Kvantedatamaskiner truer integriteten til bitcoineierskap

Kvantedatamaskiner vil føre til en kraftig kapasitetsøkning for visse regneoperasjoner sammenliknet med klassiske datamaskiner. Det kan gi store gevinster, men kan også true sikkerheten til disse systemene. For eksempel kan Groovers algoritme løse visse søkeproblemer mye raskere enn klassiske algoritmer, mens Shors algoritme kan faktorisere store tall langt mer effektivt enn tradisjonelle datamaskiner. Vanskeligheten ved slik faktorisering er et sentralt grunnlag for dagens nøkkelkryptografi. Denne teknologien gjør det mulig å signerere informasjon med en privat nøkkel som brukeren holder for seg selv, men som verifiseres av andre med en korresponderende nøkkel som kan deles med alle.

Slike signaturer er helt sentrale for bitcoin. Forenklet kan man si at eierskap til bitcoin disponeres ved at en privat nøkkel brukes til å signere en transaksjon som flytter bitcoin knyttet til én offentlig nøkkel over til en annen. Når en transaksjon signeres, må den offentlige nøkkelen til adressen man sender fra offentliggjøres, slik at andre kan verifiseres at signaturen er gyldig. Kryptografien som benyttes i bitcoin i dag er prinsippet sårbar for kvantedatamaskiner

Fra et kvanterisikoperspektiv har bitcoin likevel en viktig beskyttelsesmekanisme. I praksis brukes ikke den offentlige nøkkelen direkte som adresse, men en såkalt hash – faktisk en dobbelthash – som er en matematisk funksjon av den offentlige nøkkelen. Det anses i dag som umulig å bruke hashen til å finne tilbake til den offentlige nøkkelen, også for kvantedatamaskiner. Så lenge brukerne benytter nye offentlige nøkler (og dermed nye hasher) til mottaksadresser hver gang, er bitcoinene relativt god beskyttet mot kvanteangrep.

Figur: Hvordan kvantedatamaskiner truer kryptografiske nøkler

Det er imidlertid flere skjær i sjøen. For det første er det mange bitcoins – faktisk millioner av dem – som har brukt offentlige nøkler direkte som adresser. Dette inkluderer tidlige utvinnede bitcoin av bitcoins grunnlegger, Satoshi Nakamoto. Disse har vært antatt å være ute av sirkulasjon for godt. Dersom disse settes i sirkulasjon med en kapabel kvantedatamaskin og videreselges i stort omfang, kan det får store negative virkninger for bitcoinprisen.

For det andre gjenbrukes adresser ofte i praksis. Dersom en adresse brukes på nytt, er den offentlige nøkkelen allerede kjent fra tidligere transaksjoner. Mange store bitcoinbørser har en praksis med adressegjenbruk, noe som øker eksponeringen mot kvanteangrep.

Selv om adresser ikke gjenbrukes, finnes det en tredje risikofaktor. Når man signerer en transaksjon, sirkulerer den i nettverket (omtales som “mempool”) til den fanges opp, valideres, og legges i en blokk. Bitcoinblokkjeden oppdateres omkring hvert tiende minutt. Da har aktører med en kvantedatamaskin et lite tidsvindu til å fange opp den offentlige nøkkelen, finne den private nøkkelen, sende bitcoinene til en annen adresse og legge til et litt høyere gebyr i håp om at de som validerer velger denne transaksjonen i stedet. Den som gjør dette vil ha svært liten tid på seg sammenliknet med offentlige nøkler som har ligget tilgjengelig lenge, og utgjør en mindre sårbarhet. Nye forskningsresultater har imidlertid aktualisert denne trusselen.

Også konsensusmekansimen, som sørger for at bitcoinblokkjeden oppdateres, kan påvirkes av kvanteteknologien. Valideringen er desentralisert i form av at spesielle brukere konkurrerer om å samle transaksjoner i en blokk som blir en del av blokkjeden og blir belønnet for dette i form av nye bitcoin og transaksjonsgebyrer. Dette omtales ofte som utvinning (mining). For å at dette skal bli en reell konkurranse og hindre at aktører oversvømmer nettverket med blokkforslag, må de som validerer transaksjoner bevise at de har brukt en god del energi og regnekapasitet for å kunne foreslå en gyldig blokk.  Det kan gi de som har tilgang til kvantedatamaskiner en fordel. Dette er ikke nødvendigvis et problem hvis alle har tilgang til kvantedatamaskiner. Men hvis bare noen har tilgang til slike maskiner, kan det true desentraliseringen og utgjøre en angrepsflate. Videre er det ikke helt sikkert at bruk av en kvantedatamaskin gir samme konkurransedynamikk rundt valideringen av blokker, noe som kan gi ustabilitet rundt oppdateringen av blokkjeden. Dette er ukjent terreng og vil ikke diskuteres videre her.                                

Hvordan kan bitcoin gjøres mer kvanteresistent?

Bitcoin kan gjøres mindre sårbar mot kvantedatamaskiner på flere måter som kan virke sammen. Noen tiltak kan brukerne gjøre uten noe behov for oppdateringer. Det være ufornuftig å bruke den offentlige nøkkelen som adresse, og det gjøres uansett i liten grad i dag.  Det vil imidlertid ikke hjelpe tidlige bitcoin fra Satoshi Nakamoto som har brukt en slik adresse, og som oppfattes som tapt i dag. Brukere kan også la være å gjenbruke adresser som omtalt over. Det vil kreve at kryptobørser som gjør dette i dag må legge om praksis, men det er nok en overkommelig barriere.

Som omtalt over finnes det kryptografiske løsninger i dag som er mer kvanteresistente enn den som brukes av bitcoin i dag. bitcoin kan i prinsippet gå over til å bruke slike kryptografiske løsninger. Noen av disse løsningene vil kreve mer plass, slik at man må øke størrelsen på blokkene i blokkjeden.

Bitcoin har imidlertid ingen sentral administrator som kan oppgradere på vegne av alle brukerne. Brukerne må selv sørge for å overføre sine bitcoin til mer kvantesikre “adresser”. Noen har foreslått ulike løsninger for å motivere til dette, for eksempel at man blir enige om å “slette” bitcoin som ikke har migrert til kryptografi innen en angitt tidsfrist. Bitcoin som anses ute av sirkulasjon og forlatt, slik som de tidlige bitcoinene fra Satoshi Nakamoto, vil mest sannsynlig ikke bli migrert og vil dermed bli “konfiskert”. Dette er naturligvis kontroversielt, noe som vil diskuteres nærmere nedenfor.  

Siden hver enkelt bruker må migrere sine bitcoin til nye kvantesikre adresser, vil bitcoins transaksjonskapasitet utfordres. Slik migrasjon må også konkurrere med ordinære transaksjoner. Det vil derfor kunne ta måneder og opp til år for å migrere alle bitcoin. Det vil også kunne bli kostbart for brukerne, siden transaksjonene er avhengige av gebyrene brukerne tilbyr for å få sin transaksjon prioritert.  

Styringsstrukturen er en utfordring for å gjøre bitcoin mer kvanteresistent

Kvantedatamaskiner kan true kryptografien mange kritiske systemer baserer seg på. Likevel kan det argumenteres for at bitcoin er særlig utsatt. Bitcoin er basert på desentralisert styring og kontroll. Det finnes i prinsippet ingen sentral aktør som kan stoppe transaksjoner, stenge ned systemet, eller raskt endre systemets egenskaper. Denne desentraliseringen er en barriere når det gjelder kvantetrusselen.

Reglene for bitcoin omtales ofte som bitcoinprotokollen og manifesteres i praksis gjennom “Bitcoin Core”, som er en åpen kildekode som forvaltes av enkelte protokollutviklere. Utviklerne anser seg ikke som administratorer, men iverksetter bare protokollen i henhold til sosial konsensus blant brukere, utvinnere og interessenter. Utvinnerne står fritt til å velge hvilken kode de vil bruke, men blokker som ikke følger reglene det er konsensus om, vil normalt bli avvist.

Denne styringsformen gjør endringer vanskelige og tidkrevende. Det har bare blitt gjennomført to store endringer i bitcoin siden starten. Endringsforslag kan skape betydelige konflikter og har i tilfeller ført til at bitcoin splittes i to konkurrende varianter. Den største konflikten er muligens den såkalte “block-size war”, som dreide seg om blokkstørrelsen skulle økes, og endte med at Bitcoin Cash ble etablert som en egen variant med større blokkstørrelse.    

Konservatismen som følger desentralisert styring har noen fordeler, men er en ulempe om bitcoin skal gjøres mer kvanteresistent. Det finnes mange alternative måter å redusere kvanterisikoen på, og ulike interessenter kan ha ulike syn på hvilke som er best. Siden endringer er vanskelig å gjennomføre, er det også viktig å velge riktig løsning. Det er ikke lett siden det kommer nye løsninger til. Det er heller ikke er helt uvanlig at ny kryptografi som skal være kvanteresistent viser seg å ikke være så sikker som man trodde. Det hjelper heller ikke at noen av løsningene krever at blokkstørrelsen økes, som er kontroversielt.

Et stort tema vil også være hva som skal gjøres med de kvantesårbare bitcoinene som stammer fra Satoshi Nakamoto. Mens noen er mer opptatt av at disse må konfiskeres for å hindre verdifall ved salg, mener andre at dette strider mot bitcoins idealer om at transaksjoner ikke skal sensureres.

Noen mener at protokollutviklerne må ta ansvar og fylle en koordinerende funksjon, og kritiserer dem for å ikke gjøre dette. Det stiller imidlertid utviklerne i en vanskelig situasjon. Hvis de tar ansvar. vil de samtidig kunne oppfattes som en sentralisert aktør i strid med bitcoins desentraliseringsideal. En slik rolle vil også gi en indikasjon på at de har en viss kontroll over systemet, som kan ha rettslige konsekvenser.   

Kan kvantetrusselen mot bitcoin utgjøre systemrisiko?

I dag har bitcoin liten direkte nytteverdi som betalingssystem. Det gir heller ingen direkte avkasting å holde bitcoin.  Markedsverdien er basert på vedvarende høy etterspørsel etter bitcoin som et sikkert verdioppbevaringsobjekt og –system. Sikkerheten er knyttet til suverent eierskap gjennom kontroll over kryptografiske løsninger og at desentralisert styring gjør det vanskelig å rokke ved eierskapet og systemets egenskaper mer generelt.  Kvanterisikoen truer verdien. Noen argumenterer for at kvanterisikoen allerede i dag påvirker bitcoins verdi. Blackrock, som står bak verdens største børsnoterte bitcoinfond, inkluderte en advarsel mot kvanterisiko i investeringsdokumentasjonen i mai 2025.

Dersom verdien av bitcoin skulle kollapse som følge av kvanterisiko, vil det få konsekvenser for de som er eksponert mot bitcoin. Bitcoins totale markedsverdi er i dag omkring 1,6 billioner amerikanske dollar. Det er ikke grunn til å tro at verdifall vil true finansiell stabilitet. Til det er beløpet for lite, og bitcoin er antakeligvis ikke tilstrekkelig sammenvevet med det finansielle systemet. Dette kan imidlertid endre seg i takt med økt sammenveving, som beskrevet i andre blogger her på Bankplassen. Derfor kan heller ikke sentralbanker og andre myndigheter som skal fremme finansiell stabilitet ignorere kvantetrusselen mot bitcoin.