Реальная квантовая угроза для Bitcoin заключается в узком месте подписей, а не в несуществующем шифровании

На протяжении лет сектор повторяет фразу, которая звучит устрашающе: “Квантовые компьютеры взломают Bitcoin”. Но эта нарратив страдает от фундаментальной терминологической ошибки. Истина более тонкая, но также более управляемая, чем кажется.

Большое недоразумение: Bitcoin не использует шифрование, он использует цифровые подписи

Вот ключевой момент, который большинство забывает: Bitcoin не скрывает информацию с помощью шифрования. Блокчейн — это полностью публичная бухгалтерская книга. Каждый может видеть каждую транзакцию, каждое количество и каждый адрес. Ничего не зашифровано.

Что действительно защищает Bitcoin, так это возможность тратить ваши монеты, и это достигается с помощью цифровых подписей (ECDSA и Schnorr в основном) и хеш-основанных обязательств. Когда публичный ключ оказывается раскрыт в цепочке, достаточно мощный квантовый компьютер может использовать алгоритм Шора для получения соответствующего приватного ключа.

Настоящее узкое место безопасности — это не шифрование. Это раскрытие публичных ключей.

Где находится реальный риск: видимые публичные ключи

В зависимости от формата используемого адреса, публичный ключ может оказаться раскрыт в разное время:

• Адреса с хешем (P2PKH, P2WPKH): публичный ключ скрыт за хешем до тех пор, пока не потрачены средства. Малая окно экспозиции.
• Pay-to-pubkey и Taproot (P2TR): включают публичный ключ прямо в скрипт. Большая окно экспозиции, особенно если адреса повторно используются.
• Повторное использование адресов: превращает временную экспозицию в постоянную цель для гипотетического квантового злоумышленника.

Проект Eleven, проект с открытым исходным кодом, специализирующийся на картировании этой уязвимости, оценивает, что примерно 6,7 миллиона BTC соответствуют критериям квантовой экспозиции. Это означает UTXO, где публичные ключи уже видны в блокчейне.

Расчет квантовой стоимости: от логических кубитов к физическим

Чтобы квантовый компьютер действительно взломал систему, ему нужно:

2 330 логических кубитов как верхняя граница для вычисления дискретного логарифма эллиптической кривой 256 бит (по Roetteler et al.).

Но превращение этого в реальную отказоустойчивую машину требует массовой коррекции ошибок:

• Сценарий 10 минут: ~6,9 миллионов физических кубитов (Litinski, 2023)
• Сценарий 1 день: ~13 миллионов физических кубитов
• Сценарий 1 час: ~317 миллионов физических кубитов

Эти цифры не теоретические. Это оценки, основанные на реалистичных квантовых архитектурах. IBM в своем недавнем корпоративном плане говорит о достижении отказоустойчивой системы примерно к 2029 году. Reuters освещает заявления о прогрессе в исправлении ошибок квантовых вычислений.

Риск измерим сегодня, хотя он и не является неминуемым

Вот что важно: хотя сегодня квантовые компьютеры, способные выполнить Shor, еще не существуют, Project Eleven еженедельно проводит автоматизированное сканирование для отслеживания уязвимых UTXO. Данные публичны и доступны.

Это означает, что риск не является спекулятивным. Его можно количественно оценить прямо сейчас:

• Какой процент поставки имеет раскрытые ключи
• Какие именно эти адреса
• Когда в последний раз эти средства перемещались

Taproot (BIP 341) изменил паттерн экспозиции, включив публичный ключ длиной 32 байта прямо в вывод. Это не создает новую уязвимость сегодня, но показывает, что будет, если восстановление ключей станет возможным.

От теоретической экспозиции к практической миграции

Путь вперед — это не внезапная технологическая битва. Это вопрос миграции подписей и поведения пользователей.

NIST уже стандартизировал пост-квантовые примитивы (ML-KEM, FIPS 203) для более широких инфраструктур. В Bitcoin предлагается тип выхода “Pay to Quantum Resistant Hash” в BIP 360. Также существует давление на отказ от наследуемых подписей и стимулирование миграции к форматам, устойчивым к квантам.

Практические рычаги:

• Проектирование кошельков (избегать повторного использования адресов)
• Ширина канала и комиссии (пост-квантовые подписи весят килобайты)
• Координация сообщества для принятия новых маршрутов расхода

Важный вывод

“Квантовые вычисления взломают шифрование Bitcoin” — это фраза, которая ошибается как в терминологии, так и в механике. Что разработчики должны отслеживать: какая часть UTXO имеет раскрытые публичные ключи, как кошельки реагируют на эту экспозицию и насколько быстро сеть сможет принять маршруты расхода, устойчивые к квантам, сохраняя ограничения валидации и рыночные комиссии.

Это не неминуемая угроза. Это инфраструктурная задача с понятным временным горизонтом и рычагами, которые мы можем оценить уже сегодня.