Основные моменты:
- CPO Starkware Авиху Леви опубликовал QSB 9 апреля 2026 года, обеспечивая квантово-безопасные транзакции Биктоин без изменения протокола.
- Схема Леви стоит от 75$ до 150$ на GPU-вычисления на транзакцию и обеспечивает примерно 118-битную устойчивость к прообразу против квантовой атаки.
- QSB является первой известной схемой для защиты живых транзакций Биктоин от алгоритма Шора, используя только существующие устаревшие правила Script Биктоин.
Как руководитель Starkware встроил квантовую устойчивость в Биктоин без изменения протокола
Авиху Леви, главный специалист по продуктам в Starkware и соавтор BIP-360, выпустил полную исследовательскую работу и реализацию с открытым исходным кодом 9 апреля 2026 года. Схема называется Quantum Safe Bitcoin или QSB. Она не требует софтфорка, координации сообщества и новых операционных кодов. Она работает полностью в рамках существующих ограничений устаревшего Script Биктоин из 201 операционного кода и 10 000 байт.
Угроза, которую решает QSB, специфична. Основная схема подписи Биктоин, ECDSA на эллиптической кривой secp256k1, полностью взламывается алгоритмом Шора на достаточно мощном квантовом компьютере. Атакующий с такой возможностью может восстановить приватные ключи из любого открытого публичного ключа, подделать подписи и перенаправить средства. Выходы P2PK, устаревшие адреса и пути расходования ключей Taproot находятся под угрозой в момент появления публичного ключа в блокчейне.
Image source: X.Схема Леви разрывает эту зависимость на уровне транзакции. Вместо того чтобы полагаться на сложность эллиптической кривой, QSB строит безопасность на устойчивости к прообразу RIPEMD-160, хеш-функции, на которую квантовые компьютеры могут атаковать только с помощью алгоритма Гровера, который обеспечивает квадратичное ускорение, а не полный взлом. 160-битный хеш сохраняет примерно 80 бит устойчивости к прообразу против квантового противника, оставляя комфортную маржу.
Конструкция модифицирует более раннюю схему под названием Binohash, разработанную Робином Линусом, и исправляет две проблемы, которые делали Binohash небезопасным против квантовой атаки. Первой была головоломка доказательства работы (PoW) размера подписи, которая зависела от нахождения малых r-значений эллиптической кривой, что алгоритм Шора тривиально взламывает. Второй была нерешенная уязвимость флага sighash, которая могла позволить атакующему повторно использовать действительную подпись головоломки в разных транзакциях.
Замена головоломки размера подписи
QSB заменяет головоломку размера подписи на то, что Леви называет головоломкой хеш-к-подписи. Отправитель перебирает параметры транзакции, пока хеш RIPEMD-160 публичного ключа, полученного из транзакции, не создаст действительную ECDSA подпись в кодировке DER. Это событие происходит с вероятностью примерно 1 к 70 триллионам. Поскольку головоломка использует жестко закодированный флаг SIGHASH_ALL, уязвимость sighash устраняется как побочный эффект.
Затем отправитель запускает два раунда дайджеста, используя структуру подписи Lamport в стиле HORS, выбирая подмножества фиктивных подписей, которые изменяют sighash транзакции через устаревший механизм Script, называемый FindAndDelete. Каждое подмножество производит различный хеш-вывод. Подмножество, которое дает действительную подпись в кодировке DER, становится дайджестом для этого раунда. Раскрытие соответствующих прообразов в свидетельстве завершает квантово-безопасный расход.
Рекомендуемая конфигурация, которую Леви называет Config A, вписывается в ограничение 201 операционного кода и достигает приблизительно 118-битной устойчивости к прообразу и 78-битной устойчивости к коллизиям. Квантовый атакующий, запускающий алгоритм Гровера против этой конфигурации, сталкивается примерно с 2 в 69-й степени работы для атаки второго прообраза. Алгоритм Шора не дает никакого преимущества, поскольку не осталось предположений об эллиптической кривой для взлома.
Внецепочечные вычисления стоят от 75$ до 150$ времени облачного GPU на транзакцию по текущим спотовым ценам. Работа легко распараллеливается и завершается за часы на нескольких GPU в ранних тестах. GPU-ферма обрабатывает только публичные вычисления, включая восстановление ключей и хеширование. Приватные прообразы HORS никогда не покидают защищенное устройство отправителя.
Есть реальные ограничения. Транзакции QSB действительны по консенсусу, но нестандартны, превышая политики ретрансляции по умолчанию. Они требуют прямой отправки в майнинговый пул, который принимает нестандартные транзакции, например, через сервис Slipstream от Marathon. Схема еще не охватывает каналы Lightning Network. Полная он-чейн сборка и трансляция все еще ожидаются в реализации с открытым исходным кодом. Леви описывает схему как меру последней инстанции, а не общую замену стандартного использования Биктоин.
Соучредитель Starkware Эли Бен-Сассон публично одобрил работу, заявив, что Биктоин может быть квантово-безопасным немедленно. Он сказал:
Леви поделился работой и репозиторием на X и отметил Робина Линуса за основополагающую работу над Binohash и за ключевое исправление, которое сформировало окончательный компромисс между стоимостью и безопасностью. Сообщество было весьма довольно белой книгой, так как она широко распространялась в социальных сетях. Taproot Wizard Эрик Уолл написал на X:
Полная работа, GPU-ускоренный код CUDA, конвейер Python и полные Scripts Биктоин доступны в репозитории GitHub Леви. Новость следует за недавним прототипом, предназначенным для защиты кошельков Биктоин от квантового риска. Этот конкретный прототип был создан CTO Lightning Labs Олаолува Осунтокуном.
Что это означает для обычных держателей Биктоин
Для обычных держателей Биктоин (BTC) практический вывод прост. Квантовый компьютер, способный взломать криптографию Биктоин, сегодня не существует, и большинство исследователей помещают эту угрозу как минимум через три года-десятилетие. Но отсчет начинается в момент появления публичного ключа в блокчейне, что происходит каждый раз, когда пользователь тратит с адреса.
Биктоин, находящийся в кошельке, который никогда не совершал исходящую транзакцию, несет меньшую угрозу. Биктоин, размещенный на повторно используемом или уже потраченном адресе — другая история. Когда квантовые вычисления достигнут порога, эти открытые публичные ключи станут целями. Перемещение средств до закрытия этого окна важнее, чем перемещение их после.
QSB еще не поставляется внутри какого-либо потребительского кошелька. Пользователи не могут открыть стандартный кошелек сегодня и переключить квантово-безопасную настройку. То, что предоставил Леви, — это криптографическое доказательство того, что путь существует, построенный из правил, уже находящихся внутри Биктоин, стоимостью примерно цены авиабилета в GPU-вычислениях.
Оставшаяся работа — это разработка, принятие и время. Для человека, держащего BTC, действие простое: следите за постквантовой поддержкой от вашего провайдера кошелька, избегайте повторного использования адресов и перемещайте средства на квантово-безопасный адрес, когда эта опция станет доступна в массовом программном обеспечении. Инструменты для защиты этого Биктоин строятся прямо сейчас.
Источник: https://news.bitcoin.com/no-consensus-changes-needed-starkware-cpo-builds-quantum-safe-bitcoin-transactions-from-existing-rules/
