Kvantová hrozba pro Bitcoin: Je důvod k obavám?

Ilustrační render kvantového počítače (Autor: OJB Quantum / Onri Jay Benally, zdroj: Wikimedia Commons, licence: CC BY 4.0.)

Začátkem dubna letošního roku vydal Google prohlášení, které obletělo celý krypto svět. Titulky byly tradičně dramatické a pohřbívali Bitcoin i další kryptoměny. Nyní se mi zdá vhodný moment podívat se na celou věc s odstupem a bez panikaření, ale zároveň bez ignorování problému.

Co vlastně Google tvrdí?

Výzkumný tým Googlu ve své studii ukázal, že k prolomení kryptografie, kterou Bitcoin používá, by stačil kvantový počítač s méně než 500 000 qubity. To je výrazně méně oproti dřívějším odhadům, které mluvily o 10 milionech qubitů. Mým záměrem v tomto článku není rozebírat technické detaily kvantové kryptografie, ve kterých se sám zdaleka odborně neorientuji a pochybuji, že by čtenáři přinesly nějakou praktickou hodnotu. Místo toho se podíváme na to, co je opravdu v ohrožení a co se s tím dá dělat.

V první řadě je důležité zmínit, že žádný takový stroj dnes neexistuje. Současné kvantové počítače mají řádově tisíce qubitů, a to ještě nestabilních. Směr vývoje je ale na druhou stranu poměrně jasný a podle Google by Bitcoinový protokol mohl být v ohrožení někdy mezi lety 2030 a 2040.

Jak by mohl vypadat konkrétní útok a kolik Bitcoinů je vlastně ohroženo?

Útok na Bitcoinovou síť by mohl vypadat takto: jakmile odešlete transakci, váš veřejný klíč se na pár minut objeví v mempoolu, než se transakce potvrdí v dalším bloku. V tomto časovém okně by teoreticky mohl kvantový počítač odvodit váš privátní klíč a převést váš bitcoin někam jinam.

V největším ohrožení je zhruba 6,9 milionu BTC. Jedná se o mince, jejichž veřejné klíče jsou trvale viditelné na blockchainu. Když si to spočítáme, jedná se asi o třetinu celé nabídky bitcoinů.

Ohroženy jsou především konkrétní skupiny mincí. Staré adresy typu Pay-to-Public-Key (P2PK) z let 2009 a 2010. Sem spadají i ty nejskloňovanější – Satoshiho bitcoiny, kterých je více než milion, a které se od roku 2010 nepohnuly. Další adresy v ohrožení jsou ty, ze kterých už někdy odešla transakce, protože v tom momentě se jejich veřejný klíč zveřejnil. Do této skupiny paradoxně patří i Taproot adresy, což byl upgrade z roku 2021, který dnes může působit jako přešlap.

V relativním bezpečí jsou adresy SegWit a P2SH, ze kterých nebyla odeslána žádná transakce. Jejich veřejné klíče jsou skryté za hash, dokud z nich neodešlete transakci.

Největší riziko tedy leží na tzv. dormant whales peněženkách, dlouhodobě nehybných adresách, jejichž majitelé k nim nemají přístup.

Bitcoin reaguje: BIP360 a další

Bitcoinová komunita o této hrozbě ví už roky. Nejdůležitějším návrhem, jak na ni reagovat, je BIP360, oficiálně nazvaný Pay-to-Merkle-Root (P2MR). Tento návrh je zatím draftový a je navržen jako změna konsenzu přes soft fork. Jeho hlavní motivace je jednoduchá: jak už jsem zmínil, některé typy bitcoinových výstupů mohou dlouhodobě odhalovat veřejný klíč, z kterého by dostatečně výkonný kvantový počítač dopočítal soukromý klíč. BIP360 toto riziko snižuje a tyto citlivé informace u transakcí neukazuje.

Vedle BIP360 se diskutuje i BIP361, který by řešil migrační rámec pro staré adresy a stanovil deadline, do kdy musí jejich majitelé převést mince na kvantově odolný formát.

Kvantová hrozba se tedy ve vývojářské komunitě aktivně řeší, problém však může být v samotné povaze Bitcoinové komunity, která je extrémně konzervativní. Předchozí upgrady sítě, jako SegWit nebo Taproot, trvaly od návrhu po aktivaci několik let. Pokud by se tedy kvantová hrozba objevila dříve, může to být problém.

Co uděláme se Satoshiho bitcoiny?

Zajímavá debata se vede kolem toho, co udělat se Satoshiho bitcoiny a s bitcoiny z dalších dormant adres. Návrhů je několik a bitcoinová komunita je zatím názorově rozdělená.

Prvním řešením může být zmrazení na protokolové úrovni. To ochrání mince před krádeží, ale znamenalo by, že mince z těchto adres Satoshi, ani žádná jiná dormant peněženka, nikdy nepoužije. To je pro mnoho bitcoinerů nepřípustný zásah do samotné filozofie Bitcoinu.

Dalším řešením je nucená migrace s pevně stanoveným termínem. Pokud by držitelé do určité doby nepřevedli své mince na kvantově odolné adresy, tyto mince by byly automaticky spáleny. I to je však pro část komunity problematické. V praxi by to totiž například samotného Satoshiho nutilo buď k návratu, nebo ke ztrátě jeho bitcoinů.

Posledním často zmiňovaným řešením je ponechat staré adresy bez zásahu. Bitcoin by tím zůstal věrný své filozofii, ale dormant adresy a bitcoiny na nich by v určitém okamžiku připadly tomu, kdo jako první získá dostatečně výkonný kvantový počítač a použije ho k tomuto účelu.

Moje osobní preference je třetí varianta, a to z poměrně jednoduchého důvodu. Pokud někdo skutečně dokáže postavit takto výkonný kvantový počítač, bude to jedna z historicky nejvýznamnějších technologických událostí. Takový počítač přinese pokrok v medicíně, klimatickém modelování, materiálovém výzkumu a v mnoha dalších oborech a pravděpodobně se bude jednat o pokrok takový, který si nyní ani nedovedeme představit. Pokud mají bitcoiny na dormant adresách sloužit jako motivace, přijde mi to víc než fér.

Závěrem

Pokud jste dočetli až sem a cítíte paniku nebo tlak jednat, mám dobrou zprávu: zatím můžete zůstat v klidu. Nemusíte dělat nic urgentního, kvantová hrozba není záležitostí nejbližší doby. Jestli používáte starý typ adresy, zvažte v příštích letech migraci na moderní formát. U hardwarových peněženek, jako je například český Trezor, se nemusíte obávat ani opakování odhalování veřejného klíče – při správném používání se zbytek vstupu po odeslání transakce vrací na novou adresu.

Všichni teď můžeme sledovat vývoj BIPů a doufat, že vývojáři a těžaři budou postupovat koordinovaně a nebudou opakovat mnohaleté drama známé ze SegWitu. Kvantová hrozba je reálná, ale není akutní. Google znovu otevřel důležitou debatu a přiblížil termín očekávané hrozby, ale zároveň nepředstavil nějaký funkční stroj, kvůli kterému by měl Bitcoin skončit.

Co číst dále: