Najważniejsze informacje:
- Avihu Levy, CPO Starkware, opublikował QSB 9 kwietnia 2026 r., umożliwiając transakcje bitcoin odporne na komputery kwantowe bez żadnych zmian w protokole.
- Schemat Levy'ego kosztuje od 75 do 150 USD w obliczeniach GPU na transakcję i osiąga około 118-bitową odporność na atak kwantowy polegający na odwróceniu obrazu.
- QSB to pierwszy znany schemat zabezpieczający transakcje bitcoin przed algorytmem Shora, wykorzystujący wyłącznie istniejące zasady legacy Script Bitcoin.
Jak dyrektor Starkware wbudował odporność kwantową w Bitcoin bez dotykania protokołu
Avihu Levy, dyrektor ds. produktu w Starkware i współautor BIP-360, opublikował pełny artykuł badawczy i implementację open-source 9 kwietnia 2026 r. Schemat nazywa się Quantum Safe Bitcoin, czyli QSB. Nie wymaga softfork, koordynacji społeczności ani nowych kodów operacyjnych. Działa w całości w ramach istniejących ograniczeń legacy Script Bitcoin wynoszących 201 kodów operacyjnych i 10 000 bajtów.
Zagrożenie, któremu przeciwdziała QSB, jest konkretne. Główny schemat podpisu Bitcoin, ECDSA na krzywej eliptycznej secp256k1, jest całkowicie łamiemy przez algorytm Shora na wystarczająco potężnym komputerze kwantowym. Atakujący posiadający taką możliwość mógłby odzyskać klucze prywatne z dowolnego ujawnionego klucza publicznego, sfałszować podpisy i przekierować środki. Wyjścia P2PK, adresy legacy i ścieżki keyspend Taproot są zagrożone w momencie pojawienia się klucza publicznego w łańcuchu.
Image source: X.Schemat Levy'ego przerywa tę zależność na poziomie transakcji. Zamiast polegać na trudności krzywej eliptycznej, QSB buduje bezpieczeństwo na odporności na odwrócenie obrazu RIPEMD-160, funkcji skrótu, którą komputery kwantowe mogą atakować tylko za pomocą algorytmu Grovera, który zapewnia kwadratowe przyspieszenie, a nie całkowite złamanie. Hash 160-bitowy zachowuje około 80 bitów odporności na odwrócenie obrazu przeciwko kwantowemu przeciwnikowi, pozostawiając komfortowy margines.
Konstrukcja modyfikuje wcześniejszy schemat o nazwie Binohash, opracowany przez Robina Linusa, i naprawia dwa problemy, które czyniły Binohash niebezpiecznym wobec ataku kwantowego. Pierwszym była łamigłówka proof-of-work (PoW) o rozmiarze podpisu, która zależała od znalezienia małych wartości r krzywej eliptycznej, co algorytm Shora trywialnie łamie. Drugim była nierozwiązana podatność flagi sighash, która mogła pozwolić atakującemu na ponowne użycie ważnego podpisu łamigłówki w różnych transakcjach.
Zastąpienie łamigłówki o rozmiarze podpisu
QSB zastępuje łamigłówkę o rozmiarze podpisu tym, co Levy nazywa łamigłówką hash-to-sig. Wydający iteruje po parametrach transakcji, aż hash RIPEMD-160 klucza publicznego pochodzącego z transakcji wygeneruje ważny podpis ECDSA zakodowany w DER. To zdarzenie występuje z prawdopodobieństwem około 1 na 70 bilionów. Ponieważ łamigłówka używa zakodowanej na stałe flagi SIGHASH_ALL, podatność sighash jest eliminowana jako efekt uboczny.
Następnie wydający przeprowadza dwie rundy skrótu, używając struktury podpisu Lamporta w stylu HORS, wybierając podzbiory fałszywych podpisów, które zmieniają sighash transakcji za pośrednictwem mechanizmu legacy Script o nazwie FindAndDelete. Każdy podzbiór generuje inny wynik skrótu. Podzbiór, który daje ważny podpis zakodowany w DER, staje się skrótem dla tej rundy. Ujawnienie odpowiednich obrazów wstępnych w świadku kończy wydatek odporny na komputery kwantowe.
Zalecana konfiguracja, którą Levy nazywa Config A, mieści się w limicie 201 kodów operacyjnych i osiąga około 118-bitową odporność na odwrócenie obrazu oraz 78-bitową odporność na kolizje. Kwantowy atakujący uruchamiający algorytm Grovera przeciwko tej konfiguracji staje przed pracą rzędu 2 do potęgi 69 dla ataku drugiego obrazu wstępnego. Algorytm Shora nie zapewnia żadnej przewagi, ponieważ nie ma już żadnych założeń krzywej eliptycznej do złamania.
Obliczenia off-chain kosztują od 75 do 150 USD w czasie GPU w chmurze na transakcję przy obecnych cenach spot. Praca jest zawstydzająco równoległa i ukończona w godziny na wielu GPU w wczesnych testach. Farma GPU obsługuje tylko obliczenia publiczne, w tym odzyskiwanie kluczy i hashowanie. Prywatne obrazy wstępne HORS nigdy nie opuszczają bezpiecznego urządzenia wydającego.
Istnieją rzeczywiste ograniczenia. Transakcje QSB są ważne w konsensusie, ale niestandardowe, przekraczając domyślne zasady przekazywania. Wymagają bezpośredniego przesłania do puli wydobywczej, która akceptuje transakcje niestandardowe, na przykład za pośrednictwem usługi Slipstream Marathon. Schemat nie obejmuje jeszcze kanałów Lightning Network. Pełny montaż i transmisja w łańcuchu są nadal w toku w implementacji open-source. Levy opisuje schemat jako środek ostateczny, a nie ogólne zastąpienie standardowego użycia Bitcoin.
Współzałożyciel Starkware Eli Ben-Sasson publicznie poparł pracę, stwierdzając, że Bitcoin może być natychmiast odporny na komputery kwantowe. Powiedział:
Levy udostępnił artykuł i repozytorium na X i przypisał Robinowi Linusowi fundamentalną pracę nad Binohash oraz kluczową korektę, która ukształtowała ostateczny kompromis kosztowo-bezpieczeństwa. Społeczność była bardzo zadowolona z białej księgi, która była szeroko udostępniana w mediach społecznościowych. Eric Wall z Taproot Wizard napisał na X:
Pełny artykuł, kod CUDA przyspieszony przez GPU, pipeline Python i kompletne skrypty Bitcoin są dostępne w repozytorium GitHub Levy'ego. Wiadomość następuje po niedawnym prototypie mającym zabezpieczyć portfele bitcoin przed ryzykiem kwantowym. Ten konkretny prototyp został stworzony przez CTO Lightning Labs Olaoluwę Osuntokuna.
Co to oznacza dla codziennych posiadaczy Bitcoin
Dla codziennych posiadaczy bitcoin (BTC) praktyczny wniosek jest prosty. Obecnie nie istnieje komputer kwantowy zdolny do złamania kryptografii Bitcoin, a większość badaczy umieszcza to zagrożenie przynajmniej za trzy lata do dekady. Ale zegar zaczyna się w momencie pojawienia się klucza publicznego w łańcuchu, co dzieje się za każdym razem, gdy użytkownik wydaje z adresu.
Bitcoin znajdujący się w portfelu, który nigdy nie dokonał transakcji wychodzącej, jest mniej narażony. Bitcoin zaparkowany pod ponownie używanym lub już wydanym adresem to inna historia. Gdy przetwarzanie kwantowe osiągnie próg, te ujawnione klucze publiczne stają się celami. Przeniesienie środków przed zamknięciem tego okna jest ważniejsze niż przeniesienie ich później.
QSB nie jest jeszcze dostępny w żadnym portfelu konsumenckim. Użytkownicy nie mogą dziś otworzyć standardowego portfela i przełączyć ustawienia odpornościna komputery kwantowe. To, co dostarczył Levy, to kryptograficzny dowód, że ścieżka istnieje, zbudowana z zasad już wewnątrz Bitcoin, kosztująca mniej więcej cenę biletu lotniczego w obliczeniach GPU.
Pozostała praca to inżynieria, adopcja i czas. Dla osoby posiadającej BTC element działania jest prosty: obserwuj wsparcie post-kwantowe od dostawcy portfela, unikaj ponownego używania adresów i przenieś środki na adres odporny na komputery kwantowe, gdy ta opcja stanie się dostępna w oprogramowaniu głównego nurtu. Narzędzia do ochrony tego bitcoin są właśnie budowane.
Źródło: https://news.bitcoin.com/no-consensus-changes-needed-starkware-cpo-builds-quantum-safe-bitcoin-transactions-from-existing-rules/
