Významné pokroky v oblasti kvantových počítačů otevřely toto téma ve spojitosti s mnoha obory, bitcoin nevyjímaje. A uznejme, že po právu. Rok 2025 byl totiž co se týká jejich vývoje průlomový.
Mnoho předních firem jako je třeba IBM či IonQ, posunulo svůj výzkum opět o několik kroků dále. Asi nejvýznamějším příkladem byl nový kvantový procesor Willow od společnosti Google, který umožňuje exponenciální snížení chyb s rostoucím počtem qubitů, tedy něco, co je pro další vývoj naprosto zásadní.
Jsou zde však i další aspekty. Například objem investic mířících do firem a startupů v oblasti kvantových počítačů byl v roce 2025 naprosto rekordní – celkem 6 miliard dolarů, tedy více jak trojnásobek toho, co se investovalo předchozí roky.
Trend je jasný, narativ se změnil. Dnes už nejde o to, zda se podaří dosáhnout zásadního průlomu, který umožní zkonstruovat použitelné kvantové počítače. Většina odborníků se naopak shoduje, že by muselo dojít k nějaké nečekané události, aby se kvantové počítače v budoucnu neobjevily. Dle slov Scotta Aaronsona, předního světového odborníka v této oblasti, nás nyní čeká pouze spousta inženýrské práce.
Teorie
Nebudu zde popisovat, jak kvantové počítače fungují. Udělalo to již tisíce lidí přede mnou, není vůbec snadné popsat jejich fungování srozumitelně a pro zbytek článku to ani není potřeba. Spokojíme se s tím, že kvantové počítače fungují jinak, než ty konvenční a pro některé typy úloh jsou tak vhodnější.
Jednou z těchto typů úloh je i problém diskrétního logaritmu na eliptických křivkách. Zní co složitě, že? Popišme si to jinak. Určitě jste již slyšeli všude omílané:
„Not your keys, not your coins.“
Naráží to na základní vlastnost bitcoinu – kdo vlastní privátní klíče, ten je jediným vlastníkem daných bitcoinů. Jejich znalost je vším. Bez nich vám je nikdo nemůže sebrat, i kdyby se snažil sebevíc.
Skvělé? Ne tak docela, jelikož tato naprosto zásadní vlastnost by v budoucnu již nemusela platit. Může za to americký matematik Peter Shor, který v roce 1994 vymyslel takzvaný Shorův algoritmus. Ten využívá unikátních vlastností kvantové mechaniky k rozkladu celých čísel na prvočísla nesrovnatelně rychleji, než běžné počítače. To co na klasickém počítači trvá miliony let, dokáže dostatečně silný kvantový počítač v řádu hodin či minut.
Bitcoin a adresy
Pro bitcoin (a samozřejmě i jiné blockchainy) to představuje zásadní problém. Celá bezpečnost kryptoměn totiž stojí na tom, že odvodit privátní klíč z toho veřejného (zjednodušeně řečeno z adresy), je v rozumném čase nemožné. Bohužel, s využitím Shorova algoritmu to již platit nebude.
Prakticky to tak znamená, že pokud by dneska někdo získal přístup k dostatečně výkonnému kvantovému počítači, mohl by ukrást více jak 6,5 miliónů bitcoinů. Pomocí Shorova algoritmu by si k vybraným adresám dopočítal odpovídající privátní klíče a stal se tak jejich majitelem.
Možná si říkáte, proč graf i text výše zmiňují zrovna pouze 6,5 a ne všech 21 miliónů bitcoinů? Odpovědí na to jsou formáty adres.
Bitcoin se od svého spuštění v roce 2009 postupně vyvíjel a to samozřejmě platí i pro jeho adresy. Mohl bych zde nyní vysvětlovat, jaké všechny typy máme, jak technicky fungují a jak se od sebe navzájem liší. To však není potřeba. My si je pro potřeby tohoto článku rozdělíme do dvou skupin.
První skupinou jsou adresy, jejichž součástí je přímo veřejný klíč. Jedná se o velmi staré P2PK adresy z prvních let bitcoinu a bohužel i nejnovější P2TR, takzvané taproot adresy. Zde nás proti Shorově algoritmu nic nechrání, jelikož na blockchainu je vidět přímo veřejný klíč. Útočníkovi tak nic nebrání v tom postupně dopočítávat příslušné privátní klíče.
Druhou skupinou jsou všechny ostatní adresy. Ty mají tu výhodu, že adresa vzniká jako hash veřejného klíče. A právě tento hash má pro naše účely kritickou roli – slouží nám totiž jako obrana proti kvantovým počítačům.
Kvantové počítače jsou sice extrémně efektivní pro výpočet privátního klíče z toho veřejného, avšak u hashovacích funkcí je jejich přidaná hodnota zanedbatelná a oproti běžným počítačům nepřináší zásadní zrychlení. Spočítat privátní klíč u těchto typů adres je tedy i s kvantovými počítači v rozumném čase zatím nemožné.
Můžeme si to představit jako další linii obrany. Kvantové počítače dokáží velmi efektivně prolomit trezor (spočítat privátní klíč z toho veřejného) ale nedostanou se skrze padací most (prolomení hashovací funkce). Pokud je nahoře, jsme v bezpečí.
Na zranitelných typech adres je aktuálně přibližně 2 miliony bitcoinů. Zbývajících 4,5 milionu je sice na těch „bezpečných“ adresách, avšak padací mosty mají již navždy dole. Jak je to možné?
V bitcoinovém protokolu totiž platí, že i když adresa vznikla jako hash veřejného klíče a měla by být tedy odolná, tak pokud z ní někdy v minulosti již bylo utraceno, veřejný klíč je od té doby navždy zveřejněn. Hash vás tak nadále již nechrání.
Jako příklad si vezměme burzu, která používá jednu deposit adresu pro vklady, na kterou se postupem času nahromadily tisíce UTXO. Odesláním klidně jediného satoshi se všechny ostatní UTXO na stejné adrese stávají zranitelné. Padací most navždy spadnul, hash nás již dále nechrání.
Kdy?
Faktem ale je, že zatím zde dostatečně výkonný kvantový počítač postačující na prolomení kryptografie používané v bitcoinu, nemáme. Osobně jsem tak již vcelku alergický na to, když s prominutím kdokoliv, kdo má díru do prd**e, prohlašuje, že tu se stoprocentní jistotou potřebně výkonné kvantové počítače budou do 5 let. Nebo naopak, že je nedokážeme vyvinout ani za 100 let.
Reálně o tom víte naprosté ho**o. Nikdy jste to nestudovali, vaše praxe spočívá možná tak v přečtení dvou/tří článků, ale vaše sebevědomí v rámci přesného odhadu častokrát předčí mnoho vědců, kteří kvantovým počítačům zasvětili celý život a takto přesné odhady ani zdaleka nedávají.
I já vím ho**o o tom, kdy budeme mít dostatečně výkonné kvantové počítače. To klidně přiznám a proto sem nebudu dávat svoje subjektivní odhady. Místo toho se podíváme na to, co si myslí lidé, kteří mají k tématu co říct, narozdíl od nás.
Odhady
Americký Národní institut pro standardy a technologie (NIST), který je globální autoritou v oblasti kybernetických norem, stanovil jasný plán pro vyřazení zranitelné kryptografie. Podle jejich směrnic by se od roku 2030 neměly tradiční algoritmy nasazovat do nových systémů a po roce 2035 je pro americké federální úřady plánován jejich úplný zákaz ve prospěch post-kvantových standardů.
Pokud si uděláte průzkum mezi tím, co odhadují firmy zabívající se kvantovými počítači, různí vědci a experti, tak velmi pravděpodobně dojdete k závěru, že většina z nich dneska odhaduje ohrožení kryptografie použité v bitcoinu někde v rozmezí let 2030 až 2040. To znamená, že v tom nejvíce pesimistickém scénáři máme pouhých 5 let, v těch optimističtějších 15 let, i více.
Jestli vám to přijde relativně brzo, souhlasím. Hlavním důvodem totiž je, že vývoj v této oblasti jde poslední dobou velmi rychle kupředu. Například Metaculus, což je respektovaná platforma kolektivní inteligence, kde se tisíce expertů snaží určit termíny budoucích událostí, odhaduje první útoky na RSA již v roce 2033.
I když kryptografie v bitcoinu není založená na RSA a na její prolomení budeme potřebovat o trochu více qubitů, mnohem zajímavější je zrychlující se trend. Jelikož ještě například tři roky zpátky se předpovídalo, že k tomu dojde až v roce 2050. Obrovský skok v této předpovědi způsobený zásadními objevy v roce 2025 je tak jasně viditelný.
Řešení
Pokud nechcete přijít o svůj bitcoin, existuje několik kroků, které můžete učinit již nyní:
Používejte ty adresy, u kterých není přímo zveřejněn veřejný klíč, ale pouze jeho hash – ideálně tzv. SegWit adresy začínající bc1q…
Pro každý příjem vždy generujte novou adresu, což je dnes u moderních bitcoinových peněženek standardní praxe.
I když vás výše uvedené tipy mohou částečně ochránit, jediným finálním řešením je změna bitcoinového protokolu, který bude muset zavést nové typy adres využívající post-kvantovou kryptografii. Všichni uživatelé budou následně nuceni přesunout veškeré své prostředky na tyto nové typy adres, aby byly opravdu plně rezistentní proti kvantovým počítačům a Shorově algoritmu. Konkrétní řešení je již dnes navrhnuto v dokumentu BIP-360.
Technická úskalí
„Dobře, tak počkám na soft-fork a poté přesunu všechny své bitcoiny na nové adresy. Kde je problém?“
V zásadě máte pravdu, avšak celý tento proces může být velmi komplikovaný a přináší s sebou různá úskalí, což je hlavním sdělením tohoto článku. Pojďme se na to tedy postupně podívat.
Prvně budeme muset vybrat vhodný post-kvantový algoritmus, což rozhodně nebude jednoduché. Existují různé typy (mřížkové, hashovací apod.) a každý z nich má své pro a proti. I když NIST oficiálně doporučuje několik kandidátů, stále se může stát, že při unáhleném výběru vybereme nevhodný.
Bitcoin je totiž specifický. Současné podpisy na eliptických křivkách mají úžasné algebraické vlastnosti, kterých bitcoinový protokol silně využívá. Tyto vlastnosti na post-kvantových algoritmech buď možné nejsou, anebo komplikovaně a za cenu jistých kompromisů. Mluvím zde o HD peněženkách (BIP-32), agregaci podpisů – MuSig2, tzv. adaptor signatures hojně využívaných v Lightning Network apod.
Bohužel u tohoto procesu hrozí, že se bitcoinová komunita opět pohádá a nebude schopna se domluvit na jednom společném řešení. Osobní sympatie, subjektivní názory a hádky jsou poslední měsíce a roky celkem časté, viz diskuze ohledně OP_RETURN a cenzuře. To tak ve výsledku může zapříčinit, že výběr algoritmu bude velmi pomalý a komplikovaný.
Mnohem větší kontroverze však patrně nastanou u samotných podpisů. Ty totiž u post-kvantových algoritmů zabírají mnohem více místa. Například i ten nejkompaktnější mřížkový algoritmus Falcon-512 má podpisy 10x větší, u jiných je to 40-násobný nárůst a více.
Větší podpis = větší transakce = méně transakcí v bloku. Kdybychom tedy pouze zavedli nové podpisové algoritmy, snížili bychom propustnost bitcoinové sítě o několik řádů.
Jestliže jsem se obával, že se komunita pohádá kvůli výběru algoritmu, u případného zvětšování velikosti bloků jsem si tím téměř jistý. Máme vůbec zvyšovat bloky? Pokud ano, tak o kolik a jakým způsobem? Jaký to bude mít vliv na decentralizaci? Podobné otázky odstartovaly v minulosti tzv. blocksize war a obávám se, že je zde nemalá šance, že si to celé alespoň částečně zopakujeme.
Úskalí vedoucí z konfiskace
Řekněme, že jsme vybrali vhodný algoritmus a jako komunita jsme vyřešili propustnost sítě při násobně větších podpisech. Mezi naprosto zásadní problém však patří otázka, co uděláme s těmi bitcoiny, které zůstanou na zranitelných adresách.
Věřím tomu, že se značná část bitcoinů přesune na nový typ adres, rozhodně zde ale zůstane podstatné množství bitcoinů na zranitelných adresách, ke kterým vlastník ztratil privátní klíče. Jako příklad můžeme uvést přibližně 1,1 miliónů bitcoinů, které náleží Satoshimu Nakamotovi a leží na P2PK adresách. Jejich přesun sice není vyloučen, ale narovinu si řekněme, že je extrémně nepravděpodobný.
Co s těmito bitcoiny? Necháme je jak odměnu případnému útočníkovi? Chceme aby se největším držitelem bitcoinu stala již tak bohatá firma, které se podaří jako první sestavit dostatečně výkonný kvantový počítač? Chceme riskovat, že se k nim jako první dostane čínská vláda a všechny je dumpne na trh v rámci konkurenčního boje s USA, kde je bitcoin použit jako strategická rezerva? Anebo jen z důvodů podkopání důvěry v bitcoin…
Jakou máme alternativu? Zabavit tyto bitcoiny? Jinak řečeno zavést precedens, že za jistých okolností je pro „kolektivní dobro“ v pořádku konfiskovat něčí bitcoiny? Co když je takto zabavíme v panice příliš brzo a reálně tím někoho okrademe?
Jednoduché řešení není a tato velice komplikovaná otázka budí značné kontroverze již dnes. Tento problém tak zajisté bude jedním z těch, se kterými se bitcoinová komunita bude muset vypořádat a opět hrozí hádky, štěpení komunity a celkové zpomalení procesu přechodu na post-kvantovou kryptografii.
Konkurence
Jak je na tom konkurence v oblasti alternativních blockchainů nebo bank?
Když se podíváme například na Ethereum, tak to může v krizovém scénáři zachránit paradoxně to, co mu kritici vyčítají – vliv jeho zakladatele. Vitalik Buterin už veřejně popsal technický postup pro případ kvantového ohrožení. V poslední době navíc vcelku hlasitě varuje před nástupem kvantových počítačů a urguje nasazení post-kvantové kryptografie. Na nedávné konferenci uvedl jeho osobní odhad, že je zde 20% šance na ohrožení současné kryptografie do roku 2030.
Pokud by jeho návrh podpořil někdo respektovaný, jako je například Justin Drake z Ethereum Foundation, dokáže tato hierarchie prosadit konkrétní standard zabezpečení mnohem rychleji než silně decentralizovaný bitcoinový ekosystém. Zda to je lepší přístup, to je otázka – rychlejší je však rozhodně.
Často také zaznívá, že kvantové počítače by byly mnohem větším rizikem například pro banky a bitcoin jako takový by nikoho nezajímal. I když mé srdce bije pro bitcoin, což se o bankách rozhodně říct nedá, tak pro zachování objektivity si musíme přiznat, že to prostě není pravda. Je to spíše naopak, bitcoin je ohrožen mnohem více.
Banky jsou centralizované instituce, kde v případě nějakého nečekaného průlomu na poli kvantových počítačů stačí na pár dní vypnout internetové bankovnictví, nahradit zranitelné algoritmy a znova zapnout. Aktualizace použité kryptografie je díky centralizaci relativně jednoduchá a rychlá. Banky navíc v prvních dnech rozhodně nebudou trápit o něco větší podpisy a chybějící algebraické vlastnosti.
I kdybyste kvantovým počítačem disponovali už nyní a banky používaly pouze kvantově zranitelnou kryptografii, samotný útok by byl vcelku komplikovaný. Útočník by se musel nejprve dostat k šifrovaným datům – buď aktivním odposlechem komunikace, kompromitací identity v rámci PKI, nebo dlouhodobým sběrem provozu pro pozdější dešifrování.
Moderní bankovní systémy navíc běžně využívají protokoly s jednorázovými relačními klíči, vícefaktorové ověřování skrze různé další protokoly a oddělené role mezi systémy, což znamená, že prolomení kryptografie by muselo být kombinováno s dalšími technickými či organizačními slabinami.
Nezapomeňte také na to, že jakmile by se vám podařilo ukrást větší množství prostředků, bylo by to ihned detekováno systémy pro monitoring podezřelých transakcí. A jelikož jsme ve světě fiatu, nic by nebránilo bankám tyto transakce následně stornovat a prostředky vrátit.
Jasně, kvantové počítače jsou pro bankovní sektor (a mnoho dalších) velký problém, ale srovnejme si to s bitcoinem. Tam si naprosto každý může najít veřejný klíč například k této peněžence patřící Binance, na které je přibližně 250 tisíc bitcoinů a má odhalen veřejný klíč. Veškerá potřebná data jsou všem přístupná, klíč se nerotuje a v případě úspěchu vlastníte necelé 2 miliardy korun, které prakticky nelze zmrazit.
Ať s nám to líbí nebo ne, bitcoin je mnohem jednodušším cílem pro případné útočníky.
Cenová úskalí
Pokud by se jednotlivec, firma či stát stali majitelem miliónů bitcoinů, na cenu by to mělo zásadní vliv a rozhodně ne v pozitivním směru. Vlastnictví necelých 700 tisíc mincí firmou MicroStrategy je bráno jako značné riziko již dnes, a nově bychom tu měli entitu, která by vlastnila řádově více.
Můžeme argumentovat, že prodej všech těchto bitcoinů v rámci jednoho market orderu, což by srazilo cenu na absolutní minimum, nedává ekonomicky žádný smysl a máte naprostou pravdu. Problémem však je, že tu bude někdo, kdo narozdíl od MicroStrategy nemá k bitcoinu pravděpodobně žádný vztah a nevíme, co s takovým množstvím bitcoinu udělá.
Navíc je tu další rozměr – k samotnému útoku kvantovým počítačem a následnému ukradení bitcoinu nemusí vůbec dojít. Bohatě totiž bude stačit, když si to značná část investorů bude myslet. Jestliže se v médiích budou objevovat články o revolučních pokrocích na poli kvantových výpočtů a bitcoin na to nebude mít stále žádnou odpověď, podstatná část lidí bude ze strachu svůj bitcoin prodávat.
Jasně, můžeme argumentovat, že cena by se po nějaké době vrátila na původní hodnoty a velmi pravděpodobně máte opět pravdu. Riziko však vidím spíše v tom, že by v případě obrovské paniky a následném (byť jen dočasném) pádu ceny by došlo k likvidaci mnoha půjček, kde byl bitcoin použit jako kolaterál. Tím pádem i v určitou ztrátu důvěry v tento use-case.
Reputace
I kdybychom včas nasadili kvantově rezistentní kryptografii, stále tu velmi pravděpodobně zůstane podstatná část bitcoinů na zranitelných adresách. Tomu, že by bitcoinová komunita odhlasovala jejich zmrazení nedávám velkou šanci.
Následný kvantový útok na staré typy adres by tak nebyl primárně technologickým selháním, ale spíše reputačním problémem. Dlouhé roky opakujeme, že bitcoin nelze ukrást, nelze ho zabavit a že představuje nejbezpečnější digitální aktivum, jaké kdy vzniklo. A pak by přišly novinové titulky oznamující, že bylo ukradeno několik milionů bitcoinů.
Z technického hlediska bychom mohli argumentovat, že šlo o prostředky ze Satoshiho éry, uložené na nebezpečných adresách, které měly být dávno přesunuty. Jenže právě to je ten problém – většina investorů těmto nuancím nerozumí a rozumět ani nechce. Pro ně by výsledek byl jednoduchý a černobílý – něco, co mělo být neprolomitelné, prolomeno bylo.
Bitcoinová komunita za více než šestnáct let nedokázala většině investorů vysvětlit ani základní rozdíl mezi bitcoinem a technologickou akcií. Pro velkou část trhu je bitcoin stále jen další položkou v NASDAQ indexu — rizikové aktivum, které má růst, když se daří technologiím.
Pokud jsme nedokázali vysvětlit tento fundamentální rozdíl, je naivní si myslet, že v krizovém okamžiku vysvětlíme rozdíly mezi typy adres, hash veřejného klíče a kvantovou kryptografií. A hlavně, že vysvětlíme, jak jsme zajistili, aby se něco podobného už neopakovalo.
Závěr
Než se na mne sesypete v komentářích, že šířím FUD, zbytečně straším a jsem extrémně pesimistický, tak věřte, že i když to po přečtení tohoto článku nemusí být na první pohled zřejmé, jeho cílem nebylo vás nikterak vystrašit.
Současná úroveň kvantových počítačů se ani zdaleka nepřibližuje tomu, co je potřeba na prolomení kryptografie použité v bitcoinu. Není tedy důvod panikařit a už vůbec ne kvůli kvantovým počítačům nyní prodávat bitcoin. Velmi pravděpodobně máme na vyřešení tohoto problému ještě několik let.
Smyslem bylo spíše poukázat na fakt, že implementace řešení bude konkrétně pro bitcoin velmi časově náročná a komplikovaná. Musíme:
Se domluvit na konkrétním post-kvantovém podpisovém algoritmu, který bude mít nejlepší vlastnosti pro bitcoin.
Provést jeho důkladnou analýzu, zda nepřináší jiná rizika.
Vyřešit chybějící či komplikovaně implementovatelné algebraické vlastnosti.
Nalézt řešení pro řádově větší podpisy, tedy i transakce.
Rozmyslet si, co budeme dělat s bitcoiny, které zůstanou na zranitelných adresách.
Reálně naimplementovat nové podpisové algoritmy a otestovat je.
Formálně tento soft-fork odhlasovat a nasadit.
Čekat měsíce (spíše roky), než se milióny zranitelných UTXO přesunou na kvantově rezistentní typy adres.
Vyřešit spousty hádek, které při tomto procesu nastanou.
Vzhledem k tomu, jak dlouho trvalo nasazení i mnohem méně kontroverzních návrhů, lze očekávat, že toto celé bude trvat několik let. Takže i kdyby zde byla šance na konstrukci dostatečně silného kvantového počítače do roku 2030 byť jen pouhé 1 %, je to za mne již dost na to, aby se na analýzách řešení začalo pracovat již nyní.
Nikdo rozhodně nechce nic uspěchat, jelikož z minulosti známe případy kvantově rezistentních algoritmů, které se po čase ukázaly jako zranitelné na běžných počítačích. Avšak bitcoin je jedna z těch oblastí, kde bude přechod na nové podpisové algoritmy kvůli silné decentralizaci časově náročný a složitý – stejně tak tomu bude například u hardwarových zařízení, které neumožňují jakýkoliv vzdálený upgrade, nebo třeba u satelitů na oběžné dráze.
Nic Carter na toto téma sepsal dva obsáhle články – první, druhý. Třetí nás teprve čeká. A i když mohou působit extrémně pesimisticky až panicky, měla by následovat rozumná diskuze a vyvrácení faktů, které Nic přednesl. Místo toho většina komunity (čest výjimkám) bez jakýchkoliv argumentů problém kvantových počítačů bagatelizuje, dělá si srandu z Nicova knírku a tvrdí, že kvantové počítače pro bitcoin rozhodně žádným rizikem nejsou, což v naprosté většině případů ničím nepodloží.
Připadá mi to, jako kdyby si velká část bitcoinové komunity nesla jakési PTSD z nekonečných FUDů o ponziho schématech, letadlech, využívání bitcoinu pro kriminální činnost nebo neustále omílané energetické náročnosti a dalších podobných nesmyslů. Pod tíhou těchto útoků si tak vytvořila obranný reflex, který vede k tomu, že jakékoliv upozornění na problém (kvantové počítače, security budget, centralizace těžby apod.) je vnímáno jako zrada a za přípustné se považuje pouze tvrzení, že bitcoin je naprosto dokonalý.
Takže ještě jednou – panika není na místě. Avšak absolutní ignorace rizika kvantových počítačů s tvrzením, že tu minimálně dalších 50 let stoprocentně nebudou a i kdyby ano, tak během týdne nasadíme potřebný soft-fork a jsme v bezpečí, také není tím správným postupem.
Jestliže tento na první pohled mírně pesimistický článek způsobí to, že se více relevantních lidí zapojí do výzkumu post-kvantové kryptografie pro bitcoin, splnil svůj účel.
