La crittografia di Bitcoin non è a rischio a causa dei computer quantistici per una semplice ragione: in realtà non esiste.

Contrariamente alla credenza popolare, i computer quantistici non “spezzeranno” la crittografia di Bitcoin; invece, qualsiasi minaccia realistica si concentrerebbe sullo sfruttamento delle firme digitali legate alle chiavi pubbliche esposte.

I computer quantistici non possono decifrare Bitcoin perché non memorizza segreti criptati sulla blockchain.

La proprietà è garantita da firme digitali e impegni basati su hash, non da testo cifrato.

Il rischio quantistico che conta è il rischio di falsificazione dell'autorizzazione.

Se un computer quantistico rilevante dal punto di vista crittografico potesse eseguire l’algoritmo di Shor contro la crittografia a curve ellittiche di Bitcoin, potrebbe derivare una chiave privata da una chiave pubblica presente sulla blockchain e quindi produrre una firma valida per una spesa concorrente.

Gran parte della narrazione “i computer quantistici spezzano la crittografia di Bitcoin” è un errore di terminologia. Adam Back, storico sviluppatore di Bitcoin e inventore di Hashcash, lo ha riassunto su X:

“Consiglio per i promotori di FUD quantistico. Bitcoin non utilizza la crittografia. Imparate le basi o si capisce subito.”

Un altro post ha fatto la stessa distinzione in modo più esplicito, osservando che un attaccante quantistico non “decifrerebbe” nulla, ma userebbe invece l’algoritmo di Shor per derivare una chiave privata da una chiave pubblica esposta:

“La crittografia si riferisce all’atto di nascondere informazioni affinché solo chi possiede una chiave possa leggerle. Bitcoin non fa questo. La blockchain è un registro pubblico; chiunque può vedere ogni transazione, ogni importo e ogni indirizzo. Nulla è criptato.”

Perché l’esposizione della chiave pubblica, e non la crittografia, è il vero collo di bottiglia della sicurezza di Bitcoin

I sistemi di firma di Bitcoin, ECDSA e Schnorr, vengono utilizzati per dimostrare il controllo su una coppia di chiavi.

In questo modello, le monete vengono spese producendo una firma che la rete accetterà.

Per questo motivo, l’esposizione della chiave pubblica è il punto cruciale.

Se un output sia esposto dipende da ciò che appare sulla blockchain.

Molti formati di indirizzo si impegnano su un hash di una chiave pubblica, quindi la chiave pubblica grezza non viene rivelata fino a quando la transazione non viene spesa.

Ciò restringe la finestra temporale per un attaccante per calcolare una chiave privata e pubblicare una transazione in conflitto.

Altri tipi di script espongono una chiave pubblica prima, e il riutilizzo dell’indirizzo può trasformare una rivelazione una tantum in un bersaglio persistente.

La query open-source “Bitcoin Risq List” di Project Eleven definisce l’esposizione a livello di script e di riutilizzo.

Mappa dove una chiave pubblica è già disponibile per un potenziale attaccante con l’algoritmo di Shor.

Perché il rischio quantistico è misurabile oggi, anche se non è imminente

Taproot modifica il modello di esposizione in un modo che conta solo se arrivano grandi macchine tolleranti agli errori.

Gli output Taproot (P2TR) includono una chiave pubblica modificata di 32 byte nel programma di output, invece di un hash della chiave pubblica, come descritto in BIP 341.

La documentazione della query di Project Eleven include P2TR insieme a pay-to-pubkey e alcune forme multisig come categorie in cui le chiavi pubbliche sono visibili negli output.

Questo non crea una nuova vulnerabilità oggi.

Tuttavia, cambia ciò che viene esposto di default se il recupero delle chiavi diventa fattibile.

Poiché l’esposizione è misurabile, il pool vulnerabile può essere monitorato oggi senza dover fissare una tempistica quantistica.

Project Eleven afferma di eseguire una scansione automatica settimanale e pubblica un concetto di “Bitcoin Risq List” destinato a coprire ogni indirizzo vulnerabile ai quanti e il suo saldo, dettagliato nel suo post metodologico.

Il suo tracker pubblico mostra una cifra principale di circa 6,7 milioni di BTC che soddisfano i suoi criteri di esposizione.

Dal lato computazionale, la distinzione chiave è tra qubit logici e qubit fisici.

Nell’articolo “Quantum resource estimates for computing elliptic curve discrete logarithms”, Roetteler e coautori danno un limite superiore di al massimo 9n + 2⌈log2(n)⌉ + 10 qubit logici per calcolare un logaritmo discreto su curva ellittica su un campo primo di n bit.

Per n = 256, ciò corrisponde a circa 2.330 qubit logici.

Convertire questo in una macchina con correzione d’errore che possa eseguire un circuito profondo con bassi tassi di errore è dove la sovrapposizione di qubit fisici e la tempistica dominano.

Le scelte architetturali determinano poi un’ampia gamma di tempi di esecuzione

La stima di Litinski del 2023 pone il calcolo di una chiave privata su curva ellittica a 256 bit a circa 50 milioni di porte Toffoli.

Secondo le sue ipotesi, un approccio modulare potrebbe calcolare una chiave in circa 10 minuti utilizzando circa 6,9 milioni di qubit fisici.

In un riassunto di Schneier on Security di lavori correlati, le stime si aggirano intorno a 13 milioni di qubit fisici per violare entro un giorno.

La stessa linea di stime cita anche circa 317 milioni di qubit fisici per puntare a una finestra di un’ora, a seconda delle ipotesi su tempistiche e tassi di errore.

Per le operazioni Bitcoin, le leve più vicine sono comportamentali e a livello di protocollo.

Il riutilizzo degli indirizzi aumenta l’esposizione, e il design dei wallet può ridurla.

L’analisi dei wallet di Project Eleven osserva che una volta che una chiave pubblica è sulla blockchain, le ricezioni future su quello stesso indirizzo rimangono esposte.

Se il recupero delle chiavi dovesse mai rientrare nell’intervallo di un blocco, un attaccante gareggerebbe sulle spese dagli output esposti, non riscrivendo la storia del consenso.

L’hashing è spesso incluso nella narrazione, ma la leva quantistica lì è l’algoritmo di Grover.

Grover fornisce un’accelerazione radice quadrata per la ricerca brute-force piuttosto che la rottura del logaritmo discreto fornita da Shor.

La ricerca NIST sul costo pratico degli attacchi in stile Grover sottolinea che la sovrapposizione e la correzione degli errori modellano il costo a livello di sistema.

Nel modello idealizzato, per i preimage SHA-256, l’obiettivo rimane dell’ordine di 2^128 operazioni anche dopo Grover.

Questo non è paragonabile a una rottura del logaritmo discreto ECC.

Rimane la migrazione delle firme, dove i vincoli sono larghezza di banda, archiviazione, commissioni e coordinamento.

Le firme post-quantistiche sono spesso di kilobyte piuttosto che delle decine di byte a cui gli utenti sono abituati.

Questo cambia l’economia del peso delle transazioni e l’esperienza utente dei wallet.

Perché il rischio quantistico è una sfida di migrazione, non una minaccia immediata

Al di fuori di Bitcoin, il NIST ha standardizzato primitive post-quantistiche come ML-KEM (FIPS 203) come parte di una pianificazione di migrazione più ampia.

All’interno di Bitcoin, BIP 360 propone un tipo di output “Pay to Quantum Resistant Hash”.

Nel frattempo, qbip.org sostiene una scadenza per le firme legacy per incentivare la migrazione e ridurre la lunga coda di chiavi esposte.

Le recenti roadmap aziendali aggiungono contesto sul perché l’argomento viene inquadrato come infrastruttura piuttosto che come emergenza.

In un recente rapporto di Reuters, IBM ha discusso i progressi sui componenti di correzione degli errori e ha ribadito un percorso verso un sistema tollerante agli errori intorno al 2029.

Reuters ha anche trattato l’affermazione di IBM secondo cui un algoritmo chiave di correzione degli errori quantistici può essere eseguito su chip AMD convenzionali, in un rapporto separato.

In questo contesto, “i computer quantistici spezzano la crittografia di Bitcoin” fallisce sia nella terminologia che nella meccanica.

Gli elementi misurabili sono quanto dell’insieme UTXO ha chiavi pubbliche esposte, come cambia il comportamento dei wallet in risposta a tale esposizione e quanto rapidamente la rete può adottare percorsi di spesa resistenti ai quanti mantenendo intatti i vincoli di validazione e di mercato delle commissioni.

L’articolo Bitcoin encryption isn’t at risk from quantum computers for one simple reason: it doesn’t actually exist è apparso per la prima volta su CryptoSlate.