Хаос навколо Bitcoin і квантових комп’ютерів: про що насправді нам слід турбуватися

Загальноприйнята думка стверджує, що квантові комп’ютери становлять безпосередню загрозу для шифрування Bitcoin. Нічого подібного. Проблема полягає у термінології та неправильному розумінні механізмів безпеки мережі. Адже Bitcoin не зберігає зашифровані секрети на блокчейні – це ключова різниця.

Де полягає справжня небезпека

Власність Bitcoin забезпечується за допомогою цифрових підписів (ECDSA та Schnorr), а також зобов’язань на основі хеш-функцій, а не шифруванням. Якщо б квантовий комп’ютер міг запустити алгоритм Шора проти криптографії еліптичних кривих Bitcoin, він міг би зробити одне: вивести приватний ключ із відкритого ключа, опублікованого на блокчейні.

Це означає потенційного фальсифікатора авторизації – саме це є реальною загрозою. Атакуючий не «розшифрує» нічого. Замість цього він використає Шора, щоб перейти від публічного ключа до приватного, а потім згенерує дійсний підпис для конкуренційного витратного транзакту.

Адам Бек, багаторічний розробник Bitcoin і творець Hashcash, яскраво підсумував це: «Bitcoin не використовує шифрування. Кожен може побачити кожну транзакцію у публічній книзі – нічого не зашифровано.»

Експозиція публічного ключа: вузьке місце безпеки

Безпека Bitcoin зводиться до одного: чи видно публічний ключ у блокчейні? Багато форматів адрес використовують хеш публічного ключа – сирий публічний ключ не з’являється у мережі, доки кошти не будуть витрачені. Це звужує часовий проміжок для потенційного зловмисника.

Однак інші типи скриптів розкривають публічний ключ раніше. Повторне використання адреси може перетворити одноразове розкриття у постійну ціль. Проєкт Eleven, за допомогою своєї «Bitcoin Risq List», точно відображає, де публічні ключі вже доступні для когось, хто має алгоритм Шора.

Дані показують, що близько 6,7 мільйонів BTC відповідають критеріям експозиції публічного ключа. Це вимірюваний обсяг, який можна відстежувати вже сьогодні.

Числа, що мають значення

З обчислювальної точки зору ключова різниця стосується логічних і фізичних кубітів. Теорія каже, що для обчислення дискретного логарифму ECC для 256-бітного ключа потрібно близько 2330 логічних кубітів.

Перетворення цього у машину з корекцією помилок – це де розквітають витрати. Оцінка 2023 року пропонує:

• ~6,9 мільйонів фізичних кубітів для відновлення ключа за 10 хвилин
• ~13 мільйонів фізичних кубітів для відновлення за 1 день
• ~317 мільйонів фізичних кубітів для цілі у часовому вікні в одну годину

Ці цифри показують, що мова йде не про вчорашню технологію – йдеться про інфраструктуру, яка все ще формується.

Taproot змінює гру на майбутнє

Виходи Taproot (P2TR) містять 32-байтовий змінений публічний ключ безпосередньо у коді, замість його хешу. Це не створює вразливості сьогодні, але змінює те, що за замовчуванням розкривається, якщо відновлення ключів колись стане практичним.

Taproot означає зміну шаблону експозиції, але це зміна, яку можна керувати через архітектурні вибори гаманця та протоколу.

Це виклик, а не катастрофа

NIST вже стандартизував примітиви пост-квантового захисту, такі як ML-KEM (FIPS 203). У Bitcoin BIP 360 пропонує «Pay to Quantum Resistant Hash», а qbip.org аргументує за відмову від старих підписів, щоб стимулювати міграцію.

IBM нещодавно повідомила про прогрес у компонентах корекції помилок і шлях до системи, стійкої до помилок, приблизно до 2029 року. Це вказує на те, що розвиваючі системи з квантовими обчисленнями супроводжуються розвиваючоюся мережею захисту.

Реальна проблема полягає у пропускній здатності, зберіганні, комісіях і координації міграції. Пост-квантові підписи мають розмір кілька кілобайтів, а не десятки байт, що змінює економіку транзакцій. Це інфраструктурна ініціатива, а не раптовий випадок.

Отже: Bitcoin не під загрозою зламу шифрування, оскільки воно насправді ніколи не було його основою. Вимірюваними елементами є пропорція UTXO з розкритими ключами, темпи впровадження пост-квантових шляхів витрат і те, наскільки швидко мережа адаптується до зміненого ландшафту.