비트코인 암호화는 양자 컴퓨터의 위협을 받지 않습니다. 그 이유는 간단합니다. 양자 컴퓨터는 실제로 존재하지 않기 때문입니다.

일반적인 통념과는 달리 양자 컴퓨터는 비트코인 ​​암호화를 "해독"하지 못할 것입니다. 오히려 현실적인 위협은 노출된 공개 키와 연결된 디지털 서명을 악용하는 데 집중될 것입니다.

양자 컴퓨터는 비트코인을 디크립트(Decrypt) 할 수 없습니다. 비트코인에는 암호화된 비밀 정보가 온체인에 저장되지 않기 때문입니다.

소유권은 암호문이 아닌 디지털 서명과 해시 기반 커밋먼트를 통해 보장됩니다.

양자 역학적 위험 중 중요한 것은 권한 위조 위험입니다.

암호학적으로 의미 있는 양자 컴퓨터가 비트코인의 타원 곡선 암호화에 대해 쇼어 알고리즘을 실행할 수 있다면, 온체인 공개 키에서 개인 키를 도출하고 경쟁적인 지출에 대한 유효한 서명을 생성할 수 있습니다.

"양자 컴퓨팅이 비트코인 ​​암호화를 뚫는다"는 표현은 대부분 용어 오류입니다. 오랜 비트코인 ​​개발자이자 해시캐시 창시자인 아담 백(Adam Back) X에서 이를 다음과 같이 요약했습니다.

"양자 관련 공포 조장자들에게 주는 팁: 비트코인은 암호화를 사용하지 않습니다. 기본부터 제대로 알고 말하세요. 그렇지 않으면 들통납니다."

별도의 게시물에서는 동일한 구분을 더욱 명확하게 설명하면서 양자 공격자는 아무것도 "디크립트(Decrypt)"하는 것이 아니라 쇼어 알고리즘을 사용하여 노출된 공개 키에서 개인 키를 도출한다고 지적했습니다.

"암호화란 키를 가진 사람만 읽을 수 있도록 정보를 숨기는 행위를 말합니다. 비트코인은 이런 방식을 사용하지 않습니다. 블록체인은 공개 원장이므로 누구든지 모든 거래, 모든 금액, 모든 주소를 볼 수 있습니다. 아무것도 암호화되어 있지 않습니다."

비트코인의 진정한 보안 병목 현상은 암호화가 아니라 공개 키 노출인 이유

비트코인의 서명 시스템인 ECDSA와 Schnorr는 키 쌍에 대한 제어권을 증명하는 데 사용됩니다.

해당 모델에서는 네트워크가 승인할 서명을 생성함으로써 코인을 획득합니다.

그래서 공개키 노출이 핵심입니다.

출력이 노출되는지 여부는 온체인에 무엇이 나타나는지에 따라 달라집니다.

많은 주소 형식은 공개 키의 해시 저장하므로 거래가 완료될 때까지 원본 공개 키는 공개되지 않습니다.

이는 공격자가 개인 키를 계산하고 충돌하는 거래를 게시할 수 있는 시간을 줄여줍니다.

다른 유형의 스크립트는 공개 키를 더 일찍 노출시키고, 주소 재사용은 일회성 노출을 지속적인 공격 대상으로 만들 수 있습니다.

프로젝트 일레븐의 오픈 소스 "비트코인 위험 목록" 쿼리는 스크립트 및 재사용 수준에서 노출 정도를 정의합니다.

이는 쇼어 공격자가 공개 키를 이미 사용할 수 있는 위치를 나타냅니다.

양자 역학적 위험이 당장 닥치지 않더라도 오늘날 측정 가능한 이유는 무엇일까요?

Taproot는 대규모 내결함성 머신이 등장하는 경우에만 중요한 방식으로 노출 패턴을 변경합니다.

Taproot 출력(P2TR)에는 비트코인 개선 제안 341에 설명된 대로 공개 해시 대신 출력 프로그램에 32바이트로 수정된 공개 키가 포함됩니다.

Project Eleven의 쿼리 문서에는 공개 키가 출력에 표시되는 범주로 P2TR, pay-to-pubkey 및 일부 멀티시그 형식이 포함되어 있습니다.

그것은 오늘날 새로운 취약점을 만들어내지 않습니다.

하지만 이는 키 복구가 가능해지는 경우 기본적으로 노출되는 항목을 변경합니다.

노출 정도를 측정할 수 있기 때문에, 양자 역학적 시간표를 특정하지 않고도 취약 계층을 오늘날 추적할 수 있습니다.

프로젝트 일레븐은 자동화된 주간 스캔을 실행하고 양자 컴퓨팅에 취약한 모든 주소와 잔액을 포함하는 "비트코인 위험 목록" 개념을 발표한다고 밝혔으며, 자세한 방법론은 해당 게시물에서 확인할 수 있습니다.

해당 회사의 공개 추적기에 따르면, 회사의 노출 기준을 충족하는 비트코인 (비트코인(BTC) 의 총량은 약 670만 개에 달합니다 .

연산적인 측면에서 핵심적인 차이점은 논리 큐비트와 물리 큐비트의 차이입니다.

"타원 곡선 이산 로그 계산을 위한 양자 자원 추정"이라는 논문에서 Roetteler와 공동 저자는 n비트 소수 필드에서 타원 곡선 이산 로그를 계산하는 데 필요한 논리 큐비트의 상한을 최대 9n + 2⌈log2(n)⌉ + 10으로 제시합니다.

n=256인 경우, 이는 약 2,330개의 논리 큐비트에 해당합니다.

이를 오류 수정 기능을 갖춘 기계로 변환하여 낮은 오류율로 복잡한 회로를 실행할 수 있도록 하는 것이 물리적 큐비트 오버헤드와 타이밍이 가장 중요한 부분입니다.

아키텍처 선택에 따라 실행 시간이 크게 달라집니다.

리틴스키의 2023년 추산에 따르면 256 비트(Bit) 타원 곡선 개인 키 계산에는 약 5천만 개의 토폴리 게이트가 필요합니다.

이 가정에 따르면, 모듈형 접근 방식은 약 690만 개의 물리적 큐비트를 사용하여 약 10분 만에 하나의 키를 계산할 수 있습니다.

슈나이어 온 시큐리티(Schneier on Security)의 관련 연구 요약에 따르면, 하루 안에 해킹될 수 있는 물리적 큐비트는 약 1,300만 개에 달할 것으로 추정됩니다.

동일한 추정치에 따르면, 타이밍 및 오류율 가정에 따라 1시간 내에 목표를 달성하기 위해서는 약 3억 1700만 개의 물리적 큐비트가 필요하다고 합니다.

비트코인 운영에 있어 가장 직접적인 영향을 미치는 요소는 행동 수준과 프로토콜 수준입니다.

주소 재사용은 노출 위험을 높이며, 지갑 설계는 이를 줄일 수 있습니다.

프로젝트 일레븐의 지갑 분석에 따르면 공개 키가 일단 온체인에 올라가면 해당 주소로의 향후 영수증은 모두 노출된 상태로 남게 됩니다.

만약 키 복구 블록 간격 내에 가능하다면, 공격자는 합의 기록을 덮어쓰는 것이 아니라 노출된 출력으로부터의 지출과 경쟁하게 될 것입니다.

해싱은 종종 관련 논의에 포함되지만, 양자 컴퓨팅의 핵심은 그로버의 알고리즘입니다.

Grover는 Shor가 제공하는 이산 로그 분할 방식 대신 무차별 대입 검색에 대한 제곱근 속도 향상을 제공합니다.

NIST의 그로버형 공격의 실제 비용에 대한 연구는 시스템 수준의 비용은 오버헤드와 오류 수정에 의해 결정된다는 점을 강조합니다.

이상적인 모델에서 SHA-256 역상(preimage)의 경우, 목표 작업량은 Grover 이후 약 2^128 작업량 수준입니다.

이는 ECC 이산 로그 변화와는 비교할 수 없습니다.

그렇다면 남은 제약 조건은 대역폭, 저장 공간, 수수료 및 조정 문제인 서명 마이그레이션입니다.

양자 후 암호화 서명은 사용자들이 익숙한 수십 바이트가 아닌 킬로바이트 단위인 경우가 많습니다.

이는 거래 가중치 경제와 지갑 사용자 경험에 변화를 가져옵니다.

양자 위험이 당면한 위협이 아니라 이주 과제인 이유

비트코인 외에도 NIST는 보다 광범위한 마이그레이션 계획의 일환으로 ML-KEM(FIPS 203)과 같은 양자 컴퓨팅 후처리 기본 요소를 표준화했습니다.

비트코인 내부에서 비트코인 개선 제안 360은 "양자 내성 해시 로 지불" 출력 유형을 제안합니다.

한편, qbip.org는 기존 서명 방식의 종료를 통해 마이그레이션 인센티브를 제공하고 노출된 키의 장기적인 문제를 해결해야 한다고 주장합니다.

최근 기업들의 로드맵은 이 문제가 비상사태가 아닌 인프라 문제로 다뤄지는 이유에 대한 맥락을 제공합니다.

최근 로이터 통신 보도에서 IBM은 오류 수정 구성 요소 개발 진행 상황을 논의하고 2029년경 내결함성 시스템 구현을 목표로 한다고 재차 강조했습니다.

로이터는 별도의 보도에서 IBM이 핵심 양자 오류 수정 알고리즘이 기존 AMD 칩에서 실행될 수 있다고 주장한 내용도 다뤘습니다.

그러한 관점에서 볼 때, "양자 컴퓨팅이 비트코인 ​​암호화를 해제한다"는 표현은 용어적인 측면과 메커니즘적인 측면 모두에서 잘못되었습니다.

측정 가능한 항목은 UTXO 세트 중 공개 키가 노출된 부분이 얼마나 되는지, 지갑 동작이 해당 노출에 어떻게 반응하는지, 그리고 네트워크가 검증 및 수수료 시장 제약을 유지하면서 양자 컴퓨팅에 강한 지출 경로를 얼마나 빠르게 도입할 수 있는지입니다.