Третій додатковий засіб від квантової паніки: таємна рятувальна шлюпка Сатоші Накамото

Квітнева середина року, коли教链 написав статтю про популяризацію, обговорюючи пропозицію BIP-361 та дві протидії квантовій загрозі. Тоді висновок教链 був такий: звичайним користувачам з BIP-39 мнемонічними фразами не потрібно хвилюватися — є шлях до порятунку. Ті, хто справді застрягли — це древні гігантські китові, що існували до 2013 року — ті, хто має голі приватні ключі без мнемонічних фраз, включно з Сатоші.

教链 тоді сказав, що це трьохкратна дилема: або спостерігати, як монети заморожуються квантами, або їх крадуть квантові хакери, або потрібно з’явитися на світ і заздалегідь перемістити монети.

Неочікувано, менш ніж за місяць, 2 травня, партнер Paradigm Дан Робінсон представив нову пропозицію — PACTs. Повна назва — Provable Address-Control Timestamps, тобто доведені контрольні часові мітки адрес.

Це третя протидія квантовій паніці. Вона дає новий вибір для голих приватних ключів, включно з Сатоші.

Згадаймо минуле, щоб краще зрозуміти

Щодо квантової загрози, звичайним користувачам не потрібно занепадати духом. Адже у статті教链 у квітні все було дуже чітко пояснено.

Поточна система BTC має два критичних вразливих місця у боротьбі з квантовими комп’ютерами. Перше — під час транзакції відкривається публічний ключ. Друге — деякі старі адреси вже давно мають відкриті публічні ключі, записані у ланцюжок.

Щодо першого — є рішення QSB, яке забезпечує резерв. Щодо другого — спільнота запропонувала BIP-361, що передбачає через п’ять років замороження всіх старих адрес, вразливих до квантових атак, і створення каналу міграції на основі нульових знань (засобу для безпечного перенесення).

Але канал порятунку має жорстку передумову: потрібно мати BIP-39 мнемонічну фразу.

BIP-39 — стандарт, введений у 2013 році. 12 або 24 англійські слова, що дозволяють відновити весь гаманець. А процес перетворення мнемонічної фрази у приватний ключ проходить через 2048 ітерацій хешування, і квантовий комп’ютер навряд чи зможе зламати цей процес.

Ранні гігантські кити використовували зовсім інший підхід. Приватний ключ — це приватний ключ, а резервна копія — файл wallet.dat (або навіть рукописний приватний ключ). Мнемонічних фраз не було, і не існувало стандартних механізмів відновлення.

Сатоші майнив у 2009–2010 роках. Він використовував адреси P2PK, де публічний ключ був відкритий напряму; приватні ключі також не мали BIP-39.

Саме це — ключова ідея статті教链: після 2013 року з’явилися мнемонічні фрази, і можна за допомогою ZK-доказів врятуватися; до 2013 — голі приватні ключі, без мнемонічних фраз, і без стандартних механізмів відновлення. У квантову епоху підпис — це відкриття себе.

Сатоші опинився у цьому трьохкратному глухому куті.

Що таке PACTs

Пропозиція Дан Робінсона намагається дати Сатоші-адресам новий шанс — створити самостійний «рятувальний плот», щоб втекти.

Головна ідея PACTs дуже проста: не переміщати монети, а довести їхню власність і зробити це тихо, ще до настання квантової загрози.

Як це працює?

Крок перший — заздалегідь створити доказ. Власники старих адрес із приватними ключами підписують випадкове повідомлення стандартом BIP-322, отримуючи унікальне підтвердження власності. Потім додають випадкову сіль — щоб ускладнити грубі зломи. Після цього підпис і сіль упаковують і закріплюють у блокчейні за допомогою сервісу OpenTimestamps, ставлячи вічний часовий штамп. Всі файли зберігаються у власному сховищі, не публікуючись.

Крок другий — при необхідності руху монет у майбутньому — пред’явити доказ. Якщо мережа прийме BIP-361 і заморозить старі адреси, то для розблокування потрібно буде показати STARK-доказ — підтвердження, що ви створили цей «часовий капсул» ще до квантової загрози.

STARK — це квантово-стійкий нульовий доказ. Верифікатор не знає, хто ви, скільки у вас, коли створили доказ — він просто переконується, що ви зробили це заздалегідь.

Крок третій — мережа підтверджує і монети розблоковуються.

Головне — весь процес не розкриває адресу, суму або час створення.

Ось у чому магія нульових доказів: ви доводите, що знаєте секрет, але не розкриваєте його і ніяких метаданих, що з ним пов’язані.

Чи може PACTs врятувати Сатоші?

教链 помітив, що деякі кажуть, ніби PACTs не підходить для адрес Сатоші. Це — хибне уявлення, бо воно плутає два різні питання.

З технічної точки зору, PACTs цілком сумісні з адресами P2PK, які використовував Сатоші. Підпис, створення обіцянки, накладання часової мітки, майбутній викуп через STARK — все це можливо без технічних перешкод.

Чому ж тоді кажуть, що не підходить? Тому що PACTs вимагає, щоб власник приватного ключа самостійно, до настання квантової загрози, створив цю обіцянку. Якщо контролер ключа зник або ніколи не з’явиться — технічно все ідеально, але нікому не буде кому це зробити.

Отже, проблема не у сумісності, а у виконанні.

А чи живий Сатоші — ніхто не знає.

Це і є найтонкіша ідея PACTs.

Шредінгера Сатоші

Уявімо, що Сатоші ще живий і бачить обговорення BIP-361 і PACTs. У нього є два варіанти: нічого не робити або таємно створити обіцянку PACTs.

Якщо він нічого не зробить, то через кілька років, коли замороження буде запроваджено, його монети залишаться навічно заблокованими. Світ зробить висновок: Сатоші справді помер.

Якщо ж він створить обіцянку та ніколи її не використовує — через роки, коли замороження запровадять, його монети також будуть заблоковані. І світ зробить той самий висновок.

Зрозуміло? Дві абсолютно різні правди ведуть до однакового спостережуваного результату.

Але якщо він колись вирішить використати цю обіцянку для викупу — світ зрозуміє, що він ще живий і досі слідкує за Bitcoin.

Але тут є нюанс: сама дія викупу може викликати масштабний скандал — медіа, хакери, уряди, конспірологи — усі почнуть шукати, хто подав STARK-доказ. Навіть якщо криптографія приховує особу, сама дія — сигнал, що Сатоші ще живий.

Тому PACTs — це не просто рятувальний плот, а швидше — таємний вихід із дверима, що знає пароль лише він. За дверима — кімната, куди можна ніколи не заходити, але там збережено доказ його існування.

І що саме у цій кімнаті — нікому не відомо.

Ця «часова капсула» — квантовий стан. Вона одночасно існує і не існує. Лише коли Сатоші вирішить її «зруйнувати» — тобто використати для викупу — її функція колапсує у визначений результат.

До цього моменту будь-які здогади — безглузді.

教链 вважає, що найцікавіше тут — у тому, що у цифровій формі квантовий стан протистоїть квантовій загрозі — і це має свою поетичну красу.

Безмовний лабіринт

По-перше, PACTs — не заміна BIP-361, а доповнення. BIP-361 вирішує питання колективної дії, а PACTs — питання індивідуального самозахисту без розкриття особистості. Обидва підходи можуть існувати паралельно.

По-друге, реалізація PACTs — справа не одного дня. Мережа Bitcoin наразі не підтримує STARK-перевірки. Дан Робінсон сам визнає, що для цього потрібна нова інфраструктура — мультипідписні гаманці, складні скрипти, підтримка апаратних гаманців — і все це потребує стандартизації. Це не можна зробити за місяць.

По-третє, для звичайних користувачів найнадійнішим способом у квантову епоху залишається BIP-39. Створіть гаманець на основі мнемонічної фрази з 12 або 24 слів, запишіть її на папір і зберігайте у сейфі.

По-четверте, щодо Сатоші. 教链 вважає, що головна цінність PACTs — не у тому, що він реально врятує його монети, а у тому, що дає йому привід залишитися мовчазним. Він не мусить робити нічого, що може його розкрити, і зберігає можливість таємно повернутися у майбутньому. Чи існує ця можливість — ніхто не знає і не може заперечити.

Можливо, саме таке ідеальне рішення подобається Сатоші. Створювач Bitcoin, використовуючи криптографію, сплете собі ідеальний безмовний лабіринт: зникнути назавжди, і монети назавжди заморожені; або залишити таємний вихід, але ніколи ним не скористатися.

У будь-якому разі, світ побачить лише один результат.

А істина — можливо, назавжди прихована у тому квантовому стані, що ніколи не буде спостережений.