La bozza BIP 360 di Bitcoin introduce il P2MR nella spinta verso la resistenza quantistica

Il P2MR potrebbe rappresentare un primo passo conservativo verso un Bitcoin resistente al quantum

La Bitcoin Improvement Proposal (BIP) 360, ancora in fase di revisione e non ancora attivata, propone P2MR come alternativa resistente al quantum a Pay-to-Taproot (P2TR), impegnandosi direttamente nella radice Merkle di un albero Tapscript senza includere una chiave pubblica per la spesa del percorso chiave. In termini pratici, si comporta come un output Taproot che utilizza solo il percorso dello script.

Questa distinzione è importante perché la spesa del percorso chiave di Taproot espone una chiave pubblica. Con l'attuale crittografia, derivare una chiave privata da una chiave pubblica è computazionalmente impossibile. Ma computer quantistici sufficientemente potenti che eseguono l'algoritmo di Shor potrebbero, in teoria, invertire la crittografia a curva ellittica. P2MR rimuove semplicemente quella chiave esposta dall'equazione.

È importante sottolineare che P2MR non introduce nuovi schemi di firma o codici operativi. Preserva la piena funzionalità di Tapscript (BIP 342) e gli alberi di script in stile Merkleized Abstract Syntax Tree (MAST), comprese le versioni foglia, i blocchi di controllo e i dati allegati, meno la chiave pubblica interna. I portafogli possono riutilizzare gran parte del loro codice Taproot esistente.

Gli output rimangono hash a 32 byte, contrassegnati come "TapBranch", che offrono una resistenza alle collisioni a 128 bit paragonabile a P2WSH. Gli sviluppatori lo descrivono come un primo passo conservativo verso la resistenza quantistica piuttosto che una revisione crittografica radicale.

La proposta è già stata sottoposta a diverse riscritture e rinominazioni. Redatta originariamente nel 2024 come P2QRH ("Pay to Quantum Resistant Hash"), è diventata P2TSH ("Pay-to-Tapscript-Hash") alla fine del 2025, prima di stabilirsi su P2MR ("Pay-to-Merkle-Root") dopo il feedback della comunità secondo cui il nome dovrebbe riflettere più accuratamente ciò a cui si impegna l'output.

Per ora, il BIP 360 rimane una bozza di pull request e non è stato ancora integrato né è prevista la sua attivazione. La discussione continua nella mailing list degli sviluppatori di bitcoin e nei forum della comunità.

Perché esistono preoccupazioni relative alla crittografia quantistica

La principale vulnerabilità quantistica di Bitcoin risiede negli schemi di firma, non nell'hashing. Gli indirizzi che espongono le chiavi pubbliche sulla catena sono i più suscettibili perché l'algoritmo di Shor potrebbe teoricamente calcolare le chiavi private da quelle pubbliche.

Gli indirizzi Pay-to-Public-Key (P2PK) legacy incorporano le chiavi pubbliche direttamente nello script di blocco e contengono circa 1,7 milioni di BTC, rendendoli obiettivi primari a lungo termine. Gli indirizzi Pay-to-Public-Key-Hash (P2PKH) riutilizzati diventano vulnerabili una volta che una spesa rivela la chiave pubblica. Anche la spesa del percorso chiave di Taproot rivela una chiave pubblica modificata.

Le stime dei bitcoin a rischio variano notevolmente. Alcune analisi suggeriscono che dal 20% al 50% dell'offerta potrebbe essere esposto in base a determinate definizioni, mentre altre sostengono che solo una piccola parte potrebbe causare un significativo sconvolgimento del mercato. La tempistica per i computer quantistici rilevanti dal punto di vista crittografico è generalmente prevista tra anni o decenni, ma l'incertezza alimenta il dibattito.

P2MR non risolve il rischio di esposizione breve durante una finestra mempool e non introduce firme post-quantistiche. Affronta invece quella che gli sviluppatori chiamano la minaccia di "esposizione lunga": monete che rimangono per anni con chiavi visibili pubblicamente.

In effetti, P2MR consente agli utenti, in particolare ai detentori a lungo termine o ai partecipanti a protocolli Lightning, BitVM o Ark, di migrare i fondi in output che eliminano l'esposizione ECC più evidente, preservando i vantaggi di scripting di Taproot. Si tratta di un'evoluzione, non di una rivoluzione.

Per una rete che preferisce soft fork incrementali a riprogettazioni radicali, questo tono è deliberato. Gli allarmi quantistici possono essere lontani, ma il BIP 360 segnala che gli sviluppatori stanno almeno controllando le uscite, con calma, metodicamente e con i loro compiti crittografici a portata di mano.

FAQ ❓

• Che cos'è il P2MR nel BIP 360 di Bitcoin? Il P2MR (Pay-to-Merkle-Root) è un tipo di output proposto che rimuove la spesa del percorso chiave di Taproot, preservando al contempo la piena funzionalità di Tapscript.
• Perché alcuni indirizzi bitcoin sono vulnerabili agli attacchi quantistici? Gli indirizzi che espongono le chiavi pubbliche sulla catena potrebbero, in teoria, consentire a un computer quantistico che utilizza l'algoritmo di Shor di ricavare le chiavi private.
• Il BIP 360 introduce firme post-quantistiche? No, si tratta di un passo conservativo che non aggiunge nuovi schemi di firma o codici operativi.
• Il BIP 360 è attivo oggi su Bitcoin? No, rimane una bozza di pull request in fase di revisione attiva senza una tempistica di attivazione.