Není třeba měnit konsensus: CPO společnosti Starkware vytváří kvantově bezpečné bitcoinové transakce na základě stávajících pravidel

Hlavní body:

• CPO společnosti Starkware Avihu Levy zveřejnil 9. dubna 2026 QSB, což umožňuje kvantově bezpečné bitcoinové transakce bez jakýchkoli změn protokolu.
• Levyho schéma stojí 75 až 150 dolarů na výpočetní výkon GPU na transakci a dosahuje odolnosti proti kvantovým útokům přibližně na úrovni 118 bitů.
• QSB je první známý systém, který zabezpečuje živé bitcoinové transakce proti Shorovu algoritmu pouze s využitím stávajících starších pravidel skriptu bitcoinu.

Jak vedoucí pracovník společnosti Starkware zabudoval kvantovou odolnost do bitcoinu, aniž by zasáhl do protokolu

Avihu Levy, produktový ředitel společnosti Starkware a spoluautor BIP-360, zveřejnil 9. dubna 2026 kompletní výzkumnou práci a open-source implementaci. Schéma se nazývá Quantum Safe Bitcoin, neboli QSB. Nevyžaduje žádný softfork, žádnou koordinaci komunity ani žádné nové opkódy. Funguje zcela v rámci stávajících omezení skriptu bitcoinu, která zahrnují 201 opkódů a 10 000 bajtů.

Hrozba, na kterou QSB reaguje, je specifická. Primární schéma podpisu bitcoinu, ECDSA nad eliptickou křivkou secp256k1, je plně prolomitelné Shorovým algoritmem na dostatečně výkonném kvantovém počítači. Útočník s touto schopností by mohl obnovit soukromé klíče z jakéhokoli odhaleného veřejného klíče, padělat podpisy a přesměrovat prostředky. Výstupy P2PK, starší adresy a cesty Taproot keyspend jsou všechny ohroženy v okamžiku, kdy se veřejný klíč objeví v řetězci.

Levyho schéma tuto závislost na úrovni transakcí odstraňuje. Místo spoléhání se na odolnost eliptické křivky staví QSB bezpečnost na odolnosti proti pre-image RIPEMD-160, což je hashová funkce, kterou kvantové počítače mohou napadnout pouze Groverovým algoritmem, který poskytuje kvadratické zrychlení namísto úplného prolomení. 160bitový hash si zachovává zhruba 80 bitů odolnosti proti pre-image vůči kvantovému útočníkovi, což ponechává pohodlnou rezervu.

Tato konstrukce modifikuje dřívější schéma zvané Binohash, vyvinuté Robinem Linusem, a opravuje dva problémy, které činily Binohash nezabezpečeným proti kvantovému útoku. Prvním z nich byla hádanka typu proof-of-work (PoW) o velikosti podpisu, která závisela na nalezení malých hodnot r eliptické křivky, což Shorův algoritmus snadno prolomí. Druhým byl nevyřešený problém se zranitelností sighash flag, který by útočníkovi mohl umožnit znovu použít platný podpis hádanky v různých transakcích.

Nahrazení hádanky o velikosti podpisu

QSB nahrazuje hádanku velikosti podpisu tím, co Levy nazývá hádankou typu „hash-to-sig“. Plátce iteruje přes parametry transakce, dokud hash RIPEMD-160 veřejného klíče odvozeného z transakce nevytvoří platný podpis ECDSA kódovaný v DER. K této události dochází s pravděpodobností přibližně 1 ku 70 bilionům. Protože hádanka používá pevně zakódovaný příznak SIGHASH_ALL, je jako vedlejší efekt odstraněna zranitelnost sighash.

Plátce poté spustí dvě kola digestu pomocí struktury podpisu Lamport ve stylu HORS a vybere podskupiny fiktivních podpisů, které mění sighash transakce prostřednictvím staršího mechanismu skriptu zvaného FindAndDelete. Každá podskupina vyprodukuje jiný výstup hash. Podskupina, která vyprodukuje platný podpis kódovaný v DER, se stane digestem pro dané kolo. Odhalení odpovídajících pre-image ve svědkovi dokončí kvantově bezpečné utracení.

Doporučená konfigurace, kterou Levy nazývá Config A, se vejde do limitu 201 opcode a dosahuje přibližně 118bitové odolnosti proti pre-image a 78bitové odolnosti proti kolizím. Kvantový útočník, který proti této konfiguraci spustí Groverův algoritmus, čelí při druhém útoku typu pre-image práci v rozsahu přibližně 2 na 69. mocninu. Shorův algoritmus neposkytuje vůbec žádnou výhodu, protože již neexistují žádné předpoklady o eliptických křivkách, které by bylo možné prolomit.

Výpočet mimo řetězec stojí při aktuálních spotových cenách mezi 75 a 150 dolary za čas cloudového GPU na transakci. Práce je neuvěřitelně paralelní a v raných testech byla dokončena během několika hodin na více GPU. GPU farma zpracovává pouze veřejné výpočty, včetně obnovy klíčů a hashování. Soukromé pre-images HORS nikdy neopouštějí zabezpečené zařízení plátce.

Existují reálná omezení. Transakce QSB jsou konsensuálně platné, ale nestandardní, překračují výchozí zásady přenosu. Vyžadují přímé odeslání do těžebního poolu, který přijímá nestandardní transakce, například prostřednictvím služby Slipstream od Marathonu. Schéma zatím nezahrnuje kanály Lightning Network. Plné sestavení a vysílání v řetězci v open-source implementaci stále čeká na dokončení. Levy popisuje tento systém jako opatření poslední instance, nikoli jako obecné nahrazení standardního použití bitcoinu.
Spoluzakladatel Starkware Eli Ben-Sasson veřejně podpořil tuto práci a uvedl, že bitcoin může být okamžitě kvantově bezpečný. Řekl:

„TO JE OBROVSKÉ. Bitcoin je kvantově bezpečný DNES. I kdyby se objevil kvantový počítač, který by prolomil konvenční bitcoinové podpisy, ukazuje to praktický způsob, jak vytvořit bezpečné bitcoinové transakce. BEZ ZMĚNY PROTOKOLU BITCOINU!“

Levy sdílel dokument a repozitář na X a poděkoval Robinovi Linusovi za základní práci na Binohash a za klíčovou opravu, která formovala konečný kompromis mezi náklady a bezpečností. Komunita byla s bílou knihou velmi spokojena, protože byla široce sdílena na sociálních médiích. Eric Wall z Taproot Wizard napsal na X:

„Starkware má některé z nejlepších hackerů na planetě. Je krásné vidět, když hackeři používají své schopnosti pro dobrou věc.“

Celý dokument, kód CUDA akcelerovaný GPU, pipeline v Pythonu a kompletní skripty pro Bitcoin jsou k dispozici v repozitáři GitHubu Levyho. Tato zpráva navazuje na nedávný prototyp určený k zabezpečení bitcoinových peněženek před kvantovým rizikem. Tento konkrétní prototyp vytvořil technický ředitel Lightning Labs Olaoluwa Osuntokun.

Co to znamená pro běžné držitele bitcoinů

Pro běžné držitele bitcoinů (BTC) je praktický závěr jasný. V současné době neexistuje žádný kvantový počítač schopný prolomit kryptografii bitcoinu a většina výzkumníků odhaduje, že k této hrozbě dojde nejdříve za tři až deset let. Čas však začíná běžet v momentě, kdy se veřejný klíč objeví v blockchainu, k čemuž dochází pokaždé, když uživatel provede výdaj z určité adresy.

Bitcoiny uložené v peněžence, ze které nikdy neproběhla odchozí transakce, jsou méně ohroženy. Jiná situace je u bitcoinů uložených na znovu použité nebo již použité adrese. Až kvantové výpočty dosáhnou určitého prahu, stanou se tyto exponované veřejné klíče terčem útoku. Přesunout prostředky předtím, než se toto okno uzavře, je důležitější než je přesunout až poté.

QSB zatím není součástí žádné peněženky pro spotřebitele. Uživatelé dnes nemohou otevřít standardní peněženku a přepnout na kvantově bezpečné nastavení. Levy poskytl kryptografický důkaz, že tato cesta existuje, postavený na pravidlech již obsažených v bitcoinu, jehož výpočetní výkon na GPU stojí zhruba tolik jako letenka.

Zbývá už jen technická realizace, přijetí a čas. Pro držitele BTC je postup jednoduchý: sledujte, zda váš poskytovatel peněženky podporuje postkvantovou bezpečnost, vyhýbejte se opakovanému použití adres a přesuňte prostředky na kvantově bezpečnou adresu, jakmile bude tato možnost k dispozici v běžném softwaru. Nástroje na ochranu bitcoinů se právě vyvíjejí.