BIP-360: Первый шаг Биткойна к квантовой защите – и почему это только «шаг первый»

14 мар. 2026 г.

BIP-360: Первый шаг Биткойна к квантовой защите – и почему это только «шаг первый»

Квантовые вычисления — одна из тех тем, которые колеблются между научной фантастикой и управлением серьезными рисками, особенно для такой сети, как Биткойн, стоимостью в триллион долларов и постоянно находящейся под атакой. За последние два года дискуссия перешла от «реально ли это?» к «если это станет реальностью, какой путь обновления будет самым безопасным, не нарушая при этом социального контракта Биткойна?».

Недавний анализ под названием «Путь обновления Биткойна к квантовой защите: что меняет BIP-360 и что нет» на Cointelegraph помог популяризировать ключевую мысль: наиболее вероятный ответ Биткойна на квантовые угрозы будет поэтапным, а не внезапной криптографической заменой.

Именно здесь на сцену выходит BIP-360.

Почему квантовые вычисления важны для Биткойна (и почему модель угроз неоднозначна)

Безопасность Биткойна в значительной степени опирается на криптографию эллиптических кривых (ECC). Достаточно мощный квантовый компьютер, работающий по алгоритму Шора, теоретически мог бы вывести закрытый ключ из раскрытого публичного ключа, превратив «неподделываемые подписи» в решаемую задачу.

Однако «квантовый риск» — это не единый сценарий. Он делится как минимум на два окна для практических атак:

  • Риск длительного раскрытия: когда публичный ключ (или эквивалентный материал ECC) долгое время виден в блокчейне, что дает злоумышленнику достаточно времени для попытки восстановления ключа.
  • Риск кратковременного раскрытия: когда публичный ключ становится видимым только во время отправки транзакции (например, находясь в мемпуле), что требует от более быстрого атакующего кражи средств до подтверждения.

BIP-360 разработан с учетом этого различия — и это первая подсказка, почему это «только первый шаг». (bip360.org)

Что BIP-360 пытается сделать, одним предложением

BIP-360 предлагает новый тип выходных данных Биткойна, который сохраняет древовидные скрипты в стиле Taproot, но устраняет возможность траты по «пути ключа» Taproot, снижая риск длительного раскрытия квантовых угроз, не требуя от Биткойна внедрения постквантовых подписей уже сейчас. (bip360.org)

Текущий черновик можно прочитать непосредственно в репозитории BIPs Биткойна или через более понятную копию спецификации на BIP360.org.

По состоянию на 14 марта 2026 года он остается в статусе «Черновик» (не активирован, не запланирован), но стал конкретной частью публичного обсуждения дизайна Биткойна, а не расплывчатой идеей «мы разберемся с этим позже». (bip360.org)

Ключевая идея: Taproot имеет специфическую уязвимость для квантовых атак при длительном раскрытии

Taproot (BIP-341) принес значительные преимущества — конфиденциальность, эффективность и современный опыт работы со скриптами через tapscript. Однако он также ввел свойство, которое имеет значение в рамках модели угроз «длительного раскрытия» квантовых атак:

  • Выходные данные Taproot (P2TR) привязываются к объекту, похожему на публичный ключ, как условие блокировки.
  • Это означает, что в блокчейне может содержаться материал ECC, который может стать мишенью задолго до того, как владелец потратит средства.

Авторы BIP-360 рассматривают это как «легкодоступный плод»: если Биткойн сможет сохранить модель скриптов Taproot без принудительного включения долгоживущего публичного ключа в UTXO, то Биткойн сможет снизить один из первых вероятных векторов квантовых атак — не выбирая при этом тяжеловесную схему постквантовых подписей. (bip360.org)

Для более глубоких технических дискуссий (включая критику) лучше всего следить за текущими обсуждениями протокола на Delving Bitcoin. (delvingbitcoin.org)

Что меняет BIP-360 (практический список)

1) Новый тип выходных данных: Pay-to-Merkle-Root (P2MR)

В текущем черновике BIP-360 определяет Pay-to-Merkle-Root (P2MR), выходные данные, которые привязываются к корневому элементу Меркла древовидной структуры скриптов, по духу схожие с возможностями скриптовых путей Taproot — но без возможности траты по пути ключа. (bip360.org)

2) Отсутствие траты по пути ключа (только по пути скрипта)

Taproot предоставляет два основных пути расходования:

  • Путь ключа: «простая» трата, эффективная, но связанная с раскрытием ECC таким образом, который имеет значение для модели длительного раскрытия.
  • Путь скрипта: раскрывает используемую ветвь скрипта.

BIP-360 устраняет путь ключа, вынуждая траты проходить через семантику пути скрипта (при этом сохраняя экосистему tapscript). Именно поэтому он позиционируется как «квантовая устойчивость для скриптовых возможностей, подобных Taproot», а не «постквантовый Биткойн». (bip360.org)

3) Новая версия SegWit и новый префикс адреса

Черновик определяет SegWit v2 для P2MR, что приводит к появлению адресов основной сети, начинающихся с bc1z. (bip360.org)

Это не просто косметическое изменение: новая версия свидетеля (witness) является частью того, как Биткойн может добавлять новые правила валидации через мягкое обновление (soft fork) без нарушения работы старых узлов.

4) Осознанный подход «пути обновления»

Один из самых важных (и легко упускаемых из виду) аспектов BIP-360 — это то, что он сигнализирует культурно:

  • Биткойн может признать квантовый риск без паники.
  • Биткойн может представить примитив с низким риском, который оставляет открытыми возможности для будущей криптографии.

«Сохранение открытых возможностей» важно, потому что постквантовая криптография все еще находится в процессе стандартизации общепризнанных и проверенных решений. Например, NIST в 2024 году финализировал несколько постквантовых стандартов, включая FIPS 204 (ML-DSA) для цифровых подписей — институциональная веха, но не то же самое, что «готовность к немедленному развертыванию в консенсусе Биткойна». (nist.gov)

Что BIP-360 не меняет (и почему это главное)

1) Он не добавляет постквантовые подписи в Биткойн

Это главное ограничение: BIP-360 не заменяет подписи Шнорра (BIP-340) постквантовыми схемами подписей.

Вместо этого он пытается снизить конкретный тип риска раскрытия, выиграть время и создать более безопасную стартовую площадку для последующего, более значимого криптографического перехода. (bip360.org)

2) Он не защищает автоматически ваши существующие монеты

Даже если BIP-360 будет активирован в будущем, ваши существующие UTXO не «магически станут квантово-безопасными». Пользователям потребуется перевести средства на новый тип выходных данных, чтобы получить выгоду.

Свойство «автоматическая миграция отсутствует» является преимуществом (согласие, минимальные сбои), но также означает, что готовность к квантовым угрозам частично является проблемой кошельков и поведения пользователей, а не только проблемой протокола. (cointelegraph.com)

3) Он не решает проблему кражи средств квантовыми атаками с кратковременным раскрытием (в мемпуле)

Если транзакция раскрывает публичный ключ при трате, сверхмощный квантовый злоумышленник сможет — по крайней мере, теоретически — попытаться украсть средства в течение окна подтверждения.

В собственном черновике BIP-360 прямо указывается, что он предназначен для смягчения последствий длительного раскрытия; противодействие атакам с кратковременным раскрытием, вероятно, потребует подлинных постквантовых подписей (или других новых конструкций), которые выходят за рамки данной инициативы. (bip360.org)

4) Он не решает спор о управлении «замороженными монетами»

Периодически возникающий вопрос в дискуссиях о квантовых угрозах для Биткойна является социальным, а не техническим: Что произойдет с монетами, которые не могут быть обновлены? Сюда входят монеты, которые, как доказано, утеряны, и исторически значимые ранние выходные данные.

BIP-360 избегает принудительного принятия решения по этому вопросу. Это ограничение преднамеренно — но именно поэтому это может быть только первым шагом.

Почему это инженерия «первого шага», а не криптографическая революция

Философия обновлений Биткойна консервативна, потому что иначе быть не может. Спешная криптографическая миграция может привести к новым, катастрофическим сбоям — особенно если новые примитивы имеют крайние случаи, подводные камни при реализации или аппаратные ограничения.

Другими словами:

  • Квантово-устойчивый Биткойн — это не единый патч.
  • Это поэтапная программа: снизить легкое раскрытие сейчас, стандартизировать примитивы, протестировать, развернуть осторожно, затем мигрировать в течение многих лет.

Даже соавторы и комментаторы BIP-360 предлагали многолетние сроки миграции при оптимистичных предположениях. Cointelegraph, ссылаясь на соавтора BIP-360, выдвинул идею, что полный переход Биткойна к постквантовым технологиям может занять годы, а не месяцы — в рамках длительного цикла обновлений, а не одного события форка. (cointelegraph.com)

Этот временной горизонт соответствует тому, что долгосрочные держатели, институты и регулируемые кастодианы все чаще спрашивают в 2025–2026 годах: не «безопасен ли Биткойн от квантовых атак сегодня?», а «существует ли достоверная дорожная карта с минимальным хаосом на случай, если квантовые угрозы станут реальными?».

BIP-360 лучше всего воспринимать как то, что Биткойн говорит: мы строим подъездные пути, прежде чем вдавить педаль тормоза.

Что следует делать пользователям Биткойна сегодня? (Практическое, не вызывающее паники руководство)

Квантовые вычисления — это не причина отказываться от Биткойна или панически переводить средства, основываясь на заголовках. Но это является причиной соблюдать надлежащую гигиену ключей и понимать, чему вы подвергаетесь.

Вот разумные действия, которые не зависят от каких-либо будущих форков:

  1. Избегайте повторного использования адресов. Повторное использование увеличивает время, в течение которого материал ключа может быть связан и нацелен.
  2. Понимайте риски, связанные с вашим типом выходных данных. Некоторые типы выходных данных раскрывают публичные ключи раньше, чем другие; это имеет значение конкретно в модели длительного раскрытия.
  3. Поддерживайте программное обеспечение вашего кошелька и устройства для подписи в актуальном состоянии. Если Биткойн со временем примет новые стандартные типы выходных данных, вам понадобится инструментарий, который сможет безопасно выполнить миграцию.
  4. Предпочитайте самостоятельное хранение, если вы хотите контролировать сроки обновления. Если в будущем станет рекомендована миграция для защиты от квантовых угроз, возможность быстро действовать — без риска контрагента — будет иметь значение.

Место аппаратных кошельков в постквантовой дорожной карте

Квантовому злоумышленнику не нужен ваш аппаратный кошелек, чтобы попытаться атаковать с длительным раскрытием — он нацелен на публичные данные в блокчейне. Но аппаратные кошельки по-прежнему важны, поскольку большинство реальных потерь происходит из-за обычных проблем: вредоносное ПО, фишинг, атаки на цепочку поставок и подписание транзакций на скомпрометированных машинах.

Если Биткойн в конечном итоге развернет поэтапный план по смягчению квантовых угроз (BIP-360 или его преемник, плюс более поздние постквантовые подписи), пользователям, вероятно, придется столкнуться с периодом в несколько лет, в течение которого им нужно будет:

  • консолидировать UTXO,
  • мигрировать на новые типы выходных данных,
  • тщательно проверять адреса получения,
  • и подписывать транзакции в соответствии с меняющимися стандартами.

Именно здесь помогает рабочий процесс с использованием аппаратного кошелька, ориентированного на безопасность. OneKey, например, разработан для долгосрочного самостоятельного хранения: он держит закрытые ключи в автономном режиме, поддерживает современные стандарты транзакций Биткойна и может использоваться как для повседневного применения, так и в более осторожных конфигурациях (например, для подписания в изолированной среде на поддерживаемых моделях). В мире, где обновления протокола происходят постепенно и необязательно, наличие надежной инфраструктуры для подписания транзакций является частью готовности к обновлениям — без спешки к спекулятивным изменениям.

Итог

BIP-360 важен, потому что он впервые включает «квантовую устойчивость» в практическую дорожную карту инженерии Биткойна — не делая вид, что проблема решена.

  • Он значительно снижает одну категорию квантового риска (длительное раскрытие) для скриптовых возможностей, подобных Taproot.
  • Он сохраняет консервативный дух обновлений Биткойна.
  • Он оставляет дверь открытой для будущих постквантовых подписей, что является финальной целью.

Вот почему BIP-360 является вехой — и почему это все еще только первый шаг.

Защитите свое криптопутешествие с OneKey

View details for Магазин OneKeyМагазин OneKey

Магазин OneKey

Самый продвинутый аппаратный кошелек в мире.

View details for Загрузить приложениеЗагрузить приложение

Загрузить приложение

Предупреждения о мошенничестве. Поддержка всех монет.

View details for OneKey SifuOneKey Sifu

OneKey Sifu

Ясность в криптовалюте — на расстоянии одного звонка.