۲۸۰ میلیارد دلار سرمایه‌گذاری در بیت‌کوین بر این مبنا صورت گرفته که رمزارزها غیر قابل نفوذ هستند. شاید اینگونه نباشد. هک کردن بیت کوین خطری است که ظاهرا در کمین همه سرمایه‌گذاران است.

AP Explains Quantum Computers

شاید یک دهه آینده، در خصوص هک کردن بیت کوین، یک روز این خبر شگفت‌انگیز در سراسر فضای وب منتشر شود که منحنی‌های بیضوی کرک شده‌است. رمزنگاری منحنی بیضوی یا ECC را به عنوان پایه و اساس بیت‌کوین می‌شناسند. آیا کشف یک باگ یا نقیصه در این کد، هرگونه مبادله سکه را برای همیشه منتفی نمی‌کند؟

من این سوال مهم را از برایان آرمسترانگ،‌ موسس بزرگ‌ترین صرافی رمزنگاری ایالات متحده آمریکا یعنی کوین‌بیس ( Coinbase ) پرسیدم. او نمی‌تواند ثابت کند که برخی میانبرهای ریاضی، کلیدهای بیت‌کوین را به خطر نینداخته‌است اما در عین حال خطر ناشی از آنها را برای هک کردن بیت کوین کم می‌داند.

او در مصاحبه‌ای در مقر کوین‌بیس در ایالت سانفرانسیسکو تشریح کرد: «در طول ده سال،‌ هزاران نفر این کد را مورد بررسی قرار داده‌اند. ما جایزه‌ای صد میلیارد دلاری برای پیداکردن باگ در سیستم و هک کردن بیت کوین قرارداده‌ایم و تاکنون کسی نتوانسته ایرادی پیدا کند. لذا من فکر می‌کنم که سناریوی هک شدن رمز‌ارزها بسیار بعید به نظر می‌رسد.»

بازار بیت‌کوین و سایر ارزهای دیجیتالی که با آن در حال رقابت هستند،‌ یک بازار هدف ۲۸۰ میلیارد دلاری است که این موضوع به طور طبیعی یک امر بسیار وسوسه برانگیز برای افراد نااهل است. از روزهای نخستین شروع بکار آن ،‌ تهدیدات گسترده‌ای از جمله هک کردن بیت کوین، فیشینگ، و مهندسی اجتماعی در مقابل آن صف‌آرایی کرده‌اند. تاکنون حملات موفقیت‌آمیز به رمزارزها چندان به چشم نیامده‌اند و نتوانسته‌اند این بازار را بامخاطره جدی مواجه کنند.

اما سوال اساسی این است که اگر روزی سودجویان بتوانند یک نقطه ضعف جدی در نحوه کار رمزنگاری کشف کنند، چه اتفاقی خواهد افتاد؟ این نقطه ضعف حتی می‌تواند در شبکه جهانی اینترنت مالکیت بیت‌کوین را به مخاطره بیندازد یا حتی ممکن است در برخی جنبه‌های رمزنگاری باشد که تاکنون کسی به آن فکر نکرده‌است.

بازیگران اصلی عرصه رمزنگاری دو پاسخ اصلی در مورد مخاطرات احتمالی که آن را تهدید می‌کند، ارائه می‌کنند. یکی از این پاسخ‌ها آن است که سیستم می‌تواند مخاطره احتمالی را در حال نزدیک شدن شناسایی کند و از خود در برابر آن دفاع نماید.

در هر صورت اگر ثابت شود که رمزنگاری یازده ساله بیت‌کوین نقطه ضعفی دارد، نودها می‌توانند به صورت دسته‌جمعی به پروتکل دیگری منتقل شوند. این امکان وجود دارد که اقدامات لازم قبل از سرقت سکه صورت پذیرد. به همین ترتیب آنها می‌توانند به نسخه قبلی زنجیره بلوکی که قبل از سرقت در محل بود، برگردند. لذا اینجاست که می‌توان گفت زنجیره Ethereum می‌تواند تا حدی برخی از اقدامات مربوط به مخاطره انداختن صندوق سرمایه‌گذاری DOA را از بین ببرد.

یک پاسخ دیگر که چندان اطمینان‌بخش نیست،‌ این است که خطرات جدی‌تری نسبت به هک کردن بیت کوین وجود دارد. فلیپ مارتین،‌ رئیس بخش امنیت کوین بیس می‌گوید: «آیا مسئله اصلی یک مسئله ریاضی است؟ ما درحال صحبت پیرامون فروپاشی کل اینترنت هستیم.» میلیاردها دلار از طریق شبکه‌های الکترونیکی محافظت‌شده رمزنگاری شده در حال داد و ستد است. لذا در این دوران آخرالزمان دیجیتال، انفجار بیت‌کوین حداقل نگرانی ما خواهد بود.

حال وقت آن رسیده‌ تا برخی از نقاط ضعفی را که در خصوص ارزهای دیجیتال مطرح است، بررسی کنیم.

پیاده‌سازی و اجرای نامناسب

زمانی بود که شرکت سونی برای محافظت از پلی‌استیشن‌های خود از منحنی‌های بیضوی استفاده می‌کرد. برای اینکه یک بازی اجرا شود، باید یک امضای دیجیتال مختص به همان دستگاه سونی ارائه شود. این دقیقا همان فرآیندی است که برای جلوگیری از هک کردن بیت کوین استفاده می‌شود. در واقع یک امضای دیجیتال روتین از تعداد متمایزی عدد به عنوان یکی از ورودی‌های خود برای اعتبارسنجی استفاده می‌کند.

سونی یک خطای فاحش انجام داد و عددهای مشابهی را بازیافت کرد. این اشتباه باعث شد که هرکسی که دارای دو بازی قانونی و دانش جبر دوران دبیرستان باشد،‌ بتواند به محاسبه کلید مخفی و اجرای بازی‌های سرقت‌شده بپردازد. آندره کوربلینی، به عنوان یک رمزنگار این نقص را تشریح کرده‌است.

شاید شما فکر کنید که همه این حفره‌ها مدت‌ها پیش پیدا شده و برطرف شده‌اند ولی این طور نیست. اخیرا آژانس امنیت ملی از وجود یک نقص در یکی از مرورگرهای مایکروسافت خبر داده‌است. این مرورگر در ارائه امضای دیجیتال برای تایید قانونی بودن وب‌سایت‌ها، مرتکب اشتباه شده‌است.

رمزنگاری منحنی بیضوی برای شروع به کار خود از یک نقطه خاص استفاده می‌کند. این نقیصه،‌ یک وب‌سایت را قادر می‌سازد تا در نقطه دیگری قرار بگیرد. فقط با دارا بودن یک جایگزین مناسب است که یک سایت مخرب می‌تواند امضای دیجیتال را جعل کند و رمز عبور حساب بانکی شما را سرقت نماید.

مایکروسافت خیلی زود این نقیصه را برطرف نمود اما آیا تضمینی است که نقص‌های دیگری در برخی از نرم‌افزارهایی که برای نگهداری و انتقال رمزارزها استفاده می‌شود، وجود نداشته باشد؟

مدیران رمزنگاری هم مراقب و نگران هستند. فلیپ مارتین از اعضای شبکه امنیتی کوین بیس می‌گوید: «من از نقص موجود در اجرای یک کتابخانه خیلی بیشتر از نقص موجود در ریاضیات آن ترسیده‌ام.»

همان اشتباهی را که شرکت سونی در خصوص کنسول بازی خود مرتکب شد را برخی از دارندگان بیت‌کوین که سعی در مدیریت کیف پول سکه خود دارند نیز مرتکب می‌شوند. یک کارشناس امنیتی در این حوزه می‌گوید: «بسیاری از هکرهای بیت‌کوین روس تبار،‌ ربات‌هایی را رمزنگاری کرده‌اند که به طور خودکار سکه‌ها را از آدرس‌های آسیب‌پذیر می‌گیرند.» آن چیزی که باعث می‌شود نگرانی شما در زمینه مراقبت از کیف پول خود برطرف شود، بهره‌گرفتن از تعدادی از متخصصین این حوزه است.

مهندسی اجتماعی

برای سرقت و هک کردن بیت کوین،‌ یک کلاهبردار نیازی به دانستن جبر ندارد بلکه اگر بتواند نقش خود را به خوبی ایفا کند ممکن است بتواند این کار را انجام دهد.

آیا خطری وجود دارد که شخصی بتواند رمزارزی را که از پول‌هایی که از طریق شبکه پرداخت Zelle جابجا می‌شود را کرک کند؟ این سوالی است که جیمی آرمیستد معاون رئیس شرکت Early Warning که شبکه پرداخت Zelle را راه‌اندازی نمود پاسخ می‌دهد:‌ «آن چیزی که خطرناک است هک شدن نیست بلکه فیشینگ است که از طریق ارسال ایمیل به افراد مثلا خزانه‌دار شرکت انجام می‌شود.»

Vishing که در واقع یک نوع فیشینگ دارای دستورات صوتی است، یک خط امنیتی به شمار می‌آید. این موضوع برای هایجکینگ که در واقع اشاره به در دست گرفتن کنترل تلفن هوشمند توسط سارق است نیز صادق است.

مهندسان امنیت سایبری به طور مداوم پروتکل‌های ارتباطی را به‌روز می‌کنند تا از بروز این نوع کلاهبرداری‌ها جلوگیری کنند. آنها به سختی مشغول بکار هستند تا این کار را ادامه دهند. آیا یک کلاهبرداری ئر مقیاس بزرگ می‌تواند باعث شود اکثر نودهای بیت‌کوین به طور همزمان یک اشتباه مهلک مرتکب شوند؟

هک‌های ریاضیاتی

روش های رمزگذاری سالهاست که توسط افراد زیادی مورد بررسی و تجزیه و تحلیل قرار گرفته است، لذا در کاربری‌های رایج استفاده از آنها ایمن به نظر می‌رسد. اما آن چیزی که باید مورد توجه قرار داد این است که در حالت کلی نمی‌توان آنها را به طور حتم ایمن دانست. ممکن است بالاخره شخصی پیدا شود تا راهی برای ورود به آنها پیدا کند.

روش‌های رمزنگاری بر ترکیب اعداد با یکدیگر مبتنی هستند. یکی از این روش‌ها به نام RSA مشهور است. این واژه در واقع حاصل ترکیب حروف اول نام مخترعین آن است؛ Adleman ، Rivest ،‌ Shamir . روش RSA تاکنون در سطح گسترده‌ای برای حفظ امنیت داده‌های حساس و مهم مورد استفاده قرار می‌گیرد.

عملیات حسابی در این روش بر مبنای توان‌رسانی و مدولاسیون صورت می‌گیرد. وقتی شما عدد چهار را سه بار در خودش ضرب می‌کنید،‌ عدد ۳ در واقع توان خواهد بود و حاصل برابر ۶۴ می‌شود. برای بدست آوردن مدول آن را بر ۱۱ تقسیم می‌کنیم. باقیمانده آن ۹ خواهد شد که ما آن را در نظر می‌گیریم.

انجام این عملیات با ارقام کوچک مانند مثالی که در بالا مطرح کردیم،‌ امری بی‌معنی به نظر می‌رسد اما رمزنگاری،‌ این فرآیند را روی اعداد بسیار بزرگ انجام می‌دهد که نتایج حاصل آن نیز بسیار پیچیده است. برای درک درست از این مسئله بهتر است چند نمونه از این محاسبات با اعداد بزرگ را امتحان کنید.

تنها راهی که برای سهل کردن این پیچیدگی وجود دارد، کسب اطلاعات در خصوص مدول است. این روش به کمک برخی فرمول‌ها و روابط ریاضی که در قرن ۱۷ میلادی توسط یک فرانسوی ارائه شده است،‌ تبیین می‌شود.

یک روش پیچیده دیگر مربوط به رمزنگاری منحنی‌های بیضوی یا ECC است. در این روش حاصل ضرب مدولار اعداد مدنظر است آن هم به صورت جفت اعداد نه اعداد تکی. در واقع بهتر است هر جفت عدد را به عنوان مختصاتی روی نقشه در نظر بگیرید. ضرب کردن آنها کار عجیبی به نظر می‌رسد؛ چراکه شما برای دو برابر کردن یک جفت عدد صرفا آنها را از یک گوشه نقشه حرکت نمی‌دهید، بلکه آن را از روی یک منحنی بیضوی عبور می‌دهید. به این ترتیب همه نقاط موجود روی نقشه را به حرکت درمی‌آورید.

در فرآیند رمزنگاری، نقطه شروع را فقط دو برابر نمی‌کنیم بلکه آن را در یک عدد بزرگ ضرب می‌کنیم که این کار نقشه را به کلی به هم می‌ریزد. این شماره بزرگ به وجود آمده که مخفی نیز نگه‌داشته‌می‌شود،‌ کلیدی است که قفل بیت‌کوین را باز می‌کند. RSA و ECC هر دو از این منطق پیروی می‌کنند.

این دو روش حفاظتی به دشواری های ظاهری که در عملیات‌ محاسباتی اشاره شده،‌ تکیه می‌کنند. در روش RSA مسئله اصلی پیدا کردن دو عدد است که باید در هم ضرب شوند تا به مدول برسند. در روش ECC، برای تعیین کردن عددهایی که باید ضرب شوند، نقطه انتهایی را به نقطه شروع تقسیم می‌کنند. وقتی صحبت از دشوار بودن این روش‌ها می‌کنیم، منظورمان این است که بیش از تریلیون سال باید زمان صرف کرد تا این عملیات را روی یک لپ‌تاپ انجام داد.

پیدا شدن میانبرها می‌تواند به تسهیل این رون منجر شود. برای RSA، یک میانبر معروف برای فاکتورگیری اعداد به منظور غربال آنها وجود دارد. برای ECC هم یک الگوریتم گام کوچک- گام بزرگ وجود دارد که به طرز چشمگیری زمان محاسبه را کاهش می‌دهد.

برای اطمینان از ایمنی بازار رمزنگاری و تجارت اینترنتی، به گفته برایان آرمسترانگ برمی‌گردیم:‌ انگیزه و تلاش زیادی برای پیدا کردن میانبر قاتل در جریان است اما بدیهی است که تاکنون هیچ‌کس نتوانسته آن را بیابد. از آن طرف هم هیچ شاهدی مبنی بر اینکه ترفند به مراتب بهتری در دست اکتشاف است، وجود ندارد.

یک دانشمند فرانسوی به نام فرمت،‌یک واقعیت ساده را در خصوص توان‌رسانی اعداد حدس زد اما که به نظر درست می‌رسید اما قابل اثبات نبود. در مدت زمان سه قرن انسان‌ها در تلاش برای اثبات درستی آن بودند اما شکست می‌خوردند تا اینکه بالاخره در روزگاری نه چندان دور یک اثبات برای آن ارائه شد که متکی بر منحنی‌های بیضوی بود.

رایانه‌های کامپیوتری

از نظر تئوری، کامپیوترهایی که از اثرات کوانتومی استفاده می‌کنند قابلیت این را دارند که زمان رمزگشایی یک پیام رمزنگاری شده را از میلیاردها سال به چند ساعت کاهش دهند. یکی از تئوری‌ها که برای کرک کردن RSA است در سال ۱۹۹۴ معرفی شد. در ماه اکتبر، گوگل با اعلام خبر برتری کوانتومی زلزله‌ای در دنیای رمزنگاری به وجود آورد.

این شرکت ادعا کرد که یک دستگاه کوانتومی آزمایشی توانسته‌است آنچه را که کامپیوترهای معمولی در ۱۰۰۰۰ سال انجام می‌دهند را در ۲۰۰ ثانیه انجام دهد. در مقابل برخی از محققان IBM ادعا کردند که گوگل زمان انجام عملیات را شش مرتبه بزرگتر اعلام کرده‌است. هنوز هم محاسبات کوانتومی یک تهدید به حساب می‌آید.

این پروژه در گوگل به طور خاص طراحی شده‌است تا مهارت‌های محدودکننده موجود در عناصر محاسبات کوانتومی را ارزیابی کند. این مهارت‌ها از مهارت‌های لازم برای کرک کد‌ها بسیار فراتر است. الگوریتم طراحی شده در سال ۱۹۹۴ هنوز استفاده نمی‌شود زیرا سخت‌افزار آن تاکنون صرفا روی کاغذ وجود دارد. اما ده سال دیگر چه اتفاقی خواهد افتاد؟ هیچکس نمی‌داند آینده محاسبات کوانتومی چه خواهد بود.

در پشتی

برای یک رمزنگاری روتین، به وجود آورندگان بی‌نام بیت‌کوین،‌ یک منحنی بیضوی را از میان برداشتند. این منحنی توسط دولت فدرال طراحی شده‌است. آیا این پارامترها به طرز عجیبی برای ایجاد آسیب پذیری ریاضی انتخاب شده‌اند؟ آیا آژانس امنیت ملی یک در پشتی به سکه‌های شما دارد؟‌ احتمالا نه. اما شما نمی‌توانید مطمئن باشید. دولت‌ها علاقه‌ای به همراهی با فلسفه آنارشیستی زمینه‌ساز رمزارزها ندارند.

از زمان ایجاد رمزنگاری، هزاران سکه تاکنون دزدیده‌ شده‌است یا در فرآیند کلاهبرداری و روش‌های پانزی به سرقت رفته‌اند. فرآیند سرقت و هک کردن بیت کوین در ظاهر ادامه خواهد داشت. به هر حال احتمال نابودی کامل این سیستم خیلی کم است ولی صفر نیست.