## Bitcoin і алгоритм Шора: чому поточна загроза — це проблема відкритого ключа, а не шифрування

Більшість дискусій про квантову загрозу для Bitcoin базується на фундаментальному непорозумінні термінології. Шифрування в Bitcoin практично не існує — блокчейн це публічна книга, у якій кожен може побачити транзакції, суми та адреси. Те, що справді захищає засоби, — це цифрові підписи (ECDSA і Schnorr) та функції хешування, а не зашифрований текст. Ризик квантової загрози, що має реальне значення, — це можливість підробки авторизації шляхом виведення приватного ключа з відкритого ключа за допомогою алгоритму Шора.

## Де справді полягає вразливість: експозиція ключа і проект Taproot

Безпека Bitcoin залежить від того, чи відкритий ключ видно у ланцюгу блоків. Багато форматів адрес передбачають хеш відкритого ключа, що означає, що сирий ключ залишається прихованим до моменту створення транзакції. Це звужує часовий проміжок для потенційного зловмисника. Однак Taproot (P2TR) змінює цей шаблон — він містить 32-байтовий змінений відкритий ключ безпосередньо у виході, замість його хешу, відповідно до BIP 341.

Проект Eleven, відкритий проект моніторингу шифрування і безпеки Bitcoin, щотижня виконує сканування на предмет виявлених відкритих ключів. Їхній публічний трекер ідентифікує близько 6,7 мільйона BTC на адресах, що відповідають критеріям уразливості до квантових атак. Це не означає поточну загрозу, але показує, що уразливий пул можна виміряти і вже сьогодні відслідковувати.

## Квантові комп’ютери потребують мільярдів фізичних кубітів — і це не близько

Обчислювальна сторона змінює перспективу. Щоб обчислити дискретний логарифм 256-бітної кривої еліптичної ECC, теоретично потрібно близько 2300 логічних кубітів (згідно з роботою Roetteler і співробітників). Проблема виникає при конвертації у машини з корекцією помилок.

Оцінки показують діапазон від 6,9 мільйона до 13 мільйонів фізичних кубітів для зламу ключа за годину до доби, залежно від припущень щодо швидкості помилок і архітектури. IBM нещодавно обговорював шлях до системи, стійкої до помилок, приблизно до 2029 року, але це залишається проєктом, а не реальністю. Поточні квантові комп’ютери дуже далекі від цього.

## Повторне використання адреси і міграція підписів: реальні виклики

Реальна проблема не технічна — це швидше виклик міграції. Якщо відкритий ключ з’явиться у ланцюгу блоків, майбутні надходження на той самий адрес залишатимуться відкритими. Розробники гаманців можуть зменшити цю загрозу шляхом ротації адрес, але багато користувачів не застосовують таку практику.

NIST стандартизував примітиви пост-квантового шифрування (ML-KEM/FIPS 203), а BIP 360 пропонує новий тип виходу «Pay to Quantum Resistant Hash». Проблема: пост-квантові підписи мають розмір кілька кілобайтів, а не десятки байт. Це змінює економіку ваги транзакцій, комісій і досвіду користувача гаманця — створюючи більші виклики, ніж сама криптографія.

## Підсумок: інфраструктура, а не раптова криза

Шифрування Bitcoin не під загрозою з боку квантових комп’ютерів у традиційному сенсі. Замість цього мережа стикається з довгостроковим викликом міграції, що стосується підписів, уразливості відкритих ключів і керування гаманцями. Вимірювані елементи — такі як поточний стан UTXO з відкритими ключами, поведінка користувачів і здатність мережі прийняти рішення, стійкі до квантів, — визначать графік і успіх переходу. Це не гра на п’ять хвилин, а багаторічна трансформація інфраструктури.