Реальная квантовая угроза для Bitcoin не связана с «взломом шифрования»

Образ вокруг квантовых компьютеров и безопасности Bitcoin был запутан из-за фундаментальной ошибки в терминологии. Медиа часто утверждают, что квантовые компьютеры «взломают шифрование Bitcoin», но такой подход полностью упускает реальную уязвимость. Bitcoin не хранит зашифрованные секреты в блокчейне. Настоящая угроза связана с компрометацией цифровых подписей и публичных ключей — это совершенно другой вектор угроз.

Понимание того, что действительно важно: подписи вместо секретов

Модель безопасности Bitcoin основана на подписи ECDSA и Schnorr для подтверждения владения монетами. Блокчейн — это прозрачный реестр; каждая транзакция и адрес видны публично. Это означает, что ничего не зашифровано в традиционном смысле. Вопрос безопасности не в том, сможет ли квантовый компьютер расшифровать что-то скрытое — а в том, сможет ли он вывести приватный ключ из открытого ключа и создать действительную подпись.

Адам Бэк, давний разработчик ядра Bitcoin, четко сформулировал это различие: «Bitcoin не использует шифрование. Разберитесь в основах». Эта терминологическая ошибка раздула страхи по поводу квантовых угроз на протяжении многих лет. Реальная квантовая угроза связана с алгоритмом Шора, который теоретически может вычислять дискретные логарифмы по эллиптическим кривым. Если достаточно мощный квантовый компьютер запустит этот алгоритм против публичного ключа, опубликованного в блокчейне, он сможет вывести соответствующий приватный ключ и инициировать несанкционированные транзакции.

Узкое место: когда публичные ключи становятся открытыми

Формат адреса существенно влияет на квантовый риск. Многие типы адресов Bitcoin используют только хэш публичного ключа, что означает, что сам ключ остается скрытым до тех пор, пока не будет потрачена связанная с ним монета. Такой дизайн сокращает окно для потенциального злоумышленника, который может вычислить приватный ключ с помощью алгоритма Шора.

Однако другие типы скриптов раскрывают ключи раньше. Повторное использование адресов превращает одно раскрытие в постоянную уязвимость. Адреса Taproot (P2TR), введенные через BIP 341, включают 32-байтовый измененный публичный ключ прямо в выходной скрипт, а не хэш — это значительно меняет профиль экспозиции.

Проект Eleven ведет «Bitcoin Risq List», систематически отслеживая такие случаи. Их анализ показывает, что примерно 6,7 миллиона BTC уже находятся в цепочке с раскрытыми публичными ключами, формируя так называемый пул адресов, уязвимых к квантовым атакам.

Оценка вычислительных барьеров

Понимание того, насколько близка квантовая угроза, требует разделения логических и физических кубитов. Исследования Рётелера и коллег показывают, что для вычисления 256-битного дискретного логарифма по эллиптической кривой требуется примерно 2330 логических кубитов. Корень из 256 — это примерно 16, а связанная с этим сложность алгоритмов и определяет эти оценки.

Преобразование логических кубитов в исправленные на ошибках физические устройства влечет за собой огромные накладные расходы. Недавние оценки предполагают, что около 6,9 миллиона физических кубитов могут восстановить 256-битный ключ за примерно 10 минут (по модели Литински 2023). Другие оценки указывают на около 13 миллионов физических кубитов для взлома ключа за один день. Эти цифры основаны на предположениях о допустимых уровнях ошибок и времени, которые в практике еще не подтверждены.

Недавние дорожные карты IBM предполагают появление квантовых компьютеров с исправлением ошибок примерно к 2029 году, хотя прогресс в компонентах коррекции ошибок продолжает сдвигать сроки. Путь от теоретической возможности к практической атаке остается чрезвычайно сложным.

Вопрос Гровера: почему хеш-функции остаются устойчивыми

Квантовые алгоритмы представляют разные угрозы для различных криптографических слоев. В то время как алгоритм Шора напрямую нацелен на дискретные логарифмы, алгоритм Гровера дает только квадратичное ускорение при полном переборе. Для хеш-функции SHA-256, использующейся в Bitcoin, атака с помощью Гровера оставляет уровень безопасности примерно на уровне 2^128 операций — что все еще практически невозможно выполнить и несравнимо с взломом эллиптической кривой.

Таким образом, хеширование остается второстепенной проблемой в оценке квантовых рисков.

Миграция — настоящая проблема

Если появится квантово-устойчивый компьютер, угроза не будет заключаться в переписывании истории блокчейна. Скорее, злоумышленник попытается потратить выходы с раскрытыми ключами быстрее, чем это сделают легитимные подтверждения транзакций. Это смещает окно уязвимости Bitcoin с восстановления истории в реальное время, к конкуренции за подтверждение транзакций.

Переходы протоколов — это путь вперед. BIP 360 предлагает типы выходов «Pay to Quantum Resistant Hash», а инициативы вроде qbip.org выступают за отказ от устаревших подписей, чтобы стимулировать миграцию и сократить долю экспонированных адресов. Постквантовые подписи, такие как ML-KEM (стандарт FIPS 203 NIST), занимают килобайты вместо десятков байт, что кардинально меняет экономику транзакций и дизайн кошельков.

Поведение кошельков и повторное использование адресов — это ближайшие рычаги. Как только публичный ключ опубликован в цепочке, любой будущий прием средств на тот же адрес остается уязвимым. Пользователи и разработчики могут снизить экспозицию уже сегодня, соблюдая операционную дисциплину и улучшая настройки кошельков.

Итог: оценка риска без точных сроков

Квантовая уязвимость Bitcoin реальна, но измерима — и ее срочность зависит скорее от развития аппаратных решений с исправлением ошибок, чем от прорыва в алгоритмах. Инфраструктурная задача управляемая: отслеживать экспозицию, разрабатывать пути миграции и обновлять правила валидации. Основная проблема — это исправление терминологии: Bitcoin не подвержен риску взлома шифрования, потому что шифрование не используется. Он сталкивается с риском подделки подписей из-за раскрытых публичных ключей — и этот срок зависит от аппаратных возможностей, а не теории.