Bitcoin a kvantová hrozba: větší bloky, nebo STARK důkazy?

Bitcoin se v příštích letech může dostat pod tlak kvůli nástupu postkvantové kryptografie. Pokud by se síť měla bránit budoucím kvantovým útokům, pravděpodobně by musela přejít na nové typy podpisů, které jsou ale výrazně větší než dnešní řešení. Právě to otevírá zásadní debatu: má Bitcoin zvětšit bloky, nebo využít agregaci podpisů pomocí ZK STARK důkazů?

Podle spoluzakladatele StarkWare Eliho Ben-Sassona představují ZK STARK důkazy nejperspektivnější cestu, jak Bitcoin připravit na postkvantovou éru a zároveň nezničit jeho škálovatelnost. Část odborníků však upozorňuje, že vedle samotné kryptografie bude rozhodující hlavně politika a správa bitcoinového protokolu, kde se i malé změny prosazují velmi obtížně.

Proč postkvantové podpisy představují problém

Samotné přidání zero-knowledge důkazů ještě z Bitcoinu automaticky neudělá kvantově odolnou síť. Hlavní problém spočívá v tom, že postkvantové podpisové algoritmy, které dnes získávají podporu například od amerického institutu NIST, jsou zhruba 10krát až 100krát větší než současné bitcoinové podpisy ECDSA a Schnorr. To by znamenalo výrazně větší nároky na prostor v blocích, přenos dat i ověřování transakcí.

Pokud by Bitcoin přešel na velké postkvantové podpisy bez dalších úprav, mohlo by to dramaticky snížit jeho propustnost. V krajním případě by síť mohla zpracovávat méně než jednu transakci za sekundu, což by pro globální platební systém bylo velmi problematické. Nejde tedy jen o bezpečnost vůči budoucím kvantovým počítačům, ale i o to, zda by Bitcoin zůstal použitelný pro širší veřejnost.

Ben-Sasson tvrdí, že právě zde přichází ke slovu agregace podpisů pomocí ZK STARK. Místo ukládání všech velkých podpisů přímo do bloku by bylo možné zkomprimovat jejich platnost do malého kryptografického důkazu. Výsledný důkaz by mohl být dokonce menší než dnešní sada běžných podpisů, což by teoreticky mohlo síť nejen zachránit před zpomalením, ale v některých ohledech i zefektivnit.

Jednodušší varianta: zvýšení velikosti bloků

Alternativou je prostší technické řešení, tedy zvýšení kapacity bitcoinových bloků. Autor PostQuantum.com a zakladatel Applied Quantum Marin Ivezic uvedl, že SegWit sice už dříve dopad velkých podpisů částečně zmírnil, ale ani to nestačí. Podle jeho modelů by při využití schématu ML-DSA-44 s podpisem o velikosti 2420 bajtů klesla kapacita bloku přibližně na 500 až 700 transakcí, zatímco dnes se běžně pohybuje kolem 2500 až 3000 transakcí.

Právě zde se znovu vrací stará bitcoinová debata o velikosti bloků. Zvýšení limitu by sice bylo z pohledu inženýrství přímočaré, ale zároveň jde o citlivé téma, které v minulosti komunitu silně rozdělilo. Spor z roku 2017 ukázal, že otázka větších bloků není jen technická, ale především ideologická. Odpůrci argumentují tím, že větší bloky znamenají vyšší nároky na hardware, úložiště a konektivitu, což může postupně tlačit síť k centralizaci.

Ivezic tuto variantu označuje za jednoduchou technickou odpověď, ale zároveň za nejtěžší odpověď z hlediska governance. Každý plnohodnotný uzel by musel nést, ukládat a ověřovat výrazně více dat. To je přesně ten typ změny, který je v bitcoinovém prostředí mimořádně obtížné prosadit, zvlášť pokud existuje obava, že by tím utrpěla decentralizace.

Blockstream hledá vlastní postkvantovou cestu

Do debaty vstupuje i výzkum společnosti Blockstream, která v posledních měsících experimentuje s kompresí hashových postkvantových podpisů pro Bitcoin. Výsledkem jsou schémata SHRINCS a SHRIMPS. Podle dostupných informací mají běžné podpisy asi pětkrát větší než současné bitcoinové podpisy, ale v některých scénářích, například při obnově peněženky po ztrátě, mohou být až čtyřicetkrát větší.

Schéma SHRINCS už bylo použito k podepisování reálných transakcí na sidechainu Liquid, což ukazuje, že nejde jen o akademický experiment. Vývoj je ale stále v rané fázi a naráží na otázky složitosti i použitelnosti. Pokud by se takto velké podpisy nasadily bez dalších optimalizací, opět by to znamenalo tlak na zvětšení bloků nebo jiné škálovací úpravy.

To je důvod, proč část výzkumníků považuje samotné zvětšení bloků za nedostatečné řešení. Může sice pomoci absorbovat větší datový objem, ale neřeší elegantně dlouhodobý problém efektivity. V prostředí, kde se hraje o zachování nízkých nároků na provoz uzlů, je to navíc politicky velmi citlivý zásah.

Co přinášejí ZK STARK důkazy

ZK důkazy v nejjednodušším vysvětlení umožňují prokázat pravdivost určitého tvrzení, aniž by bylo nutné zveřejnit všechny detaily. V bitcoinovém kontextu by to znamenalo, že síť dostane důkaz o tom, že sada podpisů je platná, aniž by musela do bloku ukládat každý jednotlivý velký podpis v plné velikosti. Agregace tisíců podpisů do jediného malého důkazu je hlavní argument zastánců STARK přístupu.

Další výhodou je, že vytvoření důkazu pro konkrétní blok by teoreticky stačilo provést jednou, případně s několika záložními instancemi kvůli redundanci. Ověření takového důkazu je pak relativně nenáročné a podle zastánců může běžet i na velmi skromném hardwaru, například na zařízení typu Raspberry Pi. To je z pohledu decentralizace zásadní, protože nízké nároky na verifikaci pomáhají udržet širokou dostupnost provozu uzlů.

Ben-Sasson zdůrazňuje, že ZK STARK jsou postavené na hashových předpokladech, jsou postkvantově bezpečné a nevyžadují trusted setup. Právě absence důvěryhodné inicializace je v bitcoinové komunitě důležitá, protože snižuje potřebu věřit konkrétní instituci nebo omezené skupině účastníků. Z pohledu bezpečnostní filozofie Bitcoinu jde o velmi silný argument.

Mají pro STARK podporu i lidé z bitcoinového prostředí?

Podle Ben-Sassona se o ZK STARK pozitivně zajímali už dříve známí bitcoinoví vývojáři, například Greg Maxwell nebo Mike Hearn. Tvrdí také, že vstřícněji se k této technologii staví i vývojář Bitcoin Core Luke Dashjr a zakladatel Blockstream Adam Back. Přímé veřejné potvrzení od Backa však v daném materiálu chybí, protože na žádost o komentář nereagoval.

Samotná zmínka těchto jmen je přesto důležitá. V bitcoinovém světě totiž nestačí, aby bylo řešení jen technicky kvalitní. Potřebuje také určitou míru legitimity mezi respektovanými vývojáři, výzkumníky a správci infrastruktury. Bez takové podpory se i silný technický návrh může na dlouhé roky zaseknout v debatách.

Ve prospěch širší adopce ZK agregace se vyslovil také výzkumník Etherea Justin Drake, který by rád viděl sjednocení podobných technologií napříč odvětvím. V případě Bitcoinu ale může narazit na kulturní a politické limity. Bitcoin je při změnách základní vrstvy mnohem konzervativnější než většina ostatních sítí.

Bitcoinové návrhy: OP_CAT, OP_STARK_VERIFY a BitZip

Za politicky nejrealističtější cestu k zavedení ZK funkcionality do Bitcoinu bývá označováno znovuzavedení OP_CAT. Jde o starý opcode, který napsal už Satoshi Nakamoto, ale později byl z protokolu odstraněn. Podle Ben-Sassona by právě jeho návrat mohl otevřít dveře pro STARK důkazy, agregaci podpisů a tím i praktičtější postkvantovou ochranu.

Zájem o OP_CAT byl silný zhruba před jedním až dvěma lety, v poslední době ale ztratil část dynamiky. To ovšem v bitcoinové správě nic definitivně neznamená, protože podobné návrhy se mohou po delší době znovu vrátit do centra pozornosti. Přesto je zřejmé, že i relativně malá změna skriptovacího systému může vyžadovat roky debat.

Vedle OP_CAT existují i ambicióznější návrhy. Jedním z nich je OP_STARK_VERIFY, tedy speciální opcode určený přímo pro efektivnější ověřování STARK důkazů v Bitcoin Scriptu. Další variantou je koncept BitZip od Ethana Heilmana, spoluautora BIP-360, který navrhuje agregovat bitcoinové podpisy a veřejné klíče do jediného STARK důkazu.

Heilman dříve popsal dvě hlavní cesty. Buď přidat do Bitcoinu sadu obecnějších opcode instrukcí a nad nimi postavit řešení podobné ZK rollupu, nebo podporovat STARK přímo na úrovni konsenzu. Zmínil ale i méně výkonné agregační mechanismy, například CISA neboli Cross Input Signature Aggregation, které by mohly část problému zmírnit, i když by nemusely přinést tak výrazné přínosy jako plnohodnotná STARK agregace.

Technologie možná dozrává, governance zůstává překážkou

Marin Ivezic upozorňuje, že hlavní slabinou není samotná kryptografie, ale všechno okolo ní. Podle něj je Ben-Sassonova kryptografie robustní: stojí na hashových předpokladech, nevyžaduje trusted setup a dokáže komprimovat tisíce podpisů do malého důkazu. Problém je v tom, že dnešní Bitcoin Script nedokáže STARK důkaz ověřit nativně a zavedení produkčního verifieru by znamenalo výrazné rozšíření konsenzuální plochy protokolu.

Právě to je podle něj důvod, proč je realistické uvažovat o podobné změně spíše v horizontu 30. let. Pokud se i malý opcode jako OP_CAT řeší roky, pak plnohodnotný STARK verifier v základní vrstvě Bitcoinu představuje řádově těžší diskusi. Z technologického hlediska tedy může být řešení na dohled, ale z hlediska sociální koordinace a správy sítě zůstává vzdálené.

Tento rozpor je pro Bitcoin typický. Síla sítě spočívá právě v tom, že se nemění snadno a odolává unáhleným zásahům. Zároveň ale tato vlastnost může zpomalit reakci na nová rizika, pokud by se kvantová hrozba začala přibližovat rychleji, než dnes trh očekává.

Ethereum, Solana a Starknet postupují jinak

Ve srovnání s Bitcoinem pracují jiné blockchainy na postkvantové odolnosti svižněji. Ethereum míří podle současných plánů k přechodu kolem roku 2029 a také Solana experimentuje s integrací postkvantových podpisů. To ale neznamená, že by měly vyhráno. Ben-Sasson upozorňuje, že přechod na postkvantovou infrastrukturu bude i pro tyto sítě mimořádně náročný.

Výhodu podle něj má Starknet, který už dnes využívá account abstraction a chytré peněženky. Díky tomu není klíčová kryptografie pevně zabetonovaná do každého uživatelského účtu a infrastrukturu lze snáze modernizovat bez nutnosti, aby všichni uživatelé ručně převáděli prostředky na nové adresy. Tento typ flexibility Bitcoinu v základní vrstvě chybí, což celý proces dále komplikuje.

Právě zde se ukazuje širší rozdíl filozofií. Zatímco Ethereum a sítě kolem něj často preferují rychlejší evoluci funkcí a architektury, Bitcoin staví na maximální stabilitě a opatrnosti. V kontextu postkvantové bezpečnosti tak může být Bitcoin paradoxně bezpečnější v konzervativním přístupu, ale zároveň pomalejší v praktickém nasazení potřebných změn.

Co z toho plyne pro budoucnost Bitcoinu

Debata o kvantové odolnosti Bitcoinu se postupně přesouvá z teoretické roviny do konkrétnějších technických návrhů. Dnes už nejde jen o otázku, zda kvantové počítače jednou prolomí současné podpisové schéma, ale také o to, jakou cenu bude mít obrana v podobě větších dat, složitější infrastruktury a politicky citlivých změn protokolu.

Zvětšení bloků představuje přímou, ale hrubou cestu. ZK STARK agregace naopak slibuje elegantnější a potenciálně decentralizovanější řešení, jenže vyžaduje významné úpravy bitcoinového prostředí a dlouhý konsenzuální proces. V praxi tak nemusí zvítězit nejlepší technologie, ale ta, která bude mít největší šanci projít komunitní správou.

Jisté zatím je jediné: pokud se Bitcoin bude chtít připravit na postkvantovou budoucnost bez dramatického omezení použitelnosti, bude muset řešit nejen kryptografii, ale i škálování a governance. A právě střet mezi technickou elegancí a konzervativní správou sítě bude v příštích letech jedním z nejdůležitějších témat celého bitcoinového ekosystému.

Přihlášení k odběru novinek

(Novinky budou zasílány pravidelně každý den v 6 hodin ráno.)

Novinky

Mohlo by vás také zajímat