Реальна квантова загроза для Bitcoin полягає у вузькому місці підписів, а не у неіснуючому шифруванні

Протягом років сектор повторює фразу, яка звучить страшно: “Квантові комп’ютери зламати Bitcoin”. Але ця наративна лінія має фундаментальну помилку в термінології. Правда більш нюансована, але водночас більш керована, ніж здається.

Велике непорозуміння: Bitcoin не використовує шифрування, він використовує цифрові підписи

Ось ключовий момент, який більшість забуває: Bitcoin не приховує інформацію за допомогою шифрування. Блокчейн — це абсолютно публічний бухгалтерський реєстр. Кожен може побачити кожну транзакцію, кожну суму та кожну адресу. Нічого не зашифровано.

Що Bitcoin дійсно захищає — це можливість витратити свої монети, і це досягається за допомогою цифрових підписів (ECDSA та Schnorr переважно) і хеш-обіцянок. Коли публічний ключ стає видимим у ланцюгу, достатньо потужний квантовий комп’ютер може використати алгоритм Шора для виведення відповідного приватного ключа.

Справжня вузька частина безпеки — це не шифрування. Це відкриття публічних ключів.

Де живе реальний ризик: видимі публічні ключі

Залежно від формату адреси, яку ви використовуєте, публічний ключ може бути відкритий у різні моменти:

• Адреси з хешем (P2PKH, P2WPKH): публічний ключ прихований за хешем до моменту витрат. Малий вікно експозиції.
• Pay-to-pubkey та Taproot (P2TR): безпосередньо включають публічний ключ у скрипт. Більше вікно експозиції, особливо при повторному використанні адрес.
• Повторне використання адрес: перетворює тимчасову експозицію у ціль для потенційного квантового зловмисника.

Проект Eleven, проект з відкритим кодом, що спеціалізується на картуванні цієї уразливості, оцінює, що приблизно 6.7 мільйонів BTC відповідають критеріям квантової експозиції. Це означає UTXO, де публічні ключі вже видимі у блокчейні.

Обчислення квантових витрат: від логічних кубітів до фізичних

Щоб квантовий комп’ютер справді зламав систему, йому потрібно:

2,330 логічних кубітів як верхня межа для обчислення дискретного логарифму еліптичної кривої 256 біт (згідно з Roetteler et al.).

Але перетворити це у реальну машину з корекцією помилок — вимагає масивної корекції:

• Сценарій 10 хвилин: ~6.9 мільйонів фізичних кубітів (Litinski, 2023)
• Сценарій 1 день: ~13 мільйонів фізичних кубітів
• Сценарій 1 година: ~317 мільйонів фізичних кубітів

Ці цифри не є теоретичними. Це оцінки на основі реалістичних архітектур квантових комп’ютерів. IBM у своїй нещодавній корпоративній дорожній карті говорить про досягнення системи з корекцією помилок приблизно до 2029 року. Reuters висвітлює заяви щодо прогресу у квантовій корекції помилок.

Ризик сьогодні вимірюваний, хоча й не є негайним

Ось що важливо: хоча здатних до виконання алгоритму Шора квантових комп’ютерів наразі не існує, Project Eleven щотижня виконує автоматизоване сканування для відстеження, які UTXO є вразливими. Дані публічні та доступні.

Це означає, що ризик не є спекулятивним. Його можна кількісно оцінити вже зараз:

• Який відсоток пропозиції має відкриті ключі
• Які саме ці адреси
• Коли востаннє ці кошти рухалися

Taproot (BIP 341) змінив модель експозиції, включивши безпосередньо у вихідний даний 32-байтовий відкритий ключ. Це не створює нову уразливість сьогодні, але визначає, що залишиться відкритим, якщо відновлення ключів стане можливим.

Від теоретичної експозиції до практичної міграції

Шлях вперед — це не раптова технологічна битва. Це питання міграції підписів і поведінки користувачів.

NIST вже стандартизує пост-квантові примітиви (ML-KEM, FIPS 203) для ширших інфраструктур. В Bitcoin пропонується BIP 360 — тип виходу “Pay to Quantum Resistant Hash”. Також існує тиск на застарівання спадкових підписів і стимулювання міграції до форматів, стійких до квантових атак.

Практичні важелі:

• Проектування гаманця (уникати повторного використання адрес)
• Ширина каналу та комісії (післяквантові підписи важать кілобайти)
• Координація спільноти для впровадження нових маршрутів витрат

Важливий висновок

“Квантові обчислення зламують шифрування Bitcoin” — це фраза, яка помиляється як у термінології, так і у механіці. Те, що потрібно контролювати розробникам — це: скільки частин UTXO мають відкриті публічні ключі, як гаманці реагують на цю експозицію і наскільки швидко мережа зможе впровадити стійкі маршрути витрат, зберігаючи обмеження валідації та ринок комісій.

Це не негайна загроза. Це інфраструктурне завдання з зрозумілим часовим горизонтом і важелями, які ми можемо оцінити вже сьогодні.