Negli ultimi tempi ho letto vari post ed articoli allarmistici afferenti alla possibilità che i computer quantistici possano compromettere la sicurezza dei bitcoin o che siano necessari hard fork.
Conscio che la minaccia del calcolo quantistico interesserà la crittografia non solo di bitcoin ma anche di altre criptovalute e persino di aziende, banche incluse, nei decenni ho sempre riscontrato come la tecnologia avanzi e offra soluzioni ai problemi di sicurezza. Per mia curiosità tecnica ho studiato alcune soluzioni reperite in Rete e col presente testo condivido un riassunto delle soluzioni applicabili per come le ho comprese e semplificate.
Prima di approfondire la soluzione, una sintesi delle potenziali criticità e perché gli algoritmi Grover e Shor minacciano le criptovalute.
Shor può rompere le chiavi pubbliche (RSA/ECC) usate per firmare transazioni. L’algoritmo Shor trova i fattori primi di un numero intero (e calcola logaritmi discreti) in tempo polinomiale usando la trasformata di Fourier quantistica. Dato che molte criptovalute, come ad esempio Bitcoin ed Ethereum, si basano su crittografia a chiave pubblica – RSA, curve ellittiche (ECC) o altre strutture basate sulla difficoltà di fattorizzare numeri grandi o di risolvere il problema del logaritmo discreto, un computer quantistico potrebbe usare l’algoritmo Shor per individuare queste chiavi in pochi minuti, permettendo a un attaccante di firmare transazioni falsificate o derivare le chiavi private dai relativi indirizzi pubblici. L’algoritmo di Shor potrebbe essere utilizzato su alcuni tipi di schemi di firma Bitcoin per rubare btc dagli indirizzi, con guadagni elevati.
Grover riduce la sicurezza delle funzioni hash, rendendo più facile attacchi di pre‑immagine e di mining. Molte criptovalute usano funzioni hash crittografiche (es. SHA‑256, Keccak) per generare gli indirizzi (hash della chiave pubblica); costruire la proof‑of‑work (PoW). L’algoritmo Grover permette una ricerca quadratica più veloce in uno spazio non strutturato, riducendo il tempo necessario per trovare un elemento desiderato e mediante in computer quantistico si dimezzerebbe la complessità di un attacco di pre‑immagine o di collisione, rendendo possibile individuare un hash e quindi manipolare blocchi), oppure forzare la generazione di un “nonce” valido nella PoW. Se non fermato, l’algoritmo di Grover potrebbe essere utilizzato tramite un computer quantistico per ottenere il controllo del processo di mining di Bitcoin, il cosiddetto attacco del 51%.
Visti i rischi, passiamo ad una panoramica dei rimedi.
Soluzioni:
* aumentare le dimensioni delle chiavi, migrare a algoritmi post‑quantum (reticoli, hash‑based, codice‑based);
*aggiornare i protocolli tramite hard fork
*usare hash più lunghi per la PoW e monitorare gli standard NIST.
Implementare queste contromisure adesso aiuterebbe a proteggere le criptovalute, in particolare Bitcoin, dalla futura entrata in scena di computer quantistici sufficientemente potenti.
Circa l’aumento della dimensione delle chiavi, per la crittografia a chiave pubblica, raddoppiare la lunghezza delle chiavi rende l’attacco di Shor più costoso (richiede più qubit e più tempo), ma questa sarebbe solo una soluzione temporanea poiché un computer quantistico potrebbe comunque superarla.
Altro espediente è la crittografia post‑quantum (PQC). Ad esempio gli algoritmi basati su reticoli (es. CRYSTALS‑Kyber, FALCON) riusultano resistenti a Shor.
Schemi di firma hash‑based (es. XMSS, SPHINCS+) proteggono contro Grover perché la sicurezza dipende dalla lunghezza dell’output hash; aumentando la dimensione dell’hash (es. 512 bit) si compensa il guadagno quadratico di Grover.
Resistenti a Shor sono anche le soluzioni Codice‑based (es. Classic McEliece).
Molti progetti blockchain stanno sperimentando versioni “quantum‑resistant” dei loro protocolli, ad esempio Quantum‑Resistant Ledger (QRL) che usa firme basate su hash‑based XMSS.
Vi è anche la possibilità di hard fork (necessario il consenso della community e una fase di transizione controllata) consistenti in aggiornamenti dei protocolli. Nelle blockchain si potrebbero introdurre nuovi algoritmi di firma tramite hard fork, così da migrare le chiavi esistenti verso schemi PQC.
Sono ipotizzabili anche delle vie di mezzo.
Le catene di blocchi potrebbe sia le chiavi tradizionali sia quelle post‑quantum simultaneamente, finché la rete non è pronta a dismettere le prime. In questo modo si garantirebbe continuità operativa durante la migrazione.
Protezione della PoW con funzioni hash più lunghe.
Incrementare la lunghezza dell’output hash (per esempio adottando SHA‑512 al posto di SHA‑256) rende più difficile per l’algoritmo Grover dimezzare efficacemente la difficoltà di mining.
Vi sono poi lcuni progetti basati su Proof‑of‑Space‑Time o Proof‑of‑Authority qualie alternative meno dipendenti da hash intensivi.
Organizzazioni come il NIST stanno standardizzando algoritmi PQC. Tenersi aggiornati sui risultati di questi standard aiuta le blockchain a pianificare le proprie migrazioni.
Chi oggi progetta una applicazione basata su catena di blocchi, dovrebbe valutare con attenzione il rischio quantistico, in pratica la domanda fondamentale dovrebbe essere: quanti qubit potrebbero essere necessari per violare le chiavi attuali?
La risposta può risiedere nell’adozione di librerie PQC, molte librerie open‑source (esempio: Open Quantum Safe) offrono implementazioni già pronte all’uso di algoritmi post‑quantum.
Utile anche definire una roadmap con la finalità di migrare le chiavi esistenti a firme PQC entro un orizzonte temporale realistico.
Qualora nel progetto vi sia una community, può essere utile comunicare in modo chiaro e più semplice possibile i cambiamenti di protocollo, fornendo guide per aggiornare wallet e nodi.
Una soluzione interessante e soft fork è BIP‑360 (P2QRH / P2TSH). Utile specificare che BIP è (acronimo di Bitcoin Improvement Proposal). Il progetto propone l’introduzione di un nuovo tipo di output Bitcoin chiamato Pay‑to‑Quantum‑Resistant Hash (P2QRH), poi rinominato Pay‑to‑Tapscript‑Hash (P2TSH). Sostanzialmente una modifica del protocollo. Ipersemplificando, BIP‑360 nasconde la chiave pubblica e combina firme tradizionali con quelle resistenti ai futuri computer quantistici. Il risultato è un output più piccolo, più sicuro contro attacchi quantistici e riconoscibile dagli indirizzi che iniziano con “bc1r”.
L’obiettivo è rendere le transazioni più resistenti agli attacchi quantistici non mostrando la chiave pubblica nella blockchain al fine di ridurre la superficie di attacco. Si ottiene rimuovendo il “key‑path spend” tipico di Taproot e usando solo l’hash della radice dello script‑tree (taggato “TapBranch”).
Tecnicamente si realizza partendo da un albero di script (taptree) come in BIP‑341.
La radice dell’albero viene sottoposta ad hash 2 volte con SHA‑256 (HASH256) e poi etichettata “TapBranch”.
Questo valore a 32 byte assurge a scriptPubKey dell’output.
Non c’è più la chiave interna né il “tap‑tweak”, perciò non è possibile spendere l’output con la chiave classica, ma solo tramite lo script (script‑path spend).
A livello di compatibilità con la crittografia post‑quantistica, il nuovo output è pensato per essere usato insieme a firme ibride: le tradizionali firme Schnorr (classiche) più firme post‑quantistiche (ad esempio SQIsign). In questo modo, se uno dei due algoritmi fosse crackato da un computer quantistico, l’altro resterebbe sicuro.
Tale progetto usa la versione 3 di SegWit, così gli indirizzi iniziano con bc1r, dove la “r” ricorda la parola resistenza ossia resistente alla crittografia quantistica.
Il lettore interessato ad un approfondimento può cercare varie fonti su internet ed in particolare su github. Ad esempio una BIP nota come QuBit suggerisce l’introduzione di un nuovo tipo di indirizzo, Pay to Quantum Resistant Hash (P2QRH), che utilizza vari schemi di firma quantistica per proteggere dagli attacchi che sfruttano l’algoritmo di Shor. Il piano QuBit prevede 4 fasi: uno standard di indirizzo quantistico, uno standard di indirizzo quantistico compatibile con Taproot, un soft fork e uno standard di indirizzo quantistico sicuro.
Fonti consultate:
https://github.com/cryptoquick/bips/blob/p2qrh/bip-0360.mediawiki [come da accesso del 21mar2026]
https://cointelegraph-magazine.com/bitcoin-quantum-computer-threat-timeline-solutions-2024-2035/ [come da ultimo accesso del 21mar2026]
https://www.deloitte.com/nl/en/services/consulting-risk/perspectives/quantum-computers-and-the-bitcoin-blockchain.html [come da ultimo accesso del 21mar2026]
https://thequantuminsider.com/2025/10/16/btq-technologies-announces-quantum-safe-bitcoin-using-nist-standardized-post-quantum-cryptography/ [come da ultimo accesso del 21mar2026]
Disclaimer:
L’autore ha fatto ogni sforzo per assicurare l’accuratezza e la precisione del contenuto del testo, ma non può essere ritenuto responsabile per eventuali danni causati direttamente o indirettamente da quanto riportato nel testo. Quanto esposto può essere applicato solo se in possesso di notevole conoscenza e competenza tecnica e con la guida di consulenti esperti.