Bitcoin стикається з реальною квантовою загрозою не у "зламуванні", а у підробці підписів: чому ми можемо оцінити цей ризик вже зараз

Багато людей обговорюють загрозу квантових комп’ютерів для Bitcoin і повторюють одне й те саме — “Квантові комп’ютери зломлять криптографію Bitcoin”. Але ця думка з коренем неправильна. Насправді, Bitcoin взагалі не має криптографічних даних, які потрібно “зламати”.

Чому криптографія Bitcoin не є справжньою проблемою

Захист власності у Bitcoin не забезпечується за допомогою зашифрованого тексту. Навпаки, він базується на цифрових підписах (ECDSA та Schnorr) і хеш-обіцянках для гарантування безпеки. Блокчейн — це повністю відкритий реєстр — кожна транзакція, кожна сума, кожна адреса доступні для перегляду будь-кому. Нічого не приховано.

Інакше кажучи, один квантовий комп’ютер не зможе зламати Bitcoin, оскільки у блокчейні взагалі немає секретів, що були б зашифровані. Adam Back — один із ранніх розробників Bitcoin і винахідник Hashcash — прямо вказав у Twitter: “Bitcoin не використовує криптографію. Вивчайте основи, інакше ви проявите свою неосвідченість.”

Яка справжня загроза? Якщо квантовий комп’ютер, здатний виконувати алгоритм Шора, зможе зчитати відкритий ключ із блокчейну і відновити приватний ключ, він зможе створювати дійсні підписи для конфліктних транзакцій. Це не “злом криптографії”, а крадіжка прав на підтвердження.

Відкриття відкритих ключів: справжній бар’єр безпеки Bitcoin

Система підписів Bitcoin вимагає, щоб користувачі підтверджували контроль над ключовою парою шляхом створення підпису — саме через це транзакція є дійсною. Тому коли і як відкривається відкритий ключ — це ключова точка у потенційній квантовій загрозі.

Багато форматів адрес використовують хеш-значення відкритого ключа, що означає, що відкритий ключ стає відомим лише під час транзакції. Цей вузький часовий проміжок обмежує можливості зловмисника обчислити приватний ключ і створити конфліктну транзакцію.

Однак не всі формати виходів працюють так. Деякі типи скриптів відкривають відкритий ключ раніше, а повторне використання адреси робить одноразове відкриття ціллю для постійних атак.

Відкритий інструмент “Bitcoin Risq List” від Project Eleven відображає ці сценарії, показуючи, які біткойни можуть бути вже під загрозою для атак із використанням алгоритму Шора. За їхнім моніторингом, приблизно 670 мільйонів BTC на адресах відповідають рівню ризику.

Як Taproot змінює очікування щодо відкриття

Taproot (адреси P2TR) змінює спосіб за замовчуванням відкриття. Відповідно до стандарту BIP 341, вихід Taproot містить 32-байтовий модифікований відкритий ключ, а не хеш відкритого ключа.

Це не створює нових вразливостей сьогодні. Але воно змінює те, що може бути відкрито, якщо ключ стане відновлюваним. Це важливо, оскільки відкриття — це вимірюваний показник: ми можемо відстежувати потенційні вразливі пули біткойнів, не вгадуючи час появи квантової загрози.

Project Eleven щотижня автоматично сканує і публікує свій “Bitcoin Risq List”, що охоплює всі адреси, уразливі до квантових атак, і їхні залишки.

Скільки обчислювальної потужності потрібно для квантової загрози?

З точки зору обчислень, ключова різниця полягає у розриві між логічними квантовими бітами і фізичними квантовими бітами.

Роетеллер і його колеги у дослідженні визначили, що для обчислення дискретного логарифму на 256-бітній еліптичній кривій потрібно не більше 2 330 логічних квантових біт (формула: 9n + 2⌈log₂(n)⌉ + 10, де n=256).

Але перетворення цього у фізичні квантові боти, здатні виконувати глибокі обчислення з низькою ймовірністю помилок, — це основна перешкода. За оцінками Litinski 2023 року, для обчислення приватного ключа на 256-бітній еліптичній кривій потрібно близько 50 мільйонів Toffoli-воріт. За модульним підходом це може зайняти близько 10 хвилин і вимагати приблизно 6,9 мільйонів фізичних квантових біт.

Аналіз Schneier on Security зосереджується на оцінках — приблизно 13 мільйонів фізичних квантових біт потрібно для зломів за один день, і близько 317 мільйонів фізичних квантових біт — для зломів за годину (залежно від часу і припущень щодо помилок).

Чому так важливо враховувати часовий фактор

Час виконання визначає можливість атаки. Якщо квантовий комп’ютер потребує 10 хвилин, щоб відновити приватний ключ із відкритого, а середній час блоку Bitcoin — 10 хвилин, то зловмисник може конкурувати за контроль над відкритими виходами. Йому не потрібно переписувати історію консенсусу.

Ще й проблема хешування, яку часто згадують у цьому контексті. Але тут використовується алгоритм Grover, що дає квадратичне прискорення при пошуку методом перебору, а не алгоритм Шора для дискретних логарифмів. Дослідження NIST щодо реальних витрат на Grover показують, що системні витрати і корекція помилок роблять цю операцію приблизно рівною 2^128 операцій. Це мізерно мало у порівнянні з розкриттям ECC-дискретних логарифмів.

Чому адаптація означає виклики для міграції, а не негайну небезпеку

За межами Bitcoin, NIST вже стандартизує постквантову криптографію, наприклад, ML-KEM (FIPS 203), як частину більш широкого плану міграції. Внутрішньо у Bitcoin пропонується BIP 360 — новий тип виходу “Pay to Quantum Resistant Hash”. Одночасно qbip.org закликає відмовитися від старих підписів для сприяння міграції і усунення довгострокових відкритих ключів.

Недавні дорожні карти компаній дають зрозуміти, що це — інфраструктурна проблема, а не нагальна. Reuters повідомляє, що IBM обговорює прогрес у компонентах корекції помилок і підтверджує, що шлях до систем із відмовостійкістю відкриється приблизно у 2029 році.

Отже, “Квантові комп’ютери зломлять криптографію Bitcoin” — це і термінологічна помилка, і механізмова неправильність.

Справжній вимірюваний показник — скільки частин UTXO вже відкриті, як гаманці реагують на таке відкриття і наскільки швидко мережа зможе впровадити квантостійкі способи витрат, зберігаючи при цьому обмеження на підтвердження і комісії.

Щодо майбутнього квантових комп’ютерів і Bitcoin, розмови мають бути зосереджені на адаптації, а не на кризі.