Угроза для Bitcoin со стороны квантовых компьютеров: технический миф или реальная проблема?

Общеизвестное мнение о том, что квантовые компьютеры представляют угрозу для шифрования Bitcoin, основано на неправильном понимании архитектуры сети. На самом деле безопасность Bitcoin не основана на шифрованных секретах, хранящихся в блокчейне — ссылка на этот вопрос встречается во многих технических работах, но редко попадает в сознание широкой публики. Вместо этого настоящая проблема связана с цифровыми подписями и раскрытыми публичными ключами, которые являются реальным вектором атаки для гипотетической квантовой угрозы.

Где кроется реальная угроза?

Путаница между шифрованием и системой цифровых подписей — источник большинства дезинформации о quantum-ready Bitcoin. Блокчейн — это публичная книга записей: каждая транзакция, сумма и адрес видны всем. В этой системе ничего не зашифровано в традиционном смысле.

Безопасность Bitcoin основана на двух столпах: системах подписей (ECDSA и Schnorr), а также функциях хэширования (hashing). Эти механизмы обеспечивают контроль над парами ключей, но не защищают информацию посредством шифрования. Если бы достаточно продвинутый квантовый компьютер смог запустить алгоритм Шора, он мог бы вывести приватный ключ из публичного ключа, раскрытого в блокчейне. Это было бы фальсификацией авторизации, а не расшифровкой.

Карта реальной экспозиции: что мы знаем сегодня?

Уязвимость не проявляется равномерно по всей сети. Многие форматы адресов используют хэш публичного ключа — сырой публичный ключ остается скрытым до момента создания транзакции. Это сокращает окно времени для потенциальной атаки.

Проект Eleven проводит еженедельное сканирование и публикует «Bitcoin Risq List», чтобы отслеживать адреса с раскрытыми публичными ключами. Текущие оценки показывают около 6,7 миллиона BTC на адресах, соответствующих критериям квантовой экспозиции. Это служит ориентиром для всей оценки риска.

Другие типы скриптов, особенно Taproot (P2TR), раскрывают 32-байтовый модифицированный публичный ключ прямо в исходном коде. Это меняет профиль экспозиции, но не создает новую уязвимость сегодня — она станет критической только при появлении криптографически релевантных машин.

Вычислительный аспект проблемы: сколько кубитов нужно?

Исследования показывают ясные, измеримые цели. Для вычисления приватного ключа эллиптической кривой длиной 256 бит необходимо около 2330 логических кубитов (ссылка: Roetteler et al.). Преобразование этого в практическую машину требует миллионов физических кубитов из-за коррекции ошибок.

Оценки 2023 года предполагают:

• ~6,9 миллиона физических кубитов для оценки ключа примерно за 10 минут (модель Литинского)
• ~13 миллионов физических кубитов для взлома за один день
• ~317 миллионов физических кубитов для цели в часовом окне

Архитектурные решения, связанные со временем, уровнем ошибок и реализацией коррекции ошибок, могут значительно изменить фактическую стоимость.

Алгоритм Гровера: менее опасен, чем Шор

Когда речь заходит о функциях хэширования, появляется алгоритм Гровера. Он обеспечивает лишь квадратичное ускорение поиска методом brute-force, а не разрыв логарифма дискретного уравнения, достигаемый Шором. Для предобразов SHA-256 цель остается порядка 2^128 работы — даже после квантовой оптимизации. Это несравнимо с угрозой эллиптических кривых.

Как Bitcoin может адаптироваться?

Квантовая угроза — прежде всего, вызов миграции, а не техническая катастрофа. NIST уже стандартизировал пост-квантовые примитивы, такие как ML-KEM (FIPS 203). Сообщество Bitcoin обсуждает предложения вроде BIP 360, предлагающего «Pay to Quantum Resistant Hash».

Ключевые ограничения миграции — пропускная способность, хранение и транзакционные сборы. Пост-квантовые подписи достигают размера нескольких килобайт вместо десятков байт. Это меняет экономику веса транзакций и пользовательский опыт кошелька.

Недавние отчеты показывают, что такие компании, как IBM, оценивают путь к системе, устойчивой к ошибкам, примерно к 2029 году. Это предполагает, что окно для адаптации занимает годы, а не месяцы.

Настоящее направление подготовки

Важные элементы: какая часть UTXO набора имеет раскрытые публичные ключи, как поведение кошелька реагирует на эту экспозицию, и как быстро сеть сможет принять пути расходов, устойчивые к квантам, сохраняя валидацию и стабильность рынка сборов.

Повторное использование адреса увеличивает окно экспозиции — будущие поступления на тот же адрес остаются раскрытыми. В то же время, проекты кошельков могут снизить риск за счет правильного управления адресами и ранней миграции на пост-квантовые форматы.

Угрозы со стороны квантовых компьютеров для Bitcoin — не фикция, но их характер значительно отличается от того, что предполагала популярная нарратив. Речь идет не о взломе шифрования, а о необходимости координированной эволюции экосистемы, где ссылка на каждое решение должна основываться на измеримых данных о текущей экспозиции сети.