BTQ lancia un testnet quantistico per Bitcoin: cosa rischia Old BTC

Il rischio quantistico per Bitcoin ruota principalmente sull’esposizione delle chiavi pubbliche e sulla sicurezza delle firme digitali. Il testnet lanciato da BTQ Technologies esplora l’uso di firme resistenti al quantum in un ambiente simile a Bitcoin, evidenziando però costi operativi rilevanti: le firme post-quantistiche aumentano significativamente la dimensione delle transazioni e la domanda di spazio nei blocchi. Il cosiddetto “rischio dei vecchi BTC” è concentrato soprattutto nei tipi di output legacy e nei casi di riutilizzo degli indirizzi.

Il testnet Bitcoin Quantum di BTQ

BTQ Technologies ha annunciato il lancio di un testnet denominato «Bitcoin Quantum», un reticolo simile a Bitcoin progettato per sperimentare firme post-quantistiche senza coinvolgere la governance della mainnet. L’obiettivo è verificare, in condizioni realistiche, come si comporterebbero firme alternative nell’intero ciclo di vita di una transazione: creazione del portafoglio, firma, verifica e mining.

Nella sua implementazione il testnet sostituisce lo schema di firma corrente con ML-DSA, uno schema a base di reticoli modulo formalizzato dal NIST come FIPS 204 per le firme post-quantistiche. Questo cambiamento introduce compromessi di ingegneria per accomodare firme molto più voluminose rispetto alle firme a curva ellittica.

Qual è il cambiamento in termini quantistici

Le preoccupazioni quantistiche per Bitcoin riguardano soprattutto le firme digitali, non la quantità di moneta né la possibilità che un computer quantistico “indovini” portafogli a caso. Il modello di minaccia prevalente è che un computer quantistico crittograficamente rilevante (CRQC) possa eseguire Shor per risolvere efficientemente il problema del logaritmo discreto e ricavare una chiave privata a partire da una chiave pubblica già visibile onchain.

In questo scenario la capacità di generare firme valide con la chiave privata ricavata permetterebbe di autorizzare spese non volute. La criticità dipende quindi dall’esposizione della chiave pubblica: se la chiave è già pubblica sulla blockchain, un futuro CRQC potrebbe tentare di recuperarne la corrispondente privata offline.

Esposizione a lungo e breve termine

Gli analisti distinguono due modalità di esposizione: esposizione a lungo termine, quando le chiavi pubbliche sono già visibili onchain per alcuni tipi di script legacy o a causa del riutilizzo degli indirizzi; esposizione a breve termine, quando la chiave viene rivelata al momento della trasmissione della transazione e rimane visibile solo per la finestra temporale che precede la conferma.

Va precisato che, allo stato attuale, non esiste un computer quantistico in grado di porre un rischio immediato a Bitcoin. La discussione su mining e altri impatti rimane distinta dalla tematica specifica della rottura delle firme.

Dimensione delle firme e impatto sulla capacità

Le firme basate su ML-DSA sono di gran lunga più grandi delle firme ECDSA o Schnorr: stime derivate dall’esperimento indicano un aumento della dimensione delle firme nell’ordine di 38–72 volte. Per far fronte a questo, il testnet di BTQ Technologies ha innalzato il limite del blocco a 64 mebibyte (MiB), creando lo spazio necessario alle transazioni più voluminose.

Questo esempio pratico mette in luce l’impatto diretto delle firme post-quantistiche su banda, memorizzazione e costi di verifica. Ogni proposta di migrazione dovrà affrontare questi vincoli di capacità, oltre alle questioni di coordinamento sociale e implementativo.

Dove si concentra il rischio sui “vecchi” BTC

Per “rischio dei vecchi BTC” si intende principalmente la porzione di moneta associata a chiavi pubbliche già esposte onchain. Tre tipi di output risultano immediatamente più vulnerabili a un attacco a lungo termine perché inseriscono chiavi a curva ellittica direttamente nello script di locking (ScriptPubKey): P2PK (Pay-to-Public-Key), P2MS (Pay-to-Multi-Signature) e P2TR (Pay-to-Taproot).

La distribuzione risulta sbilanciata: P2PK rappresenta una quota molto piccola degli UTXO — circa lo 0,025% — ma contiene una porzione sproporzionata del valore totale, stimata intorno all’8,68% (circa 1.720.747 BTC), in gran parte monete ormai inattive dall’era di Satoshi. P2MS copre circa l’1,037% degli UTXO, con una quantità di valore contenuta, mentre P2TR è frequente per numero di UTXO (circa il 32,5%) ma relativamente piccola per valore nel medesimo istantaneo, circa lo 0,74% (circa 146.715 BTC).

Il riutilizzo degli indirizzi trasforma esposizioni temporanee in esposizioni permanenti: una volta che una chiave pubblica è apparsa onchain rimane visibile, aumentando la finestra di vulnerabilità teorica rispetto a un futuro CRQC.

Mitigazioni possibili a livello di protocollo

La preparazione quantistica a livello di protocollo è spesso concepita come un percorso graduale. Data la maggiore ingombro delle firme post-quantistiche, molte proposte preferiscono prima ridurre l’esposizione strutturale esistente, evitando di vincolare la rete a un singolo algoritmo post-quantistico in tempi brevi.

Un esempio concreto è il BIP 360, che propone un nuovo tipo di output chiamato P2TSH (Pay-to-Tapscript-Hash). P2TSH mantiene la compatibilità con la struttura di Taproot ma elimina la possibilità di spesa tramite il percorso basato su chiave (key-path), cioè la strada che espone firme a curva ellittica, lasciando come opzione una spesa nativa da script che può essere progettata per essere resistente al quantum.

Concetti affini sono circolati nella comunità degli sviluppatori sotto l’etichetta “hash-only” o “script-spend” nella famiglia di Taproot, talvolta descritti come costrutti in stile P2QRH (Pay-to-Quantum-Resistant-Hash). L’approccio generale mira a usare la struttura esistente limitando la dipendenza da firme vulnerabili.

In ogni caso, le soluzioni non sono ancora definitive: la transizione, se e quando verrà decisa, sarà principalmente un problema di coordinamento incrementale che bilancerà conservatorismo, compatibilità e costi di modifica del formato delle transazioni.

Perché il testnet è rilevante

Il testnet di BTQ Technologies non risolve il dibattito sui tempi o sulle scelte tecnologiche, ma offre un banco di prova operativo. Due punti emergono con forza: il modello di minaccia più credibile rimane legato alle chiavi già esposte, e una versione post-quantistica di Bitcoin solleva questioni pratiche di ingegneria e capacità.

Sperimentare con una soluzione come ML-DSA e con blocchi ampliati per ospitare firme più grosse consente a sviluppatori e operatori di misurare costi reali, problemi di sincronizzazione, requisiti di storage e impatti sul mining e sugli explorer, senza intendere che la mainnet sia prossima a essere violata.

Osservabilità e preparazione: i prossimi passi

A breve termine il lavoro più concreto è sull’osservabilità e sulla preparazione pratica. Poiché il modello di minaccia dipende dall’esposizione delle chiavi pubbliche, è importante che i portafogli e le pratiche di scripting riducano il riutilizzo degli indirizzi e limitino le situazioni in cui le chiavi vengono rivelate in modo non necessario.

Un ulteriore fattore è la capacità del blocco: anche con un accordo sociale per migrare a firme post-quantistiche, la transizione richiederà tempo e larghezza di banda. Studi accademici mostrano quanto le tempistiche possano variare in funzione delle assunzioni: scenari teorici in cui tutte le transazioni sono migrazioni comprimono i tempi, mentre condizioni realistiche di blocco limitato possono allungare la transizione per anni, senza contare le sfide di governance.

Infine, la tecnologia dei computer quantistici ha ancora limiti pratici significativi: il problema principale è il rumore e la necessità di correzione degli errori. Per eseguire calcoli sufficientemente lunghi e affidabili servono molte qubit fisiche per ottenere poche qubit logiche stabili, il che sposta a medio-lungo termine la realizzazione di macchine capaci di infrangere la crittografia odierna.

Conclusione

Il testnet Bitcoin Quantum fornisce un laboratorio operativo per valutare i compromessi tecnici e di capacità legati a firme post-quantistiche. Esso conferma che la preoccupazione più ragionevole riguarda monete associate a chiavi già esposte e che la migrazione verso soluzioni resistenti al quantum è essenzialmente un problema di ingegneria, capacità di coordinamento e priorità politiche. Monitorare l’esposizione delle chiavi, ridurre il riutilizzo degli indirizzi e valutare proposte conservative come BIP 360 sono passi concreti per aumentare la resilienza senza imporre scelte tecniche premature.