Enkripsi Bitcoin tidak terancam oleh komputer kuantum karena satu alasan sederhana: itu sebenarnya tidak ada.

Berlawanan dengan kepercayaan umum, komputer kuantum tidak akan “membobol” enkripsi Bitcoin; sebaliknya, ancaman yang realistis akan berfokus pada eksploitasi tanda tangan digital yang terkait dengan kunci publik yang terekspos.

Komputer kuantum tidak dapat mendekripsi Bitcoin karena tidak ada rahasia terenkripsi yang disimpan di on-chain.

Kepemilikan ditegakkan oleh tanda tangan digital dan komitmen berbasis hash, bukan ciphertext.

Risiko kuantum yang penting adalah risiko pemalsuan otorisasi.

Jika komputer kuantum yang relevan secara kriptografi dapat menjalankan algoritma Shor terhadap kriptografi kurva eliptik Bitcoin, maka komputer tersebut dapat memperoleh kunci privat dari kunci publik on-chain dan kemudian menghasilkan tanda tangan yang valid untuk pengeluaran yang bersaing.

Banyak narasi “komputer kuantum membobol enkripsi Bitcoin” adalah kesalahan terminologi. Adam Back, pengembang Bitcoin lama dan penemu Hashcash, merangkum hal ini di X:

“tips untuk para penyebar FUD kuantum. bitcoin tidak menggunakan enkripsi. pahami dasar-dasarnya atau itu akan terlihat.”

Sebuah postingan lain membuat perbedaan yang sama secara lebih eksplisit, mencatat bahwa penyerang kuantum tidak akan “mendekripsi” apa pun, melainkan menggunakan algoritma Shor untuk memperoleh kunci privat dari kunci publik yang terekspos:

“Enkripsi mengacu pada tindakan menyembunyikan informasi agar hanya mereka yang memiliki kunci yang dapat membacanya. Bitcoin tidak melakukan ini. Blockchain adalah buku besar publik; jadi siapa pun dapat melihat setiap transaksi, setiap jumlah, dan setiap alamat. Tidak ada yang dienkripsi.”

Mengapa eksposur kunci publik, bukan enkripsi, adalah hambatan keamanan nyata Bitcoin

Sistem tanda tangan Bitcoin, ECDSA dan Schnorr, digunakan untuk membuktikan kontrol atas sepasang kunci.

Dalam model tersebut, koin diambil dengan menghasilkan tanda tangan yang akan diterima oleh jaringan.

Itulah mengapa eksposur kunci publik menjadi titik penting.

Apakah sebuah output terekspos tergantung pada apa yang muncul di on-chain.

Banyak format alamat berkomitmen pada hash dari kunci publik, sehingga kunci publik mentah tidak diungkapkan sampai transaksi dibelanjakan.

Hal ini mempersempit jendela waktu bagi penyerang untuk menghitung kunci privat dan mempublikasikan transaksi yang bertentangan.

Jenis skrip lain mengekspos kunci publik lebih awal, dan penggunaan ulang alamat dapat mengubah pengungkapan satu kali menjadi target yang terus-menerus.

Kueri open-source “Bitcoin Risq List” dari Project Eleven mendefinisikan eksposur pada tingkat skrip dan penggunaan ulang.

Kueri tersebut memetakan di mana kunci publik sudah tersedia bagi calon penyerang Shor.

Mengapa risiko kuantum dapat diukur hari ini, meskipun belum mendesak

Taproot mengubah pola eksposur dengan cara yang hanya penting jika mesin toleran kesalahan besar tiba.

Output Taproot (P2TR) menyertakan kunci publik 32-byte yang telah diubah dalam program output, bukan hash pubkey, seperti yang dijelaskan dalam BIP 341.

Dokumentasi kueri Project Eleven mencakup P2TR bersama dengan pay-to-pubkey dan beberapa bentuk multisig sebagai kategori di mana kunci publik terlihat di output.

Itu tidak menciptakan kerentanan baru hari ini.

Namun, hal itu mengubah apa yang menjadi terekspos secara default jika pemulihan kunci menjadi memungkinkan.

Karena eksposur dapat diukur, kumpulan yang rentan dapat dilacak hari ini tanpa harus menentukan garis waktu kuantum.

Project Eleven mengatakan bahwa mereka menjalankan pemindaian otomatis mingguan dan menerbitkan konsep “Bitcoin Risq List” yang dimaksudkan untuk mencakup setiap alamat yang rentan terhadap kuantum dan saldonya, dirinci dalam posting metodologinya.

Pelacak publiknya menunjukkan angka utama sekitar 6,7 juta BTC yang memenuhi kriteria eksposurnya.

Dari sisi komputasi, perbedaan utama adalah antara kubit logis dan kubit fisik.

Dalam makalah “Quantum resource estimates for computing elliptic curve discrete logarithms,” Roetteler dan rekan penulis memberikan batas atas paling banyak 9n + 2⌈log2(n)⌉ + 10 kubit logis untuk menghitung logaritma diskret kurva eliptik di atas bidang prima n-bit.

Untuk n = 256, itu berarti sekitar 2.330 kubit logis.

Mengubahnya menjadi mesin yang dikoreksi kesalahan yang dapat menjalankan sirkuit dalam pada tingkat kegagalan rendah adalah di mana overhead kubit fisik dan waktu menjadi dominan.

Pilihan arsitektur kemudian menentukan rentang waktu eksekusi yang luas

Perkiraan Litinski tahun 2023 menempatkan komputasi kunci privat kurva eliptik 256-bit pada sekitar 50 juta gerbang Toffoli.

Di bawah asumsinya, pendekatan modular dapat menghitung satu kunci dalam sekitar 10 menit menggunakan sekitar 6,9 juta kubit fisik.

Dalam ringkasan Schneier on Security tentang pekerjaan terkait, perkiraan berkisar sekitar 13 juta kubit fisik untuk membobol dalam satu hari.

Perkiraan yang sama juga menyebutkan sekitar 317 juta kubit fisik untuk menargetkan jendela satu jam, tergantung pada asumsi waktu dan tingkat kesalahan.

Untuk operasi Bitcoin, tuas yang lebih dekat adalah perilaku dan tingkat protokol.

Penggunaan ulang alamat meningkatkan eksposur, dan desain dompet dapat menguranginya.

Analisis dompet Project Eleven mencatat bahwa setelah kunci publik ada di on-chain, penerimaan di masa depan ke alamat yang sama tetap terekspos.

Jika pemulihan kunci suatu saat muat dalam interval blok, penyerang akan berlomba dengan pengeluaran dari output yang terekspos, bukan menulis ulang sejarah konsensus.

Hashing sering kali disertakan dalam narasi, tetapi tuas kuantum di sana adalah algoritma Grover.

Grover memberikan percepatan akar kuadrat untuk pencarian brute-force, bukan pemecahan log diskret seperti yang diberikan Shor.

Penelitian NIST tentang biaya praktis serangan gaya Grover menekankan bahwa overhead dan koreksi kesalahan membentuk biaya tingkat sistem.

Dalam model ideal, untuk preimage SHA-256, target tetap pada urutan 2^128 pekerjaan setelah Grover.

Itu tidak sebanding dengan pemecahan log diskret ECC.

Itu menyisakan migrasi tanda tangan, di mana kendalanya adalah bandwidth, penyimpanan, biaya, dan koordinasi.

Tanda tangan pasca-kuantum sering kali berukuran kilobyte, bukan puluhan byte seperti yang biasa digunakan pengguna.

Itu mengubah ekonomi bobot transaksi dan UX dompet.

Mengapa risiko kuantum adalah tantangan migrasi, bukan ancaman langsung

Di luar Bitcoin, NIST telah menstandarkan primitif pasca-kuantum seperti ML-KEM (FIPS 203) sebagai bagian dari perencanaan migrasi yang lebih luas.

Di dalam Bitcoin, BIP 360 mengusulkan tipe output “Pay to Quantum Resistant Hash”.

Sementara itu, qbip.org menganjurkan penghentian tanda tangan lama untuk memaksa insentif migrasi dan mengurangi ekor panjang kunci yang terekspos.

Peta jalan perusahaan terbaru menambah konteks mengapa topik ini dibingkai sebagai infrastruktur, bukan keadaan darurat.

Dalam laporan Reuters baru-baru ini, IBM membahas kemajuan pada komponen koreksi kesalahan dan menegaskan kembali jalur menuju sistem toleran kesalahan sekitar tahun 2029.

Reuters juga meliput klaim IBM bahwa algoritma koreksi kesalahan kuantum utama dapat dijalankan pada chip AMD konvensional, dalam laporan terpisah.

Dalam kerangka itu, “komputer kuantum membobol enkripsi Bitcoin” gagal secara terminologi dan mekanisme.

Hal-hal yang dapat diukur adalah seberapa banyak dari set UTXO yang memiliki kunci publik terekspos, bagaimana perilaku dompet berubah sebagai respons terhadap eksposur tersebut, dan seberapa cepat jaringan dapat mengadopsi jalur pengeluaran tahan-kuantum sambil menjaga validasi dan batasan pasar biaya tetap utuh.

Postingan Bitcoin encryption isn’t at risk from quantum computers for one simple reason: it doesn’t actually exist pertama kali muncul di CryptoSlate.