Attenzione sviluppatori Bitcoin: Google fissa il termine per la migrazione post-quantum entro il 2029

Quando Google presentò il suo chip quantistico Willow a dicembre 2024, la reazione dominante nel settore delle criptovalute fu che la minaccia quantistica fosse ancora lontana. Bitcoin si basa su SHA-256 per il mining e su ECDSA per le firme digitali, algoritmi teoricamente vulnerabili a una decrittazione quantistica, ma il consenso tecnico riteneva che servissero decenni prima che ciò diventasse praticabile: per violare quelle difese occorrerebbero milioni di qubit fisici; Willow ne aveva appena 105.

Sedici mesi dopo, la valutazione è cambiata in modo significativo e Google non esclude più scenari precedentemente ritenuti remoti. L’azienda ha fissato l’obiettivo di completare la migrazione dei suoi servizi di autenticazione verso la crittografia post-quantistica entro il 2029, citando progressi nell’hardware quantistico, nella correzione degli errori e nelle stime delle risorse necessarie per il factoring.

Il team di ingegneria della sicurezza di Google ha dichiarato:

“I computer quantistici rappresenteranno una minaccia significativa per gli standard crittografici attuali, in particolare per la crittografia a chiave pubblica e le firme digitali. La minaccia alle firme digitali richiede una transizione alla crittografia post-quantistica prima dell’avvento di un computer quantistico crittograficamente rilevante.”

Questi rischi non sono rimasti soltanto su carta: Android 17 sta già integrando protezioni per firme digitali post-quantistiche, Chrome supporta lo scambio di chiavi post-quantistiche e Google Cloud propone soluzioni post-quantistiche per i clienti enterprise.

Perché la differenza tra computer classici e quantistici conta

I computer classici elaborano informazioni come bit, ognuno dei quali è 0 o 1, e risolvono problemi esplorando le possibilità una alla volta. I computer quantistici usano qubit, che possono trovarsi in sovrapposizione di 0 e 1 contemporaneamente, consentendo l’esplorazione parallela di un enorme insieme di possibilità.

Per la maggior parte delle applicazioni quotidiane il vantaggio è trascurabile, ma su problemi matematici specifici — come il fattorizzare grandi numeri primi alla base della crittografia moderna — una macchina quantistica sufficientemente potente potrebbe risolvere in pochi minuti problemi che a un computer classico richiederebbero più tempo dell’età dell’universo.

Bitcoin utilizza ECDSA per firmare le transazioni; questa categoria di crittografia è esattamente quella che Google indica come bisognosa di una migrazione prima dell’arrivo di un computer quantistico capace di violarla. Un computer quantistico adeguato, eseguendo l’algoritmo di Shor, potrebbe ricavare la chiave privata da una chiave pubblica esposta sulla blockchain, permettendo così a un attaccante di spendere bitcoin i cui indirizzi siano stati resi pubblici.

Da Willow alle nuove priorità: cosa è cambiato

Quando il chip Willow fu descritto, la matematica dietro la fattibilità sembrava rassicurante: per eseguire l’algoritmo di Shor contro gli schemi correnti servirebbero alcune migliaia di qubit logici, e ciascun qubit logico richiede a sua volta migliaia di qubit fisici per il controllo degli errori. Questo ragionamento portava all’ipotesi di milioni di qubit fisici rispetto ai 105 di Willow, apparendo come un divario abissale.

Tuttavia non è tanto il conto dei singoli qubit ad essere mutato nel frattempo, quanto la traiettoria della correzione degli errori e la risposta istituzionale. Google è passata da dimostrazioni di correzione degli errori “sotto soglia” — il primo passo per trasformare qubit rumorosi in qubit logici utilizzabili — a fissare una scadenza aziendale per la migrazione in meno di due anni. Quando chi costruisce i computer quantistici indica una deadline, questo segnala che il divario si sta riducendo più in fretta di quanto suggerissero le comunicazioni pubbliche precedenti.

Vitalik Buterin aveva già chiesto urgenza nell’ottobre 2024, anticipando alcune delle discussioni successive:

“Esperti di computer quantistici come Scott Aaronson hanno iniziato a considerare con maggiore serietà la possibilità che i computer quantistici funzionino nel medio termine. Questo ha conseguenze sull’intero percorso di sviluppo: ogni componente del protocollo che oggi dipende da curve ellittiche dovrà trovare un sostituto resistente ai quanti, basato su hash o altre soluzioni.”

Come stanno reagendo Ethereum e Bitcoin

La risposta delle due principali reti blockchain è molto diversa per struttura e velocità. Ethereum ha interpretato l’avvertimento come una direttiva operativa e ha avviato un programma pluriennale: otto anni di lavoro che oggi si traducono in devnet settimanali, in una roadmap pubblica dettagliata e in milestone distribuite su più fork.

La Ethereum Foundation, il team di crittografia, l’architettura del protocollo e la squadra di coordinamento hanno costruito una strategia che riguarda strati multipli del protocollo, con più di dieci team client che testano interoperabilità post-quantistica e tappe progettate per introdurre un registro di chiavi post-quantistiche fino a raggiungere un consenso completamente resistente ai quanti.

La governance di Bitcoin, invece, rende più difficile un’azione coordinata su larga scala. Non esiste un’entità centrale equivalente alla Ethereum Foundation che possa finanziare e dirigere un programma di ingegneria pluriennale. Le modifiche al protocollo richiedono un ampio consenso tra una comunità di sviluppatori decentralizzata che storicamente procede con gradualità: caratteristica questa che favorisce la stabilità ma complica la risposta a scadenze stringenti. L’ultimo aggiornamento crittografico importante, Taproot, richiese anni di discussione prima dell’attivazione nel 2021.

Attualmente non esiste per Bitcoin un programma equivalente, una roadmap coordinata o un piano di fork con tappe chiaramente definite: mancano un impegno multi-team strutturato e milestone pubbliche.

Nic Carter ha espresso in modo netto la sua valutazione:

“La crittografia a curve ellittiche è sull’orlo dell’obsolescenza. Che siano tre o dieci anni, è finita e dobbiamo accettarlo. L’unica cosa che conta è quanto rapidamente gli sviluppatori delle blockchain capiranno che devono progettare la mutabilità crittografica nelle loro reti.”

Nic Carter ha inoltre confrontato i due approcci:

“L’approccio di Ethereum è ‘best in class’: si riuniscono e annunciano una roadmap PQ specifica e dettagliata entro il 2029, la pongono come priorità strategica e la integrano nel lavoro in corso. L’approccio di Bitcoin è ‘worst in class’: nessuna strategia coerente, nessuna roadmap.”

Non tutti condividono lo stesso livello di urgenza. Alcune società del settore sostengono che il rischio imminente sia esagerato e stimano che solo una quantità limitata di BTC sia concentrata in indirizzi legacy sufficientemente vulnerabili da provocare una significativa perturbazione di mercato, mentre una parte consistente della fornitura esposta risulta distribuita su molti portafogli di dimensioni medie, rendendo l’attacco individuale poco pratico e poco redditizio.

Il nodo politico e tecnico della transizione

La questione non è se la computazione quantistica rappresenterà in futuro una minaccia per la crittografia delle blockchain: Google, la Ethereum Foundation, il NIST e numerosi esperti concordano sul fatto che la minaccia arriverà. La domanda cruciale è se un orizzonte temporale di pochi anni sia sufficiente per migrare un protocollo globale e decentralizzato che non dispone di un’autorità centrale in grado di imporre scadenze e che non ha un apparato di ingegneria coordinato e centralizzato.

Ethereum sostiene di aver impiegato gli ultimi otto anni per preparare una transizione articolata su più fork; Google indica il 2029 come scadenza e ha già iniziato a integrare soluzioni post-quantistiche nei suoi prodotti. La risposta di Bitcoin al momento è prevalentemente silenziosa, e alcuni osservatori avvertono che, se il silenzio dovesse persistere, il mercato comincerà a scontare diversità di priorità tra reti, con possibili implicazioni anche sui prezzi relativi.

Nel complesso, il panorama mostra una transizione in atto: la tecnologia quantistica avanza su più fronti, le istituzioni e le piattaforme stanno rispondendo con programmi e roadmap, e la sfida principale rimane la capacità delle reti decentralizzate di coordinare, finanziare e attuare cambiamenti crittografici su scala globale entro tempistiche che riducano i rischi sistemici.