Recordemos que hay dos maneras (básicas) de atacar el bitcoin.
a) Atacar la cadena de bloques con un ataque del 51%. y bastaría menos de una computadora cuántica de la mitad del tamaño de la que posee la nasa trabajando a favor del sistema bitcoin para hacerle imposible a la NSA un ataque del estilo.
En estos momentos, no veo la relación entre la computación cuántica y los ataques del 51%. Aún no se han desarrollado ordenadores cuánticos que pasen de unos pocos qubits en cámaras de laboratorios y no podemos saber qué potencia de computación se llegará a lograr cuando haya auténtico hardware de computación cuántica.
Los ordenadores cuánticos
no son ordenadores que hacen muchísimas operaciones muy rápido, sino que son ordenadores capaces de hacer operaciones lógicas diferentes de las de la computación clásica. La lógica cuántica se basa en bits con estados cuánticos que combinan una mezcla de estados 0 y 1 (
qubits), como el gato medio vivo medio muerto de Schrödinger, y eso permite operaciones imposibles en computación clásica, en la que cada bit tiene que valer exactamente 0 o 1.
El peligro para la criptografía es que existen ya dos algoritmos cuánticos conocidos, el Algoritmo de Shor y el algoritmo de Grover, que debilitan primitivas criptográficas, especialmente el prrimero. Dado que se trata de algoritmos de lógica cuántica, no clásica, la existencia de estos algoritmos en libros académicos no preocupa en tanto no existan los ordenadores cuánticos, pero sí tendrán consecuencias críticas para la criptografía si un día se logra construir tales ordenadores.
b) Un ataque por fuerza bruta para obtener de una clave pública su correspondiente clave privada. Acá es donde temo que se pueda hacer algo en el futuro
No. La razón por la que los ordenadores cuánticos permitirían obtener una clave privada a partir de la pública no es que faciliten los ataques "por fuerza bruta". En computación se considera inviable cualquier algoritmo de tiempo exponencial. Si el problema fuera solamente la fuerza bruta (que requiere tiempo exponencial), bastaría con aumentar el número de bits de las claves utilizadas. El problema es el que decía antes: el Algoritmo de Shor. En su forma original, este algoritmo permite encontrar una clave privada RSA a partir de una clave pública
en tiempo polinomial. Por eso, se considera que rompe la criptografía de clave pública. Para la criptografía ECDSA (curvas elípticas; la que utiliza Bitcoin) basta con modificar ligeramente el algoritmo de Shor para utilizar el grupo de la "suma" de curvas elípticas para tener una variante del algoritmo de Shor igualmente letal. Por eso, la criptografía de clave pública, tanto RSA como ECDSA, dejará de ser útil cuando haya auténticos ordenadores cuánticos capaces de ejecutar el algoritmo de Shor (los D-Wave no son auténticos ordenadores cuánticos y no cuentan).
Por otra parte, en lógica cuántica, la función de hash SHA-256 queda debilitada al reducirse su seguridad en un factor 2
128, lo cual hace que se comporte como si fuera una especie de "SHA-128". Esto se debe al otro algoritmo cuántico que mencioné, el de Grover. Pese a esta reducción drástica en seguridad, 128 bits siguen siendo un umbral seguro para una función de hash. Por eso, con los algoritmos cuánticos conocidos, SHA-256 seguiría siendo segura con ordenadores cuánticos.
SHA-1 esta roto. SHA-256 se basa en SHA-1 por lo tanto esta como mínimo comprometido.
Por algo están sacando SHA-3.
Respecto a SHA-1, depende de cómo definas "roto". SHA-1 está debilitado, pero sigue siendo seguro. No se han encontrado todavía colisiones e incluso si se encontraran algunas, tampoco sería el fin del mundo. SHA-256 sigue siendo totalmente seguro y, como dije antes, resiste, aunque debilitado, a los algoritmos cuánticos conocidos.
Por otra parte, usar SHA-3 es actualmente más arriesgado que usar SHA-256 porque es un algoritmo muy reciente. Digamos que aún no ha superado la prueba del tiempo, a diferencia de lo que ocurre con SHA-256, al que llevan más de una década intentando hacerle todo tipo de perrerías. Por eso, mientras no se encuentren debilidades a SHA-256 del tipo de las que se conocen para SHA-1, es más conservador utilizar SHA-256, como hace Bitcoin.
Con una computadora cuántica real, podría, teóricamente y de forma simultanea, generar todas las direcciones posibles.
Pero, por el momento no hay ninguno, que nosotros sepamos.
Como le dije antes a AbraxasCcs, no entiendo por qué insistís en que un ordenador cuántico tendría una capacidad brutalmente mayor para hacer operaciones rápidamente. Lo que dices de generar todas las direcciones posibles requeriría unos recursos brutales tanto en computación clásica como cuántica. No sé si hay alguna razón que se me escapa por la que los ordenadores cuánticos podrían mejorar el rendimiento también en operaciones tipo acceso a memoria o comparaciones por fuerza bruta, pero no creo que tenga por qué ser así.
Sha-3 es tan vulnerable como Sha-2 ante una computadora cuántica. Es más eficiente, rápido, pero igual de vulnerable.
Como comentaba, Sha-2 solamente queda debilitado, no roto. Su seguridad pasa de 256 bits a 128. En el caso de SHA-3, creo que los autores han utilizado 512 bits precisamente para que la seguridad frente a ataques de tipo Grover sea equivalente a 256 bits. Lógicamente, nadie sabe si en el futuro se encontrarán algoritmos más eficientes, pero hoy por hoy no se conocen.
Para quien quiera profundizar en este tema, sin duda apasionante, el mejor artículo (en inglés) que he leído sobre los riesgos reales que supondrían la revolución cuántica, si algún día llega, y cómo se podría modificar Bitcoin para sobrevivir a ello lo escribió Vitalik Buterin en Bitcoin Magazine:
http://bitcoinmagazine.com/6021/bitcoin-is-not-quantum-safe-and-how-we-can-fix/
