Реальная квантовая угроза для Bitcoin заключается не в "взломе", а в подделке подписей: почему мы можем оценить этот риск прямо сейчас

Многие говорят о угрозе квантовых компьютеров для Bitcoin, повторяя одну и ту же фразу — «Квантовые компьютеры взломают криптографию Bitcoin». Но это утверждение изначально неверно. На самом деле, у Bitcoin вообще нет данных, которые нужно было бы «взломать» с помощью криптографии.

Почему криптография Bitcoin — не настоящая проблема

Защита владения Bitcoin реализована не через шифрованные данные. Вместо этого она основана на цифровых подписях (ECDSA и Schnorr) и хеш-обещаниях для обеспечения безопасности. Блокчейн — полностью публичная книга учета — каждая транзакция, каждая сумма, каждый адрес доступны для просмотра любым. Ничего не скрыто.

Другими словами, квантовый компьютер не сможет взломать Bitcoin, потому что в блокчейне вообще нет секретных данных, зашифрованных каким-либо образом. Adam Back — один из ранних разработчиков Bitcoin и изобретатель Hashcash — прямо заявил на платформе X: «Bitcoin не использует шифрование. Учите основы, иначе это покажет вашу неосведомленность.»

Настоящая опасность в чем? Если бы квантовый компьютер, связанный с криптографией, смог запустить алгоритм Шора, он мог бы из публичных ключей на блокчейне вывести приватные ключи и создать действительные подписи для конфликтных транзакций. Это не «взлом шифрования», а краже права на подтверждение.

Обнаружение публичных ключей: настоящая проблема безопасности Bitcoin

Система подписей Bitcoin требует, чтобы пользователь создал подпись, доказывающую контроль над парой ключей — именно это делает транзакцию действительной. Поэтому когда и как публичный ключ становится видимым — это ключ к квантовой угрозе.

Многие форматы адресов используют хеш-значение публичного ключа, что означает, что сам публичный ключ раскрывается только при совершении транзакции. Этот узкий временной промежуток ограничивает возможности злоумышленника вычислить приватный ключ и создать конфликтную транзакцию.

Но не все форматы выходов таковы. Некоторые типы скриптов раскрывают публичный ключ раньше, а повторное использование адресов превращает одноразовое раскрытие в постоянную мишень.

Открытый инструмент Project Eleven «Bitcoin Risq List» отображает эти сценарии, показывая, какие биткоины могут быть уже под угрозой со стороны атакующих с алгоритмом Шора. По их отслеживаниям, примерно 67000000 BTC находятся на адресах, соответствующих их критериям риска.

Как Taproot меняет ожидания по раскрытию

Taproot (адреса P2TR) изменил способ по умолчанию раскрытия. Согласно стандарту BIP 341, выходы Taproot содержат 32-байтовый модифицированный публичный ключ вместо хеша публичного ключа.

Это сегодня не создает новых уязвимостей. Но оно действительно меняет то, что будет раскрыто, если восстановление ключа станет возможным. Это важно, потому что раскрытие — измеримый параметр: мы можем отслеживать потенциальные уязвимые биткоин-кошельки, не угадывая временные рамки квантовой угрозы.

Project Eleven еженедельно автоматически сканирует и публикует свой «Bitcoin Risq List», охватывающий все адреса, уязвимые к квантовым атакам, и их балансы.

Сколько вычислительных ресурсов требуется для квантовой угрозы?

С точки зрения вычислений, ключевое различие — это разрыв между логическими квантовыми битами и физическими квантовыми битами.

Роэтеллер и его соавторы в своих исследованиях определили, что для вычисления дискретного логарифма на эллиптической кривой длиной 256 бит требуется не более 2330 логических квантовых бит (по формуле 9n + 2⌈log₂(n)⌉ + 10, где n=256).

Но при переводе этого в физические квантовые машины, способные выполнять глубокие вычисления с низким уровнем ошибок, основным ограничением является количество физических квантовых бит. Согласно оценкам Litinski 2023 года, для вычисления приватного ключа на эллиптической кривой 256 бит потребуется около 50 миллионов Toffoli-геймов. В модульной архитектуре это может занять около 10 минут при использовании примерно 6,9 миллиона физических квантовых бит.

Анализ Schneier on Security сводится к оценке — для взлома за один день потребуется около 1300 тысяч физических квантовых бит, а для взлома за час — около 3,17 сотен миллионов физических квантовых бит (зависит от предположений о времени и ошибках).

Почему так важен временной фактор

Время выполнения определяет возможность атаки. Если квантовый компьютер потребуется 10 минут, чтобы восстановить приватный ключ из публичного, а среднее время блока Bitcoin — 10 минут, то злоумышленник может конкурировать за контроль над раскрытыми выходами. Ему не нужно переписывать историю консенсуса.

Также есть вопрос хеширования, часто упоминаемый в этом контексте. Но квантовая угроза здесь — алгоритм Гровера, который дает квадратичное ускорение поиска, а не алгоритм Шора для дискретных логарифмов. Исследования NIST по стоимости атак с Гровер-алгоритмом показывают, что затраты и коррекция ошибок приводят к уровню порядка 2^128 операций. Это ничтожное по сравнению с затратами на взлом ECC дискретных логарифмов.

Почему адаптация — это вызов, а не немедленная опасность

За пределами Bitcoin, NIST уже стандартизировал постквантовые алгоритмы, такие как ML-KEM (FIPS 203), как часть более широкого плана миграции. Внутри Bitcoin предложен BIP 360 — новый тип выхода «Pay to Quantum Resistant Hash». В то же время qbip.org выступает за отказ от старых подписей для ускорения миграции и устранения долгосрочных публичных ключей.

Недавняя дорожная карта компаний показывает, что это — инфраструктурный вызов, а не срочная проблема. Reuters сообщает, что IBM обсуждает прогресс в области исправления ошибок и подтверждает, что путь к отказоустойчивым системам примерно к 2029 году.

Таким образом, утверждение «Квантовые компьютеры взломают Bitcoin» — это и терминологическая ошибка, и механическая неправильность.

Настоящий измеримый показатель — сколько части UTXO набора уже раскрыли публичные ключи, как кошельки реагируют на это, и как быстро сеть сможет внедрить квантоустойчивые методы расходования средств, сохраняя при этом проверку и рыночные механизмы стоимости.

Когда речь идет о будущем квантовых компьютеров и Bitcoin, разговор должен строиться вокруг адаптации, а не кризиса.