Мит о «сломанном шифровании»: Почему Bitcoin сталкивается с вызовом квантового логарифма, а не с немедленной угрозой шифрования

На протяжении многих лет нарратив был тревожным: «Квантовые компьютеры взломают шифрование Bitcoin». Но это популярное утверждение содержит фундаментальную концептуальную ошибку. Bitcoin никогда не зависел от шифрования для защиты своих средств. Что действительно находится под вниманием — это цифровые подписи, и в частности, возможность того, что квантовые машины смогут решать задачу дискретного логарифма эллиптической кривой значительно быстрее классических компьютеров.

Терминологическая путаница: шифрование vs. цифровые подписи

Блокчейн Bitcoin — полностью публичная книга учета. В ней нет секретов, зашифрованных данных или скрытой информации, которую нужно защищать шифрованием. Каждая транзакция, каждый адрес, каждая сумма видимы для всех.

Bitcoin использует цифровые подписи — в частности, ECDSA и Schnorr — для доказательства контроля над средствами. Когда вы совершаете транзакцию, вы не расшифровываете ничего; вы создаете математическую подпись, которая подтверждает, что у вас есть приватный ключ, связанный с этим адресом. Это важное отличие, которое многие комментаторы игнорируют.

Адам Бэк, разработчик Bitcoin и изобретатель Hashcash, ясно выразился по этому поводу. В социальных сетях он предупредил: «Bitcoin не использует шифрование. Убедитесь, что вы знаете основы, иначе станет очевидно, что вы не разбираетесь в теме.» Путаница возникает потому, что люди приравнивают «криптографическую безопасность» к «шифрованию», хотя на самом деле речь идет о совершенно разных математических задачах.

Истинный вектор атаки: раскрытие публичных ключей

Если бы существовал достаточно мощный квантовый компьютер, его оружием было бы не расшифрование сообщений. Это было бы решение дискретного логарифма эллиптической кривой, что позволило бы злоумышленнику вывести приватный ключ из публичного, если он был раскрыт в цепочке.

Вот важный момент: не все адреса Bitcoin раскрывают свои публичные ключи одинаково.

Многие адреса Bitcoin используют только хэш публичного ключа. Сам публичный ключ в открытом виде не раскрывается до тех пор, пока не потрачена эта выходная сумма. Это создает ограниченное временное окно, в течение которого злоумышленник может попытаться вычислить приватный ключ и опубликовать конфликтующую транзакцию.

Другие форматы скриптов, напротив, раскрывают публичный ключ раньше. И если вы повторно используете адрес, эта экспозиция становится постоянной целью. Проект Eleven, основанный на открытом коде, точно определяет и отображает, какие выходы содержат видимые публичные ключи, а какие защищены хэшами.

Оценка риска: 6.7 миллиона BTC потенциально уязвимы

Хотя криптографически значимых квантовых компьютеров еще не существует, риск полностью измерим в настоящее время. Проект Eleven еженедельно автоматизированно сканирует цепочку, выявляя все адреса Bitcoin с раскрытыми публичными ключами.

Результат: примерно 6.7 миллионов BTC соответствуют критериям квантовой экспозиции. Это не означает, что эти средства сегодня в опасности, но они уязвимы, если квантовые технологии развиваются достаточно быстро.

Чтобы понять вычислительные требования: решение дискретного логарифма длиной 256 бит, используемого в Bitcoin, по оценкам ученых, требует около 2 330 логических кубитов. Проблема в том, что преобразование логических кубитов в машины, исправляющие ошибки и выполняющие глубокие цепи, требует огромного количества физических кубитов.

Оценки варьируются в зависимости от архитектуры:

• 10 минут: примерно 6.9 миллионов физических кубитов
• 1 день: примерно 13 миллионов физических кубитов
• 1 час: примерно 317 миллионов физических кубитов

IBM недавно объявила о дорожной карте к системе с устойчивостью к ошибкам примерно к 2029 году, хотя компоненты исправления ошибок остаются основной узкой точкой.

Taproot изменил уравнение, но только для будущего

Обновление Taproot (P2TR) изменило способ по умолчанию экспонирования публичных ключей. Выходы Taproot включают прямо в программу выхода 32-байтовый публичный ключ вместо хэша.

Это не создает уязвимости к квантам сегодня, но меняет картину экспозиции, если восстановление ключей на основе квантового логарифма станет возможным. Это означает, что число «уязвимых к квантам» адресов будет автоматически расти с каждой новой транзакцией, использующей Taproot, если не будет реализована квантовая устойчивость.

Алгоритм Гровера: второстепенная угроза

В то время как алгоритм Шора фокусируется на дискретном логарифме (основная угроза), алгоритм Гровера обеспечивает квадратичное ускорение поиска методом brute-force. Теоретически это влияет на хэширование SHA-256.

Однако накладные расходы квантовых вычислений и требования к исправлению ошибок делают атаку по Гроверу против SHA-256 в разы более дорогой, чем решение эллиптического дискретного логарифма. Это не является равнозначной угрозой.

Рычаги в руках пользователей и протоколов

Учитывая реалистичные временные рамки, квантовый риск — это в основном задача миграции, а не немедленная чрезвычайная ситуация. Доступные рычаги распределены по нескольким уровням:

На уровне пользователя:

• Избегайте повторного использования адресов, чтобы уменьшить постоянное окно экспозиции
• Используйте кошельки, минимизирующие экспонирование публичных ключей
• Мигрируйте к квантоустойчивым скриптам, когда они станут доступны

На уровне протокола:

• BIP 360 предлагает новый тип выхода «Pay to Quantum Resistant Hash»
• Предложения вроде qbip.org выступают за вывод устаревших подписей для стимулирования миграции
• Стандартизация NIST пост-квантовых примитивов (ML-KEM FIPS 203) предоставляет компоненты для построения

На уровне инфраструктуры: Постквантовые подписи обычно имеют размер в килобайты, по сравнению с десятками байт текущих подписей. Это изменит экономику веса транзакций и комиссий, но является решаемой инженерной задачей, а не фундаментальной проблемой безопасности.

Реалистичный график: инфраструктура, а не кризис

Правильное различие — Bitcoin не находится под немедленной квантовой угрозой, но и игнорировать риск на неопределенный срок нельзя. Важные сегодня элементы:

1. Насколько часть UTXO содержит раскрытые публичные ключи (могущие: 6.7M BTC)
2. Как меняется поведение кошельков в ответ на эту экспозицию
3. Насколько быстро сеть сможет принять пост-квантовые стандарты без ущерба для валидации и рынков комиссий

Переформулировать «квантовые вычисления взломают шифрование Bitcoin» как «квантовые вычисления могут позволить подделывать подписи, если это произойдет, что потребует управляемой миграции протокола» — более точно и полезно.

Bitcoin уже проходил через изменения протокола. Это будет запланированная техническая миграция, а не внезапный кризис безопасности. И в отличие от других систем, экспозиция полностью отслеживаема, измеряема и управляемая даже сегодня.