Міф про "зламаний шифр": чому Bitcoin стикається з викликом квантового логарифму, а не з негайною загрозою шифрування

Протягом років наратив був тривожним: «Квантові комп’ютери зламати шифрування Bitcoin». Але ця популярна заява містить фундаментальну концептуальну помилку. Bitcoin ніколи не залежав від шифрування для захисту своїх коштів. Насправді під ретельним аналізом — цифрові підписи, і зокрема, можливість того, що квантові машини зможуть швидше розв’язати проблему дискретного логарифму еліптичної кривої, ніж класичні комп’ютери.

Терміни та плутанина: Шифрування vs. Цифрові підписи

Блокчейн Bitcoin — це абсолютно публічна книга записів. Тут немає секретів, зашифрованих у ланцюгу, немає прихованої інформації, яку потрібно захищати шифруванням. Кожна транзакція, кожна адреса, кожна сума — видимі для всіх.

Bitcoin використовує цифрові підписи — зокрема ECDSA та Schnorr — для підтвердження контролю над коштами. Коли ви виконуєте транзакцію, ви не розшифровуєте нічого; ви створюєте математичну підпис, яка доводить, що володієте приватним ключем, пов’язаним із цією адресою. Це критична різниця, яку багато коментаторів ігнорують.

Adam Back, розробник Bitcoin і винахідник Hashcash, чітко висловився з цього приводу. У соцмережах він попереджав: «Bitcoin не використовує шифрування. Переконайтеся, що знаєте основи, інакше стане очевидно, що ви не розумієте, про що говорите». Плутанина виникає тому, що люди прирівнюють «криптографічну безпеку» до «шифрування», тоді як йдеться про зовсім різні математичні задачі.

Основний вектор атаки: Виявлення відкритих ключів

Якщо з’явиться достатньо потужний квантовий комп’ютер, його зброєю не буде розшифрування повідомлень. Це буде розв’язання дискретного логарифму еліптичної кривої, що дозволить зловмиснику отримати приватний ключ із відкритого ключа, опублікованого у ланцюгу.

Ось важливий момент: не всі адреси Bitcoin відкривають свої відкриті ключі однаково.

Багато адрес Bitcoin захищені лише хешем відкритого ключа. Сам відкритий ключ у «сирому» вигляді не розкривається, доки не витратять цю вихідну транзакцію. Це створює обмежене тимчасове вікно, коли зловмисник може обчислити приватний ключ і опублікувати конфліктну транзакцію.

Інші формати скриптів, навпаки, відкривають відкритий ключ раніше. А якщо ви повторно використовуєте адресу, ця вразливість стає постійною ціллю. Проєкт Eleven, аналіз з відкритим кодом, точно ідентифікує, які виходи зберігають відкриті ключі і які захищені хешами.

Оцінка ризику: потенційно вразливі 6.7 мільйонів BTC

Хоча криптографічно релевантні квантові комп’ютери ще не існують, ризик цілком можна виміряти сьогодні. Проєкт Eleven щотижня автоматично сканує всі адреси Bitcoin з відкритими ключами у ланцюгу.

Результат: приблизно 6.7 мільйонів BTC відповідають критеріям квантової вразливості. Це не означає, що ці кошти сьогодні під загрозою, але вони потенційно вразливі, якщо технологія квантових обчислень розвинеться достатньо.

Щоб уявити обчислювальні вимоги: розв’язання дискретного логарифму довжиною 256 біт (використовуваного в Bitcoin), за оцінками експертів, потребує близько 2 330 логічних кубітів. Проблема в тому, що перетворення логічних кубітів у машини з корекцією помилок і глибокими схемами вимагає величезної кількості фізичних кубітів.

Оцінки варіюються залежно від архітектури:

• 10 хвилин: приблизно 6.9 мільйонів фізичних кубітів
• 1 день: приблизно 13 мільйонів фізичних кубітів
• 1 година: приблизно 317 мільйонів фізичних кубітів

IBM нещодавно оголосила про дорожню карту до системи з корекцією помилок приблизно до 2029 року, хоча компоненти корекції залишаються головним вузьким місцем.

Taproot змінив рівняння, але лише для майбутнього

Оновлення Taproot (P2TR) змінило спосіб за замовчуванням відкриття відкритих ключів. Виходи Taproot безпосередньо містять 32-байтовий відкритий ключ у програмі виходу, замість хешу.

Це не створює сьогоднішньої квантової вразливості, але змінює картину вразливості у разі, якщо стане можливим відновлення ключів на основі квантового логарифму. Це означає, що кількість «уразливих до квантів» адрес автоматично зростатиме з кожною новою транзакцією з Taproot, якщо не буде застосовано протидію квантам.

Алгоритм Гровера: вторинна загроза

У той час як алгоритм Шора зосереджений на дискретному логарифмі (головна загроза), алгоритм Гровера пропонує квадратичне прискорення пошуку методом brute-force. Теоретично це впливає на хешування SHA-256.

Однак накладні витрати квантових обчислень і вимоги до корекції помилок роблять атаку за допомогою Гровера проти SHA-256 у десятки разів дорожчою, ніж розв’язання задачі дискретного логарифму еліптичної кривої. Це не є рівнозначною загрозою.

Важелі у руках користувачів і протоколів

З урахуванням реалістичних часових рамок, квантовий ризик — це перш за все виклик міграції, а не негайна надзвичайна ситуація. Доступні важелі розподілені між кількома рівнями:

На рівні користувача:

• Уникнення повторного використання адрес зменшує постійне вікно вразливості
• Використання гаманців, що мінімізують відкриття відкритих ключів
• Міграція до протоколів, стійких до квантів, коли вони стануть доступними

На рівні протоколу:

• BIP 360 пропонує новий тип виходу «Pay to Quantum Resistant Hash»
• Пропозиції, як qbip.org, закликають до відмови від застарілих підписів для стимулювання міграції
• Стандартизація NIST пост-квантових примітивів (ML-KEM FIPS 203) забезпечує компоненти для побудови

На рівні інфраструктури: Пост-квантові підписи зазвичай мають розмір у кілька кілобайтів, порівняно з десятками байт сучасних підписів. Це змінить вагу транзакцій і комісії, але є технічним питанням, яке можна вирішити, а не фундаментальною проблемою безпеки.

Реалістичний графік: інфраструктура, а не криза

Правильне розуміння полягає в тому, що Bitcoin не під загрозою негайного квантового нападу, але йгнорувати ризик довго не можна. Важливі сьогодні елементи:

1. Яка частина UTXO має відкриті ключі (6.7М BTC)
2. Як змінюється поведінка гаманців у відповідь на цю вразливість
3. Як швидко мережа зможе прийняти пост-квантові стандарти без компромісів у валідності та ринках комісій

Переформулювати «квантові обчислення зламати шифрування Bitcoin» у «квантові обчислення можуть дозволити підробку підписів, якщо це станеться, що вимагає керованої міграції протоколу» — більш точно і корисно.

Bitcoin вже проходив через зміни протоколу. Це буде запланована технічна міграція, а не раптова криза безпеки. І на відміну від інших систем, вразливість цілком відстежується, кількісно оцінюється і може бути зменшена навіть сьогодні.