Опасности квантовых компьютеров для Bitcoin: За пределами мифа о взломанной криптографии

Угрозы квантовых компьютеров для Bitcoin систематически неправильно понимаются. Вопреки широко распространённым заявлениям, квантовые компьютеры не «взломают» криптографическую инфраструктуру Bitcoin путём прямого расшифрования. Реальная уязвимость кроется в гораздо более конкретной точке: в раскрытии публичных ключей на блокчейне и возможности применить алгоритм Шора для получения приватных ключей из них.

Что действительно угрожает Bitcoin: не криптография, а цифровые подписи

Bitcoin не хранит секреты, зашифрованные на блокчейне. Именно это ключевое отличие меняет общую картину. Владение монетами обеспечивается через цифровые подписи (ECDSA и Schnorr) и хэш-обязательства, а не зашифрованным текстом. Достаточно мощный квантовый компьютер не «расшифрует» ничего, а скорее применит алгоритм Шора для извлечения приватного ключа из раскрытого публичного и создания действительной подписи для проведения транзакции.

Адам Бэк, один из исторических разработчиков Bitcoin и создатель Hashcash, пояснил: «Bitcoin не использует криптографию в смысле, который подразумевает эта нарратив о квантовой угрозе». Терминологическая разница очень важна. Криптография — это скрытие информации; Bitcoin работает с полностью публичным реестром, где каждая транзакция, сумма и адрес видимы. Ничего не зашифровано.

Временные окна и модели экспозиции: истинное узкое место

Раскрытие публичного ключа — критическая уязвимая точка. Различные форматы адресов управляют этим раскрытием по-разному. Многие используют хэш публичного ключа, раскрывая сам ключ только при расходовании транзакции. Это значительно сокращает временное окно для квантового злоумышленника, чтобы вычислить приватный ключ и опубликовать конфликтующую транзакцию.

Однако некоторые типы скриптов раскрывают публичные ключи заранее. Повторное использование адресов превращает одно раскрытие в постоянную мишень. Проект Eleven создал «Bitcoin Risk List», точно отображая эти сценарии раскрытия на уровне скриптов и адресов, выявляя, где публичные ключи уже доступны потенциальному атакующему, вооружённому алгоритмом Шора.

Оценка сегодняшнего риска и прогноз на завтра: роль Taproot

Обновление Taproot существенно меняет модель раскрытия. Выходы Taproot (P2TR) включают изменённый публичный ключ длиной 32 байта прямо в выходной скрипт, а не хэш публичного ключа, как было раньше. Это не создаёт немедленных уязвимостей, но фундаментально меняет то, что по умолчанию раскрыто в момент, когда восстановление приватных ключей становится вычислительно возможным.

Важна измеримость. Поскольку экспозицию можно оценить сегодня, уязвимый пул UTXO можно мониторить в настоящем времени без необходимости прогнозировать, когда появятся соответствующие квантовые машины. Проект Eleven выполняет автоматические еженедельные сканирования, и его публичный трекер показывает примерно 6,7 миллиона BTC, соответствующих критериям раскрытия публичных ключей.

Ландшафт кубитов: от теорий к конкретным числам

Научная литература даёт обоснованные оценки необходимой вычислительной мощности. Рётелер и коллеги установили, что дискретный логарифм на эллиптической кривой в поле из 256 бит потребует максимум около 2 330 логических кубитов. Конвертация в физические кубиты, с учётом ошибок и избыточности, — это настоящее узкое место.

По анализу Литински 2023 года, модульный подход может вычислить приватный ключ длиной 256 бит примерно за 10 минут, используя около 6,9 миллиона физических кубитов. Другие оценки предполагают около 13 миллионов физических кубитов для взлома за один день. Расширение до окна в один час потребовало бы примерно 317 миллионов физических кубитов, в зависимости от предположений о циклах и ошибках.

Хэширование остаётся надёжным: Гровер не равен Шору

Часто в квантовой нарративе упоминается угроза хэшированию. Алгоритм Гровер обеспечивает ускорение поиска методом квадратичного корня, но это не сравнимо с взломом дискретного логарифма, который даёт Шор. Для preimage SHA-256 стоимость остаётся порядка 2^128 операций даже после Гровера, что недостаточно для практической угрозы.

Индустриальный контекст: путь к 2029 году

IBM недавно обсуждала прогресс в компонентах квантовых ошибок, подтверждая путь к системам с коррекцией ошибок примерно к 2029 году. NIST уже стандартизировал постквантовые примитивы, такие как ML-KEM (FIPS 203). В экосистеме Bitcoin BIP 360 предлагает выходы «Pay to Quantum Resistant Hash», а qbip.org устанавливает дедлайн для наследственных подписей, чтобы стимулировать миграцию.

Вызов не технический, а координационный

Для операций Bitcoin практические рычаги остаются поведенческими и протокольными. Повторное использование адресов увеличивает экспозицию, а осознанный дизайн кошельков может значительно её снизить. Если бы восстановление ключей стало вычислительно возможным за один блок, злоумышленники боролись бы за расходы с раскрытых выходов, а не пытались бы переписать историю консенсуса.

Миграция на постквантовые подписи сталкивается с конкретными вызовами: такие подписи обычно занимают килобайты, а не десятки байт, что меняет экономику веса транзакций и пользовательский опыт кошельков. Инфраструктура Bitcoin должна учитывать ограничения пропускной способности, хранения, комиссий и координации.

Итог: инфраструктура, а не чрезвычайная ситуация

Угрозы квантовых компьютеров для Bitcoin — это вызов миграции и инфраструктурного планирования, а не немедленная опасность. Ключевые элементы для мониторинга — доля UTXO с раскрытыми публичными ключами, как меняется поведение кошельков, и насколько быстро сеть сможет внедрить пути расходования, устойчивые к квантам, сохраняя при этом целостность валидации и экономику комиссий. Миф о том, что «квантовые компьютеры взламывают криптографию Bitcoin», не выдерживает критики ни в терминологии, ни в механике.