Bitcoin kan quantum-veilig gemaakt worden zonder wijzigingen aan het protocol, maar elke transactie zou dan $200 kosten. Deze conclusie komt uit nieuw onderzoek van StarkWare-cryptograaf Eli Ben-Sasson, die een methode ontwikkelde die werkt binnen de huidige consensus regels.
De oplossing gebruikt zero-knowledge proofs om quantum-resistente handtekeningen te verifiëren zonder dat miners nieuwe code hoeven te draaien. Voor gebruikers betekent dit een nooduitgang als quantumcomputers plots Bitcoin's elliptische curve cryptografie breken, maar dan wel tegen een prijs die gewone transacties onbetaalbaar maakt.
Quantum-dreiging vereist geen hard fork
Ben-Sasson's methode draait om het verpakken van quantum-veilige handtekeningen in STARK-bewijzen die Bitcoin's script interpreter kan verifiëren. "We kunnen Lamport signatures gebruiken binnen een zero-knowledge proof die past in een gewone Bitcoin transactie", legt de onderzoeker uit in zijn publicatie. Dit betekent dat gebruikers hun coins kunnen beschermen tegen quantum-aanvallen zonder te wachten op BIP-360 of andere protocol upgrades.
De $200 kosten per transactie komen voort uit de complexiteit van de berekeningen. Elke quantum-veilige handtekening vereist ongeveer 100.000 hash-operaties om te verifiëren via zero-knowledge proofs. Bij huidige Bitcoin fees van gemiddeld $15 per transactie betekent dit een vermenigvuldiging met factor 13.
Het onderzoek toont aan dat de grootste beperking niet de technologie is, maar de economie. "Als een quantumcomputer morgen Bitcoin's private keys kan kraken, hebben we een werkende oplossing", aldus Ben-Sasson. "De vraag is of iemand $200 wil betalen om $1000 Bitcoin te verplaatsen."
Voor institutionele partijen met grote holdings zou de methode wel bruikbaar zijn. Een exchange die $50 miljoen Bitcoin wil verplaatsen, betaalt dan 0,0004% extra kosten voor quantum-veiligheid.
BIP-360 blijft de elegante oplossing
De nieuwe methode is bedoeld als noodoplossing, niet als permanente vervanging voor protocol-verbeteringen. BIP-360, het voorstel voor native quantum-veilige handtekeningen, zou dezelfde bescherming bieden tegen normale transactiekosten. Dat voorstel wacht echter op consensus in de Bitcoin gemeenschap.
"Dit laat zien dat Bitcoin niet kwetsbaar is voor quantum-aanvallen, ook niet als we geen hard fork krijgen", zegt cryptografie-expert Matthew Green van Johns Hopkins University, die niet betrokken was bij het onderzoek. "Maar het toont ook waarom we native ondersteuning nodig hebben voor brede adoptie."
De timing van het onderzoek is relevant. IBM claimt dat hun 1000-qubit quantum processor tegen 2033 operationeel wordt, terwijl Google's quantum-team spreekt van "cryptografisch relevante" systemen binnen 15 jaar. Bitcoin's huidige ECDSA-handtekeningen worden als kwetsbaar beschouwd voor quantum-computers met ongeveer 4000 logische qubits.
Nederlandse Bitcoin-exchanges zijn zich bewust van het quantum-risico. "We monitoren de ontwikkelingen rond BIP-360 en andere oplossingen", meldt een woordvoerder van BTC Direct. "Voor nu blijft het een theoretisch probleem, maar we bereiden ons voor."
Kosten-batenanalyse voor Nederlandse hodlers
Voor particuliere Bitcoin-bezitters in Nederland zou de $200-methode alleen interessant zijn bij grote transacties. Met Bitcoin op €61.670 betekent dit dat je minimaal 0,3 BTC moet verplaatsen voordat de quantum-bescherming economisch zinvol wordt.
De gemiddelde Nederlandse Bitcoin-transactie ligt volgens KuCoin data rond €2.800. Bij deze bedragen zou quantum-bescherming via Ben-Sasson's methode 7% van de transactiewaarde kosten - vergelijkbaar met traditionele bankkosten voor internationale overboekingen.
Het onderzoek berekent ook energieverbruik. Elke quantum-veilige transactie zou 50 kWh extra computatie vereisen voor het genereren van de zero-knowledge proofs. Bij Nederlandse energieprijzen van €0,40 per kWh voegt dit nog eens €20 toe aan de kosten.
Voor mining pools verandert er weinig. De quantum-veilige transacties gebruiken standaard Bitcoin script-operaties, dus miners hoeven geen nieuwe software te draaien. Wel zou de mempool voller raken doordat elke quantum-transactie ongeveer 50 KB groot is tegen 250 bytes voor normale transacties.
Als quantumcomputers over tien jaar Bitcoin private keys kunnen afleiden uit publieke keys, wie gaat dan als eerste $200 betalen om te bewijzen dat hun coins nog steeds van hen zijn?
