저자: BitMEX 리서치
출처: https://www.bitmex.com/blog/Taproot%20Quantum%20Spend%20Paths?category=Research
요약 : 본 논문은 비트코인의 양자 내성 확보 방안을 논의하며, 특히 탭루트(Taproot)에 초점을 맞춥니다. 탭루트는 비트코인의 양자 보안 수준을 향상시키는 데 매우 유용한 도구입니다. 본 논문에서는 양자 보안이 강화된 새로운 버전의 탭루트와 그에 상응하는 새로운 패러다임을 제안합니다. 이 패러다임은 양자 보안이 적용된 스크립팅 리프와 양자 취약 스크립팅 리프를 모두 사용하여 동일한 금액을 사용할 수 있는 지갑을 의미합니다. 이를 통해 사용자는 서명 크기를 줄이는 양자 취약 방식을 꾸준히 사용하다가, 양자 컴퓨터가 타원 곡선의 인수분해를 완료할 수 있는 시점인 "Qday"가 가까워지면 양자 보안 방식으로 전환할 수 있습니다. Qday의 정확한 날짜가 불확실하고, 동결 동결을 위해서는 장기적인 보안이 요구되므로, 이러한 기능은 유용할 뿐만 아니라 필수적일 수 있습니다.
개요
이 글은 2025년 7월에 발표한 양자 보안 서명 관련 글( 중국어 번역본 )의 후속편입니다. 이번 글에서는 새로운 양자 보안 결제 방식과 이 방식이 Taproot와 어떻게 완벽하게 결합될 수 있는지에 대해 논의합니다. 다시 한번 강조하지만, 저희는 양자 컴퓨터 전문가가 아니며, 저희가 아는 한 양자 컴퓨터가 소인수분해할 수 있는 가장 큰 수는 15입니다! 하지만 비트코인의 양자 내성을 강화하는 것은 현실적인 목표이며, 노력과 검토를 기울일 가치가 있다고 생각합니다.
일부 비평가들은 최근 몇 년 동안 비트코인 개발자들이 양자 컴퓨터에 대한 비트코인 보안 강화와 같은 중요한 문제에 충분히 집중하지 못했거나, 충분한 노력을 기울이지 않았다고 주장합니다. 또한 탭루트(Taproot)와 같은 무의미한 업그레이드에 정신이 팔렸다는 비난도 제기되고 있습니다. 그러나 이 글에서는 탭루트 업그레이드가 비트코인을 양자 컴퓨팅 환경에서 안전하게 만드는 데 왜 매우 유용한지 정확하게 설명하고자 합니다.
주요 지출 경로 및 BIP-360
물론, 탭루트 출력 방식은 이미 현재 존재하며, 기존 출력 방식인 P2PKH, P2SH, P2WPKH, P2WSH와 비교했을 때 양자 컴퓨터에 더 취약합니다. 기존 출력 방식은 자금이 사용될 때까지 공개 키를 숨기기 때문입니다. 따라서 양자 보안 관점에서 탭루트 업그레이드는 비트코인을 P2PK 출력 방식이 널리 사용되던 2010년대로 되돌리는 것과 같습니다. 탭루트처럼 P2PK 방식도 자금이 입금되면 온체인 에 공개 키를 노출합니다.
하지만 이러한 약점은 매우 간단한 소프트 포크 업그레이드를 통해 해결할 수 있습니다. 양자 컴퓨팅 환경에서도 안전한 Taproot의 새로운 버전을 개발하여 키 경로 비용 방식을 완전히 제거하고 스크립트 경로 비용 방식만 남길 수 있습니다. 이것이 바로 저희가 지지하는 BIP-360 제안입니다. 이 업그레이드를 통해 Taproot는 양자 컴퓨팅 관점에서 P2PKH, P2SH, P2WPKH, P2WSH와 동일한 수준으로 향상될 것입니다. 남은 양자 컴퓨팅 관련 리스크 거래가 네트워크에 전송된 후 블록으로 확정되기 전에 양자 컴퓨터에 의해 자금이 탈취될 가능성에 있습니다.
Taproot과 양자 보안 업그레이드는 완벽한 조합입니다.
양자 내성 관점에서 다음 단계는 OP_CAT을 통한 소프트 포크 또는 해시 기반 양자 내성 서명 체계(더 직접적인 방법)를 추가하여 양자 보안 탭루트 지출 방식을 추가하는 것입니다. 이렇게 추가된 양자 보안 상환 체계는 새로운 탭루트 유형에서 리프 스크립트로 활성화될 수 있습니다.
바로 이 부분에서 탭루트의 엄청난 장점이 드러납니다. 두 가지 업그레이드, 즉 주요 지출 경로 비활성화와 양자 컴퓨팅에 안전한 탭리프 지출 시스템 추가를 통해 사용자가 양자 컴퓨팅 공격으로부터 안전한 지출 옵션을 제공하는 주소를 생성할 수 있습니다. 예를 들어, 비트코인 주소는 양자 컴퓨팅에 안전한 탭루트 스크립트 리프 하나와 양자 컴퓨팅에 취약한 리프 하나, 이렇게 두 개의 탭루트 스크립트 리프를 가질 수 있습니다. 이러한 주소를 사용하면 사용자는 지갑을 업그레이드하여 비트코인을 양자 컴퓨터 공격으로부터 안전하게 보호하는 동시에, 마지막 순간까지 더 작고 양자 컴퓨팅에 취약한 서명을 사용할 수 있습니다. 간단히 말해, 사용자는 자금을 받을 때는 하나의 주소만 제공하지만, 지출할 때는 양자 컴퓨팅에 안전한 방법 또는 양자 컴퓨팅에 취약한 방법 중 하나를 선택할 수 있습니다.
물론, 하나의 주소는 여러 가지 지출 방식을 가질 수 있으며, Taproot 이전에도 P2SH와 같은 방식이 존재했습니다. 하지만 P2SH를 사용하는 경우 사용자는 전체 상환 스크립트를 공개해야 하는 반면, Taproot에서는 사용되지 않는 지출 방식이 양자 컴퓨팅 환경에서도 안전한 해시 함수로 숨겨집니다.
여러 가지 지출 방식을 지원하는 비트코인 주소는 지갑 소프트웨어의 그래픽 사용자 인터페이스에 표시될 수도 있습니다. 예를 들어, Liana 지갑은 이미 여러 가지 사용자 지정 스크립트 지출 경로 중에서 하나를 선택하여 비트코인을 지출할 수 있도록 지원합니다. 따라서 앞서 언급한 양자 보안 지갑도 동일한 방식을 채택할 수 있습니다. 즉, "양자 보안 지출" 버튼과 "양자 취약 지출" 버튼을 각각 제공하는 것입니다.
역자 주: 리아나 월렛 인터페이스에서는 각기 다른 버튼을 사용하여 다양한 지출 방법을 선택합니다. 일반 지출은 "보내기" 버튼이고, 긴급 지출은 "복구" 버튼입니다.
양자 보안 지갑으로 사용자를 업그레이드할 때 가장 큰 문제는 (양자 보안 결제 방식의 경우) 거래 수수료가 상당히 높다는 점입니다. 저희 솔루션은 사용자가 급격한 수수료 상승에 직면하지 않고도 양자 보안 지갑으로 업그레이드할 수 있도록 함으로써 이 문제를 크게 완화합니다. 양자 컴퓨팅 시대(Qday) 이후에야 사용자는 더 복잡한 양자 보안 서명 체계를 사용해야 합니다. 양자 컴퓨팅 개발 속도가 매우 불확실한 상황에서 이러한 선택권은 매우 중요합니다.
자금 동결 에 대한 논의
최근 시타델 디스패치 팟캐스트에서 맷 오델과 맷 코랄로는 양자 컴퓨터의 잠재적 리스크 에 대응하기 위해 어떤 상황에서 코인 동결을 동결 소프트 포크 시행해야 하는지에 대해 논의했습니다. 오델은 동결 동결에 대체로 반대하는 입장인 반면, 코랄로는 특정 상황에서는 동결 동결에 어느 정도 찬성하는 입장입니다. 코인 동결 이라는 아이디어 자체를 반기는 사람들도 있습니다. 흔히 제기되는 주장은 동결 절도와 동일시하는 것입니다. 양자 컴퓨팅에 동결 코인을 동결하는 것을 북한(또는 범죄자) 소유의 코인을 동결 것에 비유하는 것은 거의 모든 사람이 반대할 만한 비유입니다. 우리는 동결 컴퓨팅에 취약한 코인을 북한 코인 동결에 동결 하는 것에 동의하지 않지만, 이는 별개의 문제입니다. 다만 이러한 주장들이 주목을 받고 있다는 점을 말씀드리고 싶습니다. 따라서 우리의 관점에서 볼 때, 실제로 코인이 동결 될지는 상당한 불확실성이 존재합니다. 동결 발생하더라도, 동결 시점을 계산하는 것은 매우 복잡합니다.
동결 시간표
| 요인 | 설명하다 | 타이밍에 미치는 영향 |
|---|---|---|
| 일부 사람들은 동결 반대할 것입니다. | 동결 논란의 여지가 있을 수 있으므로, Qday가 다가오더라도 동결 동결을 포함한 소프트 포크 제한적인 합의만을 얻을 가능성이 높습니다. | 동결 시간을 연기하세요 |
| 사람들이 이사할 시간이 없어서 돈을 잃는 것을 막기 위해서입니다. | 소프트 포크 활성화 동결 과 실제 동결 사이에 사람들이 코인을 옮길 시간을 충분히 확보하기 위해 상당히 긴 지연 시간을 설정해야 할 수도 있습니다. 사람들은 접근하기 어려운 콜드 스토리지에 키를 보관하거나, 양자 컴퓨터에 대한 소식을 접하지 못하거나, 지갑에 시간 제한을 걸어두었을 수도 있습니다. | 동결 시간을 연기하세요 |
| Qday 이후 동결 방지하기 위해 양자 컴퓨팅 공격으로 인해 일부 코인이 손실되었습니다. | 동결 날짜가 너무 늦으면 수백만 달러 상당의 코인이 도난당할 수 있습니다. 따라서 예상 Qday와 동결 활성화 날짜 사이에 충분히 큰 보안 여유를 두어야 할 수 있습니다. | 더 일찍 동결 |
반대 방향을 고려하고 시간적 압박이 앞뒤로 진동하도록 두는 것 외에도, 우리는 단 하나의 날짜에만 도달할 필요가 없을 수도 있습니다. 아래 그림과 같이 네 개의 날짜를 고려해야 할 수도 있습니다.
통화 동결 시점 도표
큐데이(Qday)가 언제 도래할지 불확실하고, 비트코인의 검열 저항성을 최대한 존중하면서 실질적인 의미를 갖는 통화 동결 이루어지려면 오랜 시간이 걸린다는 점을 고려할 때, 통화 동결 너무 일찍 또는 너무 늦게 이루어질 리스크 상당합니다. 몇 년 일찍 발생할 수도 있고, 큐데이 이후 몇 년이 지나서야 동결 수도 있습니다.
양자 보안과 양자 취약성을 결합한 Taproot 출력의 뛰어난 점 중 하나는 이 새로운 양자 안전 Taproot 출력이 절대 동결 되지 않는다는 것입니다. 적어도 우리는 양자데이가 실제로 도래할 때까지 이 양자 안전 Taproot 출력과 관련된 모든 동결 계획, 심지어 이를 비활성화하는 모든 양자 취약성 경로에 반대할 것입니다. 그 이유는 이것이 양자 보안을 위해 설계된 새로운 유형의 출력이므로, 이 출력으로 전환하는 사용자는 이미 양자 컴퓨터에 대비되어 있기 때문입니다.
따라서 사람들은 Qday까지 양자 취약 서명을 사용하여 코인을 계속 사용할 수 있습니다. 이 방법을 사용하면 안전 버퍼 기간이 너무 동결(예: 양자 컴퓨팅 개발이 예상치 못한 수십 년간의 정체로 인해) 조기에 동결되는 문제가 덜 중요해집니다. 왜냐하면 사람들은 효율적인 양자 취약 스크립팅 트리를 사용하여 비트코인을 계속 사용할 것이기 때문입니다. Qday가 도래하면 최종 전환은 비교적 간단해질 것입니다. 사용자는 지갑 소프트웨어에서 양자 안전 지출 경로를 사용하도록 안내받기만 하면 됩니다. Qday 이후에는 지갑 소프트웨어를 업그레이드하여 그래픽 사용자 인터페이스에서 양자 취약 지출 옵션을 제거할 수도 있습니다. 궁극적으로는 Qday 이후 양자 안전 Taproot 출력 유형에서 양자 취약 지출 경로를 비활성화하는 소프트 포크 있을 수 있습니다.
(위에)
