)
)
Dans le chapitre précédent, nous avons pu déterminer que les ordinateurs quantiques faisaient peser un risque sur la cryptographie moderne. Nous avons également découvert que ce risque n’était pas imminent. Selon les experts du secteur, il va progressivement arriver dans plusieurs années, voire plusieurs dizaines d’années.
Dans ce second chapitre, nous allons étudier plus spécifiquement Bitcoin. Est-ce que les risques que fait peser l’ordinateur quantique sur la cryptographie moderne auront des conséquences pour l’invention de Satoshi Nakamoto ?
Est-ce que les ordinateurs quantiques vont casser le protocole Bitcoin ?
En parcourant mes articles sur le blog de Bitstack, vous avez peut-être vu que j'affirme « généralement » que la sécurité des bitcoins repose sur des clés cryptographiques. Ce terme n’est pas là par hasard. En effet, même si l’extrême majorité des utilisateurs de Bitcoin emploient des systèmes standards de signatures électroniques comme ECDSA ou Schnorr pour sécuriser leurs fonds, ce n’est en rien une obligation au niveau du consensus.
Par exemple, voici une transaction non-standard pour laquelle les bitcoins en entrées n’étaient pas sécurisés par une paire de clés : 8d31992805518fd62daa3bdd2a5c4fd2cd3054c9b3dca1d78055e9528cff6adc.
En l’occurrence, c’était une récompense pour quiconque trouvait une collision sur une vieille fonction de hachage nommée SHA1. Pour débloquer ces bitcoins et les envoyer vers une adresse, il suffisait donc de fournir au script de verrouillage une collision valide pour SHA1, et non pas une signature.
Ce que je souhaite vous faire comprendre avec cet exemple, c'est que le protocole Bitcoin est indifférent à la manière dont vous protégez vos UTXOs. Cela relève de votre entière responsabilité. Autrement dit, une éventuelle faille sur les algorithmes de signatures (ECDSA ou Schnorr) n’implique pas que le protocole en lui-même a été piraté. Ce n’est pas parce que vous perdez vos cryptomonnaies qu’il n'y aura pas un bloc toutes les 10 minutes.
Le protocole Bitcoin en lui-même n’utilise finalement que très peu de cryptographie. La seule primitive employée est la fameuse fonction de hachage SHA256, utilisée dans la construction des blocs et pour la preuve de travail (le minage).
)
➤ En savoir plus sur le fonctionnement de la preuve de travail.
On doit donc se demander : est-ce que la fonction SHA256 est menacée par les ordinateurs quantiques ?
Selon les connaissances actuelles, non. De manière générale, les fonctions de hachages devraient être peu affectées par l’arrivée d’ordinateurs quantiques puissants. Même si l’algorithme de Grover permet parfois d’accélérer la recherche de collisions, il n’est pas beaucoup plus efficace que les algorithmes classiques sur SHA256.
Pas d’inquiétude, le protocole Bitcoin en lui-même ne devrait donc pas être cassé par les ordinateurs quantiques.
Est-ce que les ordinateurs quantiques vont casser les signatures électroniques ?
En revanche, il convient d’être beaucoup plus prudent sur les méthodes de signatures électroniques. Sur Bitcoin, on en utilise deux : ECDSA et le protocole de Schnorr. Ces algorithmes permettent la génération d’une clé publique à partir d’une clé privée. En revanche, il est aujourd’hui impossible de trouver une clé privée en ayant connaissance de la clé publique associée. C’est ce que l’on appelle une fonction à sens unique.
)
La clé publique est utilisée pour bloquer des bitcoins, et la clé privée est utilisée pour produire une signature électronique afin de dépenser les bitcoins associés.
➤ En savoir plus sur la sécurisation des bitcoins et la self custody.
Les algorithmes ECDSA et Schnorr font partie de la même catégorie de méthodes cryptographiques, désignée sous l'appellation de « cryptographie à courbes elliptiques » (ECC). Tous deux reposent sur la difficulté à résoudre le problème du logarithme discret.
Cependant, l’algorithme quantique de Shor, dont je vous ai parlé dans le chapitre précédent, peut être modifié pour calculer également un logarithme discret. Il est capable de le faire en temps polynomial, c’est-à-dire que le temps requis augmente relativement peu avec la hausse de la taille des clés.
Oui, lorsque des ordinateurs quantiques assez puissants seront produits, il sera théoriquement possible de calculer une clé privée Bitcoin à partir d’une clé publique dans un temps raisonnable. Concrètement, cela veut dire que la simple connaissance d’une clé publique sera suffisante pour dépenser les bitcoins associés.
Le cryptographe Pieter Wuille avait estimé en 2019 que 37 % des unités en circulation sur Bitcoin étaient à risque. Cela représente l’ensemble des UTXOs sécurisés avec un script P2PK ou P2MS, qui révèlent les clés publiques dès la réception. Il a également ajouté à son calcul tous les UTXOs sécurisés avec un hachage de clé (adresse) ou de script, pour lesquels on connaît déjà la clé publique ou le script. Cela peut arriver, par exemple, lorsque l’on utilise deux fois une même adresse de réception et que l’on ne dépense qu’une partie de cette adresse.
Au-delà de cette estimation, en fonction de l’efficacité pratique de Shor, il sera peut-être possible de préempter des transactions en attente dans la mempool. Puisque vous devez dévoiler votre clé publique lors d’une dépense de bitcoins, un ordinateur quantique capable de calculer la clé privée associée pourra vous voler vos fonds lorsqu’ils sont dans une transaction encore en attente de confirmation.
Est-ce un problème urgent pour Bitcoin ?
Non, ce n’est pas un problème urgent. Il est important de comprendre que les machines quantiques requises pour utiliser l’algorithme de Shor sont loin d’être disponibles. Tout cela est encore très hypothétique. On ne sait même pas s’il est physiquement possible de créer de telles machines. De plus, l’algorithme de Shor n’a jamais été testé en conditions réelles. Il fonctionne en théorie, mais on ne peut pas savoir s'il fonctionnera en pratique et s’il sera réellement efficace.
Tout cela nous laisse du temps pour chercher des solutions. Et c’est justement l’objectif des recherches effectuées dans le domaine de la cryptographie post-quantique.
En 2016, le National Institute of Standards and Technology (NIST) a lancé un appel pour recueillir des propositions d'algorithmes cryptographiques résistants aux attaques quantiques. De multiples méthodes cryptographiques post-quantiques ont vu le jour, y compris dans le domaine des signatures électroniques.
Toutefois, ces nouvelles méthodes présentent l'inconvénient d'être encore très jeunes et peu éprouvées. En comparaison avec le protocole de Schnorr et ECDSA, qui existent respectivement depuis 1991 et 1992, les algorithmes post-quantiques n'ont pas encore subi l’épreuve du temps. De plus, ils requièrent souvent des clés d'une taille considérablement plus importante que celles des algorithmes traditionnels, alourdissant de ce fait leur utilisation.
Ainsi, il semble prématuré d'implémenter une technologie de signatures électroniques post-quantiques au sein de Bitcoin aujourd'hui. Une telle modification augmenterait la charge opérationnelle des nœuds du réseau, tout en augmentant fortement les risques de vulnérabilité, et tout cela pour répondre à une menace qui, selon les spécialistes, demeure lointaine et hypothétique.
➤ En savoir plus sur les nœuds Bitcoin.
Conclusion
Les deux principales menaces sur la cryptographie moderne du fait de l'avènement de l'informatique quantique sont les algorithmes de Shor et de Grover. Cependant, leur efficacité est encore très hypothétique.
En considérant l’état des connaissances actuelles, l’informatique quantique ne semble pas être une menace pour SHA256, la fonction de hachage utilisée au sein du protocole Bitcoin. En revanche, les signatures électroniques ECDSA et Schnorr, elles, pourraient bien être affectées. Il est alors envisageable qu'à moyen ou long terme, nous devions intégrer un algorithme de signature plus robuste face à la menace des ordinateurs quantiques sur Bitcoin.
Pour conclure, notons que ces risques liés à l’informatique quantique ne sont pas limités à Bitcoin. La cryptographie est absolument partout à l’heure actuelle. Si des clés RSA de 2 048 bits et des clés ECDSA de 256 bits peuvent être cassées en un temps raisonnable par un ordinateur quantique, c’est tout le système bancaire classique qui est menacé.
Au-delà du domaine financier, de nombreux autres secteurs bien plus importants seront affectés. On peut évidemment penser à la sécurité des données médicales, aux communications militaires et spatiales, au contrôle du trafic aérien ou encore à la sécurisation d’infrastructures critiques comme les barrages hydroélectriques ou les centrales nucléaires.
Si à l'avenir, cette menace de l’informatique quantique se confirme, des solutions de cryptographie adaptées devront être trouvées. Il suffira alors d’implémenter ces algorithmes sur Bitcoin, afin de faire évoluer son modèle de sécurisation des UTXOs.
➤ Découvrir le premier chapitre de cette série.
Ressources :
)
