Угрозы квантовых компьютеров для Bitcoin — это не о взломе шифрования, а о раскрытии ваших ключей

Распространённый нарратив о том, что квантовые компьютеры взломают шифрование Bitcoin, в корне неверен. Bitcoin не хранит зашифрованные секреты в блокчейне, которые квантовые машины могли бы расшифровать. Вместо этого настоящая уязвимость связана с чем-то гораздо более конкретным: если появится криптографически-значимый квантовый компьютер, он сможет использовать уязвимые публичные ключи для подделки несанкционированных транзакций с помощью алгоритма Шора. Это различие имеет огромное значение для понимания как временных рамок, так и стратегий смягчения угрозы для Bitcoin.

Почему модель безопасности Bitcoin вовсе не полагается на шифрование

Блокчейн Bitcoin функционирует как публичный реестр. Каждая транзакция, сумма и адрес видны всем. Владение подтверждается с помощью цифровых подписей — конкретно ECDSA и Schnorr, — а не зашифрованными данными, которые нужно скрывать. Эти подписи демонстрируют контроль над парой ключей; они не скрывают ничего. Когда кто-то тратит монеты, он создает действительную подпись, которую принимает сеть. Сам блокчейн не содержит шифротекста для расшифровки.

Эта фундаментальная архитектурная особенность выявляет проблему терминологии в обсуждении квантовой угрозы. Эксперт по безопасности Адам Бэк ясно выразил: Bitcoin не использует шифрование в традиционном смысле. Назвать квантовые компьютеры угрозой «шифрованию Bitcoin» — значит неправильно понимать, что именно защищает Bitcoin. Протокол защищает владение через подписи и хеш-основанные обязательства, а не через шифротексты.

Реальная квантовая угроза: получение приватного ключа из уязвимых публичных ключей

Сценарий, требующий внимания, гораздо уже: если квантовый злоумышленник сможет эффективно запустить алгоритм Шора против эллиптической криптографии Bitcoin, он сможет вывести приватный ключ из публичного ключа, опубликованного в блокчейне. Обладая этим приватным ключом, он сможет создать действительную подпись для транзакции и потенциально перенаправить средства.

Насколько эта угроза реализуема, зависит от паттернов раскрытия публичных ключей. Многие форматы адресов Bitcoin используют хеш публичного ключа — то есть исходный ключ остается скрытым до момента расходования. Этот промежуток уязвимости относительно мал. Но другие типы скриптов раскрывают публичные ключи раньше, а повторное использование адресов превращает однократное раскрытие в постоянную цель для восстановления ключа.

Проект Eleven отслеживает именно те адреса, где публичные ключи уже видны в блокчейне, отображая пул адресов, потенциально уязвимых к алгоритму Шора. Их последний анализ показывает примерно 6,7 миллиона BTC, хранящихся в адресах, соответствующих критериям уязвимости, согласно текущим данным блокчейна.

Оценка квантового риска без знания точных сроков его появления

Требования к вычислительным ресурсам для взлома эллиптической криптографии сейчас достаточно хорошо изучены, хотя временные рамки их достижения остаются неопределенными.

Исследования Рётелера и коллег показали, что для вычисления 256-битного дискретного логарифма на эллиптической кривой требуется примерно 2330 логических кубитов в теоретическом минимуме. Преобразование логических кубитов в функционирующий квантовый компьютер с коррекцией ошибок требует огромных физических кубитов. Анализ Литински 2023 года предполагает, что вычисление приватного ключа длиной 256 бит может занять около 10 минут при использовании примерно 6,9 миллиона физических кубитов. Другие оценки указывают на необходимость около 13 миллионов физических кубитов для взлома за один день, в зависимости от предположений о времени и ошибках.

Эти цифры дают измеримую основу. Поскольку экспозиция публичных ключей сегодня поддается количественной оценке — проект Eleven проводит еженедельные автоматические сканирования — уязвимый пул UTXO можно отслеживать уже сейчас, не дожидаясь появления квантовых возможностей.

Изменения на уровне протокола, такие как Taproot (BIP 341), изменили паттерны раскрытия в нужных направлениях. Выводы Taproot включают 32-байтовый измененный публичный ключ прямо в выходной программе, а не только хеш публичного ключа. Это не создает уязвимости сегодня, но меняет адреса, которые могут стать уязвимыми, если восстановление ключа станет возможным. В то же время, предложения вроде BIP 360 (“Pay to Quantum Resistant Hash”) описывают возможные пути миграции к квантоустойчивым выходам.

Поведенческие стратегии и вопрос хеша

Для операций Bitcoin поведенческие решения и дизайн кошельков предлагают более близкие к реальности меры. Повторное использование адресов значительно увеличивает уязвимость; кошельки, генерирующие новые адреса для каждой транзакции, уменьшают поверхность атаки. Если восстановление приватных ключей станет достаточно быстрым, чтобы происходить за один блок, злоумышленники будут соревноваться за расходование уязвимых выходов, а не за переписывание истории — это принципиально иная модель угроз.

Хеширование иногда включают в квантовые опасения, но здесь актуален алгоритм Гровера, а не Шора. Гровер дает только квадратичное ускорение для перебора — оставляя стойкость SHA-256 к предобразам примерно 2^128 работы даже при квантовой атаке. Это несравнимо с взломом дискретного логарифма на эллиптической кривой.

Миграция, а не чрезвычайная ситуация: реалистичный путь вперед

NIST уже стандартизировал постквантовые примитивы, такие как ML-KEM (FIPS 203), в рамках общего планирования криптографического перехода. В рамках Bitcoin разработчики и исследователи предлагают механизмы миграции: новые типы выходов, использующие квантоустойчивые хеш-обязательства, механизмы завершения действия устаревших подписей для создания стимулов к миграции и постоянные обновления кошельков для снижения повторного использования адресов.

Недавние корпоративные сроки добавляют контекст. IBM недавно обозначила прогресс в создании отказоустойчивой квантовой системы примерно к 2029 году, хотя путь от лабораторных демонстраций до систем, способных атаковать развернутое криптографическое оборудование, остается долгим и неопределенным.

Квантовая угроза Bitcoin — в конечном итоге, проблема координации и миграции, а не немедленный крах криптографии. Практические показатели просты: отслеживание раскрытых публичных ключей в UTXO, оптимизация поведения кошельков для минимизации экспозиции и внедрение квантоустойчивых схем расходования на уровне сети при сохранении эффективности валидации и стабильности рынка комиссий.