Реальна квантова загроза для Біткоїна не має нічого спільного з "зломом шифрування"

Оповідь навколо квантових комп’ютерів і безпеки Bitcoin була заплутана через фундаментальну помилку в термінології. Медійне висвітлення часто стверджує, що квантові комп’ютери «зломають шифрування Bitcoin», але ця формулювання повністю пропускає справжню вразливість. Bitcoin не зберігає зашифровані секрети у блокчейні. Реальна уразливість полягає у цифрових підписах і компрометації публічного ключа — це зовсім інший вектор загрози.

Розуміння того, що насправді має значення: підписи проти секретності

Модель безпеки Bitcoin базується на підписах ECDSA і Schnorr для доведення володіння монетами. Блокчейн — це прозорий реєстр; кожна транзакція і адреса є публічно видимими. Це означає, що нічого не зашифровано у традиційному розумінні. Питання безпеки полягає не в тому, чи може квантовий комп’ютер розшифрувати щось приховане — а в тому, чи зможе він отримати приватний ключ з відкритого ключа і підписати дійсний транзакційний запит.

Adam Back, досвідчений розробник Bitcoin, чітко сформулював цю різницю: «Bitcoin не використовує шифрування. Зрозумійте свої основи». Ця помилка у термінології сприяла поширенню страхів щодо квантових атак вже багато років. Реальний квантовий ризик пов’язаний із алгоритмом Шора, який теоретично може обчислювати дискретні логарифми для еліптичних кривих. Якщо достатньо потужний квантовий комп’ютер виконає цей алгоритм над публічним ключем, розміщеним у мережі, він зможе отримати відповідний приватний ключ і підписати несанкціоновані транзакції.

Вузол: коли публічні ключі стають вразливими

Формат адрес має суттєве значення для квантового ризику. Багато типів Bitcoin-адрес використовують лише хеш публічного ключа, тобто сам ключ залишається прихованим до моменту витрат. Це зменшує вікно для потенційного зловмисника, щоб обчислити приватний ключ за допомогою алгоритму Шора.

Інші типи скриптів відкривають ключі раніше. Повторне використання адрес перетворює один раз відкритий ключ у постійну вразливість. Виводи Taproot (P2TR), введені через BIP 341, містять 32-байтовий змінений публічний ключ безпосередньо у вихідній програмі, а не хеш — це суттєво змінює профіль експозиції.

Проєкт Eleven веде «Bitcoin Risq List», систематично відстежуючи цю уразливість. Їхній аналіз показує, що приблизно 6.7 мільйонів BTC вже знаходяться у мережі з відкритими публічними ключами, створюючи так званий «вразливий до квантових атак» пул адрес.

Оцінка обчислювальної перешкоди

Щоб зрозуміти, чи є квантовий ризик невідкладним, потрібно розділити логічні та фізичні кубіти. Дослідження Roetteler і колег показують, що для обчислення 256-бітного дискретного логарифму на еліптичній кривій потрібно приблизно 2,330 логічних кубітів у верхній межі. Корінь квадратний із 256 — це приблизно 16 — і ця залежність, разом із загальною складністю алгоритмів, формує ці оцінки.

Переведення логічних кубітів у фізичні з урахуванням корекції помилок вимагає величезних ресурсів. Останні оцінки свідчать, що приблизно 6.9 мільйонів фізичних кубітів можуть відновити 256-бітний ключ еліптичної кривої за приблизно 10 хвилин (згідно з моделлю Litinski 2023). Інші аналізи оцінюють потребу у близько 13 мільйонів фізичних кубітів для зламу ключа за добу. Ці цифри базуються на конкретних припущеннях щодо рівня помилок і часу, які ще не доведені на практиці.

Останні дорожні карти IBM передбачають появу квантових комп’ютерів з високою стійкістю до помилок приблизно до 2029 року, хоча прогрес у компонентах корекції помилок продовжує змінювати ці терміни. Шлях від теоретичної можливості до практичної атаки залишається надзвичайно крутим.

Питання Гровера: чому хеш-функції залишаються стійкими

Квантові алгоритми створюють різні загрози для різних криптографічних рівнів. У той час як алгоритм Шора безпосередньо цілиться у дискретні логарифми, алгоритм Гровера забезпечує лише швидкість у квадраті — тобто, прискорення брутфорсу у 2^0.5 разів. Для хеш-функції SHA-256, прискорена атака Гровера залишає рівень безпеки приблизно 2^128 операцій — що все ще є обчислювально непереборним і значно безпечнішим за злом еліптичної кривої.

Отже, хешування залишається вторинною проблемою у квантових оцінках ризику.

Міграція як справжня проблема

Якщо з’явиться квантовий комп’ютер, здатний до таких атак, це не означає, що потрібно переписувати історію консенсусу Bitcoin. Замість цього зловмисник буде намагатися витратити виходи з відкритими ключами швидше за легітимне підтвердження транзакцій. Це змінює вікно вразливості Bitcoin із відновлення історії у реальному часі на конкуренцію у реальному часі.

Протоколні оновлення — це шлях вперед. BIP 360 пропонує «Pay to Quantum Resistant Hash» — типи виходів, що використовують хеші, а пропозиції на кшталт qbip.org закликають до закінчення підтримки застарілих підписів для стимулювання міграції і зменшення довгого хвоста відкритих адрес. Постквантові підписи, такі як ML-KEM (стандарт FIPS 203 від NIST), мають розмір кілька кілобайтів замість десятків байт, що радикально змінює економіку транзакцій і дизайн гаманців.

Поведінка гаманця і шаблони повторного використання адрес — це близькі до реальності важелі. Як тільки публічний ключ опубліковано у мережі, будь-який майбутній прийом на цю ж адресу залишається відкритим. Користувачі і розробники можуть зменшити експозицію вже сьогодні за допомогою операційної дисципліни і кращих налаштувань гаманця.

Висновок: оцінка ризику без визначеності щодо термінів

Квантова вразливість Bitcoin є реальною, але її можна виміряти — і її терміновість залежить від розвитку машини з високою стійкістю до помилок, а не від алгоритмічних проривів. Інфраструктурна задача цілком керована: відстежувати експозицію, розробляти шляхи міграції і оновлювати правила валідації. Виклик у термінології — це виправити неправильне розуміння: Bitcoin не має ризику зламу шифрування, бо воно його не використовує. Він стикається з ризиком підписів, що можна підробити через відкриті ключі — і цей термін залежить від апаратного забезпечення, а не від теорії.