لن تكون قادرة على مهاجمة هذه البروتوكولات بفعالية. لكنهم أيضا أسوأ الأداء. على سبيل المثال، مخططات التوقيع الموحدة من NIST تعتمد على التجزئة بحجم 7-8 كيلوبايت، حتى مع إعدادات الحد الأدنى للمعلمات. بالمقارنة، فإن توقيعات المنحنى البيضاوي اليوم هي فقط 64 بايت. هذا فرق في الحجم حوالي 100 مرة.

حلول الشبكة هي التركيز الرئيسي لعمليات نشر اليوم. اختارت NIST المخطط التشفير الفريد للتوحيد القياسي، واثنتان من الخوارزميات الثلاث التوقيعية تعتمد على الشبكة. أحد أنظمة الشبكة (ML-DSA، المعروف سابقا باسم ديليثيوم) ينتج توقيعات تتراوح حجمها من 2.4 كيلوبايت (عند مستوى أمان 128 بت) إلى 4.6 كيلوبايت (عند مستوى أمان 256 بت) – مما يجعله أكبر بحوالي 40-70 مرة من توقيعات المنحنى البيضاوي الحالية. مخطط شبكة آخر، فالكون، له توقيع أصغر قليلا (666 بايت لفالكون-512 و1.3 كيلوبايت لفالكون-1024) لكنه يحتوي على عمليات معقدة للفاصلة العائمة، والتي تصنفها NIST نفسها كتحدي تنفيذ خاص. توماس بورنين، أحد مبتكري فالكون، وصفها بأنها “أكثر خوارزمية تشفير معقدة قمت بتنفيذها على الإطلاق.”

أمان تنفيذ التواقيع الرقمية القائمة على الشبكة أكثر تحديا من أنظمة التوقيع المعتمدة على المنحنى البيضاوي: حيث يحتوي ML-DSA على وسطيات أكثر حساسية ومنطق أخذ عينات مرفوضة غير بسيطة، مما يتطلب القناة الجانبية ونظام الأمان من الفشل. يضيف فالكون مشكلة النقطة العائمة الزمنية الثابتة؛ في الواقع، استعادت عدة هجمات جانبية على تطبيق فالكون المفتاح السري.

تشكل هذه القضايا خطرا فوريا، على عكس التهديد البعيد لأجهزة الكمبيوتر الكمومية المرتبطة بالتشفير.

هناك أسباب وجيهة للحذر عند استخدام طرق تشفير ما بعد الكمومية الأكثر أداء. تاريخيا، تم اختراق مرشحين رائدين مثل رينبو (مخطط توقيع قائم على MQ) وSIKE/SIDH (مخطط تشفير قائم على التماثل) بشكل تقليدي، أي باستخدام الحواسيب الحالية وليس الحواسيب الكمومية.

حدث هذا في وقت متأخر جدا من عملية توحيد معايير NIST. هذا هو علم الصحة الأساسي، لكنه يظهر أن التوحيد القياسي والنشر المبكر قد ينقلب عليه.

كما ذكر سابقا، تتبع بنية الإنترنت التحتية نهجا متعمدا في ترحيل التوقيعات. وهذا أمر جدير بالذكر بشكل خاص بالنظر إلى المدة التي سيستغرقها انتقال العملات الرقمية عبر الإنترنت بمجرد بدؤه. استغرق التحول من وظائف التجزئة MD5 وSHA-1 — التي تم إلغاؤها تقنيا من قبل منظمي الشبكة قبل عدة سنوات — سنوات عديدة لتطبيقه فعليا في البنية التحتية، وفي بعض الحالات لا يزال جاريا. يحدث هذا لأن هذه المخططات تم اختراقها تماما وليست فقط عرضة للتقنيات المستقبلية.

التحديات الفريدة للبلوك تشين وبنية الإنترنت التحتية

لحسن الحظ، يمكن ترقية سلاسل البلوك تشين مثل إيثيريوم أو سولانا، التي يتم صيانتها بنشاط من قبل مجتمع مطوري المصدر المفتوح، بشكل أسرع من البنية التحتية للشبكات التقليدية. أما البنية التحتية التقليدية للشبكة فتستفيد من تدوير المفاتيح المتكرر، مما يعني أن سطح الهجوم يتحرك أسرع مما يمكن للآلات الكمومية المبكرة استهدافها – وهو رفاهية لم تكن في البلوكشين، حيث يمكن كشف العملات ومفاتيحها المرتبطة بها إلى أجل غير مسمى.

لكن بشكل عام، يجب أن تتبع سلاسل الكتل نهج الشبكة المدروس جيدا في ترحيل التوقيعات. لا يتعرض أي من إعدادات التواقيع لهجمات HNDL، وتظل تكلفة ومخاطر الهجرة المبكرة إلى مخطط ما بعد الكمومي غير الناضج كبيرة، بغض النظر عن مدة استمرار المفتاح.

هناك أيضا تحديات خاصة بالبلوكشين تجعل الهجرة المبكرة محفوفة بالمخاطر والتعقيد بشكل خاص: على سبيل المثال، لدى البلوكشين متطلبات فريدة لأنظمة التوقيع، خاصة القدرة على تجميع العديد من التوقيعات بسرعة. اليوم، تستخدم توقيعات BLS بشكل شائع لقدرتها على تحقيق تجميع سريع جدا، لكنها ليست آمنة بعد الكم. يستكشف الباحثون تجميع توقيعات ما بعد الكموم المعتمدة على SNARK. العمل واعد، لكنه لا يزال في مراحله الأولى.

بالنسبة ل SNARKs، يركز المجتمع حاليا على البنى القائمة على التجزئة كخيار رائد بعد الكم. لكن تحولا كبيرا قادم: أعتقد أنه في الأشهر والسنوات القادمة، ستصبح الخيارات القائمة على الشبكة بدائل جذابة. هذه البدائل ستكون ذات أداء أفضل من {SNARKs} المعتمدة على التجزئة بطرق مختلفة، مثل الإثباتات الأقصر - مشابهة للتواقيع المعتمدة على الشبكة التي تكون أقصر من التواقيع القائمة على التجزئة.

المشكلة الأكبر هي تطبيق الأمان

في السنوات القادمة، سيكون تنفيذ الثغرات مخاطرا أمنيا أكبر من الحواسيب الكمومية المرتبطة بالتشفير. بالنسبة ل{SNARKs}، القلق الرئيسي هو الأخطاء.

أخطاء البرامج تشكل تحديا بالفعل للتواقيع الرقمية ومخططات التشفير، و{SNARKs} أكثر تعقيدا بكثير. في الواقع، يمكن اعتبار مخطط التوقيع الرقمي عبارة عن {zkSNARK} بسيط جدا ليقول “أنا أعرف المفتاح الخاص المقابل لمفتاحي العام، وقد أذنت بهذه الرسالة.”

بالنسبة للتواقيع بعد الكم، تشمل المخاطر الفورية أيضا هجمات التنفيذ، مثل هجمات القناة الجانبية وحقن الأعطال. هذه الأنواع من الهجمات موثقة جيدا ويمكنها استخراج مفاتيح سرية من الأنظمة المنتشرة. تشكل تهديدا أكثر إلحاحا من الحواسيب الكمومية البعيدة.

سيعمل المجتمع على مر السنين على تحديد وإصلاح أخطاء البرامج في {SNARKs} وتقوية تطبيقات ما بعد التوقيع الكمومي لمقاومة هجمات القنوات الجانبية وحقن الأخطاء. مع عدم تسوية الغبار على أنظمة تجميع التوقيعات بعد الكم {SNARKs}، فإن الكتل التي تنتقل مبكرا تخاطر بأن تكون محاصرة في مخططات غير مثالية. قد يحتاجون إلى الترحيل مرة أخرى عندما تظهر خيارات أفضل، أو عندما تكتشف ثغرات في التنفيذ.

ماذا يجب أن نفعل؟ 7 توصيات

بالنظر إلى الحقائق التي ذكرتها أعلاه، سأختم بتوصيات لمختلف الأطراف المعنية – من البنائين إلى صانعي السياسات. المبدأ الأول: خذ التهديدات الكمومية على محمل الجد، لكن لا تتصرف بناء على افتراض أن الحواسيب الكمومية المرتبطة بالتشفير ستصل قبل عام 2030. هذا الافتراض غير مؤكد من خلال التقدم الحالي. ومع ذلك، هناك بعض الأمور التي يمكننا ويجب علينا فعلها الآن:

يجب أن ننشر التشفير الهجين فورا.

أو على الأقل في الحالات التي تكون فيها السرية طويلة الأمد مهمة وميسورة التكلفة.

العديد من المتصفحات وشبكات CDN وتطبيقات المراسلة مثل iMessage وSignal استخدمت أساليب هجينة. يمكن للنهج الهجين – ما بعد الكم + الكلاسيكي – الدفاع ضد هجمات HNDL مع التحوط من نقاط الضعف المحتملة في المخططات ما بعد الكمومية.

استخدم توقيعات هاش بمجرد أن يصبح الحجم مناسبا.

يجب أن تعتمد تحديثات البرمجيات/البرمجيات الثابتة—وغيرها من السيناريوهات منخفضة التردد وغير الحساسة للحجم—فورا توقيعات هجينة قائمة على التجزئة. (الغرض من المزج هو التحوط ضد أخطاء التنفيذ في السيناريو الجديد، وليس بسبب وجود شكوك حول افتراضات الأمان القائمة على التجزئة.) ）

هذا أمر محافظ ويوفر “قارب نجاة” واضح للمجتمع في حال حدوث ظهور مبكر غير متوقع لحواسيب كمومية مرتبطة بالتشفير. بدون نشر مسبق لتحديثات البرمجيات بعد التوقيع الكمي، بعد ظهور CRQC، سنواجه مشاكل في التمهيد: لن نتمكن من توزيع إصلاحات التشفير بعد الكم التي نحتاجها للدفاع ضدها بأمان.

لا تحتاج البلوكشين إلى التسرع في نشر توقيعات ما بعد الكم – لكن يجب أن يبدأ التخطيط فورا.

يجب على مطوري البلوك تشين اتباع قيادة مجتمع PKI في الشبكة واتباع نهج مدروس في نشر ما بعد التوقيع الكمومي. وهذا يسمح لأنظمة ما بعد التوقيع الكمومي بالاستمرار في النضوج من حيث الأداء وفهمنا لأمانها. كما يمنح هذا النهج المطورين وقتا لإعادة تصميم النظام للتعامل مع التواقيع الأكبر وتطوير تقنيات تجميع أفضل.

بالنسبة للبيتكوين وغيرها من المستويات الأولى: يحتاج المجتمع إلى تحديد مسارات وسياسات الهجرة المتعلقة بالصناديق الكمومية المهجورة الضعيفة. الهجرة السلبية غير ممكنة، لذا التخطيط ضروري. ونظرا لأن البيتكوين يواجه تحديات خاصة غير تقنية – حوكمة بطيئة وعدد كبير من العناوين عالية القيمة التي قد تكون مهجورة في الكتب الكمية – فمن المهم بشكل خاص لمجتمع البيتكوين أن يبدأ التخطيط الآن.

وفي الوقت نفسه، نحتاج إلى السماح للأبحاث حول {SNARKs} وما بعد الكم والتوقيعات القابلة للتجميع بالنضج (وقد يستغرق ذلك عدة سنوات). مرة أخرى، تخاطر الهجرة المبكرة بأن تكون محاصرة في سيناريو غير مثالي أو تتطلب ترحيل ثان لمعالجة أخطاء التنفيذ.

ملاحظة صغيرة حول نموذج حسابات إيثيريوم: يدعم إيثيريوم نوعين من الحسابات لهما تأثيرات مختلفة على ما بعد الهجرة الكمومية - (EOAs) الحساب المملوك خارجيا، وهو نوع حساب تقليدي يتحكم فيه المفتاح الخاص {secp}256{k}1؛ ومحافظ العقود الذكية ذات منطق تفويض قابل للبرمجة.

في الحالات غير الطارئة، إذا أضافت إيثيريوم دعم ما بعد التوقيع الكمي، يمكن لمحافظ العقود الذكية القابلة للترقية التحول إلى التحقق بعد الكم من خلال ترقيات العقود - وقد تحتاج شركات التعاقد إلى نقل أموالها إلى عناوين آمنة بعد الكمي (على الرغم من أن إيثيريوم من المحتمل أن توفر أيضا آلية ترحيل مخصصة لعمليات التوقيع الكمومي).

في حالة الطوارئ الكمومية، اقترح باحثو إيثيريوم خطة تفرع صلب لتجميد الحسابات الضعيفة والسماح للمستخدمين باسترداد الأموال باستخدام أمان ما بعد الكمومي {SNARKs} لإثبات معرفتهم بعباراتهم الأولية. ستطبق آلية الاسترداد هذه على حسابات الاسترداد وأي محافظ عقود ذكية لم يتم ترقيتها بعد.

التأثير الواقعي على المستخدمين: قد توفر محفظة العقود الذكية التي تم تدقيقها جيدا وقابلة للترقية مسار نقل أكثر سلاسة قليلا – لكنها ليست مختلفة كثيرا، وتأتي مع تقاريضات من حيث الثقة في مزودي المحافظ وحوكمة مطورة. والأهم من ذلك، أن مجتمع إيثيريوم يواصل عمله على البدائيات ما بعد الكم وخطط الاستجابة للطوارئ.

دروس تصميم أوسع للبنائين: العديد من سلاسل الكتل اليوم تربط هويات الحسابات بشكل وثيق بأساسيات تشفير محددة – مثل بيتكوين وإيثيريوم مع توقيعات ECDSA على {secp}256{k}1، وسلاسل أخرى باستخدام EdDSA. تسلط تحديات الهجرة بعد الكم الضوء على قيمة فصل هويات الحسابات عن أي نظام توقيع محدد. تعكس جهود إيثيريوم نحو الحسابات الذكية وجهود تجريد الحسابات المماثلة على سلاسل أخرى هذا الاتجاه: السماح للحسابات بترقية منطق المصادقة دون التخلي عن تاريخها وحالتها على السلسلة. هذا الفصل لا يجعل الهجرة بعد الكم سهلة جدا، لكنه يوفر مرونة أكبر من ترميز الحسابات في نظام توقيع واحد. (وهذا يدعم أيضا ميزات غير مرتبطة مثل المعاملات المدعومة، والاسترداد الاجتماعي، والتواقيع المتعددة).

بالنسبة لسلاسل الخصوصية، فهي تشفر أو تخفي تفاصيل المعاملات، ويجب إعطاء الأولوية للانتقالات المبكرة إذا كان الأداء ميسور التكلفة.

سرية المستخدمين على هذه السلاسل معرضة حاليا لهجمات HNDL، رغم أن شدتها تختلف حسب التصميم. السلاسل التي يمكنها تحقيق التتبع الكامل وإلغاء الهوية باستخدام دفاتر الحسابات العامة وحدها تواجه أكثر المخاطر إلحاحا.

فكر في مخططات هجينة (ما بعد الكم + الكلاسيكية) لمنع المخططات التي تفترض ما بعد الكم من إثبات عدم أمانها حتى كلاسيكيا، أو لتنفيذ تغييرات معمارية تتجنب وضع الأسرار القابلة لفك التشفير على السلسلة.

في المستقبل القريب، أعط الأولوية للأمان – على حساب الحد من التهديدات الكمومية.

خاصة بالنسبة للبدائيات التشفيرية المعقدة مثل {SNARKs} والتواقيع بعد الكموم، فإن أخطاء البرامج وهجمات التنفيذ (هجمات القناة الجانبية، حقن الأخطاء) ستكون مخاطر أمنية أكبر بكثير في السنوات القادمة مقارنة بالحواسيب الكمومية المرتبطة بالتشفير.

استثمر اليوم في التدقيق، والتشويه، والتحقق الرسمي، والدفاع العميق/الطبقي من الأمان – لا تدع المخاوف الكمومية تخفي التهديدات الأكثر إلحاحا لأخطاء البرامج!

تمويل تطوير الحوسبة الكمومية.

من الآثار المهمة على الأمن القومي لكل ما سبق الحاجة إلى استمرار التمويل وتطوير المواهب في الحوسبة الكمومية.

خصم رئيسي، يتيح قوة الحوسبة الكمومية المرتبطة بالعملات الرقمية أمام الولايات المتحدة، سيشكل خطرا جسيما على الأمن القومي علينا وعلى بقية العالم.

حافظ على منظورك لإعلانات الحوسبة الكمومية.

مع نضوج الأجهزة الكمومية، ستكون هناك العديد من الإنجازات في السنوات القادمة. ومن المفارقات أن تكرار هذه الإعلانات نفسه يثبت مدى بعدنا عن الحواسيب الكمومية المرتبطة بالعملات الرقمية: فكل إنجاز يمثل واحدا من العديد من الجسور التي يجب علينا عبرها قبل الوصول إلى تلك النقطة، وكل منها سيولد موجة خاصة من العناوين والحماس.

فكر في البيانات الصحفية كتقارير تقدم تتطلب تقييما نقديا، وليس كتحفيز لاتخاذ إجراءات مفاجئة.

بالطبع، قد تكون هناك تطورات مفاجئة أو جداول زمنية متوقعة لتسريع الابتكار، تماما كما قد تكون هناك عنق زجاجة كبيرة في التوسع تمتد من خلاله.

لا أجادل بأن الحواسيب الكمومية المرتبطة بالتشفير مستحيلة تماما، لكنها غير محتملة للغاية. التوصيات السابقة قوية ضد هذا الغموض، واتباعها يتجنب المخاطر العاجلة والمحتملة: أخطاء التنفيذ، النشر المتسرع، والطريقة المعتادة التي تسير بها الانتقالات الخاطئة في العملات الرقمية.