Обсуждение «квантовой угрозы» для Bitcoin снова вышло на первый план после заявления Джеймсона Лоппа (Bitcoin Core, сооснователь Casa). В посте в X он отметил, что даже если считать «криптографически значимые» квантовые компьютеры историей не ближайших лет, сам переход сети к постквантовым стандартам может оказаться долгим и болезненным: на продуманное изменение протокола и беспрецедентную миграцию средств легко уйдёт 5–10 лет.

Эта оценка важна не только как «предупреждение на будущее». Для Bitcoin риски квантовой эпохи — это в первую очередь задача координации: чтобы новая криптография реально защитила сеть, ей должны пользоваться кошельки, биржи, кастодианы, провайдеры инфраструктуры и сами держатели монет. И чем дольше процесс, тем выше вероятность, что переход будет сопровождаться спорными решениями — от формата адресов до судьбы монет, которые не переедут на новые типы выходов.

Что сказал Лопп и почему это обсуждают именно сейчас

Суть месседжа Лоппа — не «завтра всё сломают», а «даже если до “Q-day” далеко, готовиться надо заранее». Логика простая: Bitcoin живёт по правилам распределённого консенсуса. В централизованной компании можно «включить новый стандарт» решением руководства; в публичном протоколе обновление — это длинная цепочка согласований, внедрений и обратной совместимости. В результате тайминг угрозы и тайминг защиты — разные часы.

Отдельно стоит отметить, что разговор о постквантовой криптографии давно вышел за рамки академии. NIST в США уже выпустил первые финализированные стандарты постквантовой криптографии (включая механизмы обмена ключами и подписи), тем самым дав рынку «официальную точку опоры» для миграции.

Где у Bitcoin «квантовая уязвимость» на самом деле

В медийных пересказах квантовую тему часто упрощают до «квантовые компьютеры взломают Bitcoin». В реальности речь не о «взломе блокчейна», а о подрыве криптографических допущений, на которых держится право тратить монеты.

Bitcoin использует публично-ключевую криптографию в подписях: владелец приватного ключа подписывает транзакцию, а сеть проверяет подпись по открытым данным. Пока вычислить приватный ключ по публичному — вычислительно нереально, модель работает.

Квантовый сценарий, которого боятся криптографы: алгоритм Шора на достаточно мощном (и исправляющем ошибки) квантовом компьютере теоретически делает уязвимыми широко используемые схемы на эллиптических кривых — именно такой криптографией исторически пользовались и продолжают пользоваться многие системы цифровых подписей. NIST прямо отмечает, что распространённые ECC-схемы уязвимы для алгоритма Шора на квантовом компьютере.

Почему это не «паника здесь и сейчас»? Потому что квантовые машины, которые реально способны массово ломать ключи соответствующих размеров, — это не «гаджет из лаборатории». Но ключевое в оценке Лоппа: даже если квантовые компьютеры появятся «не завтра», внедрение защиты заранее — всё равно долгий проект.

Почему миграция на постквантовые подписи — это 5–10 лет

Оценка «5–10 лет» для Bitcoin звучит логично из-за сочетания технических и социальных факторов:

• Нужны изменения уровня протокола. Подписи — часть правил консенсуса. Добавить новый тип подписи означает добавить новый «язык расходования» выходов (скриптов/адресов) и правила проверки.
• Нужна инфраструктура вокруг. Даже идеальный BIP не поможет, если кошельки/биржи/кастодианы не внедрили поддержку, а пользователи не начали переводить средства.
• Нужен запас времени на ошибки. Криптографические стандарты и их реализации должны пройти годы практики: аудит, баги, совместимость, оптимизации.
• Нужен «переезд денег». В отличие от многих корпоративных апгрейдов, здесь речь не только о коде узлов, но и о массовом переносе средств на новые типы адресов/выходов.

Плюс есть отдельная «политическая» часть: что делать с монетами, владельцы которых не обновятся (потерянные ключи, забытые кошельки, неактивные держатели). Любая попытка «принудительного дедлайна» упирается в ценностный конфликт Bitcoin: сеть не должна «конфисковывать», но и не должна оставлять дыру, через которую гипотетический квантовый атакующий сможет получить гигантский бонус.

Что такое «постквантовые стандарты» и что уже сделал NIST

Постквантовая криптография (PQC) — это алгоритмы, которые рассчитаны на устойчивость к атакам с использованием квантовых компьютеров. Важно: это не «квантовая криптография», а криптография, работающая на обычных компьютерах, но спроектированная так, чтобы квантовые алгоритмы не давали критического преимущества.

В августе 2024 года NIST объявил о выпуске первых финализированных постквантовых стандартов, призванных выдерживать атаки квантового компьютера.

На практике это означает, что у индустрии появляется «официальная линейка» алгоритмов и документация уровня стандарта. Один из примеров — FIPS 203 (ML-KEM) как постквантовый механизм инкапсуляции ключа.

Для Bitcoin, однако, центральная тема — подписи (не обмен ключами). В PQC мире подписи бывают разных семейств: решётки, хеш-подписи и т.д. У каждого набора — свои компромиссы по размеру подписи/ключей, скорости проверки и «стоимости» в блокчейне. Именно поэтому в обсуждениях часто всплывает класс хеш-подписей вроде SLH-DSA (SPHINCS+): они опираются на хеш-функции, но обычно дают крупные подписи (что критично для блокчейна).

Какие подходы обсуждают в сообществе Bitcoin

Если упростить, обсуждения идут вокруг двух осей: как добавить постквантовую опцию и как стимулировать (или требовать) миграцию.

1) «Добавить новый тип выходов и дать рынку мигрировать»

Самый «биткоиновский» путь — мягкое расширение: добавить новый тип выходов/адресов, который позволяет тратить монеты с помощью постквантовой подписи (или по схеме, минимизирующей квантовый риск). Старые типы остаются, а пользователи постепенно переводят средства.

Важный плюс: минимизация разлома экосистемы. Минус: миграция может быть слишком медленной — а уязвимые монеты остаются «на старой криптографии» годами.

2) Варианты вокруг идеи BIP-360 / P2QRH

В качестве одного из направлений обсуждается концепция Pay-to-Quantum-Resistant-Hash (P2QRH), связанная с проектом BIP-360. В публичных обсуждениях отмечалось, что в рамках изменений P2QRH описывали как модификацию taproot-подхода с удалением квантово-уязвимого «key-path» расходования и выносом постквантовых подписей в будущие предложения.

Важно: это не «принятое решение», а направление инженерного поиска. Bitcoin редко делает резкие движения: сначала — дискуссия, затем — прототипы, тестирование, анализ влияния на комиссии и размер блоков, и только потом — путь к консенсусу (если он вообще будет).

3) «Дедлайн для старых подписей» — самый конфликтный сценарий

Самая спорная ветка: установить правило, после которого монеты в старых форматах либо невозможно потратить, либо они требуют дополнительной процедуры. Идея выглядит рационально с точки зрения безопасности (закрыть «дыру» раз и навсегда), но конфликтует с принципом неизменности прав собственности, завязанных на ключ.

Ровно здесь «5–10 лет» превращаются не просто в срок разработки, а в срок на то, чтобы сообщество вообще договорилось, что считать справедливым.

Практические узкие места: почему подписи PQC — это дорого в блокчейне

В классической криптографии подпись компактна. В постквантовом мире многие схемы платят за устойчивость объёмом: подписи и/или ключи заметно больше, а значит:

• растёт размер транзакций и нагрузка на пропускную способность;
• поднимается «минимальная цена безопасности» в комиссиях;
• возрастает нагрузка на хранение истории/проверку;
• становится сложнее сохранить UX «как раньше», особенно для массовых кошельков.

Это одна из причин, почему обсуждения вокруг Bitcoin упираются не только в «какой алгоритм лучше», но и в «как сделать так, чтобы сеть не стала существенно дороже для обычных переводов».

Что это означает для обычных пользователей

Важно разделять «стратегию на годы» и базовую цифровую гигиену, которая полезна уже сегодня. Bitcoin-сообщество десятилетиями продвигает практики, которые в квантовом сценарии тоже выглядят здраво: минимизировать лишнее раскрытие ключевого материала и не усложнять себе миграции в будущем.

• Держать кошелёк и устройства в актуальном состоянии (обновления безопасности).
• Понимать, что именно вы контролируете: ключи/seed-фразу, где они хранятся и кто имеет доступ.
• Не усложнять себе «переезд»: иметь понятную структуру хранения, резервные копии, проверенный процесс восстановления.
• Следить за тем, как развивается тема постквантовых адресов/подписей в Bitcoin (в том числе через обновления кошельков и крупных провайдеров).

И отдельно: квантовые риски — это не повод «делать резкие движения» на слухах. Это повод понимать базовые элементы модели безопасности: адреса, подписи, UTXO и роль приватного ключа.

FAQ: короткие ответы на частые вопросы

Итог

Слова Джеймсона Лоппа про «5–10 лет» — это не прогноз неминуемой катастрофы, а напоминание о реальности протокольных апгрейдов в Bitcoin: защита от будущей угрозы требует времени уже сегодня. Чем раньше экосистема сформирует понятный план миграции, тем меньше шансов, что квантовая тема превратится в паническую гонку с непопулярными решениями.

Полезные ссылки по теме (на 24k.ru)

• Bitcoin (BTC): как работает сеть
• Приватный ключ: что это и как хранить
• UTXO в Bitcoin: входы/выходы и право траты
• Хеш-функции: база адресов и безопасности
• SLH-DSA (SPHINCS+): постквантовые хеш-подписи