a16z｜Calcul quantique et blockchain : faire correspondre « l’urgence » avec les menaces réelles

Guide de Chainfeeds :

Cet article clarifie les idées reçues courantes concernant la menace quantique, y compris son impact sur les algorithmes cryptographiques, les mécanismes de signature et les preuves à connaissance nulle (ZKP), et discute de ce que cela signifie pour les systèmes blockchain.

Source de l'article :

a16z

Opinion :

a16z : Le premier risque de sécurité réel posé par l’informatique quantique n’est pas une « attaque future », mais l’attaque Harvest Now, Decrypt Later (HNDL), c’est-à-dire que les attaquants stockent aujourd’hui des communications chiffrées pour les déchiffrer plus tard, lorsqu’ils disposeront de capacités quantiques. Cela signifie que des communications hautement confidentielles (notamment au niveau étatique), même si elles sont inviolables aujourd’hui, pourraient être exposées à l’avenir. Par conséquent, pour les systèmes nécessitant une confidentialité de plus de 10 à 50 ans, il est nécessaire de déployer dès maintenant de nouveaux cryptages résistants au quantique. Cependant, cette menace ne s’applique pas aux systèmes de signature numérique. Les signatures numériques ne contiennent pas de « contenu privé pouvant être rétroactivement déchiffré », et il n’existe pas de problème où « une vérification passée serait invalidée par l’informatique quantique ». Même si, à l’avenir, l’informatique quantique permettait de falsifier des signatures, cela n’affecterait que les transactions et autorisations futures, sans invalider les signatures passées ni révéler d’informations cachées. Sur cette base, les mécanismes de signature les plus courants sur la blockchain (ECDSA, EdDSA) devront certes être mis à niveau à l’avenir, mais il n’est pas urgent de migrer immédiatement. De plus, le modèle de sécurité des zkSNARKs diffère encore plus de celui du chiffrement. Même si les zkSNARKs actuels reposent sur des courbes elliptiques, leur propriété de connaissance nulle reste sûre face aux attaques quantiques, car la preuve ne contient aucune donnée privée récupérable par un algorithme quantique. Ainsi, les zkSNARKs ne présentent pas non plus de risque d’archivage en attente de déchiffrement. En d’autres termes, les chaînes axées sur la confidentialité sont plus urgentes, les blockchains publiques le sont moins, la mise à niveau des signatures est moins urgente que celle du chiffrement, et celle des SNARKs l’est encore moins que celle des signatures — tel est le véritable ordre de priorité de la menace quantique dans le monde de la blockchain. Bien que la blockchain dans son ensemble n’ait pas besoin de passer immédiatement à des signatures résistantes au quantique, Bitcoin fait exception. La raison n’est pas une menace quantique imminente, mais la lenteur de sa gouvernance, la complexité historique de la structure des transactions et la dépendance à la migration active des utilisateurs. Premièrement, les modifications du protocole Bitcoin sont extrêmement lentes ; tout changement touchant au consensus ou à la logique de sécurité peut provoquer des controverses, des divisions, voire un hard fork. Deuxièmement, la mise à niveau de Bitcoin ne peut pas migrer automatiquement tous les actifs, car les clés de signature sont détenues par les utilisateurs et le protocole ne peut pas forcer la mise à jour. Cela signifie que les portefeuilles invalides, perdus ou non gérés (estimés à plusieurs millions de BTC) resteront exposés de façon permanente à de futures attaques quantiques. Plus problématique encore, Bitcoin utilisait à ses débuts P2PK (une structure d’adresse exposant directement la clé publique), ce qui rend la clé publique visible sur la chaîne, et l’informatique quantique pourrait utiliser l’algorithme de Shor pour retrouver directement la clé privée à partir de la clé publique visible. Cela diffère du modèle d’adresse moderne (où la clé publique est cachée par un hash), qui ne révèle la clé publique qu’au moment de la transaction, permettant de rivaliser avec l’attaquant dans une fenêtre temporelle. Ainsi, la migration de Bitcoin n’est pas un simple problème technique, mais un projet de longue haleine impliquant des risques juridiques (perte vs preuve de propriété), la coopération sociale, le temps de mise en œuvre et les coûts. Même si la menace quantique est lointaine, Bitcoin doit commencer dès maintenant à établir une feuille de route de migration irréversible. Bien que la menace quantique soit réelle, une mise à niveau précipitée et généralisée entraînerait des risques concrets encore plus importants. À ce stade, de nombreux algorithmes résistants au quantique présentent des coûts de performance significatifs, une complexité de mise en œuvre, voire des cas historiques où ils ont été directement cassés par des algorithmes classiques (comme Rainbow, SIKE). Par exemple, les principales signatures post-quantiques actuelles comme ML-DSA, Falcon sont des dizaines voire des centaines de fois plus volumineuses que les signatures actuelles, et leur implémentation est sujette aux attaques par canaux auxiliaires, aux failles de calcul flottant ou à des erreurs de paramétrage pouvant entraîner des fuites de clés. Par conséquent, la blockchain ne doit pas migrer aveuglément, mais adopter une stratégie par étapes, multi-voies et à architecture interchangeable : déployer un chiffrement hybride (post-quantique + classique) pour les communications confidentielles à long terme ; utiliser à l’avance des systèmes de signature par hash dans les scénarios ne nécessitant pas de signatures fréquentes (firmware, mises à jour système) ; maintenir la planification et la recherche au niveau de la blockchain publique, en adoptant le même rythme prudent que l’Internet PKI ; adopter une conception abstraite des comptes ou modulaire, afin que les futurs systèmes de signature puissent être mis à niveau sans compromettre l’identité et l’historique des actifs on-chain. [Texte original en anglais]