Безопасность Bitcoin в эпоху квантов: различие между вымыслом и реальной угрозой

Распространённая в СМИ нарратив о «взломе шифрования Bitcoin квантовыми компьютерами» содержит фундаментальную концептуальную ошибку. Bitcoin вообще не основан на шифровании данных, хранящихся в блокчейне. Blockchain функционирует как публичная книга, где каждая транзакция, сумма и адрес видны всем. Реальная угроза, на которую следует сосредоточиться, касается не расшифровки, а потенциального подделывания цифровых подписей, связанных с раскрытым публичным ключом.

Где действительно находится уязвимость: от шифрования к подписям

Системы подписей Bitcoin—ECDSA и Schnorr—являются основой контроля над средствами. Монеты захватываются путём генерации действительной подписи, которую сеть принимает. В этой архитектуре раскрытие публичного ключа становится критической слабостью, когда появляется компьютер, способный запустить алгоритм Shora.

Если бы злоумышленник обладал квантовым криптографическим устройством, он мог бы:

• Вывести приватный ключ из публичного ключа, видимого в цепочке
• Сгенерировать конкурирующую подпись для другого расхода
• Взять под контроль средства

Ограничение экспозиции публичного ключа определяет масштаб этой угрозы. Многие Bitcoin-адреса хранят публичный ключ в хэшах, раскрывая сырой ключ только при транзакции. Другие форматы—такие как pay-to-pubkey или некоторые multisig—раскрывают ключ раньше. Повторное использование адреса увеличивает это окно времени, превращая однократную экспозицию в постоянную цель для потенциального злоумышленника.

Квантовая угроза в цифрах: что измеримо сегодня

Project Eleven еженедельно публикует сканирование цепочки, выявляя UTXO с раскрытым публичным ключом. Их публичный трекер показывает около 6,7 миллиона BTC, соответствующих критериям квантовой экспозиции.

С точки зрения вычислений, согласно исследованиям Roettler и соавторов, взлом 256-битного дискретного логарифма эллиптической кривой потребовал бы:

Разница между логическими и физическими кубитами принципиальна. Преобразование схемы в машину, способную исправлять ошибки при низком уровне ошибок—требование для практической атаки—генерирует огромные затраты на масштабирование и время.

Taproot меняет ландшафт экспозиции

Внедрение Taproot (P2TR) меняет стандартный шаблон раскрытия ключей. Выходы Taproot содержат 32-байтовый модифицированный публичный ключ прямо в выходной программе, вместо хэшированного публичного ключа. Это означает, что новые расходы по умолчанию создадут больший пул UTXO с раскрытым ключом, когда квантовая технология станет практической угрозой.

Однако безопасность до сих пор не меняется—экспозиция становится измеряемой, отслеживаемой переменной, которая определяет ширину будущей угрозы.

От Гровера к миграции: контекст всего спектра квантовых угроз

Функции хэширования, такие как SHA-256, сталкиваются с другим видом квантовой атаки. Алгоритм Гровера обеспечивает квадратичное ускорение поиска brute-force, а не взлом дискретного логарифма как Shor. Для предобразов SHA-256 стоимость остаётся на уровне 2^128 операций даже после применения Гровера—гораздо менее практически опасно, чем взлом ECDSA.

Нарратив о квантовой угрозе часто не делает различия между этими алгоритмами. NIST уже стандартизировал примитивы пост-квантовой криптографии (ML-KEM, FIPS 203), а Bitcoin развивает решения, такие как BIP 360, предлагающий «Pay to Quantum Resistant Hash». Вызов заключается в миграции, а не в немедленном крахе.

Почему это инфраструктурная проблема, а не апокалиптический сценарий

По последним отчётам Reuters, IBM разрабатывает путь к системе, устойчивой к ошибкам, примерно к 2029 году. В этом же контексте прогресс в компонентах исправления ошибок предполагает, что квантовое взломание станет результатом многолетнего развития, а не внезапной атаки.

Реальная проблема сводится к трём аспектам:

1. Какая часть UTXO содержит раскрытые публичные ключи (уже сегодня)
2. Насколько быстро кошельки и протокол смогут принять расходы, устойчивые к квантам
3. Сохранит ли сеть пропускную способность, безопасность и экономику комиссий во время перехода

Пост-квантовые подписи имеют размеры в несколько килобайт вместо десятков байт, что меняет калькуляцию веса транзакции и пользовательский опыт. Миграция требует координации, а не отчаянного перепрограммирования.

Реальное квантовое риски измеримы, но прежде всего это вызов времени и проектирования—а не повод для паники в отношении изменённого ландшафта нарратива о безопасности в криптовалютах.