Default
Door Remote - 18 Apr 2026
In deel 1 van deze serie werd uitgelegd wat kwantumcomputers eigenlijk zijn. Niet alleen snellere versies van gewone computers, maar een fundamenteel ander soort machine die gebruik maakt van de vreemde natuurkundige regels die alleen van toepassing zijn op de schaal van atomen en deeltjes.
Maar als je weet hoe een kwantumcomputer werkt, weet je nog niet hoe een slechte actor deze kan gebruiken om bitcoin te stelen. Dat vereist inzicht in wat het feitelijk aanvalt, hoe de beveiliging van Bitcoin is opgebouwd en waar precies de zwakte zit.
Dit stuk begint met de codering van bitcoin en werkt door tot het negen minuten durende venster dat nodig is om deze te doorbreken, zoals geïdentificeerd door Google's recente quantum computing-paper.
De eenrichtingskaartBitcoin gebruikt een systeem dat elliptische curve-cryptografie wordt genoemd om te bewijzen wie wat bezit. Elke portemonnee heeft twee sleutels. Een privésleutel, een geheim nummer van 256 cijfers in binair getal, ongeveer net zo lang als deze zin. Een publieke sleutel wordt afgeleid van de private sleutel door een wiskundige bewerking uit te voeren op de specifieke curve genaamd "secp256k1".
Zie het als een eenrichtingskaart. Begin op een bekende locatie op de curve waar iedereen het over eens is, het zogenaamde generatorpunt G (zoals weergegeven in de onderstaande grafiek). Neem een privéaantal stappen in een patroon dat wordt gedefinieerd door de wiskunde van de curve. Het aantal stappen is uw privésleutel. Waar u op de curve terechtkomt, is uw openbare sleutel (punt K in de grafiek). Iedereen kan verifiëren dat u op die specifieke locatie bent beland. Niemand kan achterhalen hoeveel stappen je hebt genomen om daar te komen.
Technisch gezien wordt dit geschreven als K = k × G, waarbij k uw privésleutel is en K uw publieke sleutel. De "vermenigvuldiging" is geen reguliere vermenigvuldiging, maar een geometrische bewerking waarbij u herhaaldelijk een punt langs de curve bij zichzelf optelt. Het resultaat komt terecht op een schijnbaar willekeurige plek die alleen jouw specifieke getal k zou opleveren.
De cruciale eigenschap is dat vooruitgaan gemakkelijk is en achteruit gaan, voor klassieke computers, feitelijk onmogelijk. Als je k en G kent, duurt het berekenen van K milliseconden. Als je K en G kent en k wilt berekenen, ben je bezig met het oplossen van wat wiskundigen het discrete logaritmeprobleem met de elliptische kromme noemen.
Er wordt geschat dat de bekendste klassieke algoritmen voor een curve van 256 bits langer zouden duren dan de leeftijd van het universum.
Dit eenrichtingsluik is het hele beveiligingsmodel. Uw privésleutel bewijst dat u de eigenaar bent van uw munten. Uw publieke sleutel is veilig om te delen, omdat geen enkele klassieke computer de wiskunde kan omkeren. Wanneer u bitcoin verzendt, gebruikt uw portemonnee de privésleutel om een digitale handtekening te maken, een wiskundig bewijs dat u het geheime nummer kent zonder het bekend te maken.
Het algoritme van Shor opent de deur in beide richtingen. In 1994 ontdekte een wiskundige genaamd Peter Shor een kwantumalgoritme dat het luik doorbreekt.
Het algoritme van Shor lost het discrete logaritmeprobleem efficiënt op. Dezelfde wiskunde die een klassieke computer langer zou kosten dan het universum heeft bestaan, hanteert het algoritme van Shor in wat wiskundigen polynomiale tijd noemen, wat betekent dat de moeilijkheid langzaam toeneemt naarmate getallen groter worden in plaats van explosief.
De intuïtie voor hoe het werkt komt terug op de drie kwantumeigenschappen uit deel 1 van deze serie.
Het algoritme moet je privésleutel k vinden, gegeven je publieke sleutel K en het generatorpunt G. Het zet dit om in een probleem van het vinden van de periode van een functie. Denk aan een functie die een getal als invoer neemt en een punt op de elliptische curve retourneert.
Terwijl je de opeenvolgende nummers invoert, 1, 2, 3, 4, herhalen de uitgangen zich uiteindelijk in een cyclus. De lengte van die cyclus wordt de periode genoemd, en als je eenmaal weet hoe vaak de functie zich herhaalt, wordt de wiskunde van het discrete logaritme-probleem in één stap ontrafeld. De privésleutel valt vrijwel onmiddellijk uit.
Het vinden van deze periode van een functie is precies waarvoor kwantumcomputers zijn gebouwd. Het algoritme plaatst zijn invoerregister in een superpositie (of, in de kwantummechanica, een deeltje bestaat tegelijkertijd op meerdere locaties), waarbij alle mogelijke waarden tegelijkertijd worden weergegeven. Het past de functie op allemaal tegelijk toe.
Vervolgens past het een kwantumoperatie toe, de Fourier-transformatie genaamd, die ervoor zorgt dat het aantal foute antwoorden wordt opgeheven terwijl de juiste antwoorden worden versterkt.
Wanneer u het resultaat meet, verschijnt de periode. Uit deze periode herstelt de gewone wiskunde k. Dat is uw privésleutel, en dus uw munten.
De aanval maakt gebruik van alle drie de kwantumtrucs uit het eerste stuk. Superpositie evalueert de functie op elke mogelijke invoer tegelijk. Verstrengeling verbindt de input en output, zodat de resultaten gecorreleerd blijven. ‘Interferentie’ filtert de ruis totdat alleen het antwoord overblijft.
Waarom bitcoin vandaag de dag nog steeds werkt Het algoritme van Shor is al meer dan 30 jaar bekend. De reden dat bitcoin nog steeds bestaat, is dat voor het uitvoeren ervan een kwantumcomputer nodig is met voldoende stabiele qubits om de samenhang tijdens de hele berekening te behouden.
Het bouwen van die machine lag buiten ons bereik, maar de vraag is altijd geweest hoe groot ‘groot genoeg’ is.
Eerdere schattingen gingen uit van miljoenen fysieke qubits. Google's paper, begin april door de Quantum AI-divisie met bijdragen van Ethereum Foundation-onderzoeker Justin Drake en Stanford-cryptograaf Dan Boneh, bracht dat terug tot minder dan 500.000.
Of een grofweg twintigvoudige reductie ten opzichte van eerdere schattingen.
Het team ontwierp twee kwantumcircuits die het algoritme van Shor implementeren tegen de specifieke elliptische curve van bitcoin. Eén gebruikt ongeveer 1.200 logische qubits en 90 miljoen Toffoli-poorten. De andere gebruikt ongeveer 1.450 logische qubits en 70 miljoen Toffoli-poorten.
Een Toffoli-poort is een type poort dat inwerkt op drie qubits: twee controle-qubits, die de toestand van een derde, doel-qubit, beïnvloeden. Stel je dit voor als drie lichtschakelaars (qubits) en een speciale gloeilamp (het doel) die alleen aangaat als twee specifieke schakelaars tegelijkertijd worden ingeschakeld.
Omdat qubits voortdurend hun kwantumstatus verliezen, heb je, zoals Deel 1 uitlegde, honderden redundante qubits nodig die elkaars werk controleren om één betrouwbare logische qubit te behouden. Het grootste deel van een kwantumcomputer bestaat alleen maar om de fouten van de machine op te vangen voordat deze de berekening verpesten. De ongeveer 400:1-verhouding tussen fysieke en logische qubits weerspiegelt hoeveel van de machine bestaat als zelfoppassende infrastructuur.
Het negen minuten durende venster van Google verminderde niet alleen het aantal qubits. Het introduceerde een praktisch aanvalsscenario dat de manier van denken over de dreiging verandert.
De delen van het algoritme van Shor die alleen afhankelijk zijn van de vaste parameters van de elliptische curve, die publiekelijk bekend zijn en identiek zijn voor elke bitcoin-portemonnee, kunnen vooraf worden berekend. De kwantumcomputer zit in een voorbereide toestand, al halverwege de berekening, te wachten.
Op het moment dat een publieke doelsleutel verschijnt, of deze nu wordt uitgezonden in een transactie naar de mempool van het netwerk of al zichtbaar is op de blockchain van een eerdere transactie, hoeft de machine alleen de tweede helft af te ronden.
Google schat dat de tweede helft ongeveer negen minuten duurt.
De gemiddelde blokbevestigingstijd van Bitcoin is 10 minuten. Dat betekent dat als een gebruiker een transactie uitzendt en zijn publieke sleutel zichtbaar is in de mempool, een kwantumaanvaller ongeveer negen minuten de tijd heeft om een privésleutel af te leiden en een concurrerende transactie in te dienen die geld omleidt.
De wiskunde geeft de aanvaller een kans van ongeveer 41% om te voltooien voordat uw oorspronkelijke transactie wordt bevestigd.
Dat is de mempool-aanval. Het is alarmerend, maar er is een kwantumcomputer voor nodig die nog niet bestaat.
De grotere zorg is echter dat er 6,9 miljoen bitcoin (ongeveer een derde van het totale aanbod) in portemonnees zit waar de publieke sleutel al permanent op de blockchain is blootgesteld. Deze munten zijn kwetsbaar voor een ‘in rust’-aanval die geen race tegen de klok vereist. De aanvaller kan zo lang duren als nodig is.
Een kwantumcomputer waarop het algoritme van Shor draait, kan een publieke sleutel van een bitcoin omzetten in de privésleutel die de munten bestuurt. Voor munten die zijn verhandeld sinds Taproot (een privacy-upgrade op Bitcoin die in november 2021 live ging) is de publieke sleutel al zichtbaar. Voor munten op oudere adressen wordt de openbare sleutel verborgen totdat u deze uitgeeft, waarna u ongeveer negen minuten de tijd heeft voordat de aanvaller de achterstand inhaalt.
Wat dit in de praktijk betekent, welke 6,9 miljoen bitcoin al zijn blootgesteld, wat Taproot heeft veranderd en hoe snel de hardware het gat dicht, is het onderwerp van het volgende en laatste stuk in deze serie.
Maar als je weet hoe een kwantumcomputer werkt, weet je nog niet hoe een slechte actor deze kan gebruiken om bitcoin te stelen. Dat vereist inzicht in wat het feitelijk aanvalt, hoe de beveiliging van Bitcoin is opgebouwd en waar precies de zwakte zit.
Dit stuk begint met de codering van bitcoin en werkt door tot het negen minuten durende venster dat nodig is om deze te doorbreken, zoals geïdentificeerd door Google's recente quantum computing-paper.
De eenrichtingskaartBitcoin gebruikt een systeem dat elliptische curve-cryptografie wordt genoemd om te bewijzen wie wat bezit. Elke portemonnee heeft twee sleutels. Een privésleutel, een geheim nummer van 256 cijfers in binair getal, ongeveer net zo lang als deze zin. Een publieke sleutel wordt afgeleid van de private sleutel door een wiskundige bewerking uit te voeren op de specifieke curve genaamd "secp256k1".
Zie het als een eenrichtingskaart. Begin op een bekende locatie op de curve waar iedereen het over eens is, het zogenaamde generatorpunt G (zoals weergegeven in de onderstaande grafiek). Neem een privéaantal stappen in een patroon dat wordt gedefinieerd door de wiskunde van de curve. Het aantal stappen is uw privésleutel. Waar u op de curve terechtkomt, is uw openbare sleutel (punt K in de grafiek). Iedereen kan verifiëren dat u op die specifieke locatie bent beland. Niemand kan achterhalen hoeveel stappen je hebt genomen om daar te komen.
Technisch gezien wordt dit geschreven als K = k × G, waarbij k uw privésleutel is en K uw publieke sleutel. De "vermenigvuldiging" is geen reguliere vermenigvuldiging, maar een geometrische bewerking waarbij u herhaaldelijk een punt langs de curve bij zichzelf optelt. Het resultaat komt terecht op een schijnbaar willekeurige plek die alleen jouw specifieke getal k zou opleveren.
De cruciale eigenschap is dat vooruitgaan gemakkelijk is en achteruit gaan, voor klassieke computers, feitelijk onmogelijk. Als je k en G kent, duurt het berekenen van K milliseconden. Als je K en G kent en k wilt berekenen, ben je bezig met het oplossen van wat wiskundigen het discrete logaritmeprobleem met de elliptische kromme noemen.
Er wordt geschat dat de bekendste klassieke algoritmen voor een curve van 256 bits langer zouden duren dan de leeftijd van het universum.
Dit eenrichtingsluik is het hele beveiligingsmodel. Uw privésleutel bewijst dat u de eigenaar bent van uw munten. Uw publieke sleutel is veilig om te delen, omdat geen enkele klassieke computer de wiskunde kan omkeren. Wanneer u bitcoin verzendt, gebruikt uw portemonnee de privésleutel om een digitale handtekening te maken, een wiskundig bewijs dat u het geheime nummer kent zonder het bekend te maken.
Het algoritme van Shor opent de deur in beide richtingen. In 1994 ontdekte een wiskundige genaamd Peter Shor een kwantumalgoritme dat het luik doorbreekt.
Het algoritme van Shor lost het discrete logaritmeprobleem efficiënt op. Dezelfde wiskunde die een klassieke computer langer zou kosten dan het universum heeft bestaan, hanteert het algoritme van Shor in wat wiskundigen polynomiale tijd noemen, wat betekent dat de moeilijkheid langzaam toeneemt naarmate getallen groter worden in plaats van explosief.
De intuïtie voor hoe het werkt komt terug op de drie kwantumeigenschappen uit deel 1 van deze serie.
Het algoritme moet je privésleutel k vinden, gegeven je publieke sleutel K en het generatorpunt G. Het zet dit om in een probleem van het vinden van de periode van een functie. Denk aan een functie die een getal als invoer neemt en een punt op de elliptische curve retourneert.
Terwijl je de opeenvolgende nummers invoert, 1, 2, 3, 4, herhalen de uitgangen zich uiteindelijk in een cyclus. De lengte van die cyclus wordt de periode genoemd, en als je eenmaal weet hoe vaak de functie zich herhaalt, wordt de wiskunde van het discrete logaritme-probleem in één stap ontrafeld. De privésleutel valt vrijwel onmiddellijk uit.
Het vinden van deze periode van een functie is precies waarvoor kwantumcomputers zijn gebouwd. Het algoritme plaatst zijn invoerregister in een superpositie (of, in de kwantummechanica, een deeltje bestaat tegelijkertijd op meerdere locaties), waarbij alle mogelijke waarden tegelijkertijd worden weergegeven. Het past de functie op allemaal tegelijk toe.
Vervolgens past het een kwantumoperatie toe, de Fourier-transformatie genaamd, die ervoor zorgt dat het aantal foute antwoorden wordt opgeheven terwijl de juiste antwoorden worden versterkt.
Wanneer u het resultaat meet, verschijnt de periode. Uit deze periode herstelt de gewone wiskunde k. Dat is uw privésleutel, en dus uw munten.
De aanval maakt gebruik van alle drie de kwantumtrucs uit het eerste stuk. Superpositie evalueert de functie op elke mogelijke invoer tegelijk. Verstrengeling verbindt de input en output, zodat de resultaten gecorreleerd blijven. ‘Interferentie’ filtert de ruis totdat alleen het antwoord overblijft.
Waarom bitcoin vandaag de dag nog steeds werkt Het algoritme van Shor is al meer dan 30 jaar bekend. De reden dat bitcoin nog steeds bestaat, is dat voor het uitvoeren ervan een kwantumcomputer nodig is met voldoende stabiele qubits om de samenhang tijdens de hele berekening te behouden.
Het bouwen van die machine lag buiten ons bereik, maar de vraag is altijd geweest hoe groot ‘groot genoeg’ is.
Eerdere schattingen gingen uit van miljoenen fysieke qubits. Google's paper, begin april door de Quantum AI-divisie met bijdragen van Ethereum Foundation-onderzoeker Justin Drake en Stanford-cryptograaf Dan Boneh, bracht dat terug tot minder dan 500.000.
Of een grofweg twintigvoudige reductie ten opzichte van eerdere schattingen.
Het team ontwierp twee kwantumcircuits die het algoritme van Shor implementeren tegen de specifieke elliptische curve van bitcoin. Eén gebruikt ongeveer 1.200 logische qubits en 90 miljoen Toffoli-poorten. De andere gebruikt ongeveer 1.450 logische qubits en 70 miljoen Toffoli-poorten.
Een Toffoli-poort is een type poort dat inwerkt op drie qubits: twee controle-qubits, die de toestand van een derde, doel-qubit, beïnvloeden. Stel je dit voor als drie lichtschakelaars (qubits) en een speciale gloeilamp (het doel) die alleen aangaat als twee specifieke schakelaars tegelijkertijd worden ingeschakeld.
Omdat qubits voortdurend hun kwantumstatus verliezen, heb je, zoals Deel 1 uitlegde, honderden redundante qubits nodig die elkaars werk controleren om één betrouwbare logische qubit te behouden. Het grootste deel van een kwantumcomputer bestaat alleen maar om de fouten van de machine op te vangen voordat deze de berekening verpesten. De ongeveer 400:1-verhouding tussen fysieke en logische qubits weerspiegelt hoeveel van de machine bestaat als zelfoppassende infrastructuur.
Het negen minuten durende venster van Google verminderde niet alleen het aantal qubits. Het introduceerde een praktisch aanvalsscenario dat de manier van denken over de dreiging verandert.
De delen van het algoritme van Shor die alleen afhankelijk zijn van de vaste parameters van de elliptische curve, die publiekelijk bekend zijn en identiek zijn voor elke bitcoin-portemonnee, kunnen vooraf worden berekend. De kwantumcomputer zit in een voorbereide toestand, al halverwege de berekening, te wachten.
Op het moment dat een publieke doelsleutel verschijnt, of deze nu wordt uitgezonden in een transactie naar de mempool van het netwerk of al zichtbaar is op de blockchain van een eerdere transactie, hoeft de machine alleen de tweede helft af te ronden.
Google schat dat de tweede helft ongeveer negen minuten duurt.
De gemiddelde blokbevestigingstijd van Bitcoin is 10 minuten. Dat betekent dat als een gebruiker een transactie uitzendt en zijn publieke sleutel zichtbaar is in de mempool, een kwantumaanvaller ongeveer negen minuten de tijd heeft om een privésleutel af te leiden en een concurrerende transactie in te dienen die geld omleidt.
De wiskunde geeft de aanvaller een kans van ongeveer 41% om te voltooien voordat uw oorspronkelijke transactie wordt bevestigd.
Dat is de mempool-aanval. Het is alarmerend, maar er is een kwantumcomputer voor nodig die nog niet bestaat.
De grotere zorg is echter dat er 6,9 miljoen bitcoin (ongeveer een derde van het totale aanbod) in portemonnees zit waar de publieke sleutel al permanent op de blockchain is blootgesteld. Deze munten zijn kwetsbaar voor een ‘in rust’-aanval die geen race tegen de klok vereist. De aanvaller kan zo lang duren als nodig is.
Een kwantumcomputer waarop het algoritme van Shor draait, kan een publieke sleutel van een bitcoin omzetten in de privésleutel die de munten bestuurt. Voor munten die zijn verhandeld sinds Taproot (een privacy-upgrade op Bitcoin die in november 2021 live ging) is de publieke sleutel al zichtbaar. Voor munten op oudere adressen wordt de openbare sleutel verborgen totdat u deze uitgeeft, waarna u ongeveer negen minuten de tijd heeft voordat de aanvaller de achterstand inhaalt.
Wat dit in de praktijk betekent, welke 6,9 miljoen bitcoin al zijn blootgesteld, wat Taproot heeft veranderd en hoe snel de hardware het gat dicht, is het onderwerp van het volgende en laatste stuk in deze serie.