Шифрування Bitcoin не перебуває під загрозою з боку квантових комп’ютерів з однієї простої причини: воно насправді не існує

Всупереч поширеній думці, квантові комп’ютери не “зламають” шифрування Bitcoin; натомість будь-яка реалістична загроза буде зосереджена на експлуатації цифрових підписів, пов’язаних із відкритими публічними ключами.

Квантові комп’ютери не можуть розшифрувати Bitcoin, оскільки він не зберігає жодних зашифрованих секретів у ланцюжку блоків.

Право власності забезпечується цифровими підписами та хеш-комітментами, а не шифротекстом.

Квантова загроза, яка має значення, — це ризик підробки авторизації.

Якщо квантовий комп’ютер, релевантний з точки зору криптографії, зможе виконати алгоритм Шора проти еліптичної кривої Bitcoin, він зможе отримати приватний ключ із публічного ключа в ланцюжку та створити дійсний підпис для конкуруючої витрати.

Багато тверджень про те, що “квантові комп’ютери зламають шифрування Bitcoin”, є помилкою термінології. Adam Back, давній розробник Bitcoin і винахідник Hashcash, підсумував це у X:

“Порада для тих, хто поширює FUD про квантові технології. Bitcoin не використовує шифрування. Вивчіть основи, інакше це вас видає.”

В окремому дописі це розмежування було зроблено ще чіткіше, зазначаючи, що квантовий зловмисник не буде нічого “розшифровувати”, а натомість використає алгоритм Шора для отримання приватного ключа з відкритого публічного ключа:

“Шифрування — це приховування інформації так, щоб лише ті, хто має ключ, могли її прочитати. Bitcoin цього не робить. Блокчейн — це публічний реєстр; кожен може бачити кожну транзакцію, кожну суму та кожну адресу. Нічого не зашифровано.”

Чому саме відкриття публічного ключа, а не шифрування, є справжнім вузьким місцем безпеки Bitcoin

Системи підписів Bitcoin, ECDSA та Schnorr, використовуються для підтвердження контролю над парою ключів.

У цій моделі монети отримують шляхом створення підпису, який мережа визнає дійсним.

Саме тому відкриття публічного ключа є ключовим моментом.

Чи буде вихід відкритим, залежить від того, що з’являється у ланцюжку.

Багато форматів адрес використовують хеш публічного ключа, тому сам публічний ключ не розкривається до моменту витрати транзакції.

Це звужує вікно для зловмисника, щоб обчислити приватний ключ і опублікувати конфліктну транзакцію.

Інші типи скриптів відкривають публічний ключ раніше, а повторне використання адреси може перетворити одноразове розкриття на постійну ціль.

Відкрите програмне забезпечення Project Eleven “Bitcoin Risq List” визначає відкриття на рівні скриптів і повторного використання.

Воно відображає, де публічний ключ вже доступний потенційному зловмиснику з алгоритмом Шора.

Чому квантовий ризик можна виміряти вже сьогодні, навіть якщо він не є неминучим

Taproot змінює схему відкриття лише у випадку появи великих відмовостійких машин.

Виходи Taproot (P2TR) містять 32-байтовий модифікований публічний ключ у програмі виходу, а не хеш публічного ключа, як описано в BIP 341.

Документація Project Eleven включає P2TR разом із pay-to-pubkey і деякими формами мультипідпису як категорії, де публічні ключі видно у виходах.

Це не створює нової вразливості сьогодні.

Однак це змінює те, що буде відкрито за замовчуванням, якщо відновлення ключа стане можливим.

Оскільки відкриття можна виміряти, вразливий пул можна відстежувати вже сьогодні без необхідності визначати часові рамки для квантових технологій.

Project Eleven повідомляє, що проводить автоматичне щотижневе сканування та публікує концепцію “Bitcoin Risq List”, яка охоплює всі адреси, вразливі до квантових атак, і їхній баланс, докладно описану у методологічному дописі.

Їхній публічний трекер показує основну цифру близько 6.7 мільйонів BTC, які відповідають їхнім критеріям відкриття.

З обчислювального боку ключова відмінність — між логічними та фізичними кубітами.

У статті “Quantum resource estimates for computing elliptic curve discrete logarithms” Roetteler та співавтори дають верхню межу не більше 9n + 2⌈log2(n)⌉ + 10 логічних кубітів для обчислення дискретного логарифму еліптичної кривої над n-бітним простим полем.

Для n = 256 це становить приблизно 2,330 логічних кубітів.

Перетворення цього у машину з корекцією помилок, яка може виконувати глибокі обчислення з низьким рівнем відмов, — це те, де домінують накладні витрати на фізичні кубіти та час.

Вибір архітектури визначає широкий діапазон часу виконання

Оцінка Litinski за 2023 рік передбачає, що обчислення приватного ключа еліптичної кривої на 256 біт потребує близько 50 мільйонів вентилів Тоффолі.

За його припущеннями, модульний підхід може обчислити один ключ приблизно за 10 хвилин, використовуючи близько 6.9 мільйонів фізичних кубітів.

У підсумку Schneier on Security оцінки групуються навколо 13 мільйонів фізичних кубітів для злому за один день.

Ті ж оцінки також наводять близько 317 мільйонів фізичних кубітів для цілі у вікно в одну годину, залежно від припущень щодо часу та рівня помилок.

Для операцій з Bitcoin найближчі важелі — поведінкові та протокольні.

Повторне використання адреси підвищує відкритість, а дизайн гаманця може її зменшити.

Аналіз гаманців Project Eleven зазначає, що після того, як публічний ключ потрапив у ланцюжок, майбутні надходження на цю ж адресу залишаються відкритими.

Якщо відновлення ключа колись поміститься у часовий інтервал блоку, зловмисник буде змагатися за витрати з відкритих виходів, а не переписувати історію консенсусу.

Хешування часто згадується у цьому контексті, але квантовий важіль тут — алгоритм Гровера.

Гровер дає прискорення квадратного кореня для перебору, а не злам дискретного логарифму, як у Шора.

Дослідження NIST щодо практичної вартості атак у стилі Гровера підкреслює, що накладні витрати та корекція помилок формують вартість на рівні системи.

В ідеалізованій моделі для SHA-256 преобразів ціль залишається порядку 2^128 операцій після Гровера.

Це не порівнюється зі зламом ECC-дискретного логарифму.

Залишається міграція підписів, де обмеження — це пропускна здатність, зберігання, комісії та координація.

Постквантові підписи часто мають розмір у кілька кілобайт, а не десятки байтів, до яких звикли користувачі.

Це змінює економіку ваги транзакцій і UX гаманця.

Чому квантовий ризик — це виклик для міграції, а не негайна загроза

Поза Bitcoin, NIST стандартизував постквантові примітиви, такі як ML-KEM (FIPS 203), у рамках ширшого планування міграції.

Усередині Bitcoin, BIP 360 пропонує тип виходу “Pay to Quantum Resistant Hash”.

Тим часом qbip.org виступає за припинення використання старих підписів, щоб стимулювати міграцію та скоротити довгий хвіст відкритих ключів.

Останні корпоративні дорожні карти додають контекст, чому ця тема розглядається як інфраструктурна, а не як надзвичайна.

У нещодавньому звіті Reuters IBM обговорювала прогрес у компонентах корекції помилок і підтвердила шлях до відмовостійкої системи приблизно у 2029 році.

Reuters також повідомляв про заяву IBM, що ключовий алгоритм квантової корекції помилок може працювати на звичайних чіпах AMD, у окремому звіті.

У такій інтерпретації “квантові комп’ютери зламають шифрування Bitcoin” є помилкою як у термінах, так і у механіці.

Вимірюваними показниками є те, яка частина UTXO-набору має відкриті публічні ключі, як змінюється поведінка гаманців у відповідь на це відкриття та як швидко мережа може впровадити квантово-стійкі шляхи витрат, зберігаючи обмеження валідації та ринку комісій.

Публікація Bitcoin encryption isn’t at risk from quantum computers for one simple reason: it doesn’t actually exist вперше з’явилася на CryptoSlate.