Проект BIP 360 для биткойна вводит P2MR в целях обеспечения квантовой устойчивости

P2MR может стать первым консервативным шагом на пути к квантово-устойчивому биткойну

Предложение по улучшению биткойна (BIP) 360, которое все еще находится на рассмотрении и еще не вступило в силу, предлагает P2MR в качестве квантово-устойчивой альтернативы Pay-to-Taproot (P2TR) путем прямого привязывания к корню Меркла дерева Tapscript без включения открытого ключа для траты ключевого пути. На практике он ведет себя как выход Taproot, который всегда использует только путь скрипта.

Это различие имеет значение, потому что трата ключевого пути Taproot раскрывает открытый ключ. В рамках современной криптографии вывод закрытого ключа из открытого ключа является вычислительно невозможным. Но достаточно мощные квантовые компьютеры, работающие по алгоритму Шора, теоретически могут обратить вспять криптографию на основе эллиптических кривых. P2MR просто удаляет этот раскрытый ключ из уравнения.

Важно, что P2MR не вводит новые схемы подписи или операционные коды. Он сохраняет полную функциональность Tapscript (BIP 342) и деревья скриптов в стиле Merkleized Abstract Syntax Tree (MAST), включая версии листьев, блоки управления и данные приложения — за исключением внутреннего открытого ключа. Кошельки могут повторно использовать большую часть своего существующего кода Taproot.

Выходы остаются 32-байтовыми хэшами, помеченными как «TapBranch», что обеспечивает 128-битную устойчивость к коллизиям, сопоставимую с P2WSH. Разработчики описывают это как консервативный первый шаг к квантовой устойчивости, а не как радикальную переработку криптографии.

Предложение уже несколько раз переписывалось и переименовывалось. Первоначально разработанный в 2024 году как P2QRH («Pay to Quantum Resistant Hash»), он стал P2TSH («Pay-to-Tapscript-Hash») в конце 2025 года, а затем был переименован в P2MR («Pay-to-Merkle-Root») после того, как сообщество высказало мнение, что название должно более точно отражать то, к чему обязывается выход.

На данный момент BIP 360 остается черновым запросом на слияние и не был слиян или запланирован к активации. Обсуждение продолжается в списке рассылки разработчиков биткойна и на форумах сообщества.

Почему существуют опасения по поводу квантовых вычислений

Основная уязвимость биткойна в отношении квантовых вычислений заключается в схемах подписи, а не в хешировании. Адреса, которые раскрывают открытые ключи в цепочке, наиболее уязвимы, поскольку алгоритм Шора теоретически может вычислить закрытые ключи из этих открытых ключей.

Устаревшие адреса Pay-to-Public-Key (P2PK) встраивают открытые ключи непосредственно в скрипт блокировки и содержат примерно 1,7 миллиона BTC, что делает их основными долгосрочными целями. Повторно используемые адреса Pay-to-Public-Key-Hash (P2PKH) становятся уязвимыми, как только расходование раскрывает открытый ключ. Расходование ключевого пути Taproot также раскрывает измененный открытый ключ.

Оценки риска для биткойнов широко варьируются. Некоторые аналитики предполагают, что от 20% до 50% предложения может быть подвержено риску в соответствии с определенными определениями, в то время как другие утверждают, что только небольшая часть может вызвать значительные рыночные потрясения. Сроки появления квантовых компьютеров, имеющих значение для криптографии, обычно прогнозируются на годы или десятилетия вперед, но неопределенность подпитывает дискуссии.

P2MR не решает проблему риска краткосрочной уязвимости во время окна mempool и не вводит постквантовые подписи. Вместо этого он решает проблему, которую разработчики называют угрозой «длительной уязвимости» — монеты, которые годами находятся в открытом доступе с публично видимыми ключами.

Фактически, P2MR позволяет пользователям — особенно долгосрочным держателям или участникам протоколов Lightning, BitVM или Ark — переносить средства в выходы, которые устраняют наиболее очевидную уязвимость ECC, сохраняя при этом преимущества скриптов Taproot. Это эволюционный, а не революционный подход.

Для сети, которая предпочитает постепенные мягкие форки радикальным переработкам, такой тон является преднамеренным. Квантовые угрозы могут быть далекими, но BIP 360 сигнализирует, что разработчики, по крайней мере, проверяют выходы — спокойно, методично и с криптографическими домашними заданиями на руках.

Часто задаваемые вопросы ❓

• Что такое P2MR в BIP 360 Bitcoin?
  P2MR (Pay-to-Merkle-Root) — это предлагаемый тип выхода, который устраняет трату ключевого пути Taproot, сохраняя при этом полную функциональность Tapscript.
• Почему некоторые адреса биткойнов уязвимы для квантовых атак?
  Адреса, которые раскрывают открытые ключи в цепочке, теоретически могут позволить квантовому компьютеру, использующему алгоритм Шора, вывести закрытые ключи.
• Вводит ли BIP 360 постквантовые подписи?
  Нет, это консервативный шаг, который не добавляет новых схем подписей или операционных кодов.
• Активен ли BIP 360 в Bitcoin сегодня?
  Нет, он остается черновым запросом на извлечение, который находится на стадии активного рассмотрения, без сроков активации.