Справжня квантова загроза для біткойна: не злом шифрування, а підробка підписів

關於"量子комп’ютер зламати біткойн-шифрування"的 твердження широко поширене в галузі, але сама ця формулювання має проблеми. Біткойн взагалі не залежить від традиційних механізмів шифрування для захисту активів. Реальний квантовий ризик полягає не у зломі шифротексту, а у використанні алгоритму Shor для виведення приватного ключа з публічного, що дозволяє підробляти цифрові підписи.

Прояснення концептуальних помилок: біткойн використовує цифрові підписи, а не шифрування

На блокчейні не зберігаються секрети, захищені шифруванням. Власність біткойна гарантується за допомогою цифрових підписів і хеш-підтверджень, а не за допомогою шифротексту. Це ключова різниця, яку довгий час ігнорували в галузі.

Adam Back — досвідчений розробник біткойна і винахідник Hashcash, прямо зазначив у соцмережах: “Людям, які поширюють паніку щодо квантів, слід пам’ятати: біткойн не використовує шифрування. Вивчайте основи, інакше відкриєте свою неосвідченість.” Він додав: “Шифрування — це приховування інформації, яку можуть прочитати лише ті, хто має ключ. Біткойн так не робить. Блокчейн — це публічний реєстр; кожен може побачити кожну транзакцію, суму і адресу. Нічого не зашифровано.”

Реальна квантова загроза — чи зможе зловмисник за допомогою алгоритму Shor відновити приватний ключ з публічного, і, відповідно, створити дійсні конфліктні транзакції. Це зовсім інша концепція, ніж “злом шифрування”.

Виявлення публічного ключа — справжня точка атаки на біткойн

Біткойн використовує системи підписів ECDSA і Schnorr для підтвердження контролю над ключовою парою. У цій моделі кошти пересуваються шляхом створення мережевих підписів, що визнаються дійсними. Тому виявлення публічного ключа стає критичним ризиком.

Багато форматів адрес використовують хеш-значення публічного ключа, що означає, що сам публічний ключ не буде відкритий до витрат транзакцій. Це зменшує вікно для зловмисника, щоб за допомогою алгоритму Shor обчислити приватний ключ. Однак деякі типи скриптів можуть заздалегідь розкривати публічний ключ, а повторне використання адрес перетворює одноразову витрату у сталу ціль.

Відкритий список “Bitcoin Risk List” проекту Eleven відслідковує ці випадки розкриття. Регулярні сканування показують, що приблизно 67 мільйонів BTC зберігається на адресах із відкритими публічними ключами — потенційна загроза для тих, у кого є можливість застосувати алгоритм Shor.

Фізичні квантові біти: від теоретичної загрози до реального руйнування — величезна прірва

На технічному рівні існує велика різниця між теорією і практикою. Злом 256-бітного еліптичного кривого шифрування потребує приблизно 2330 логічних квантових бітів (це верхня оцінка). Але це лише половина історії.

Ключова кількість фізичних квантових бітів набагато більша. За оцінками Litinski 2023 року, для відновлення приватного ключа еліптичної кривої 256-біт потрібно близько 6,9 мільйонів фізичних квантових бітів, і час обчислень — близько 10 хвилин. Щоб зробити це за один день, потрібно приблизно 13 мільйонів фізичних квантових бітів. Щоб завершити за годину — близько 317 мільйонів фізичних квантових бітів.

Ці величезні обсяги фізичних квантових бітів відображають реальність сучасних технологій: перехід від абстрактних алгоритмів до практично працюючого обладнання вимагає експоненційних ресурсів. Витрати на квантову корекцію і механізми помилок — це справжній вузький місце.

Часовий фактор визначає серйозність загрози

Практичність квантових обчислень залежить від часу виконання. Якщо відновлення ключа можливо за час, що менший за час створення блоку (близько 10 хвилин), зловмисник зможе змагатися з мережею, витрачаючи відкритий вихід, а не переписуючи історію. Це повністю змінює оцінку ризиків.

Обговорення руйнування хеш-функцій часто плутають. Реальна квантова перевага — алгоритм Grover, який надає квадратичне прискорення для грубої сили, а не експоненційне для дискретного логарифму. Дослідження NIST щодо реальних витрат атак за допомогою Grover показують, що витрати на корекцію помилок і системні фактори зберігають вартість злома SHA-256 приблизно на рівні 2^128 операцій — що значно важче, ніж злом дискретного логарифму ECC.

Стратегії протидії: довгострокове планування оновлень протоколу і міграції

За межами біткойна, NIST стандартизує постквантові примітиви, такі як ML-KEM (FIPS 203), у рамках ширших планів міграції. Внутрішньо екосистема біткойна пропонує BIP 360 (пропозиція “оплата до квантово-стійкого хешу”), а також qbip.org закликає поступово відмовлятися від старих підписів для стимулювання міграції.

Недавні дорожні карти компаній показують, що це — інфраструктурна проблема, а не надзвичайна ситуація. IBM у недавньому звіті обговорює прогрес у компонентах квантової корекції і підтверджує, що шлях до систем з помилками приблизно до 2029 року. Інший звіт стверджує, що ключові алгоритми IBM для квантової корекції можуть працювати на стандартних AMD-чипах, що свідчить про прогрес у апаратній екосистемі.

Вимірювані показники, а не часові прогнози

Розгляд “квантовий комп’ютер зломить біткойн” — це не лише концептуальна помилка, а й механічне непорозуміння. Важливими вимірюваними показниками є: яка частка активів у UTXO вже має відкритий публічний ключ; як реагують гаманці на таке розкриття; швидкість впровадження квантово-стійких платіжних шляхів у мережі, з урахуванням збереження обмежень валідації і ринків комісій.

Відслідковування проекту Eleven показує, що наразі близько 6,7 мільйонів BTC знаходяться у “квантовій вразливості”. З впровадженням Taproot ці показники змінюватимуться з використанням нових типів транзакцій. Важливо, що ці цифри можна виміряти вже зараз, без прогнозування термінів розвитку квантових технологій. Біткойн стикається з викликом управління міграцією, а не з негайною катастрофою.