## Bitcoin и алгоритм Шора: почему текущая угроза — это проблема публичного ключа, а не шифрования

Большинство обсуждений квантовой угрозы для Bitcoin основано на фундаментальном недоразумении терминологии. Шифрование в Bitcoin практически не существует — блокчейн это публичная книга, в которой каждый может увидеть транзакции, суммы и адреса. То, что действительно защищает средства, — это цифровые подписи (ECDSA и Schnorr), а также функции хэширования, а не зашифрованный текст. Реальная квантовая угроза — возможность подделки авторизации путём вывода приватного ключа из публичного ключа с помощью алгоритма Шора.

## Где действительно кроется уязвимость: экспозиция ключа и проект Taproot

Безопасность Bitcoin зависит от того, виден ли публичный ключ в блокчейне. Многие форматы адресов используют хэш публичного ключа, что означает, что исходный ключ остается скрытым до момента создания транзакции. Это сокращает окно времени для потенциального злоумышленника. Однако Taproot (P2TR) меняет этот шаблон — он содержит 32-байтовый изменённый публичный ключ прямо в выходе, вместо его хэша, согласно BIP 341.

Проект Eleven, открытый проект по мониторингу шифрования и безопасности Bitcoin, еженедельно сканирует на предмет раскрытых публичных ключей. Их публичный трекер идентифицирует около 6,7 миллиона BTC на адресах, которые соответствуют критериям уязвимости к квантовым атакам. Это не означает текущей угрозы, но показывает, что уязвимая часть уже измерима и отслеживается сегодня.

## Квантовые компьютеры требуют миллиардов физических кубитов — и это далеко не близко

Обчислительная сторона меняет перспективу. Для вычисления дискретного логарифма 256-битной эллиптической кривой ECC теоретически требуется около 2300 логических кубитов ( согласно работе Roetteler и соавт.). Проблема возникает при конвертации в машины с коррекцией ошибок.

Оценки показывают диапазон от 6,9 миллиона до 13 миллионов физических кубитов для взлома ключа за час или за день, в зависимости от предположений о скорости ошибок и архитектуре. IBM недавно обсуждал путь к системе, устойчивой к ошибкам, примерно к 2029 году, но это остается прогнозом, а не реальностью. Современные квантовые компьютеры очень далеки от этого.

## Повторное использование адреса и миграция подписей: реальные вызовы

Реальная проблема не техническая — это скорее вызов миграции. Если публичный ключ появится в блокчейне, будущие поступления на тот же адрес останутся раскрытыми. Разработчики кошельков могут снизить эту угрозу путём ротации адресов, но многие пользователи не используют такую практику.

NIST стандартизировал примитивы пост-квантового шифрования (ML-KEM/FIPS 203), а BIP 360 предлагает новый тип выхода «Pay to Quantum Resistant Hash». Проблема в том, что пост-квантовые подписи имеют размер в килобайты, а не десятки байт. Это меняет экономику веса транзакций, сборов и пользовательского опыта кошелька — создавая более серьёзные вызовы, чем сама криптография.

## Итог: инфраструктура, а не внезапный кризис

Шифрование Bitcoin не находится под угрозой со стороны квантовых компьютеров в традиционном смысле. Вместо этого сеть сталкивается с долгосрочной миграционной задачей, связанной с подписями, экспозицией публичных ключей и управлением кошельками. Измеримые элементы — такие как текущий статус UTXO с раскрытыми ключами, поведение пользователей и способность сети принять квантоустойчивые решения — определят график и успех перехода. Это не игра на пять минут, а многолетняя трансформация инфраструктуры.