量子 비트코인 해킹 카운트다운: 2032년 이전 확률 50%?

원문 출처: 비트코인 보안 연구원 Justin Drake

편역｜Odaily星球日报 진샤오펑 (@QinXiaofeng 888 )

편집자 주: 올해 3월, Google 양자 연구팀이 발표한 연구 논문에 따르면, 미래의 양자 컴퓨터가 암호화폐를 보호하는 타원곡선 암호를 해독하는 데 필요한 리소스가 기존 인식보다 훨씬 적을 것이라고 합니다. 이에 따라 양자 컴퓨팅이 암호화폐에 미치는 위협이 해외 커뮤니티에서 급속도로 논의의 중심이 되었습니다. 흥미롭게도 Google의 연구 논문은 하부 회로 세부 사항을 완전히 공개하지 않고, 미국 정부와의 협의 후 영지식 증명(ZK) 방식을 통해 자체 추산 결과를 증명했습니다. 이로 인해 지난 몇 달 동안 수많은 기술 전문가들이 Google 원본 논문의 세부 내용을 해독하려는 시도를 끊임없이 이어왔습니다.

6월 2일, Google 양자 논문 공동 저자이자 비트코인 보안 연구원 Justin Drake는 2032년까지 Q-Day가 발생할 확률을 50%, 2030년까지는 10%라고 발표했습니다. (Odaily 주: Q-Day, 즉 Quantum Day(양자일)는 양자 컴퓨터가 현재 글로벌 주요 암호화 기술을 무력화할 수 있을 만큼 강력해지는 날을 의미합니다.)

다음은 원문 내용이며, Odaily星球日报이 편역했습니다. Enjoy~

————————————

오늘, 이 터무니없는 양자 이야기는 더욱 기이해지고 있습니다.

3월 31일, Google 양자 인공지능 팀은 Shor 알고리즘을 타원곡선 암호학에 적용한 획기적인 결과를 발표했습니다. 엄밀히 말해, 이 논문은 폭탄선언과 같았습니다: 이전 최고 수준보다 성능이 무려 10배 향상되었습니다. 블록체인 업계에 대한 주의 환기용으로, 이러한 최적화는 secp256k1 타원곡선을 예시로 설명되었습니다 – 이는 비트코인과 이더리움 서명을 뒷받침하는 곡선입니다.

하지만 논문의 가장 주목할 만한 점은 기술적 측면보다 사회적 영향에 있을 수 있습니다. 표준 학술 절차를 따르지 않고, 이들은 이러한 최적화를 비밀로 유지하며 영지식 증명(ZK) 뒤에 숨겼습니다. Google의 글은 "미국 정부와 접촉했다"고 언급했습니다. 이 ZK 증명은 알고리즘 개선을 보여주면서도 세부 사항을 전혀 유출하지 않습니다. 학술 검토를 위해 영지식 증명을 사용한 것은 역사상 처음 있는 일입니다!

Google 논문의 공동 저자로서, 저는 이번 검토 과정을 둘러싼 일부 배경을 직접 목격했습니다. 솔직히 말해, 그背后에는 저를 불편하게 만드는 요소가 많았습니다. 저는 대중이 더 많은 정보를 알 권리가 있다고 믿지만, 내부 고발을 할 수 있는 채널은 제한적이었습니다. 그러나 한 가지 분명히 말씀드리자면: Google 팀의 전문성은 모범적이었으며, 그들은 오직 찬사만을 받을 자격이 있습니다.

검열은 종종 역효과를 냅니다. 스트라이샌드 효과, 즉 무언가를 은폐하려는 시도가 오히려 더 큰 주목을 받게 하는 현상이 오늘날 벌어지고 있습니다. 첫째, Google의 핵심 최적화는 이미 프랑스인에 의해 재발견되었습니다. 더욱 흥미로운 반전은 "Shor-at-home"이라는 협업 챌린지가 막 시작되었다는 점입니다. 이 이니셔티브의 웹사이트는 ecdsa[.]fail이며, 시작 후 몇 시간 만에 Shor 알고리즘의 세계 기록을 경신했습니다.

1부: 성능 8.4% 향상

먼저 이 재발견에 대해 이야기해 보겠습니다. Google 논문 발표 불과 두 달 후, 프랑스 양자 전문가 André Schrottenloher가 이 핵심 비밀 최적화를 해독했습니다. 그의 논문 "타원곡선 이산 로그에 대한 최적화된 점 가산 회로"가 오늘 arXiv에 게재되었습니다. André에게 열렬한 축하를 보냅니다. 그는 이 문제에 깊이 매료되어 경쟁했던 다른 여러 전문가들을 물리쳤습니다. 오늘 발표된 블로그 게시물에서 Shor 최적화 분야의 세계적 권위자 Craig Gidney는 검열 압력으로 인해 이 최적화를 무려 1년 동안이나 보류해왔다고 밝혔습니다.

흥미롭게도 André는 소수의 미세 최적화를 놓쳤는데, 여기에는 Google의 초기 발표에 포함된 것과 이후 발견된 일부 개선 사항이 포함됩니다. Shor 알고리즘에는 아직도 추출할 여지가 많이 남아 있을 가능성이 높으며, 이것이 바로 ecdsa[.]fail 챌린지의 초점입니다. ZK 증명을 위해 개발된 검증 프로그램은 이중 역할을 수행하여 유효한 제출물을 자동으로 선별합니다. 수십 개의 소형 및 초소형 최적화가 계속해서 등장하고 있습니다. 이 글을 쓰는 시점에서 논리적 큐비트 수와 Toffoli 게이트 수의 곱으로 측정했을 때, Google 회로보다 8.4% 향상된 결과가 나왔습니다. 훌륭합니다!

이 "자극적 문제 풀이" 열풍은 누구의 예상보다 깊이 퍼져나갔습니다. 지난 몇 주 동안, 이 열풍은 André와 다른 양자 전문가들의 영역을 넘어섰습니다. 무대 뒤에서는 소규모 아마추어 애호가 군단이 조용히 작업에 착수했습니다. Karpathy 스타일의 자율 연구에서 영감을 받아, 그들은 Shor 알고리즘에 AI를 적용했습니다. 아이러니하게도, 그 ZK 증명의 검증 프로그램은 AI에게 완벽한 보상 함수 역할을 했습니다. 이 현대적인 연구 스타일의 진입 장벽은 놀라울 정도로 낮았으며, 여러 비전문가와 심지어 한 명의 청소년도 훌륭한 최적화를 찾아냈습니다. 다른 자율 연구자들과 함께하는 Telegram 그룹에 참여하고 싶다면, 저에게 연락 주시기 바랍니다.

2부: 중성 원자와 Q-Day

이야기는 Google에서 끝나지 않았습니다. Google이 결과를 발표한 바로 그날, Oratomic이라는 비밀스러운 스타트업도 자체 Shor 논문을 발표했습니다. 이 논문은 큰 반향을 일으켰으며, 결국 scirate[.]com(arXiv 논문 순위를 매기는 사이트)에서 가장 많은 투표를 받은 논문이 되었습니다.

Oratomic의 주장은 매우 놀라웠습니다. 그들은 Google의 논리 최적화를 기반으로 하여 중성 원자에 맞춤화된 물리 계층 최적화를 적용했으며, secp256k1에서 Shor 알고리즘을 실행하는 데 단 1만 개의 물리적 큐비트만 필요하다고 주장했습니다. 이 숫자는 믿기 어려울 정도로 낮은 수치입니다.

Oratomic 논문이 게재되었을 때, 저는 중성 원자에 대해 거의 아는 바가 없었습니다. 이는 제 흥미를 불러일으켰고, 이 기술을 탐구하기로 결심했습니다. 저는 푹 빠져서 수백 시간을 투자했습니다. 약간 집착하게 되어, 찾을 수 있는 모든 YouTube 동영상을 시청하고 많은 전문가들과 대화를 나누었습니다.

제 결론은 다음과 같습니다: 이 기술은 매우, 매우 실질적입니다. Google조차 최근에 중성 원자 연구소를 설립하기로 결정하며, 초전도 큐비트에 집중하던 방향에서 크게 전환했습니다. 만약 여러분이 Q-Day(즉, 양자 컴퓨터가 실제 운용 중인 최초의 암호화 알고리즘을 무력화하는 날)에 관심이 있다면, 중성 원자는 주목할 가치가 있습니다. 저는 ZKProof 암호학 컨퍼런스의 30분 강연에서 Shor와 중성 원자에 대해 제가 배운 내용 중 일부를 공유했으며, YouTube에서 "zkproof neutral atom"을 검색하시면 찾으실 수 있습니다.

이 두 획기적인 논문에 대한 흥미로운 관찰이 있습니다: Google과 Oratomic 모두 자신들의 결과가 Q-Day에 대해 의미하는 바를 전혀 언급하지 않았습니다. 어떤 타임라인도 없었습니다 – 완전한 침묵이었습니다. 백색 해커 양자 암호 분석의 전체적인 의의가 Q-Day 추정에 정보를 제공하고 대중이 좋은 결정을 내리도록 돕는 것임을 고려할 때, 이는 특히 이해하기 어려운 부분입니다.

따라서, 4월 29일 Scott Aaronson이 블로그 게시물에서 했던 것처럼, 이 침묵을 부분적으로나마 메우려고 합니다. 제가 알고 있는 모든 것, 공개할 수 없는 일부 무서운 정보를 포함하여, 저는 이제 2032년 이전에 Q-Day가 발생할 확률을 50%로 봅니다. 2030년 이전은 10%입니다.

덧붙여 한 가지 일화를 소개합니다: 미국 정부는 자체적인 날짜를 가지고 있습니다: 2035년입니다. 이 날짜는 미국 국가안보국(NSA)에서 유래했으며, 이후 NIST에 채택되어, 미국 정부의 모든 부서는 이 날짜까지 양자 취약 암호 시스템을 사용할 수 없게 됩니다. 솔직히 말하면: 돌이켜 보면, 그 날짜는 농담이며 완전히 무시되어야 합니다. 저는 NIST가 이를 수년 앞당기지 않을 수 없을 것이라고 생각합니다.

3부: 포스트 양자 암호학

오늘 경종을 울릴 충분한 이유가 있지만, 당황하지 마십시오. 성숙하지 않은 포스트 양자 암호학으로 성급하고 무모하게 달려드는 것은 재앙입니다. 제 생각에, 마이그레이션의 좋은 목표 날짜는 2029년이며, 약 3년 반이 남았습니다. 2029년은 Google, Cloudflare 및 이더리움 재단이 선택한 날짜이기도 합니다.

최근 저는 대부분의 시간을 "린 이더리움(Lean Ethereum)"이라는 더 넓은 프레임워크 내에서 이더리움을 안전하게 포스트 양자 암호학으로 마이그레이션하는 데 할애하고 있습니다. 해야 할 일이 많습니다. 합의 계층에서 BLS 서명을 제거하고 교체해야 하며, 데이터 계층에서 KZG 커밋먼트를 교체하고, 실행 계층에서 ECDSA 서명을 교체해야 합니다.

이 목표를 달성하기 위한 계획은 고무적이며, 해시 암호학을 기반으로 합니다. 이더리움 재단 내부에서 우리는 해시 기반 SNARK 알고리즘으로 구동되는 leanVM(github[.]com/leanEthereum/leanVM)이라는 스위스 군용 칼을 만들었습니다. Emile, Thomas 등의 정말 뛰어난 작업 덕분에 성능 위험은 제거되었습니다. 보안 측면에서 leanVM은 보물과 같으며, 종단 간 형식 검증과 최고 수준의 보안을 위해 설계된 간결한 zkVM입니다.

도움을 주고 싶으신가요? 백만 달러 규모의 두 가지 이니셔티브가 있습니다. 첫째, Proximity Prize(proximityprize[.]org)입니다. 코딩 이론의 미해결 수학적 추측을 해결하여 해시 기반 SNARK를 개선하면 백만장자가 됩니다. 둘째, Poseidon Initiative(poseidon-initiative[.]info)는 SNARK 친화적인 해시 함수인 Poseidon을 공격하는 데 100만 달러의 현상금을 걸었습니다.