Bitcoin et la menace quantique

L’ordinateur quantique refait parler de lui et ravive des inquiétudes qui nous offrent l’occasion de replonger dans les entrailles cryptographiques du bitcoin.

QC

Avant tout, rappelons grossièrement qu’un ordinateur quantique est un processeur qui utilise les propriétés quantiques de la matière.

Un ordinateur classique est fait de transistors fonctionnant avec des données binaires (bits valant 0 ou 1). L’ordinateur quantique travaille avec des qubits se trouvant dans plusieurs états en même temps. Cette propriété permet de démultiplier la vitesse de calcul.

Google est à la pointe de la technologie. Son nouveau processeur quantique « Willow » marque un tournant grâce à la réduction exponentielle des erreurs inhérentes aux systèmes quantiques.

Willow a pu effectuer en moins de cinq minutes un calcul de référence standard qui prendrait au meilleur superordinateur 10 millions de milliards de milliards d’années (10 élevé à la puissance 25).

Introducing Willow, our new state-of-the-art quantum computing chip with a breakthrough that can reduce errors exponentially as we scale up using more qubits, cracking a 30-year challenge in the field. In benchmark tests, Willow solved a standard computation in <5 mins that would…

— Sundar Pichai (@sundarpichai) December 9, 2024

Il existe de nombreux domaines dans lesquels un ordinateur quantique pourrait s’avérer plus utile qu’un ordinateur conventionnel. Le cas qui nous intéresse plus particulièrement est l’algorithme quantique de Shor. Cet algorithme peut casser le bitcoin.

La raison étant que le Bitcoin fonctionne avec des fonctions de hachage (SHA-256), mais aussi de la cryptographie asymétrique. Dans le second cas, on parle aussi de cryptographie « à clé publique » qui est au cœur de la mécanique des transactions. C’est elle qui est à la merci de l’ordinateur quantique.

Une paire de clés privée/publique est en essence une relation mathématique « à sens unique ». C’est-à-dire que la clé publique peut être facilement trouvée à partir de la clé privée, mais pas l’inverse. Il est immensément difficile de découvrir une clé privée à partir d’une clé publique.

C’est cette cryptographie à sens unique qui rend le bitcoin si solide. Mais peut-être plus pour longtemps…

Clé cryptographique

Reprenons notre explication. Les transactions fonctionnent avec de la cryptographie « à clé publique ». Plus précisément, il s’agit de la cryptographie à courbe elliptique. C’est avec une courbe elliptique (secp256k1) que l’on crée les paires de clés privées/publiques auxquelles sont liés les BTC.

Les wallets générent ces clés à partir d’un chiffre aléatoire de 256 bits (la seed). Cette seed est le point de départ à partir duquel toutes les clés privées/publiques du wallet sont dérivées.

Ces clés servent à réaliser des transactions qui reviennent à déplacer des bitcoins d’une clé publique à une autre. On dit dans le jargon que l’on crée un « utxo », c’est-à-dire un petit bout de code (un « script »). Ce script lie une clé publique à une quantité de BTC (un chiffre). Seule la clé privée correspondante peut « déverrouiller » le script afin de lier les BTC à une autre clé publique, aka réaliser une transaction.

En clair, un wallet ne contient pas des bitcoins à proprement parler. Il héberge des clés privées servant à déverrouiller des utxo que les nœuds du réseau gardent en mémoire.

Tous les nœuds mettent à jour leur liste d’utxo dès que les mineurs ajoutent un nouveau bloc de transactions à la blockchain. Il existe actuellement environ 188 millions d’utxo et donc autant de clés publiques (des adresses bitcoin).

La menace Shor

Les courbes elliptiques sont un élément fondamental du paysage cryptographique depuis trente ans. Elles servent au bitcoin, aux cartes d’identité nationales, au réseau Tor ou encore à l’application de messagerie chiffrée Signal. Cette cryptographie asymétrique sécurise nos données et nos communications.

La sécurité de la cryptographie à courbe elliptique repose sur le problème du logarithme discret que l’algorithme quantique de Shor peut casser puisqu’il est capable de factoriser efficacement un très grand nombre en facteurs premiers. À condition toutefois d’avoir un ordinateur quantique suffisamment grand.

Les chercheurs de l’Université du Sussex estiment qu’il faudrait 13 millions de qubits pour casser le chiffrement du Bitcoin en une seule journée (et seulement 2 500 Qubit logiques). Le processeur Willow comprend 105 qubits. Donc, théoriquement, il faudrait 124 000 willows.

Tout cela étant dit, il ne faut pas s’inquiéter outre mesure. Le bitcoin utilise également des fonctions de hachage (SHA-256 et RIPEMD-160) non menacées par les ordinateurs quantiques. Il suffirait dans le pire des cas d’utiliser des clés un peu plus longues.

Voici la réaction de Charles Guillemet, CTO de Ledger :

« Bien qu’impressionnant, Willow n’a pas encore d’applications pratiques. Il est peu probable qu’il puisse factoriser même de petits nombres comme 42 plus rapidement que les ordinateurs classiques […]. Pour casser la cryptographie asymétrique, il faudrait des millions de qubits et des solutions à d’autres problèmes […]. »

Did Google Create a Quantum Computer That Breaks Blockchain Security?

TL;DR: No. While the research results are impressive, we're still far from breaking modern cryptography.

A thread. 🧵 https://t.co/a0DTfvzlxh

— Charles Guillemet (@P3b7_) December 10, 2024

Le bitcoin n’est pas menacé par l’ordinateur quantique dans l’état actuel des connaissances. Mais revenons un instant sur le fonctionnement du bitcoin pour nous en convaincre.

Le bouclier des fonctions de hachage

Lors d’une transaction, un script (utxo) est créé. Ce script lie mathématiquement une quantité de BTC à une clé publique.

Originellement, le protocole bitcoin n’offusquait pas les clés publiques. On utilisait la méthode Pay-to-Public-Key (P2PK). En somme, les clés publiques étaient utilisées telles quelles, au su et au vu de tous. Cette transparence les rend vulnérables à l’algorithme de Shor.

Ce n’est plus le cas aujourd’hui. Les clés publiques sont transformées en passant à la moulinette des fonctions de hachage SHA-256 et RIPEMD-160. Ces clés deviennent ce que l’on appelle communément des addresses bitcoin.

On utilise aujourd’hui la méthode Pay-to-Public-Key-Hash (P2PKH) qui utilise le hash de la clé publique plutôt que la clé publique elle-même. Il y a d’autres méthodes comme Pay-2-Taproot (P2TR), Pay-2-Script-Hash (P2SH), etc…

Hacher les clés publiques permet de les offusquer pour éviter d’être attaqués par un ordinateur quantique. Ouf… Toutefois, nombreux sont les bitcoins toujours liés au vieux script P2PK qui se sert directement des clés publiques. Notamment les bitcoins de Satoshi qui sont à eux seuls une bonne raison d’investir dans la recherche quantique.

Combien de bitcoins sont à risque ?

Le National Institute of Standards and Technology (NIST) prévoit que les ordinateurs quantiques capables d’exécuter l’algorithme de Shor existeront dans 10 à 20 ans. Ceux qui n’ont pas encore déplacé leurs bitcoins vers des adresses inviolables ont largement le temps de le faire.

En tout, 1 723 900 BTC se trouvent encore dans des utxo P2PK. Mais ce n’est pas tout. Plus de 4 millions de BTC supplémentaires sont à risque à cause de la réutilisation d’adresse.

Tout va bien tant qu’une adresse ne fait que recevoir des BTC. Mais il faut savoir que la clé publique est révélée dès qu’une partie des fonds reçus sont dépensés, et cela, quel que soit le type de script utilisé.

Dit autrement, générer de nouvelles adresses à chaque transaction renforce non seulement votre anonymat, mais vous protège aussi de la menace quantique.

Voici une récente présentation sur ce qu’il en est, chiffres à l’appui :

My latest talk, on the threat of quantum computing advancements to Bitcoin, is now available.

Key takeaway: one way or another, whether we do something or do nothing, inviolable properties of Bitcoin will eventually be violated.https://t.co/4qv5KrD8Mo

— Jameson Lopp (@lopp) October 23, 2024

Certes, plusieurs algorithmes de cryptographie asymétrique résistants à l’ordinateur quantique existent déjà. Mais rappelons que la majorité des premiers algorithmes proposés au NIST ont été cassés en quelques mois seulement.

Une fois la bonne cryptographie choisie, il faudra encore que les utilisateurs passent l’action en déplaçant eux-mêmes leurs BTC vers des adresses sécurisées. Le bitcoin étant ce qu’il est, on ne peut pas installer un nouveau type de signature, et voilà, résistant !

Jameson Lopp a calculé qu’il faudrait techniquement 20 500 blocs (142 jours) pour faire migrer l’ensemble des bitcoins vers de nouvelles adresses. Voire plusieurs années pour le scénario réaliste.