Le chiffrement de Bitcoin n’est pas menacé par les ordinateurs quantiques pour une raison simple : il n’existe tout simplement pas.

Contrairement à la croyance populaire, les ordinateurs quantiques ne vont pas « casser » le chiffrement de Bitcoin ; en réalité, toute menace réaliste se concentrerait sur l’exploitation des signatures numériques liées aux clés publiques exposées.

Les ordinateurs quantiques ne peuvent pas déchiffrer Bitcoin car il ne stocke aucun secret chiffré sur la blockchain.

La propriété est garantie par des signatures numériques et des engagements basés sur des fonctions de hachage, et non par du texte chiffré.

Le risque quantique qui compte est le risque de falsification d’autorisation.

Si un ordinateur quantique pertinent sur le plan cryptographique peut exécuter l’algorithme de Shor contre la cryptographie à courbe elliptique de Bitcoin, il pourrait dériver une clé privée à partir d’une clé publique présente sur la blockchain et ensuite produire une signature valide pour une dépense concurrente.

Une grande partie de la formulation « le quantique casse le chiffrement de Bitcoin » est une erreur de terminologie. Adam Back, développeur Bitcoin de longue date et inventeur de Hashcash, l’a résumé sur X :

« Astuce pour les promoteurs de FUD quantique. Bitcoin n’utilise pas de chiffrement. Apprenez vos bases ou c’est révélateur. »

Un autre post a fait la même distinction de façon plus explicite, notant qu’un attaquant quantique ne « déchiffrerait » rien, mais utiliserait plutôt l’algorithme de Shor pour dériver une clé privée à partir d’une clé publique exposée :

« Le chiffrement consiste à cacher des informations afin que seules les personnes disposant d’une clé puissent les lire. Bitcoin ne fait pas cela. La blockchain est un registre public ; tout le monde peut voir chaque transaction, chaque montant et chaque adresse. Rien n’est chiffré. »

Pourquoi l’exposition de la clé publique, et non le chiffrement, est le véritable goulot d’étranglement de la sécurité de Bitcoin

Les systèmes de signature de Bitcoin, ECDSA et Schnorr, sont utilisés pour prouver le contrôle sur une paire de clés.

Dans ce modèle, les coins sont dépensés en produisant une signature que le réseau acceptera.

C’est pourquoi l’exposition de la clé publique est le point pivot.

Le fait qu’une sortie soit exposée dépend de ce qui apparaît sur la blockchain.

De nombreux formats d’adresse s’engagent sur un hachage d’une clé publique, de sorte que la clé publique brute n’est révélée que lorsque la transaction est dépensée.

Cela réduit la fenêtre pendant laquelle un attaquant peut calculer une clé privée et publier une transaction conflictuelle.

D’autres types de scripts exposent une clé publique plus tôt, et la réutilisation d’adresse peut transformer une révélation unique en une cible persistante.

La requête open-source « Bitcoin Risq List » de Project Eleven définit l’exposition au niveau du script et de la réutilisation.

Elle cartographie où une clé publique est déjà disponible pour un potentiel attaquant utilisant Shor.

Pourquoi le risque quantique est mesurable aujourd’hui, même s’il n’est pas imminent

Taproot modifie le schéma d’exposition d’une manière qui n’a d’importance que si des machines tolérantes aux fautes de grande taille arrivent.

Les sorties Taproot (P2TR) incluent une clé publique modifiée de 32 octets dans le programme de sortie, plutôt qu’un hachage de clé publique, comme décrit dans BIP 341.

La documentation de la requête de Project Eleven inclut P2TR aux côtés de pay-to-pubkey et de certaines formes de multisig comme catégories où les clés publiques sont visibles dans les sorties.

Cela ne crée pas de nouvelle vulnérabilité aujourd’hui.

Cependant, cela change ce qui devient exposé par défaut si la récupération de clé devient réalisable.

Parce que l’exposition est mesurable, le pool vulnérable peut être suivi aujourd’hui sans devoir fixer un calendrier quantique.

Project Eleven indique qu’il effectue une analyse automatisée hebdomadaire et publie un concept de « Bitcoin Risq List » destiné à couvrir chaque adresse vulnérable au quantique et son solde, détaillé dans son post méthodologique.

Son tracker public affiche un chiffre principal d’environ 6,7 millions de BTC qui répondent à ses critères d’exposition.

Du côté computationnel, la distinction clé est entre qubits logiques et qubits physiques.

Dans l’article « Quantum resource estimates for computing elliptic curve discrete logarithms », Roetteler et ses co-auteurs donnent une limite supérieure d’au plus 9n + 2⌈log2(n)⌉ + 10 qubits logiques pour calculer un logarithme discret sur courbe elliptique sur un champ premier de n bits.

Pour n = 256, cela donne environ 2 330 qubits logiques.

Convertir cela en une machine corrigée des erreurs capable d’exécuter un circuit profond à faible taux d’échec est là où la surcharge des qubits physiques et le timing dominent.

Les choix d’architecture déterminent alors une large gamme de temps d’exécution

L’estimation de Litinski en 2023 place le calcul d’une clé privée sur courbe elliptique 256 bits à environ 50 millions de portes Toffoli.

Selon ses hypothèses, une approche modulaire pourrait calculer une clé en environ 10 minutes en utilisant environ 6,9 millions de qubits physiques.

Dans un résumé de Schneier on Security sur des travaux connexes, les estimations se regroupent autour de 13 millions de qubits physiques pour casser en moins d’un jour.

La même série d’estimations cite également environ 317 millions de qubits physiques pour cibler une fenêtre d’une heure, selon les hypothèses de timing et de taux d’erreur.

Pour les opérations Bitcoin, les leviers les plus proches sont comportementaux et au niveau du protocole.

La réutilisation d’adresse augmente l’exposition, et la conception du portefeuille peut la réduire.

L’analyse des portefeuilles de Project Eleven note qu’une fois qu’une clé publique est sur la blockchain, les futurs paiements vers cette même adresse restent exposés.

Si la récupération de clé devenait possible dans un intervalle de bloc, un attaquant ferait la course pour dépenser à partir de sorties exposées, sans réécrire l’historique du consensus.

Le hachage est souvent inclus dans le récit, mais le levier quantique ici est l’algorithme de Grover.

Grover offre une accélération quadratique pour la recherche exhaustive, plutôt que la rupture du logarithme discret offerte par Shor.

Les recherches du NIST sur le coût pratique des attaques de type Grover soulignent que la surcharge et la correction d’erreur déterminent le coût au niveau du système.

Dans le modèle idéalisé, pour les préimages SHA-256, la cible reste de l’ordre de 2^128 opérations après Grover.

Cela n’est pas comparable à une rupture du logarithme discret ECC.

Il reste alors la migration des signatures, où les contraintes sont la bande passante, le stockage, les frais et la coordination.

Les signatures post-quantiques font souvent plusieurs kilo-octets, contre quelques dizaines d’octets pour les utilisateurs actuellement.

Cela modifie l’économie du poids des transactions et l’expérience utilisateur des portefeuilles.

Pourquoi le risque quantique est un défi de migration, et non une menace immédiate

En dehors de Bitcoin, le NIST a standardisé des primitives post-quantiques telles que ML-KEM (FIPS 203) dans le cadre d’une planification de migration plus large.

Dans Bitcoin, BIP 360 propose un type de sortie « Pay to Quantum Resistant Hash ».

Parallèlement, qbip.org plaide pour une suppression progressive des signatures héritées afin de forcer les incitations à la migration et de réduire la longue traîne des clés exposées.

Les feuilles de route récentes des entreprises ajoutent du contexte sur la raison pour laquelle le sujet est présenté comme une question d’infrastructure plutôt qu’une urgence.

Dans un récent rapport de Reuters, IBM a évoqué des progrès sur les composants de correction d’erreur et a réitéré une trajectoire vers un système tolérant aux fautes autour de 2029.

Reuters a également couvert l’affirmation d’IBM selon laquelle un algorithme clé de correction d’erreur quantique peut fonctionner sur des puces AMD conventionnelles, dans un autre rapport.

Dans ce cadre, « le quantique casse le chiffrement de Bitcoin » échoue tant sur la terminologie que sur la mécanique.

Les éléments mesurables sont la part de l’ensemble UTXO ayant des clés publiques exposées, la façon dont le comportement des portefeuilles évolue en réponse à cette exposition, et la rapidité avec laquelle le réseau peut adopter des chemins de dépense résistants au quantique tout en maintenant les contraintes de validation et de marché des frais.

L’article Bitcoin encryption isn’t at risk from quantum computers for one simple reason: it doesn’t actually exist est apparu en premier sur CryptoSlate.