I computer quantistici sono considerati una minaccia per Bitcoin. Due scienziati hanno fatto i conti: I minatori quantistici hanno davvero un vantaggio sui minatori classici? E se è così – questo rappresenta una minaccia per Bitcoin?
Bitcoin e i computer quantistici: abbiamo avuto questo argomento una o due volte, e in realtà sta perseguitando Bitcoin fin dall’inizio.
I computer quantistici minacciano Bitcoin? Arriverà un giorno un computer quantistico che, grazie alla sua superiore potenza di calcolo, svuoterà tutti i portafogli ed estrarrà tutti i Bitcoin? Alcuni dicono sì, a lungo termine questo potrebbe accadere, altri dicono no, non ci sarà un grammo di preoccupazione per molto tempo.
Abbiamo già scritto dei computer quantistici, di Bitcoin e dell’algoritmo di firma ECDSA. Oggi diamo un’occhiata a un documento in cui due professori canadesi di informatica analizzano se i minatori quantistici rappresentano un pericolo, e se sì, che tipo di pericolo.
L’argomento non è banale, soprattutto per i profani della matematica. Ma poiché è eccitante per chiunque sia interessato a Bitcoin e al futuro dell’informatica, cercherò di presentare il documento nel modo più semplice possibile.
The Leaping Progress
Il quadro di base su cui gli autori costruiscono la loro domanda è la seguente teoria: se un minatore diventa troppo potente, può minacciare la rete. Se ha la maggioranza assoluta, può guidare il 51% di attacchi, ma anche al di sotto può causare danni attraverso un’estrazione “aggressiva” o “egoistica”.
Ora cosa succede se un minatore guadagna un tale vantaggio attraverso il calcolo quantistico che la sua quota di hashrate cresce in modo sproporzionato?
Fondamentalmente, abbiamo già affrontato tutto questo, ed è abbastanza banale: il progresso tecnologico accelera l’estrazione mineraria. Non avviene gradualmente, ma spesso a passi da gigante. Dal 2011, le schede grafiche hanno spostato i processori principali, dal 2013, Asics ha spostato le schede grafiche. In questi momenti, l’efficienza non aumenta più linearmente, ma quadraticamente o esponenzialmente. Ora che gli Ascis sembrano aver ampiamente esaurito il potenziale dei chip classici, i computer quantistici potrebbero inaugurare il prossimo grande salto.
Di per sé, questo non dovrebbe costituire un problema. La meccanica teorica del gioco di Bitcoin motiva i giocatori razionali ad essere onesti e a tenersi l’un l’altro sotto controllo. Eppure, un salto tecnologico può essere accidentato, e forse diventa un gateway per potenze ostili che agiscono irrazionalmente per danneggiare Bitcoin.
Pertanto, ha senso sapere quando potrebbe accadere. Cosa deve succedere perché i computer quantistici sostituiscano i classici Asics dal mining di Bitcoin?
Ricerca di database non ordinati
Puoi pensare al mining di bitcoin come a minatori che generano lotti con la loro potenza di calcolo. Generano hash casuali, e se un hash soddisfa certi requisiti molto rari, il minatore trova un blocco. Si potrebbe anche chiamarlo un attacco a forza bruta contro la funzione hash SHA256.
I due professori la mettono così: “I minatori cercano di invertire parzialmente una funzione hash crittografica”. Questa “inversione parziale di una funzione hash” è “equivalente alla ricerca di un elemento segnato in una lista non ordinata di elementi (una ricerca non strutturata)”. Sembra un punto secondario, ma è fondamentale per tutto il resto.
Perché non c’è molto che i computer quantistici hanno dimostrato di poter fare. Uno dei pochi compiti in cui i computer quantistici sono noti per superare i computer classici è la ricerca di un elemento particolare in una lista non ordinata.
Un computer classico, quando cerca in un database non ordinato – o un attacco di forza bruta – deve lavorare attraverso una voce alla volta. Si può pensare ad esso come ad un puntatore bidimensionale che si muove da un elemento all’altro. Quando ha visto la metà delle voci, la possibilità di ottenere un successo supera il 50 per cento. Pertanto, un computer classico ha bisogno in media di N/2 operazioni, dove N è il numero totale di elementi possibili.
I computer quantistici hanno ora un vantaggio: un qubit può essere 0 e 1 allo stesso tempo, ed è per questo che una serie di qubit può rappresentare simultaneamente tutte le varianti concepibili. Potete pensarlo come un puntatore che punta in N dimensioni. Quando i qubit sono in questa “superposizione”, la soluzione è già in loro. È lì.
Ma appena si misura, si distrugge la soluzione. Questo è il famoso dilemma quantistico: se si misura, si costringe i quanti ad assumere uno stato certo ma casuale. Quindi il computer quantistico conosce la soluzione, ma con un tragico colpo di scena, la svaluta quando si va a prenderla.
Algoritmo di Grover: quadrato praticamente accelerato
E’ qui che entra in gioco l’algoritmo di Grover. Sviluppato da Lov Grover nel 1996, l’algoritmo di Grover è un metodo di controllo del risultato. Combinando diverse “porte quantistiche” – queste sono le operazioni nei computer quantistici – i qubit individuano i falsi risultati e li sopprimono. Con ogni ripetizione – la cosiddetta iterazione Grover – la probabilità di ottenere il risultato corretto aumenta.
L’intera faccenda è follemente complicata nei dettagli. Ma una cosa è chiara: con il giusto numero di iterazioni, l’algoritmo Grover può accelerare drasticamente tali ricerche. Perché per trovare un elemento in una lista non ordinata, Grover ha bisogno solo di √n tentativi. Quindi è quasi quadraticamente più veloce.
Due esempi: Se ci sono 4 elementi, i computer classici e i computer quantistici hanno bisogno di 2 tentativi. Con 5.198.400 elementi, invece, un computer quantistico viene trovato dopo 2280 tentativi, mentre un computer convenzionale deve operare più di due milioni di volte.
Specialmente in compiti con una difficoltà estrema o un N estremamente alto, come il mining di bitcoin, questa differenza – il cosiddetto vantaggio quantico – è enorme. È uno di quei salti che scuotono interi ecosistemi. Almeno in teoria.
Il vantaggio quantistico si sta sciogliendo
In pratica, un minatore quantistico incontra un problema molto specifico: può trovare un blocco solo quando misura il risultato – e quindi interrompe il processo. Quindi deve sapere in anticipo quante iterazioni eseguirà.
La domanda è difficile. Perché sia troppi che troppo pochi hanno degli svantaggi. Più iterazioni aumentano la possibilità di trovare una soluzione corretta – ma anche il pericolo che un altro minatore sia più veloce. Meno iterazioni, d’altra parte, abbassano la probabilità di un risultato valido – e quindi il vantaggio quantico.
Se un computer quantistico avesse un tempo infinito, potrebbe sfruttare tutto il vantaggio quantistico. Ma questo non è possibile con le miniere. Deve trovare un compromesso tra troppe e poche iterazioni.
Per calcolare il trade-off ottimale, i ricercatori hanno formato una catena di Markov con i possibili scenari. Una catena di Markov è una formulazione matematica di sequenze di eventi possibili, di solito casuali o parzialmente casuali. Tale catena indica quali percorsi attraverso la giungla delle probabilità portano in media ai migliori risultati: quale impostazione dell’algoritmo di Grover sarebbe ideale.
Sorprendentemente, questo sarebbe di 16 minuti.
Due risultati notevoli
Se un minatore quantistico aspetta 16 minuti per leggere il risultato dell’algoritmo di Grover, il suo vantaggio rispetto ai minatori classici raggiunge il massimo in relazione agli svantaggi che derivano dal lungo lasso di tempo. Secondo gli scienziati, questo vantaggio esiste indipendentemente dalla difficoltà.
Il risultato è molto notevole perché può essere trasferito nella pratica. Qui si possono vedere due gravi conseguenze:
In primo luogo, il minatore con una tale tattica si squalifica da circa l’80% dei blocchi. Perché questi si trovano in meno di 16 minuti. Massimizza le sue possibilità di successo con il restante 20%. Questa dovrebbe essere la massima potenza totale di estrazione che i computer quantistici possono raggiungere senza sacrificare l’efficienza.
In secondo luogo, la maggior parte delle criptovalute hanno intervalli più brevi tra i blocchi. Dogecoin e Litecoin hanno circa pochi minuti, Ethereum e Ripple solo pochi secondi. I minatori quantistici hanno un naso sanguinante con queste blockchain perché il vantaggio quantistico non si applica qui. Sono già quantum-safe – almeno nell’estrazione mineraria.
Anche la parallelizzazione dei computer quantistici sembra essere un vicolo cieco. Anche se questo è possibile con l’algoritmo di Grover, migliora le prestazioni solo di un fattore √m secondo i calcoli degli autori. Con i computer classici, il fattore è m, cioè è quadraticamente più grande. Questo rende discutibile se i computer quantistici saranno mai rilevanti per il mining.
78 Megahashes
Questi calcoli attenuano notevolmente il pericolo dei computer quantistici. Ma la domanda cruciale rimane ancora senza risposta: Cosa deve succedere perché i minatori quantistici abbiano effettivamente un vantaggio sui minatori classici? A che punto diventerà più economico trovare un blocco con un computer quantistico – se mai?
Due fattori sono decisivi per questo: i costi per iterazione di grover e il rapporto tra il numero di hash necessari per un blocco e il numero di iterazioni di grover richieste. Gli autori lo calcolano usando l’esempio di un computer quantistico attualmente comune con una “velocità di cancello” di 66,7 megahertz. Le porte sono le operazioni quantistiche. Gli scienziati calcolano che questo computer quantistico gestirebbe 224 iterazioni di grover al secondo.
Cosa significa? 224 iterazioni di Grover corrispondono a un tasso di hash di 78 megahash al secondo. Questa è una proporzione assolutamente microscopica dell’hashrate di Bitcoin, anzi, solo una minuscola frazione di ciò che le moderne Asics raggiungono. Sarebbe ridicolo sentire odore di pericolo qui.
Probabilmente saranno più efficienti in futuro
Ma se i minatori quantistici non rappresentano una minaccia – sono almeno più efficienti? Quindi, ci può essere, almeno gradualmente, una conversione al quantum mining? E a che punto?
Per essere più efficiente, il costo energetico di un’iterazione di Grover dovrebbe essere al massimo 3,49 x 105 volte il costo di un hash classico. Rispetto ai minatori classici, che hanno un’efficienza energetica di 10-10 Jules per hash, un computer quantistico avrebbe bisogno di un’efficienza migliore di 3,49 x 105 x 10-10, o circa 10 μJ per iterazione Grover. O 2240 μJ al secondo.
Sembra estremamente basso. Ma i computer quantistici sono molto efficienti dal punto di vista energetico. Non appena il sistema viene raffreddato a 15 millikalvin, cioè vicino allo zero assoluto, i bit quantici diventano un superconduttore: non hanno bisogno di elettricità e non producono praticamente calore. Attualmente, il raffreddamento in relazione alla potenza rende ancora antieconomico un computer quantistico. Ma è probabile che questo cambi con l’avanzare della tecnologia.
Quindi, tutto sommato, come Bitcoiners, possiamo dormire tranquilli e un po’ più saggi e sognare senza terrore un futuro di computer quantistici.
