Resumo da notícia
Comunidade debate assinaturas pós-quânticas com profundidade técnica.
Pesquisadores alertam para riscos e custos da computação quântica.
Equipe do Bitcoin Core acelera estudos para garantir segurança futura.
Embora defensores da criptografia do Bitcoin como Adam Back e Jimmy Song defendam que a computação quântica não representa qualquer risco para a segurança do BTC, desenvolvedores do Bitcoin Core, reconhecem que embora a ameaça ainda pareça distante, a necessidade de uma proteção precisa ser tratada com antecedência.
A discussão ganhou força recentemente no grupo de discussões do Bitcoin Core, após uma série de análises públicas conduzidas por desenvolvedores respeitados na área de criptografia, como Mikhail Kudinov, Jonas Nick, Greg Maxwell, Conduition, Boris Nagaev e Olaoluwa Osuntokun.
O tema é delicado porque qualquer mudança como essa na base do código do Bitcoin exige um hard fork, que depende do consenso entre todos os participantes, incluindo desenvolvedores, operadores de nós, exchanges, comunidades, empresas, e, principalmente mineradores, que seriam os mais afetados no caso, pois as ASICs atuais perderiam suas funções, ou seja, todos os mineradores teriam que trocar suas máquinas.
Entre os participantes das discussões, há consenso de que o trabalho deve começar agora, mesmo que a execução aconteça ao longo de vários anos. A meta é impedir que futuros computadores quânticos avancem sobre os mecanismos atuais de assinatura baseados em curvas elípticas.
Opções pós-quânticas para Bitcoin
As conversas ganharam impulso depois que Mikhail Kudinov e Jonas Nick, pesquisadores da Blockstream, publicaram uma análise detalhada sobre esquemas de assinaturas resistentes à computação quântica. Eles defendem que soluções hash-based, como SPHINCS+ e SLH-DSA, oferecem segurança por dependerem apenas da força das funções de hash, algo já fundamental no Bitcoin.
No documento e nas mensagens enviadas ao grupo de desenvolvedores, Kudinov e Jonas Nick mostraram como ajustes nos parâmetros podem reduzir significativamente o tamanho das assinaturas. Em cenários controlados, seria possível reduzir assinaturas de quase 8 KB para cerca de 4 KB. Eles reforçaram ainda que as chaves públicas desses esquemas são extremamente pequenas, o que representa um ponto positivo para carteiras e dispositivos de baixo consumo.
Greg Maxwell, um dos desenvolvedores mais respeitados do ecossistema, acrescentou uma crítica importante. Ele destacou que qualquer aumento no tamanho das assinaturas precisa ser avaliado considerando o impacto na verificação de blocos completos. Como destacou Maxwell, blocos cheios de assinaturas grandes podem elevar o custo de validação para níveis preocupantes.
A visão de Maxwell influenciou diretamente o rumo da conversa, lembrando que a segurança do Bitcoin depende da capacidade de qualquer pessoa verificar blocos com hardware simples. Assim, a eficiência não pode ser sacrificada.
Debates sobre derivação de chaves com SLH-DSA e ML-DSA
Nesse ponto, Conduition apresentou uma das análises mais técnicas. Ele discutiu o desafio de usar assinaturas hash-based em carteiras determinísticas compatíveis com o padrão BIP32. Segundo ele, o SLH-DSA não possui estrutura matemática que permita derivar chaves públicas da mesma forma que ocorre hoje com as carteiras HD.
Conduition sugeriu investigações sobre alternativas como ML-DSA e SQIsign, que poderiam oferecer meios de derivação mais flexíveis, embora ainda sem propostas concretas. Ele também explicou que uma possível solução seria construir árvores Taproot contendo:
uma chave SLH-DSA estática;
chaves derivadas de esquemas estruturados como ML-DSA;
e uma chave Schnorr derivada pelo BIP32 tradicional.
Essa proposta chamou atenção pela criatividade, mas trouxe preocupações. Conduition apontou que, ao usar SLH-DSA de forma repetida, um usuário poderia expor conexões entre endereços, prejudicando a privacidade. A solução sugerida envolve o uso de nonces aleatórios para evitar repetição de hashes em tap trees.
Desafios práticos em dispositivos reais
Olaoluwa Osuntokun, conhecido pelo trabalho na Lightning Network, aprofundou o debate ao apresentar estudos sobre desempenho de assinaturas pós-quânticas em hardware real. Ele citou benchmarks da Trezor mostrando que uma única assinatura SLH-DSA pode levar até 75 segundos em aparelhos compactos.
Osuntokun também mencionou pesquisas que exploram derivação hierárquica em esquemas pós-quânticos. Entre elas está o estudo sobre DilithiumRK, uma modificação do ML-DSA que possibilita derivação semelhante ao BIP32, mas com custos de desempenho elevados.
A intervenção dele deixou claro que o futuro das carteiras dependerá de novos chips, aceleradores de hash ou pequenos FPGAs. Sem isso, assinaturas pós-quânticas podem se tornar impraticáveis para usuários comuns.
Outro ponto recorrente nas discussões foi a necessidade de alinhamento com os padrões definidos pelo NIST, órgão responsável pela padronização da criptografia pós-quântica. Alguns desenvolvedores defendem o uso das versões oficiais dos algoritmos. Outros, como Conduition, acreditam que o Bitcoin pode adotar parâmetros customizados, mantendo compatibilidade com o algoritmo base, mas criando benefícios práticos.
Boris Nagaev também contribuiu com análises profundas sobre multisig e computação multipartidária (MPC). Ele avaliou a possibilidade de produzir assinaturas hash-based usando MPC para transformar um multisig tradicional em uma assinatura única. Porém, após cálculos, percebeu que esse processo seria lento e pesado demais, tornando a ideia impraticável no curto prazo.
Kudinov complementou que, segundo estudos citados por ele, gerar uma única assinatura SPHINCS+ via MPC poderia levar mais de 85 minutos, o que tira a solução do campo operacional.