Ключові висновки:
- CPO Starkware Авіху Леві опублікував QSB 9 квітня 2026 року, що дозволяє здійснювати квантово-захищені Bitcoin транзакції без жодних змін протоколу.
- Схема Леві коштує від $75 до $150 у GPU обчисленнях на транзакцію і досягає приблизно 118-бітної стійкості до прообразу проти квантової атаки.
- QSB є першою відомою схемою для захисту активних Bitcoin транзакцій від алгоритму Шора, використовуючи лише існуючі застарілі правила Script Bitcoin.
Як керівник Starkware вбудував квантову стійкість у Bitcoin, не торкаючись протоколу
Авіху Леві, головний директор з продукту в Starkware і співавтор BIP-360, випустив повну дослідницьку роботу та реалізацію з відкритим вихідним кодом 9 квітня 2026 року. Схема називається Quantum Safe Bitcoin, або QSB. Вона не вимагає софтфорку, координації спільноти та нових опкодів. Вона працює повністю в межах існуючих застарілих обмежень Script Bitcoin у 201 опкод та 10 000 байтів.
Загроза, яку вирішує QSB, є конкретною. Основна схема підпису Bitcoin, ECDSA над еліптичною кривою secp256k1, повністю зламується алгоритмом Шора на достатньо потужному квантовому комп'ютері. Зловмисник з такими можливостями міг би відновити приватні ключі з будь-якого відкритого публічного ключа, підробити підписи та перенаправити кошти. P2PK виходи, застарілі адреси та шляхи витрат ключів Taproot перебувають під загрозою з моменту появи публічного ключа в ланцюзі.
Image source: X.Схема Леві розриває цю залежність на рівні транзакції. Замість того, щоб покладатися на складність еліптичної кривої, QSB будує безпеку на стійкості до прообразу RIPEMD-160, хеш-функції, яку квантові комп'ютери можуть атакувати лише за допомогою алгоритму Гровера, який забезпечує квадратичне прискорення, а не повне зламування. 160-бітний хеш зберігає приблизно 80 біт стійкості до прообразу проти квантового супротивника, залишаючи комфортний запас.
Конструкція модифікує ранішу схему під назвою Binohash, розроблену Робіном Лінусом, і виправляє дві проблеми, які робили Binohash небезпечним проти квантової атаки. Першою була головоломка proof-of-work (PoW) розміру підпису, яка залежала від знаходження малих значень r еліптичної кривої, що алгоритм Шора тривіально зламує. Другою була невирішена вразливість прапорця sighash, яка могла дозволити зловмиснику повторно використовувати дійсний підпис головоломки в різних транзакціях.
Заміна головоломки розміру підпису
QSB замінює головоломку розміру підпису на те, що Леві називає головоломкою hash-to-sig. Відправник ітерує параметри транзакції, поки хеш RIPEMD-160 публічного ключа, похідного від транзакції, не створить дійсний підпис ECDSA у кодуванні DER. Ця подія відбувається з ймовірністю приблизно 1 до 70 трильйонів. Оскільки головоломка використовує жорстко закодований прапорець SIGHASH_ALL, вразливість sighash усувається як побічний ефект.
Потім відправник виконує два раунди дайджесту, використовуючи структуру підпису Lamport у стилі HORS, вибираючи підмножини фіктивних підписів, які змінюють sighash транзакції через застарілий механізм Script під назвою FindAndDelete. Кожна підмножина створює різний вихідний хеш. Підмножина, яка дає дійсний підпис у кодуванні DER, стає дайджестом для цього раунду. Розкриття відповідних прообразів у свідку завершує квантово-захищену витрату.
Рекомендована конфігурація, яку Леві називає Config A, вміщується в межах обмеження 201 опкода і досягає приблизно 118-бітної стійкості до прообразу та 78-бітної стійкості до колізій. Квантовий зловмисник, що запускає алгоритм Гровера проти цієї конфігурації, стикається приблизно з 2 у 69-му ступені роботи для атаки другого прообразу. Алгоритм Шора не надає жодної переваги, оскільки не залишилося припущень еліптичної кривої для зламування.
Офчейн обчислення коштують від $75 до $150 у хмарному GPU часі на транзакцію за поточними спотовими цінами. Робота є надзвичайно паралельною і завершується за години на кількох GPU у ранніх тестах. GPU-ферма обробляє лише публічні обчислення, включаючи відновлення ключів та хешування. Приватні прообрази HORS ніколи не залишають захищений пристрій відправника.
Існують реальні обмеження. QSB транзакції є консенсусно дійсними, але нестандартними, перевищуючи стандартні політики ретрансляції. Вони вимагають прямого подання до пулу майнінгу, який приймає нестандартні транзакції, наприклад, через сервіс Slipstream Marathon. Схема ще не охоплює канали Lightning Network. Повна ончейн збірка та трансляція все ще очікуються в реалізації з відкритим вихідним кодом. Леві описує схему як крайній захід, а не загальну заміну стандартного використання Bitcoin.
Співзасновник Starkware Елі Бен-Сассон публічно підтримав роботу, заявивши, що Bitcoin може бути квантово-захищеним негайно. Він сказав:
Леві поділився роботою та репозиторієм на X і відзначив Робіна Лінуса за фундаментальну роботу над Binohash та за ключове виправлення, яке сформувало остаточний компроміс вартість-безпека. Спільнота була дуже задоволена технічним документом, оскільки він широко поширювався в соціальних мережах. Taproot Wizard Ерік Волл написав на X:
Повна робота, прискорений GPU код CUDA, Python pipeline та повні Bitcoin Scripts доступні в GitHub репозиторії Леві. Новина слідує за недавнім прототипом, призначеним для захисту Bitcoin гаманців від квантового ризику. Цей конкретний прототип був створений CTO Lightning Labs Олаолува Осунтокуном.
Що це означає для звичайних власників Bitcoin
Для звичайних власників Bitcoin (BTC) практичний висновок простий. Сьогодні не існує квантового комп'ютера, здатного зламати криптографію Bitcoin, і більшість дослідників розміщують цю загрозу щонайменше від трьох років до десятиліття. Але відлік починається з моменту появи публічного ключа в ланцюзі, що відбувається щоразу, коли користувач витрачає з адреси.
Bitcoin, що знаходиться в гаманці, який ніколи не здійснював вихідну транзакцію, має меншу експозицію. Bitcoin, розміщений на повторно використовуваній або вже витраченій адресі, це інша історія. Коли квантові обчислення досягнуть порогу, ці відкриті публічні ключі стають мішенями. Переміщення коштів до закриття цього вікна має більше значення, ніж їх переміщення після.
QSB ще не постачається всередині будь-якого споживчого гаманця. Користувачі не можуть відкрити стандартний гаманець сьогодні та перемкнути налаштування квантової безпеки. Те, що Леві надав, це криптографічний доказ того, що шлях існує, побудований з правил, які вже є всередині Bitcoin, коштуючи приблизно ціну авіаквитка в GPU обчисленнях.
Залишається робота з інжинірингу, впровадження та часу. Для особи, яка володіє BTC, план дій простий: стежте за підтримкою постквантової криптографії від вашого провайдера гаманця, уникайте повторного використання адрес та переміщуйте кошти на квантово-захищену адресу, коли ця опція стане доступною в основному програмному забезпеченні. Інструменти для захисту цього Bitcoin будуються прямо зараз.
Джерело: https://news.bitcoin.com/no-consensus-changes-needed-starkware-cpo-builds-quantum-safe-bitcoin-transactions-from-existing-rules/
