Czy komputery kwantowe są zagrożeniem dla kryptowalut?

Dynamiczny rozwój AI udowodnił, że przełomy technologiczne mogą szybko stać się codziennością. Komputery kwantowe, choć nadal na początkowym etapie rozwoju, budzą coraz większe zainteresowanie wśród wielu ludzi. Są pośród nich oczywiście inwestorzy kryptowalutowi, którzy zadają sobie tytułowe pytanie “Czy komputery kwantowe są zagrożeniem dla kryptowalut?” Czy w pełni wydajny komputer kwantowy do upadku Bitcoina i innych projektów?

Czy koniec kryptowalut jest bliski?

W mediach co jakiś czas pojawiają się apokaliptyczne nagłówki: “Nadciąga kwantowa zagłada bitcoina!”, “Inwestorzy powinni bać się komputerów kwantowych” itp. Sam BlackRock – największy na świecie zarządca aktywów – w prospekcie swojego funduszu ETF opartego na bitcoinie ostrzegł, że postęp w obliczeniach kwantowych może podważyć obecną kryptografię zabezpieczającą kryptowaluty. Brzmi strasznie? Nic dziwnego, że zarówno początkujący, jak i doświadczeni inwestorzy mogą poczuć niepokój.

Ale czy to realne zagrożenie tu i teraz, czy raczej odległy scenariusz rodem z filmu sci-fi? Spróbujmy na spokojnie, ludzkim językiem, wyjaśnić, o co chodzi w tym całym „zagrożeniu kwantowym” dla bitcoina i spółki. Pokażemy, jak działają komputery kwantowe, czemu kryptowaluty w ogóle miałyby się ich bać, oraz kiedy ewentualnie to nastąpi (jeśli w ogóle). Będzie trochę technologii, trochę przewidywań na 5–10 lat wprzód, a na koniec konkretne porady dla inwestorów.

Czym są komputery kwantowe?

Zacznijmy od podstaw: co to właściwie jest komputer kwantowy i czym różni się od zwykłego? Klasyczny komputer, którego właśnie używasz, operuje na bitach – każda informacja jest reprezentowana jako 0 albo 1. Natomiast komputer kwantowy używa kubitów, czyli bitów kwantowych. Kubit może być 0, 1… a w zasadzie 0 i 1 jednocześnie dzięki dziwnemu zjawisku mechaniki kwantowej zwanemu superpozycją. Brzmi dziwnie? Wyobraź sobie monetę – klasyczny bit to moneta leżąca albo reszką, albo orłem do góry. Kubit to moneta wirująca na krawędzi – w trakcie wirowania jest „trochę orłem, trochę reszką” jednocześnie. Dopiero gdy ją „zatrzymamy” (zmierzymy), wynik wychodzi jako orzeł lub reszka.

Dzięki temu, że kubity mogą przyjmować wiele stanów na raz, komputer kwantowy potrafi wykonywać pewne obliczenia równolegle tam, gdzie klasyczny musi je robić po kolei. Mało tego – istnieje drugie kwantowe “supermoce” zwane splątaniem. Dwa splątane kubity są ze sobą skorelowane w magiczny sposób: zmiana stanu jednego wpływa natychmiast na drugi, nawet gdy są daleko od siebie. W efekcie dodając kubity, moc obliczeniowa kwantowej maszyny rośnie wykładniczo, a nie liniowo jak w zwykłym PC.

Quantum computing, a technologia blockchain

To wszystko nie znaczy, że komputer kwantowy jest szybszy do wszystkiego. Absolutnie nie – Twoja przeglądarka czy gry na kwantowym nie działałyby szybciej (a może wcale). Kwantowe przyspieszenie dotyczy specyficznych zadań matematycznych. Często powtarza się taka analogia: klasyczny komputer to sprinter biegnący po prostej, a kwantowy to wspinacz skracający drogę na skróty przez górę. Do prostych, codziennych obliczeń sprinter jest szybszy i prostszy. Ale do pewnych mega-trudnych problemów (np. łamanie dużych liczb na czynniki pierwsze) wspinacz znajdzie drogę, która dla sprintera jest nieosiągalna.

No dobrze, brzmi to imponująco – ale co to ma wspólnego z kryptowalutami? Tutaj dochodzimy do sedna: kryptowaluty opierają się na pewnych problemach matematycznych (kryptograficznych), które dla klasycznych komputerów są praktycznie nierozwiązywalne. Całe bezpieczeństwo bitcoina, Ethereum i innych coinów bazuje na tym, że pewne działania zajęłyby zwykłym komputerom miliardy lat. A komputery kwantowe… mogą te problemy „oszukać” i rozwiązać znacznie szybciej. Zanim jednak wytłumaczymy jak, przypomnijmy krótko, jak kryptowaluty wykorzystują kryptografię.

Jak kryptowaluty chronią Twoje monety? (Kryptografia w pigułce)

Żeby zrozumieć zagrożenie, musimy wiedzieć, co właściwie mielibyśmy tracić. Otóż kryptowaluty są zabezpieczone kryptografią – to dzięki niej nasze środki są (na razie) bezpieczne. Jeśli jesteś nowy w temacie, nie przerażaj się terminologią. Już tłumaczę:

• Klucz prywatny. to coś w rodzaju supertajnego hasła do Twojego portfela. Tylko posiadacz klucza prywatnego może wydać dane bitcoiny (podpisać transakcję).
• Klucz publiczny. jak nazwa wskazuje, jest publiczny – każdy może go zobaczyć. Powiązany matematycznie z prywatnym (są jak pasujące do siebie klucz i zamek), ale nie da się odgadnąć prywatnego klucza znając tylko publiczny. To właśnie ta „jednokierunkowa” zagadka matematyczna leży u podstaw bezpieczeństwa. W Bitcoinie klucze te są oparte o tzw. krzywe eliptyczne (algorytm ECDSA).
• Adres. w Bitcoinie adres to w uproszczeniu zahaszowany (skrótowy) zapis klucza publicznego. Bitcoin używa funkcji skrótu (hash) SHA-256 m.in. do generowania adresów. Dzięki temu nawet jeśli Twój klucz publiczny jest znany, to na adresie widać tylko jego zakodowaną postać (taki dodatkowy bufor bezpieczeństwa i prywatności).
• Podpis cyfrowy. to jak podpis na czeku, tylko że w świecie cyfrowym. Gdy chcesz wydać swoje coiny, Twój portfel tworzy podpis przy użyciu klucza prywatnego, a sieć weryfikuje go przy użyciu klucza publicznego. Jeśli podpis pasuje do klucza publicznego (i do transakcji), znaczy, że miałeś prawo wydać te środki. I tu znowu – cała siła tkwi w tym, że podrobić podpis bez klucza prywatnego się nie da, bo wymagałoby to odgadnięcia klucza prywatnego z publicznego (praktycznie niewykonalne na klasycznym komputerze).
• Funkcja hashująca (skrót). to taki cyfrowy odcisk palca danych. Weźmy SHA-256 – niezależnie co wrzucisz (czy to „Ala ma kota” czy całe dzieła Szekspira), dostaniesz 256-bitowy ciąg na wyjściu. Nawet minimalna zmiana wejścia zmienia hash kompletnie. W bitcoinie hash zabezpiecza bloki transakcji (tzw. proof-of-work to nic innego jak szukanie liczb, by hash bloku spełniał określony warunek) oraz ukrywa wspomniane adresy. Istotna cecha: nie da się odwrócić funkcji hash – mając wynik, nie odtworzysz oryginału. Możesz co najwyżej próbować zgadywać różne wejścia aż trafisz takie, które da znany hash.

Uff! Jeśli dotrwałeś, to wiesz, że główne filary bezpieczeństwa kryptowalut to: kryptografia klucza publicznego (np. ECDSA w Bitcoinie) oraz funkcje skrótu (np. SHA-256). Klasyczne komputery nie dają rady złamać tych zabezpieczeń: odgadnięcie klucza prywatnego metodą brute-force (prób i błędów) graniczy z cudem (w praktyce niemożliwe, bo to 2^128 prób dla 256-bitowego klucza – więcej kombinacji niż atomów we Wszechświecie!). Podobnie znalezienie kolizji SHA-256 (dwie różne dane dające ten sam hash) wymaga trylionów lat obliczeń.

I tu na scenę wchodzi komputer kwantowy, całkiem psując ten piękny obrazek bezpieczeństwa… Dlaczego?

Dlaczego obliczenia kwantowe mogą złamać obecną kryptografię?

Mówiąc wprost: komputery kwantowe potrafią rozwiązać niektóre zadania kryptograficzne niewyobrażalnie szybciej niż klasyczne. To, co zwykłemu PC zajęłoby miliardy lat, kwantowy – mając odpowiednią skalę – mógłby policzyć w dni, godziny czy nawet sekundy. Jak to możliwe? Kluczem są dwa specjalne algorytmy kwantowe, o których często się mówi w kontekście kryptowalut:

Algorytm Shora – prywatny klucz na tacy?

W 1994 r. matematyk Peter Shor opracował algorytm kwantowy, który łamie zabezpieczenia asymetrycznych algorytmów kryptograficznych. Nie wchodząc w matematyczne zawiłości: algorytm Shora potrafi bardzo efektywnie rozkładać liczby na czynniki pierwsze oraz rozwiązywać problem logarytmu dyskretnego. Brzmi technicznie, ale kontekst jest prosty: większość kryptografii klucza publicznego, w tym RSA i ECDSA (tego używa Bitcoin), opiera się właśnie na takich problemach (faktoryzacja dużych liczb, logarytm dyskretny na krzywych eliptycznych). Ich trudność to fundament bezpieczeństwa – klasyczny komputer nie ma praktycznie szans ich szybko rozwiązać. Algorytm Shora ten fundament burzy, bo rozwiązuje je w czasie wielomianowym (dużo szybciej niż jakakolwiek klasyczna metoda).

Co by to oznaczało w praktyce? Ano tyle, że dysponując wystarczająco potężnym komputerem kwantowym, ktoś mógłby wyliczyć Twój klucz prywatny na podstawie klucza publicznego. A mając Twój klucz prywatny – cóż, może podpisać dowolną transakcję z Twojego adresu. Innymi słowy, ukraść Ci środki, podszywając się pod Ciebie kryptograficznie. Cały system podpisów cyfrowych w kryptowalutach runąłby, bo nie byłoby już gwarancji, że „podpis” należy do prawowitego właściciela – kwantowy haker mógłby go podrobić.

Co stanowi zagrożenie?

To właśnie to jest najpoważniejszy scenariusz zagrożenia: złamane zostają algorytmy podpisu, czyli tracimy pewność co do własności coinów. Wystarczyłoby, że Twój klucz publiczny jest gdzieś dostępny (np. użyłeś adresu publicznie, wysłałeś z niego kiedykolwiek transakcję), a taki atakujący mógłby natychmiast wyprowadzić Twoje środki do siebie. Wiele osób pyta: czyli co, Bitcoin może zniknąć w sekundę? Trochę pocieszę: Bitcoin ma pewną wbudowaną ochronę – standardowe adresy to skróty klucza publicznego (P2PKH), więc dopóki nie wydasz środków z adresu, Twój klucz publiczny nie jest w sieci ujawniony. Niemniej jednak ogromna część bitcoinów była już gdzieś wysyłana, a więc klucze publiczne są znane (choćby z historii transakcji). Szacunki mówią, że nawet ~25–37% istniejących BTC jest w takiej „odsłoniętej” formie – one stałyby się pierwszym celem ataku.

Podsumowując Shora: to „kwantowy łamacz szyfrów”, który w teorii połknąłby cały obecny system kryptografii asymetrycznej na śniadanie. Złamałby RSA, ECDSA, Diffie-Hellmana, wszystko – nie tylko w kryptowalutach, ale i w bankowości, komunikacji (szyfrowane maile, https) itd.

Czy to znaczy, że pewnego dnia obudzimy się i ktoś opróżni wszystkie portfele?
Spokojnie! Żeby to zrobić, potrzeba niewiarygodnie potężnego komputera kwantowego. Za moment powiemy sobie, jak potężnego – ale najpierw dokończmy drugi algorytm.

Algorytm Grovera – czy „przepołowi” bezpieczeństwo hashy?

Drugie nazwisko do zapamiętania to Lov Grover, który w 1996 r. wymyślił algorytm kwantowy przyspieszający przeszukiwanie nieustrukturyzowanych danych. W praktyce oznacza to szybsze brute-force – czyli zgadywanie wszystkich możliwych rozwiązań. Dla nas ważne jest to, że Grover potrafi zmniejszyć o pierwiastek kwadratowy liczbę operacji potrzebnych do sprawdzenia wszystkich kombinacji.

Brzmi zawile, ale przykład rozwiewa wątpliwości: załóżmy, że mamy 256-bitowy klucz (jak w SHA-256). Klasyczny atak brute-force wymaga sprawdzenia 2^256 możliwości – absolutnie poza zasięgiem. Komputer kwantowy z Groverem zredukowałby to do 2^128 kombinacji. To nadal kosmiczna liczba (około 3,4×10^38), więc sam Grover nie łamie nam od razu SHA-256. Daje jednak quadratic speedup, czyli upraszczając: pojawienie się Grovera oznacza, że bezpieczeństwo algorytmów symetrycznych (hashy, szyfrów blokowych) spada o połowę. 256-bitowa siła staje się 128-bitową, 128-bitowa spada do 64-bit itd.

W kontekście kryptowalut Grover mógłby dać przewagę górnikowi z komputerem kwantowym – w teorii taki miner potrzebowałby √N prób tam, gdzie zwykły potrzebuje N. Wydobycie bitcoina mogłoby stać się nierównym wyścigiem, jeśli jeden podmiot miałby tę technologię. Na szczęście praktyczne wykorzystanie Grovera do kopania to osobny, trudny temat – wymagałoby kwantowej maszyny zdolnej do wykonywania miliardów operacji haszujących na sekundę. Obecnie to science-fiction. Zresztą, jeśli kwanty zrobią się aż tak potężne, sieć Bitcoin prawdopodobnie i tak już będzie wtedy zmigrowana na inne algorytmy. (Na marginesie: Grover mógłby też przyspieszyć szukanie kolizji hashy – np. zmniejszyć złożoność ataku na SHA-256 z 2^128 do 2^64 operacji – ale znów, 2^64 to wciąż 18 kwintylionów prób!).

Reasumując: algorytm Grovera to mniejsze zmartwienie niż Shor dla kryptowalut. Owszem, osłabia on funkcje hashujące i szyfrowanie symetryczne (AES, SHA itd.), ale nie łamie ich zupełnie. Można kontratakować np. wydłużając klucze (AES-256 „zrobi się” jak AES-128 wobec kwantów, więc by wrócić do ultra-bezpieczeństwa, można przejść na AES-512). Dla Bitcoinowego proof-of-work nawet atak Groverem raczej nie rozwali sieci, najwyżej dałby przewagę garstce górników (co da się zneutralizować przez zmiany w protokole). Prawdziwy problem to Shor – on uderza w nasze podpisy i klucze, czyli serce własności krypto.

Zapamiętajmy zatem: komputer kwantowy kiedyś może odgadnąć Twój klucz prywatny z publicznego jakimś sprytnym algorytmem typu Shora. Wow! To już wiemy. Ale… czy w ogóle istnieje taki komputer? Jak wygląda stan tej technologii dzisiaj? Odetchnijmy na moment od teorii i zobaczmy, gdzie te kwanty są w praktyce.

Stan obecny: ile potrafią dzisiejsze komputery kwantowe?

Nawiasem mówiąc, po tym co przeczytałeś, możesz odnieść wrażenie, że kwantowe maszyny to niemal mistyczne superkomputery. Prawda jest taka, że dzisiejsze komputery kwantowe to wciąż raczkująca technologia – fantastyczna z punktu widzenia nauki, ale niezdolna jeszcze zagrozić Bitcoinowi. Słowa dr. Mariusza Sterzela z AGH trafiają w sedno: “Kolokwialnie mówiąc, budowane obecnie komputery kwantowe to niedoskonałe urządzenia obarczone błędami, formalnie nazywane NISQ (Noisy Intermediate-Scale Quantum)”. Innymi słowy, dzisiejsze maszyny kwantowe są jak prototypy: działają, ale z dużym marginesem błędu, niestabilne, wymagają ultraniskich temperatur i specjalistycznych laboratoriów.

Qubity: liczby, które robią wrażenie

Często w kontekście komputerów kwantowych pada pytanie: ile one mają tych kubitów? W końcu im więcej kubitów, tym większa teoretyczna moc (choć równie ważne jest jakosć tych kubitów – poziom błędu, splątanie itd.). Dla zobrazowania postępu:

• Jeszcze ~10 lat temu osiągnięcie kilkunastu kubitów było wielkim wydarzeniem.
• Dziś „typowy” dostępny komercyjnie komputer kwantowy ma kilkadziesiąt kubitów.
• Najlepsi na świecie chwalą się układami rzędu setek kubitów. Np. Google w 2023 r. zaprezentowało procesor kwantowy o nazwie Willow z 105 kubitami. Z kolei IBM ma chipy około 127 kubitów (Eagle, 2021), 433 kubitów (Osprey, 2022), a nawet zapowiadał ~1121 kubitów w 2023 (Condor). Firma D-Wave oferuje urządzenia z ponad 5000 kubitów, ale tu ważne zastrzeżenie: D-Wave to inna technologia (wyżarzanie kwantowe), specjalizowana do pewnych problemów – nie posłuży do odpalenia algorytmu Shora.

Brzmi imponująco? Owszem, ale wciąż jesteśmy bardzo daleko od skali potrzebnej do łamania kryptografii. Przypomnij sobie – do złamania Bitcoina teoretycznie trzeba by móc uruchomić algorytm Shora na 256-bitowym ECDSA. Jak duży komputer jest do tego potrzebny?

Eksperci szacują, że musielibyśmy dysponować komputerem kwantowym mającym rząd milionów kubitów (fizycznych), a przynajmniej kilku tysięcy kubitów logicznych. (Kubit logiczny to w kontekście kwantowym idealny kubit tworzony z wielu kubitów fizycznych poprzez korekcję błędów – niestety, obecnie żeby uzyskać 1 stabilny kubit logiczny, potrzeba dziesiątek, setek, a może i tysięcy kubitów fizycznych). Konkretnie, do złamania standardowego RSA szacuje się potrzebę ~5000–10000 kubitów logicznych, a do Bitcoina (ECDSA) padają liczby rzędu kilkuset tysięcy stabilnych kubitów fizycznych.

Tymczasem: Google Willow ma 105 kubitów, IBM Osprey 433 kubity – i to są rekordy. Jesteśmy w okolicach 10^2–10^3 kubitów, a potrzebujemy 10^6–10^7! To nie przepaść, to galaktyka różnicy. Co więcej, same kubity to nie wszystko. Trzeba je jeszcze okiełznać: im więcej kubitów, tym więcej błędów, dekoherencji, szumu. Budowanie stabilnych, skorelowanych układów kwantowych to koszmarnie trudne zadanie inżynieryjne. Współczesne komputery kwantowe mają błędy przy tak małej skali, a co dopiero przy tysiącach czy milionach kubitów – to ogromne wyzwanie.

Na zdjęciu procesor kwantowy Google o nazwie Willow (105 kubitów). To jedno z najnowocześniejszych osiągnięć, ale nawet Google przyznaje, że Willow nie stanowi zagrożenia dla współczesnej kryptografii – jest zbyt mały. Nvidia (producent chipów) ocenia, że „bardzo użyteczne” komputery kwantowe pojawią się dopiero za ~20 lat.

Innymi słowy: jeśli pytasz, czy dzisiejszy stan komputerów kwantowych zagraża Bitcoinowi – odpowiedź brzmi: absolutnie nie, jeszcze długo nie. To fascynujące maszyny, ale na razie walczą z podstawowymi problemami, które nie pozwalają im połamać naszych szyfrów. Ba, sami naukowcy często tonują emocje. Gdy w 2019 r. Google pochwaliło się „supremacją kwantową” (pierwszy raz komputer kwantowy rozwiązał pewne zadanie szybciej niż klasyczny), deweloper Bitcoina Peter Todd komentował, że to “prymitywna forma komputerowania kwantowego, bardzo daleka od łamania kryptografii”. Z kolei Adam Back (współtwórca proof-of-work i CEO Blockstream) powiedział, że nie ma mowy, by kwanty zagroziły Bitcoinowi przed 2028 rokiem – tak bardzo, że chętnie by się o to założył z panikarskimi prognostykami.

Postępy? Tak, ale bez paniki

To nie tak, że nic się nie dzieje – wręcz przeciwnie, postęp w dziedzinie kwantowej jest szybki i realny. Jeszcze kilka lat temu kilkadziesiąt kubitów było osiągnięciem, teraz mówimy o setkach. IBM ma ambitną mapę drogową: w 2025 planuje chip “Kookaburra” z ponad 4000 kubitów, a około 2030 roku chce osiągnąć układy z dziesiątkami (a docelowo setkami) tysięcy kubitów. Trzeba jednak zaznaczyć: nawet kilka tysięcy kubitów za 10 lat to wciąż za mało, by łamać Bitcoina. Jeżeli utrzymamy obecne tempo, skale potrzebne do złamania ECDSA mogą stać się realne gdzieś w latach 30. lub 40. XXI wieku – ale to ciągle bardzo niepewne spekulacje. Pamiętajmy, że po drodze naukowcy mogą napotkać ścianę: np. prawa fizyki mogą stawiać przeszkody w skalowaniu. Sam Peter Todd zwracał uwagę, że nie wiemy, czy da się skalować kubity bez wykładniczo rosnących kosztów i problemów – każdy kolejny krok może być coraz trudniejszy.

Wniosek na dziś: komputery kwantowe to obszar intensywnych badań, ale nie są jeszcze narzędziem hakerów do okradania krypto. Mamy czas, by się przygotować, zanim zagrożenie stanie się realne. A ile tego czasu? Tu przechodzimy do kolejnej kwestii.

Kiedy kwanty dogonią kryptografię? (Prognozy na 5–10+ lat)

To pytanie za milion punktów (i może za miliardy dolarów): za ile lat komputer kwantowy będzie zdolny złamać Bitcoina? Odpowiedź… nie jest prosta. Różni eksperci mają różne zdania, a rozwój nauki bywa nieprzewidywalny. Spróbujmy jednak zebrać, co mówią rozsądne prognozy.

Większość poważnych analiz wskazuje, że mamy przed sobą przynajmniej dekadę spokoju. Na przykład europejska grupa ECRYPT II oceniała, że 256-bitowe ECC (takie jak w Bitcoinie) jest bezpieczne przynajmniej do 2030–2040 r.. W świecie cyberbezpieczeństwa często mówi się o “Q-day” (dzień kwantowy) właśnie w perspektywie lat 30. Optymiści straszą, że być może już ok. 2032 ktoś zbuduje maszynę łamiącą bitcoina (taką datę w najczarniejszym scenariuszu podała jedna firma technologiczna). Bardziej konserwatywne głosy mówią o 2040+, a nawet 2050 roku. W literaturze znajdziemy nawet “nie za naszego życia” – czyli sugestie, że być może pełnoskalowe komputery kwantowe nigdy nie staną się rzeczywistością (albo w tak dalekiej przyszłości, że obecne systemy kryptograficzne dawno będą wymienione).

W 2021 pojawiła się głośna praca naukowa sugerująca, że około 2035 roku może istnieć quantum computer zdolny złamać RSA-2048. Dla kontekstu: RSA-2048 ma porównywalny poziom bezpieczeństwa co klucze Bitcoina (ECC 256-bit). Czyli być może około połowy lat 30. zobaczymy przełom. Ale to na razie projekcja, nie pewnik.

Inne autorytety też się wypowiadały: NIST (Narodowy Instytut Standaryzacji i Technologii) w USA, który zajmuje się standaryzacją kryptografii, zalecił migrację na algorytmy postkwantowe do 2035 roku. To nie znaczy, że przewidują „atak” dokładnie w 2035, ale że lepiej być zabezpieczonym najpóźniej wtedy. Firmy technologiczne też planują z wyprzedzeniem: IBM przewiduje na ok. 2033 posiadanie komputerów kwantowych liczących kilka tysięcy kubitów – co, jak wiemy, wciąż będzie zbyt mało, by połamać Bitcoina (potrzeba milionów). Analitycy z firmy Bernstein twierdzą, że zagrożenie dla Bitcoina to raczej “kwestia dekad, nie lat”. CEO Nvidii Jensen Huang mówił niedawno, że praktycznie użyteczne komputery kwantowe to perspektywa ~20 lat od teraz.

Oczywiście, znajdą się też bardziej alarmistyczne opinie. Niektórzy specjaliści od bezpieczeństwa ostrzegają, żeby już teraz działać, nie spać. Słynny teoretyk Scott Aaronson napisał w 2023: “Tak, jednoznacznie – martwcie się tym już teraz. Trzeba mieć plan.”. Ci eksperci argumentują, że nawet jeśli Q-day jest 15 czy 20 lat do przodu, to przygotowanie np. protokołów bankowych czy blockchainów też zajmie lata, więc lepiej zacząć zawczasu. I w sumie ciężko się nie zgodzić – lepiej zapobiegać niż leczyć.

Na szczęście, w przypadku Bitcoina i kryptowalut widać tę czujność. Dyskusje o odporności na kwanty toczą się od dawna – ba, już Satoshi Nakamoto na forum Bitcointalk kilkanaście lat temu rozważał czy SHA-256 oprze się kwantom (wtedy mówiono, że raczej tak, bo Grover to „tylko” √N). Deweloperzy Bitcoina od lat śledzą postępy w dziedzinie PQC (Post-Quantum Cryptography). W 2019 Pieter Wuille (jeden z głównych programistów BTC) uspokajał, że postęp kwantowy będzie stopniowy i widoczny z daleka, dając ekosystemowi czas na reakcję. Rzeczywiście – to nie jest tak, że jutro nagle ktoś ma superkomputer kwantowy w piwnicy. Raczej będziemy widzieć: 1000 kubitów, 10000 kubitów, prototyp 100k kubitów… Będzie czas, by zareagować. O ile oczywiście nie zignorujemy problemu.

Podsumowując ten rozdział: najbliższe 5–10 lat kryptowaluty raczej mogą spać spokojnie. Do 2030 r. nic raczej bitcoina nie złamie – “nie ma mowy”, jak mówi Adam Back. W perspektywie ~2035 r. – możliwe, że zobaczymy już duże, częściowo funkcjonalne komputery kwantowe, ale czy wystarczające do realnego ataku? Większość ekspertów mówi, że nie, choć niektórzy dodają: “no, chyba że jakieś nadzwyczajne przełomy”. Dekady 2040+ – tutaj ostrożni mówią, że być może tak, dlatego też wszelkie standardy (np. w instytucjach rządowych) planuje się wymienić najpóźniej w latach 30. Żeby w 2040 wejść już z nowymi systemami.

A co jeśli staniemy się zbyt pewni siebie i przegapimy moment? Czas na małą storytelling: przeżyjmy myślowo “Q-day”, dzień kwantowej katastrofy, by zrozumieć stawkę.

Q-Day: wyobraź sobie kwantowy atak na Bitcoin

Wyobraź sobie rok powiedzmy 2033. Świat żyje swoim życiem, ceny bitcoina raz w górę, raz w dół – standard. I nagle puf! pojawia się wiadomość jak grom z jasnego nieba: jakaś organizacja (powiedzmy agencja rządowa albo tajemnicza firma z Azji) ogłasza, że ma działający komputer kwantowy zdolny odpalić algorytm Shora na kluczach Bitcoina w czasie rzeczywistym. Nikt się tego teraz nie spodziewał – mówiono, że to jeszcze lata, ale jednak stało się. Co dzieje się dalej?

1. Atak na podpisy ECDSA: Zaczyna się wyścig z czasem. Atakujący wybiera na cel adresy bitcoinowe, których klucze publiczne są już znane (czyli praktycznie wszystkie aktywne adresy, bo większość BTC kiedyś była wydana). Uruchamia algorytm Shora – i w ciągu minut odzyskuje klucze prywatne do tych adresów. Wyobraź sobie: ktoś nagle ma klucze prywatne do tysięcy cudzych portfeli!
2. Kradzież środków: Dysponując kluczami, atakujący czym prędzej wysyła bitcoiny z przejętych adresów na swoje nowe, świeżo wygenerowane adresy kwantowe (tzn. takie, których klucz publiczny nie jest podatny na atak – np. wygenerowane już z nowego algorytmu PQC, jeśli taki posiada, lub chociaż jeszcze nie wydane). Wszystko dzieje się błyskawicznie – zanim ofiary się zorientują, transakcje kradzieży lądują w mempoolu i wchodzą do pierwszych bloków. Być może nawet atakujący uruchamia własnego kwantowego minera, żeby przyspieszyć włączenie transakcji do blockchaina. W końcu – kto ma większą moc niż komputer kwantowy?
3. Chaos na rynku: Kiedy informacja się rozchodzi, zaczyna się panika. Media krzyczą o „upadku kryptowalut”, na Twitterze trenduje #QDay. Część użytkowników patrzy ze zgrozą, jak z ich portfeli znikają środki – wszystkie zostały przelane gdzieś indziej z ważnym podpisem (podpisem skradzionym kwantowo). Cena bitcoina leci na łeb na szyję. Ludzie tracą zaufanie – skoro podpisy cyfrowe już nie chronią własności, cały sens bitcoina staje pod znakiem zapytania. Giełdy kryptowalut w panice zamrażają wypłaty, bo nie wiedzą, co się dzieje – czy to hack giełd, czy protokołu? Pojawiają się głosy: to koniec, system padł.
4. Reakcja społeczności: Ale społeczność kryptowalutowa to twardy zawodnik. Najlepsi deweloperzy bitcoina, Ethereum i innych projektów zwołują globalną naradę kryzysową. Pada szybka decyzja: hard fork! W trybie awaryjnym ustalają, że sieć Bitcoin przejdzie na nowy algorytm podpisu (np. postkwantowy XMSS lub SPHINCS+ – cokolwiek było akurat pod ręką i przetestowane). Tworzy się nowy klient Bitcoin Core i rusza Bitcoin 2.0 (powiedzmy “Bitcoin-Q”), który ignoruje stare, podatne podpisy. Mówią użytkownikom: słuchajcie, przenieście swoje ocalałe coiny na nowe adresy w tym forku zabezpieczone kwantowo.
5. Podział łańcucha: Oczywiście, nie wszyscy od razu się podporządkowują. Część górników/ użytkowników zostaje przy starym łańcuchu (bo np. “nie uznajemy forka, Bitcoin to Bitcoin” – podobnie jak przy rozłamie BTC/BCH). Powstaje więc dwuwładza: stary łańcuch (praktycznie niewiele wart, bo co chwilę atakowany przez kwanty) oraz nowy łańcuch Bitcoin-Q (rozwijany przez większość społeczności). Na nowym łańcuchu unieważniono wszystkie transakcje wykonane podpisami złamanymi kwantowo – czyli kradzieże zostały cofnięte, ale… jeśli ktoś nie zdążył na czas przenieść swoich środków i zostały one skradzione przed forkiem, to niestety już przepadły. Bilans: wielu użytkowników poniosło straty, mnóstwo BTC zmieniło właścicieli w niekontrolowany sposób.
6. Długofalowe skutki: Bitcoin przeżył – ale jest poobijany. Cena początkowo spada do śmiesznie niskich poziomów (setki dolarów). Z czasem jednak nowy, zabezpieczony Bitcoin-Q zyskuje zaufanie i odbudowuje wartość – ludzie widzą, że to dalej ograniczona podaż 21 mln, tylko że z nową kryptografią. Po latach wraca zaufanie, ceny rosną, technologia idzie do przodu. Kryptowaluty przyspieszają masowe wdrażanie post-kwantowych zabezpieczeń na całym świecie – w bankach, rządach, wszędzie. Komputery kwantowe stają się zaś centralnym elementem nowej “zimnej wojny technologicznej” między mocarstwami – bo kto ma lepsze kwanty, ten ma przewagę militarną i ekonomiczną (np. może łamać szyfry przeciwnika).

Brzmi dramatycznie? Tak, ale celowo przeprowadziliśmy ten czarny scenariusz, by unaocznić dwie rzeczy: (1) co dokładnie jest zagrożone (klucze i podpisy, czyli własność coinów) i (2) że nawet w razie “katastrofy” Bitcoin mógłby przetrwać, o ile szybko zareaguje i społeczność zgodzi się na zmiany. To oczywiście hipotetyczna opowieść – jeśli postęp kwantowy będzie stopniowy, to taki Q-Day nie nastąpi nagle. Raczej stopniowo, zawczasu, przejdziemy do kolejnego rozdziału: jak się zabezpieczyć przed kwantami.

(Między nami mówiąc: chyba wolałbyś nie doświadczyć takiego stresu, prawda? Ja też! Dlatego liczymy, że przygotowania pójdą sprawnie i żadnego „nagłego ataku” nie będzie.)

Kryptografia post-kwantowa – antidotum na kwanty

Skoro wiemy już, że obecne algorytmy (RSA, ECDSA, itp.) są skazane na porażkę wobec dość odległych, ale potężnych komputerów kwantowych, to nasuwa się pytanie: czy można to jakoś naprawić? Czy da się wymyślić nowe algorytmy kryptograficzne, których nawet kwantowa moc nie złamie?

Dobra wiadomość: tak, da się! 🎉 To właśnie dziedzina zwana kryptografią post-kwantową (PQC). Przez ostatnie kilkanaście lat najtęższe umysły kryptografii projektowały algorytmy, które mają być odporne na algorytmy Shora i Grovera. Jak to możliwe? Po prostu opieramy szyfry na innych problemach matematycznych, takich, do których (wedle obecnej wiedzy) komputery kwantowe nie dają znaczącej przewagi.

Przykładowe podejścia w kryptografii PQC to m.in.: kryptografia oparta na kratownicach (tutaj problemem trudnym jest coś w rodzaju znajdowania najkrótszych wektorów w n-wymiarowej kracie – kwanty nie znają tu łatwego algorytmu), podpisy hashowe (gdzie bezpieczeństwo opiera się na funkcjach skrótu, jak np. w rodzinie algorytmów XMSS, SPHINCS+), kryptografia oparta na kodach korekcyjnych (np. McEliece) czy na multilinowych układach równań (wielomiany). Nie musimy wnikać w szczegóły – ważne, że istnieją alternatywy.

Na początku 2022 roku NIST po wieloletnim konkursie wyłonił pierwsze standardy algorytmów postkwantowych – m.in. CRYSTALS-Kyber (szyfrowanie) oraz CRYSTALS-Dilithium (podpis cyfrowy). Do 2024 r. standaryzowane są kolejne algorytmy. Plan jest taki, żeby do ~2030–2035 roku sektor publiczny i prywatny stopniowo migrował do nowych standardów. Żeby, zanim kwanty dojrzeją, nasze dane i pieniądze były już chronione nowymi metodami.

A co z kryptowalutami? Tutaj sytuacja jest o tyle prostsza, że projekty blockchainowe mają kontrolę nad swoim kodem. Bitcoin, Ethereum i inne mogą zaktualizować protokoły i zastąpić algorytmy kryptograficzne nowymi. Już teraz trwają badania nad takimi usprawnieniami. Na przykład rozważa się wprowadzenie adresów post-kwantowych (opartych np. o podpisy Lamporta, Schemera, XMSS, itp.) – w Bitcoinie można by to zrobić poprzez soft fork, dodając nowy typ adresu/skryptu. Gdy zagrożenie będzie bliskie, społeczność będzie mogła przenieść środki na nowe adresy. Możliwy jest też hard fork (jak w scenariuszu Q-Day), choć zapewne jeśli działamy prewencyjnie, uda się to zrobić bez rozłamu – na spokojnie, zawczasu, zgrywając się z rozwojem sytuacji. Bitcoin ma tę przewagę, że jest wolny, ale zdolny do adaptacji – dyskusje, propozycje (BIPy) itd. toczą się ciągle. Społeczność już myśli o kwantach, choć bez paniki.

Inne kryptowaluty również podejmują temat. Ethereum planuje długoterminowo upgrade podpisów (Vitalik Buterin wspominał o kwantach, choć obecnie Ethereum ma inne priorytety, jak skalowanie). Niektóre blockchainy POS myślą o hybrydowych rozwiązaniach (np. wymaganie dwóch podpisów do transakcji: jednego klasycznego, drugiego post-kwantowego – dopóki drugiego nie ma, działa klasyczny, ale jak już jest wsparcie, można dodać PQC i mieć podwójne zabezpieczenie).

Ciekawostka: istnieją już niszowe kryptowaluty, które od początku zaprojektowano jako odporne na kwanty. Przykład to Quantum Resistant Ledger (QRL) – blockchain, który używa podpisów XMSS opartych na funkcjach hash (zatwierdzonych przez NIST) zamiast ECDSA. Podobnie IOTA w pierwotnej wersji korzystała z kwantoodpornych podpisów jednokrotnego użytku (Winternitz). Na razie projekty te są mało popularne – głównie dlatego, że bieżący problem nie występuje, a klasyczne algorytmy są póki co szybsze i prostsze w użyciu. Niemniej pokazują one, że technologia jest gotowa, tylko czeka na wdrożenie, gdy zajdzie potrzeba.

Co to wszystko znaczy dla inwestora?

Jeżeli inwestujesz w kryptowaluty, być może zastanawiasz się: “okej, czyli mam się bać czy nie?”. Odpowiedź jest uspokajająca: w krótkim i średnim terminie (kolejne 5–10 lat) nie musisz bać się, że kwanty zniszczą wartość Twoich kryptowalut. Komputery kwantowe nie złamią Bitcoina dziś ani jutro – technologia ta nie jest jeszcze na tym poziomie i prędko nie będzie.

To nie znaczy, że masz o tym zapomnieć całkowicie. W dłuższej perspektywie (kilkanaście, kilkadziesiąt lat) zagrożenie jest realne, ale branża już nad nim pracuje. Możesz więc spać spokojnie, ale warto trzymać rękę na pulsie. Oto kilka praktycznych porad, co możesz zrobić już teraz i w przyszłości:

• Śledź wiarygodne informacje o postępach kwantowych. Gdy pojawią się konkretne sygnały (np. “firma X zbudowała stabilny komputer 100k kubitów”), rynek na pewno o tym usłyszy. Nie daj się jednak złapać na sensacyjne clickbaity – zawsze sprawdzaj, co mówią eksperci. Zwracaj uwagę na raporty naukowe, komunikaty NIST, duże firmy tech (IBM, Google) itp.
• Unikaj ponownego używania adresów w Bitcoinie i innych krypto. To dobra praktyka bezpieczeństwa z wielu powodów, a w kontekście kwantowym daje Ci to, że Twój klucz publiczny nie jest długo wystawiony na widok. Jak wspomnieliśmy, dopóki nie wydajesz środków z danego adresu, Twój public key jest ukryty (zaszyty w adresie). Jeśli zaś musisz użyć tych środków – przenieś je od razu na nowy adres. Dzięki temu utrudniasz potencjalnemu kwantowemu atakującemu zadanie (musiałby złamać Twój klucz w krótkim okienku czasu, między nadaniem transakcji a jej finalizacją).
• Diversyfikuj ryzyko technologiczne. To bardziej dla zaawansowanych: możesz zainteresować się projektami kryptowalutowymi, które stawiają na post-kwantową kryptografię (jak wspomniany QRL czy inne). Nie mówię, żeby od razu zamieniać wszystko na nie – one są eksperymentalne i mają inne ryzyka. Ale edukacyjnie warto je obserwować. Tak samo patrz, czy Twoje ulubione projekty (blockchainy, tokeny) mają plan na kwanty. Większość poważnych na pewno będzie miała, gdy nadejdzie czas.
• Bądź gotowy na aktualizacje portfeli i protokołów. Gdy pojawią się pierwsze wdrożenia algorytmów PQC w kryptowalutach, zapewne będzie to wymagało od użytkowników np. zaktualizowania oprogramowania portfela, być może wygenerowania nowych adresów i przeniesienia funduszy. Nie ignoruj takich komunikatów. To trochę jak z updatem systemu w laptopie – czasem ludzie bagatelizują, a potem płaczą. Kiedy Bitcoin (lub inna krypto, którą masz) ogłosi “migrację na post-quantum” – zrób to, przenieś coiny na nowe adresy. To będzie odpowiednik zmiany zamków na nowe, bezpieczne.

Na koniec warto zauważyć: zagrożenie kwantowe dotyczy nie tylko kryptowalut. W zasadzie cała bankowość, komunikacja internetowa, systemy wojskowe – wszystko opiera się dziś na kryptografii, którą kwanty mogą złamać. Kryptowaluty są wręcz mniej narażone czasowo, bo np. e-maile wysyłane dziś ktoś może przechwycić i za 15 lat odszyfrować (tzw. atak “zapisz teraz, odszyfruj później”). A Bitcoina nie da się “odszyfrować później”, bo tam nie ma zaszyfrowanych danych, tylko klucze – trzeba działać na bieżąco. Więc banki i rządy mają nawet większy ból głowy niż my, krypto-entuzjaści. Z tego powodu możesz być pewien, że świat zareaguje. Duże instytucje już inwestują miliardy w rozwój kryptografii postkwantowej, testy, migracje. Nie jest tak, że tylko HODLerzy na reddicie martwią się kwantami. To globalne wyzwanie i wspólnymi siłami ludzkość ma sporą szansę mu podołać zanim będzie za późno.

Podsumowanie – Czy komputery kwantowe są zagrożeniem dla kryptowalut?

Zapewne każdy z Was, kto czyta ten artykuł zastanawiał się nad tytułowym pytaniem. Czy postęp w rozwoju technologii komputerów kwantowych przyśpieszy i spowoduje wyłom na rynku kryptowalut? Czy jeśli sieci blockchain nie zdążą być przygotowane na tą rewolucję technologiczną możemy spodziewać się gwałtownego krachu na rynku? Nikt z nas nie zna przyszłości więc nie można z pełną pewnością odpowiedzieć na te pytania.

Mam nadzieję, że ten artykuł nieco rozjaśnił obraz sytuacji. Komputery kwantowe to niesamowita technologia – budzą ekscytację i trochę strachu. Na szczęście mamy jeszcze czas, aby z tej ekscytacji wyciągnąć korzyści, a strach oswoić poprzez przygotowanie. Kryptowaluty nie są bezbronne i ewoluują razem z resztą świata IT. Tak więc trzymajmy rękę na pulsie, ale bez zbędnej paniki – bo jak to mówią, “nie taki kwant straszny…” 

FAQ – Czy komputery kwantowe są zagrożeniem dla kryptowalut?

Komputery kwantowe a kryptowaluty – gdzie leży problem?

Komputery kwantowe wykorzystują kubity i mechanikę kwantową, dzięki czemu potrafią rozwiązywać pewne problemy matematyczne znacznie szybciej niż komputery klasyczne. To zła wiadomość dla kryptowalut, bo ich bezpieczeństwo opiera się na takich właśnie „trudnych” problemach (np. odgadnięcie klucza prywatnego na podstawie publicznego). Algorytm Shora mógłby złamać podpisy cyfrowe (ECDSA w Bitcoinie) – odzyskując klucz prywatny z publicznego. Z kolei algorytm Grovera przyspiesza brute-force na funkcjach hash (połowicznie zmniejsza złożoność) – teoretycznie osłabiając np. SHA-256, choć nie łamiąc go całkowicie.

Czy dzisiejsze komputery kwantowe już to potrafią?

Nie. Zdecydowanie nie. Obecne urządzenia (NISQ) mają dziesiątki czy setki kubitów i są bardzo zawodne. Szacunki mówią, że do złamania Bitcoina potrzeba by komputera kwantowego z rządów miliona kubitów. Na razie największe mają ~100–400 kubitów, a ambitne plany (IBM, Google) mówią o tysiącach kubitów za kilka lat – wciąż rzędy wielkości za mało. Sam Google przyznał, że jego najnowszy procesor (105 kubitów) nie zagraża kryptografii. To wciąż technologia eksperymentalna, raczej ciekawostka naukowa niż realne zagrożenie dla sieci blockchain.

Kiedy komputery kwantowe mogą stać się zagrożeniem dla kryptowalut?

Prawdopodobnie dopiero w latach 30. XXI wieku lub później. Większość ekspertów uważa, że najbliższe ~10 lat mamy spokój. Ostrożne prognozy wskazują, że ok. 2035 możemy zobaczyć pierwsze kwantowe komputery zdolne złamać dzisiejsze szyfry (choć to wciąż niepewne). Inni mówią o 2040+ lub nawet później. NIST zaleca migrację do kryptografii post-kwantowej do 2035 na wszelki wypadek. Warto podkreślić, że postęp będzie widoczny – raczej nie nastąpi to z zaskoczenia. Będziemy wiedzieć, gdy komputery kwantowe zaczną zbliżać się do niebezpiecznego progu. Wielu specjalistów z branży krypto jest sceptycznych co do szybkiego nadejścia “Q-day” – np. Adam Back kpi z twierdzeń o zagrożeniu przed 2030, mówiąc „no way”, a analitycy przewidują raczej dekady niż lata. Jednak są też głosy, by nie spać – “martwcie się tym już teraz, miejcie plan”– bo czasu na wdrożenie nowych rozwiązań potrzeba sporo.

Co się stanie, jeśli kwanty złamią obecną kryptografię?

W najgorszym wypadku: atakujący z kwantowym komputerem mógłby kraść kryptowaluty, podszywając się pod właścicieli kluczy prywatnych. Na cel szczególnie poszłyby starsze adresy i te, z których wydano środki (bo ich klucze publiczne są jawne w blockchainie). Szacuje się, że obecnie ok. 25% bitcoinów znajduje się na adresach potencjalnie podatnych (klucze znane), a ~75% jest przechowywanych na adresach typu hash (klucz jeszcze nieujawniony) – te drugie byłyby bezpieczne do czasu wydania środków. Bez podpisów cyfrowych Bitcoin i inne kryptowaluty straciłyby wiarygodność – transakcje można by fałszować. To czarny scenariusz zwany czasem “kwantową apokalipsą”. Prawdopodobnie jednak społeczność zareagowałaby np. hard forkiem – przechodząc na nowe algorytmy i unieważniając fałszywe transakcje. Byłoby trochę chaosu (spadek zaufania, podział łańcucha, utrata części środków), ale kryptowaluty mogą przetrwać taki szok – o ile w porę zaktualizują zabezpieczenia. To globalne ryzyko (dotyczy też banków, internetu), więc całe środowisko technologiczne już myśli, jak temu zapobiec.

Jak się bronić? Post-Quantum Crypto na ratunek.

Lekarstwem jest kryptografia post-kwantowa – czyli nowe algorytmy odporne na ataki kwantowe. Trwają intensywne prace nad standaryzacją takich algorytmów (NIST już wybrał pierwsze z nich). Bitcoin i inne blockchainy mogą zostać zaktualizowane – np. wprowadzając nowe formaty adresów i kluczy opartych na algorytmach PQC. Społeczność kryptowalutowa zdaje sobie sprawę z zagrożenia i badacze już testują rozwiązania (np. podpisy na bazie krat, hashy, itp.). Istnieją nawet projekty w pełni odporne na kwanty jak Quantum Resistant Ledger (wykorzystuje algorytm XMSS), choć to na razie ciekawostki. Najbardziej prawdopodobny scenariusz: zanim komputery kwantowe będą wystarczająco potężne, główne kryptowaluty dokonają migracji na nowe algorytmy. Z punktu widzenia użytkownika może to oznaczać konieczność przeniesienia środków na nowe adresy, ale zapewni ciągłość bezpieczeństwa.

Co robić już teraz (jako inwestor)?

Przede wszystkim – nie panikować. To nie jest zagrożenie na dziś. Bitcoin nie zostanie złamany w 2025 ani nawet 2030 r. wedle wszelkich danych. Natomiast warto zachować czujność: interesować się tematem, weryfikować newsy o “przełomach kwantowych” (często nagłówki wyolbrzymiają faktyczne osiągnięcia naukowe). Dobra praktyka to nie używać wciąż tego samego adresu – rotacja adresów zwiększa Twoje bezpieczeństwo, w tym to kwantowe (utrudnia atak, bo klucz publiczny nie jest długo dostępny). W perspektywie kolejnych lat śledź, czy Twoje ulubione projekty krypto wdrażają zabezpieczenia PQC – i bądź gotów zaktualizować portfel lub przenieść środki, gdy pojawią się nowe, bezpieczne adresy. Innymi słowy: zachowaj spokój, ale bądź świadomy. Kryptografia kwantowa brzmi jak skomplikowany temat (bo jest), lecz na koniec dnia chodzi o to samo co zawsze: dbaj o bezpieczeństwo swoich kluczy i miej oko na rozwój technologii.