Belangrijkste punten:
- Starkware CPO Avihu Levy publiceerde QSB op 9 april 2026, waardoor kwantumveilige bitcointransacties mogelijk werden zonder enige protocolwijzigingen.
- Levy's schema kost $75 tot $150 aan GPU-rekenkracht per transactie en behaalt ongeveer 118-bit pre-image weerstand tegen kwantumaanvallen.
- QSB is het eerste bekende schema dat live bitcointransacties beveiligt tegen Shor's algoritme door alleen gebruik te maken van Bitcoin's bestaande legacy Script-regels.
Hoe een Starkware-directeur kwantumresistentie in Bitcoin inbouwde zonder het protocol aan te raken
Avihu Levy, chief product officer bij Starkware en co-auteur van BIP-360, bracht op 9 april 2026 een volledig onderzoeksdocument en open-source implementatie uit. Het schema heet Quantum Safe Bitcoin, of QSB. Het vereist geen softfork, geen gemeenschapscoördinatie en geen nieuwe opcodes. Het draait volledig binnen Bitcoin's bestaande legacy Script-beperkingen van 201 opcodes en 10.000 bytes.
De dreiging die QSB aanpakt is specifiek. Bitcoin's primaire handtekeningschema, ECDSA over de secp256k1 elliptische curve, is volledig te kraken door Shor's algoritme op een voldoende krachtige kwantumcomputer. Een aanvaller met die capaciteit zou private keys kunnen herstellen van elke blootgestelde publieke sleutel, handtekeningen kunnen vervalsen en fondsen kunnen omleiden. P2PK-outputs, legacy-adressen en Taproot keyspend-paden lopen allemaal risico zodra een publieke sleutel onchain verschijnt.
Image source: X.Levy's schema verbreekt die afhankelijkheid op transactieniveau. In plaats van te vertrouwen op elliptische curve hardheid, bouwt QSB beveiliging op de pre-image weerstand van RIPEMD-160, een hashfunctie die kwantumcomputers alleen kunnen aanvallen met Grover's algoritme, dat een kwadratische versnelling biedt in plaats van een totale breuk. Een 160-bit hash behoudt ongeveer 80 bits pre-image weerstand tegen een kwantumtegenstander, wat een comfortabele marge overlaat.
De constructie wijzigt een eerder schema genaamd Binohash, ontwikkeld door Robin Linus, en lost twee problemen op die Binohash onveilig maakten tegen kwantumaanvallen. Het eerste was een signature-size proof-of-work (PoW) puzzel die afhankelijk was van het vinden van kleine elliptische curve r-waarden, iets wat Shor's algoritme triviaal kraakt. Het tweede was een onopgeloste sighash flag kwetsbaarheid die een aanvaller zou kunnen toestaan een geldige puzzelhandtekening te hergebruiken voor verschillende transacties.
Vervanging van de Signature-Size Puzzel
QSB vervangt de signature-size puzzel door wat Levy een hash-to-sig puzzel noemt. De uitgever itereert over transactieparameters totdat de RIPEMD-160 hash van een transactie-afgeleide publieke sleutel een geldige DER-gecodeerde ECDSA-handtekening produceert. Die gebeurtenis vindt plaats met een waarschijnlijkheid van ongeveer 1 op 70 biljoen. Omdat de puzzel een hardcoded SIGHASH_ALL vlag gebruikt, wordt de sighash-kwetsbaarheid als bijwerking geëlimineerd.
De uitgever voert vervolgens twee digest-rondes uit met behulp van een HORS-stijl Lamport-handtekeningstructuur, waarbij subsets van dummy-handtekeningen worden geselecteerd die de sighash van de transactie wijzigen via een legacy Script-mechanisme genaamd FindAndDelete. Elke subset produceert een andere hash-output. De subset die een geldige DER-gecodeerde handtekening oplevert, wordt de digest voor die ronde. Het onthullen van de bijbehorende pre-images in de witness voltooit de kwantumveilige uitgave.
De aanbevolen configuratie, die Levy Config A noemt, past binnen de 201-opcode limiet en behaalt ongeveer 118-bit pre-image weerstand en 78-bit botsingsresistentie. Een kwantumaanvaller die Grover's algoritme tegen deze configuratie uitvoert, wordt geconfronteerd met ongeveer 2 tot de 69e macht werk voor een tweede pre-image aanval. Shor's algoritme biedt helemaal geen voordeel, aangezien er geen elliptische curve aannames meer zijn om te kraken.
Off-chain berekening kost tussen $75 en $150 aan cloud GPU-tijd per transactie tegen de huidige spotprijzen. Het werk is embarrassingly parallel en werd in vroege tests voltooid in uren over meerdere GPU's. De GPU-farm behandelt alleen publieke berekeningen, inclusief key recovery en hashing. Private HORS pre-images verlaten nooit het beveiligde apparaat van de uitgever.
Er zijn echte beperkingen. QSB-transacties zijn consensus-geldig maar niet-standaard, waardoor ze de standaard relay-beleidsregels overschrijden. Ze vereisen directe indiening bij een mining pool die niet-standaard transacties accepteert, zoals via Marathon's Slipstream-service. Het schema dekt nog geen Lightning Network-kanalen. Volledige onchain-assemblage en uitzending zijn nog in behandeling in de open-source implementatie. Levy beschrijft het schema als een laatste redmiddel, niet als algemene vervanging voor standaard Bitcoin-gebruik.
Starkware medeoprichter Eli Ben-Sasson steunde het werk publiekelijk en verklaarde dat Bitcoin onmiddellijk kwantumveilig kan zijn. Hij zei:
Levy deelde het paper en de repository op X en bedankte Robin Linus voor fundamenteel werk aan Binohash en voor een belangrijke correctie die de uiteindelijke kosten-beveiligingsafweging vormgaf. De gemeenschap was zeer tevreden met het whitepaper en deelde het breed op sociale media. Taproot Wizard Eric Wall schreef op X:
Het volledige paper, GPU-versnelde CUDA-code, Python-pipeline en complete Bitcoin Scripts zijn beschikbaar op Levy's GitHub-repository. Het nieuws volgt op het recente prototype dat bedoeld is om bitcoinwallets te beveiligen tegen kwantumrisico. Dat specifieke prototype werd gemaakt door Lightning Labs CTO Olaoluwa Osuntokun.
Wat dit betekent voor alledaagse Bitcoin-houders
Voor alledaagse bitcoin (BTC) houders is de praktische conclusie eenvoudig. Er bestaat vandaag geen kwantumcomputer die Bitcoin's cryptografie kan kraken, en de meeste onderzoekers plaatsen die dreiging minstens drie jaar tot een decennium verder. Maar de klok begint te tikken zodra een publieke sleutel onchain verschijnt, wat gebeurt elke keer dat een gebruiker vanaf een adres uitgeeft.
Bitcoin die in een wallet zit die nooit een uitgaande transactie heeft gemaakt, loopt minder risico. Bitcoin geparkeerd op een hergebruikt of reeds uitgegeven adres is een ander verhaal. Wanneer kwantumcomputing de drempel bereikt, worden die blootgestelde publieke sleutels doelwitten. Fondsen verplaatsen voordat dat venster sluit is belangrijker dan ze daarna te verplaatsen.
QSB wordt nog niet geleverd in een consumentenwallet. Gebruikers kunnen vandaag geen standaard wallet openen en een kwantumveilige instelling inschakelen. Wat Levy heeft geleverd is het cryptografische bewijs dat het pad bestaat, gebouwd uit regels die al in Bitcoin zitten, tegen ongeveer de prijs van een vliegticket aan GPU-rekenkracht.
Het overgebleven werk is engineering, adoptie en tijd. Voor iemand die BTC bezit, is de actie eenvoudig: let op post-kwantum ondersteuning van je wallet-provider, vermijd het hergebruiken van adressen en verplaats fondsen naar een kwantumveilig adres wanneer die optie beschikbaar komt in mainstream software. De tools om die bitcoin te beschermen worden nu gebouwd.
Bron: https://news.bitcoin.com/no-consensus-changes-needed-starkware-cpo-builds-quantum-safe-bitcoin-transactions-from-existing-rules/
