El cifrado de Bitcoin no está en riesgo por los ordenadores cuánticos por una razón simple: en realidad, no existe.

Contrariamente a la creencia popular, los ordenadores cuánticos no “romperán” el cifrado de Bitcoin; en cambio, cualquier amenaza realista se centraría en explotar las firmas digitales vinculadas a claves públicas expuestas.

Los ordenadores cuánticos no pueden descifrar Bitcoin porque no almacena secretos cifrados en la cadena.

La propiedad se garantiza mediante firmas digitales y compromisos basados en hash, no mediante texto cifrado.

El riesgo cuántico que importa es el riesgo de falsificación de autorización.

Si un ordenador cuántico relevante criptográficamente puede ejecutar el algoritmo de Shor contra la criptografía de curva elíptica de Bitcoin, podría derivar una clave privada a partir de una clave pública en la cadena y luego producir una firma válida para un gasto competidor.

Gran parte del encuadre de “la computación cuántica rompe el cifrado de Bitcoin” es un error de terminología. Adam Back, desarrollador veterano de Bitcoin e inventor de Hashcash, lo resumió en X:

“Consejo profesional para los promotores del FUD cuántico. bitcoin no utiliza cifrado. Asegúrate de conocer lo básico o será evidente.”

Una publicación separada hizo la misma distinción de manera más explícita, señalando que un atacante cuántico no “descifraría” nada, sino que usaría el algoritmo de Shor para derivar una clave privada a partir de una clave pública expuesta:

“El cifrado se refiere al acto de ocultar información para que solo quienes tengan una clave puedan leerla. Bitcoin no hace esto. La blockchain es un libro de contabilidad público; cualquiera puede ver cada transacción, cada cantidad y cada dirección. Nada está cifrado.”

Por qué la exposición de la clave pública, y no el cifrado, es el verdadero cuello de botella de seguridad de Bitcoin

Los sistemas de firma de Bitcoin, ECDSA y Schnorr, se utilizan para demostrar el control sobre un par de claves.

En ese modelo, las monedas se toman produciendo una firma que la red aceptará.

Por eso la exposición de la clave pública es el punto clave.

Si una salida está expuesta depende de lo que aparece en la cadena.

Muchos formatos de dirección se comprometen con un hash de una clave pública, por lo que la clave pública en bruto no se revela hasta que la transacción se gasta.

Eso reduce la ventana para que un atacante calcule una clave privada y publique una transacción conflictiva.

Otros tipos de script exponen una clave pública antes, y la reutilización de direcciones puede convertir una revelación única en un objetivo persistente.

La consulta de código abierto “Bitcoin Risq List” de Project Eleven define la exposición a nivel de script y reutilización.

Mapea dónde una clave pública ya está disponible para un posible atacante con Shor.

Por qué el riesgo cuántico es medible hoy, incluso si no es inminente

Taproot cambia el patrón de exposición de una manera que solo importa si llegan grandes máquinas tolerantes a fallos.

Las salidas Taproot (P2TR) incluyen una clave pública ajustada de 32 bytes en el programa de salida, en lugar de un hash de clave pública, como se describe en BIP 341.

La documentación de la consulta de Project Eleven incluye P2TR junto con pay-to-pubkey y algunas formas de multisig como categorías donde las claves públicas son visibles en las salidas.

Eso no crea una nueva vulnerabilidad hoy.

Sin embargo, cambia lo que se expone por defecto si la recuperación de claves se vuelve factible.

Debido a que la exposición es medible, el grupo vulnerable puede ser rastreado hoy sin precisar una línea de tiempo cuántica.

Project Eleven dice que ejecuta un escaneo automatizado semanal y publica un concepto de “Bitcoin Risq List” destinado a cubrir cada dirección vulnerable a lo cuántico y su saldo, detallado en su publicación de metodología.

Su rastreador público muestra una cifra principal de aproximadamente 6.7 millones de BTC que cumplen sus criterios de exposición.

En el lado computacional, la distinción clave es entre qubits lógicos y qubits físicos.

En el artículo “Quantum resource estimates for computing elliptic curve discrete logarithms,” Roetteler y coautores dan un límite superior de como máximo 9n + 2⌈log2(n)⌉ + 10 qubits lógicos para calcular un logaritmo discreto de curva elíptica sobre un campo primo de n bits.

Para n = 256, eso resulta en aproximadamente 2,330 qubits lógicos.

Convertir eso en una máquina corregida por errores que pueda ejecutar un circuito profundo con bajas tasas de fallo es donde predominan la sobrecarga de qubits físicos y el tiempo.

Las elecciones de arquitectura establecen entonces una amplia gama de tiempos de ejecución

La estimación de Litinski de 2023 sitúa el cálculo de una clave privada de curva elíptica de 256 bits en unos 50 millones de puertas Toffoli.

Bajo sus supuestos, un enfoque modular podría calcular una clave en unos 10 minutos usando unos 6.9 millones de qubits físicos.

En un resumen de Schneier on Security sobre trabajos relacionados, las estimaciones se agrupan en torno a 13 millones de qubits físicos para romper en un día.

La misma línea de estimaciones también cita unos 317 millones de qubits físicos para apuntar a una ventana de una hora, dependiendo de los supuestos de tiempo y tasa de error.

Para las operaciones de Bitcoin, las palancas más cercanas son de comportamiento y a nivel de protocolo.

La reutilización de direcciones aumenta la exposición, y el diseño de la cartera puede reducirla.

El análisis de carteras de Project Eleven señala que una vez que una clave pública está en la cadena, los futuros recibos a esa misma dirección permanecen expuestos.

Si la recuperación de claves alguna vez encaja dentro de un intervalo de bloque, un atacante estaría compitiendo por gastar salidas expuestas, no reescribiendo la historia del consenso.

El hashing a menudo se incluye en la narrativa, pero la palanca cuántica allí es el algoritmo de Grover.

Grover proporciona una aceleración cuadrática para la búsqueda por fuerza bruta en lugar de la ruptura de logaritmo discreto que proporciona Shor.

La investigación de NIST sobre el coste práctico de los ataques al estilo Grover enfatiza que la sobrecarga y la corrección de errores determinan el coste a nivel de sistema.

En el modelo idealizado, para preimágenes SHA-256, el objetivo sigue siendo del orden de 2^128 de trabajo después de Grover.

Eso no es comparable a una ruptura de logaritmo discreto ECC.

Eso deja la migración de firmas, donde las limitaciones son ancho de banda, almacenamiento, comisiones y coordinación.

Las firmas post-cuánticas suelen ser de kilobytes en lugar de las decenas de bytes a las que los usuarios están acostumbrados.

Eso cambia la economía del peso de las transacciones y la experiencia de usuario de la cartera.

Por qué el riesgo cuántico es un desafío de migración, no una amenaza inmediata

Fuera de Bitcoin, NIST ha estandarizado primitivas post-cuánticas como ML-KEM (FIPS 203) como parte de una planificación de migración más amplia.

Dentro de Bitcoin, BIP 360 propone un tipo de salida “Pay to Quantum Resistant Hash”.

Mientras tanto, qbip.org aboga por una retirada de firmas heredadas para forzar incentivos de migración y reducir la larga cola de claves expuestas.

Las hojas de ruta corporativas recientes añaden contexto sobre por qué el tema se enmarca como infraestructura y no como emergencia.

En un informe reciente de Reuters, IBM habló sobre los avances en componentes de corrección de errores y reiteró una hoja de ruta hacia un sistema tolerante a fallos alrededor de 2029.

Reuters también cubrió la afirmación de IBM de que un algoritmo clave de corrección de errores cuánticos puede ejecutarse en chips AMD convencionales, en un informe separado.

En ese encuadre, “la computación cuántica rompe el cifrado de Bitcoin” falla tanto en la terminología como en la mecánica.

Los elementos medibles son cuánta parte del conjunto UTXO tiene claves públicas expuestas, cómo cambia el comportamiento de las carteras en respuesta a esa exposición y cuán rápido puede la red adoptar rutas de gasto resistentes a lo cuántico manteniendo intactas las restricciones de validación y mercado de comisiones.

La publicación Bitcoin encryption isn’t at risk from quantum computers for one simple reason: it doesn’t actually exist apareció primero en CryptoSlate.