Nový vědecký článek skupiny Google Quantum AI zásadně přepisuje dosavadní odhady toho, kdy a s jak velkými prostředky by mohly kvantové počítače prolomit kryptografii chránící Bitcoin a další kryptoměny. Zatímco průmysl dosud pracoval s předpokladem, že k takovému útoku budou potřeba miliony fyzických qubitů a desetiletí vývoje, Google nyní ukazuje, že potřebné hardwarové nároky jsou zhruba dvacetinásobně nižší. Hrozba se z kategorie vzdálené budoucnosti přesouvá do kategorie aktuálního bezpečnostního rizika.
Proč dosavadní odhady selhaly
Napříč celým odvětvím panoval po léta jeden pohodlný předpoklad: kvantové hrozby sice přijdou, ale bude dost času se připravit. Miliony fyzických qubitů, desítky let vývoje — to byly mantry na konferencích i v bezpečnostních modelech firem. Inženýrská propast mezi současnými kvantovými stroji a tím, co by bylo zapotřebí k prolomení reálné kryptografie, se ale zmenšuje exponenciálně, ne lineárně. Postkvantová kryptografie přestává být budoucím úkolem pro IT oddělení a stává se krizovým tématem pro vedení organizací.
Papír od skupiny Quantum AI z Googlu, publikovaný 31. března 2026 a nesoucí název Securing Elliptic Curve Cryptocurrencies against Quantum Vulnerabilities: Resource Estimates and Mitigations, tyto časové osy zcela rozstřílel. Zaměřil se konkrétně na problém diskrétního logaritmu na eliptické křivce secp256k1 — matematickém základu, který chrání každou bitcoinovou transakci prostřednictvím algoritmu ECDSA.
Nové obvody: dramaticky nižší nároky na hardware
Výzkumníci z Googlu sestavili dva kvantové obvody realizující Shorův algoritmus pro útok na ECDSA. První vyžaduje méně než 1 200 logických qubitů a přibližně 90 milionů Toffoliho hradel. Druhý, optimalizovaný, vystačí s méně než 1 450 logickými qubity a pouhými 70 miliony Toffoliho hradel. Toffoliho hradla jsou specifickým typem logické brány používaném v kvantové aritmetice — jsou to „dělníci", kteří odvádějí tu nejtěžší výpočetní práci při louskání velkých čísel. Snížit jejich počet na 70 milionů představuje obrovský skok v efektivitě.
Logický qubit je ideální qubit bez chyb — v přírodě neexistuje. Kvantové stavy jsou extrémně křehké, takže jeden stabilní logický qubit vyžaduje propojení tisíců chybujících fyzických qubitů s nepřetržitou korekcí chyb. Když se těch 1 450 logických qubitů přepočítá na reálný hardware, výsledek je stále méně než půl milionu fyzických qubitů. Půl milionu — ne miliony, ne desítky milionů. To je přibližně dvacetinásobné snížení oproti odhadům, se kterými průmysl dosud pracoval. Hardwarové nároky neklesly pozvolna — doslova spadly z útesu.
Důkaz bez zveřejnění návodu: zero-knowledge proof
Pozoruhodná je i forma, jakou Google výsledek prezentoval. Útočné obvody, použité pro matematický důkaz, Google nezveřejnil. Ve světě kvantové kryptoanalýzy platí, že zveřejnit přesný návod k útoku znamená vrazit nabitou zbraň do rukou nepřátelských aktérů. Místo toho výzkumníci použili techniku zero-knowledge proof — důkaz s nulovou znalostí.
Princip lze přiblížit takto: chcete bance prokázat, že držíte univerzální klíč ke všem jejich trezorům, aniž byste klíč ukázali nebo o něm cokoli prozradili. Místo fotografování klíče vejdete do trezoru s prázdnýma rukama, vytáhnete z náhodně vybrané schránky konkrétní předmět a donesete ho — tím jste bez jakýchkoli pochybností prokázali přístup, aniž jste odhalili tvar klíče. Google vygeneroval 9 000 náhodných úloh odvozených z otisku jejich útoku a prokázal, že jejich skrytý obvod tyto úlohy správně vyřešil. Vědecká komunita si tak mohla ověřit, že útok existuje a funguje, zatímco samotný „klíč" zůstal skrytý. Jedná se o vzorovou ukázku odpovědného zveřejňování bezpečnostních zranitelností.
Rychlý kasař vs. trpělivý: dva způsoby útoku
Hardwarové parametry nejsou jen technická čísla — určují i charakter útoku. Kvantový počítač s rychlým taktem, postavený na supravodivých qubitech nebo fotonických systémech, dokáže provádět korekci chyb v mikrosekundách. Při takové rychlosti trvá prolomení bitcoinového klíče přibližně 9 až 12 minut. Za dobu potřebnou k uvaření kávy lze principiálně zlikvidovat zabezpečení chránící obrovskou část kryptobohatství světa.
Stroje s pomalým taktem jsou řádově pomalejší — tam se bavíme o dnech nebo týdnech. Jsou to dva zcela odlišné útoky. Rychlý stroj funguje jako elitní sprinter: dokáže napadnout konkrétní transakci za pochodu. Tento útok se nazývá útok při útratě. Pomalý stroj naopak připomíná trpělivého kasaře, který týdny pracuje na otevřeném trezoru v temném sklepě, kam nikdo nechodí — jde o útok na spící klíče, kde čas hraje ve prospěch útočníka.
Devět minut navíc není náhoda — je to výsledek chytrého předpočítání. Shorův algoritmus má dvě půlky, přičemž ta první závisí výhradně na veřejných parametrech sítě. Útočník si ji může připravit dopředu a mít stroj nabitý předem. Jakmile se v síti objeví cílový klíč, stačí ho vložit do připraveného řešení a za 9 minut je hotovo. Jsou v polovině trati dřív, než stihnete předat štafetový kolík.
Které části Bitcoinu jsou ohroženy — a které ne
Rozšířená obava, že kvantový počítač napadne těžbu Bitcoinu, je mylná. Těžba využívá algoritmus SHA-256, vůči kterému kvantové stroje nemají žádnou zásadní výhodu — levný sklad specializovaných čipů je v tomto ohledu porazí. Ohroženy jsou digitální podpisy, tedy matematické zámky na peněženkách.
Bitcoin není jedna hromada, ale tisíce malých schránek — a některé jsou zranitelnější než jiné. Staré adresy vystavují veřejný klíč přímo na blockchainu a jsou snadným cílem pro „trpělivého kasaře". Pozdější vylepšení klíč schovala za hash-štít, který ale padá ve chvíli, kdy z peněženky cokoliv odesíláte. Jakmile utratíte, váš klíč se ukáže celému světu. Pokud na adrese zůstanou prostředky nebo vám tam někdo pošle další, jste odhaleni natrvalo.
Překvapivá je situace kolem upgradů Taproot z roku 2021. Ten měl představovat technologický vrchol z hlediska soukromí i efektivity, jenže z kvantového pohledu je problematický: Taproot ukládá klíč přímo na blockchain bez hash-štítu. Jakmile přijmete platbu na Taproot adresu, váš klíč je venku a stáváte se cílem pomalého útoku, aniž byste s peněženkou cokoliv dělali. Jeden krok dopředu v oblasti soukromí je v tomto případě skokem zpět v oblasti bezpečnosti.
Ethereum a KZG: hrozba, která nevymizí s vypnutím stroje
U Etherea je situace komplikovanější, protože systém nepracuje se schránkami, ale s účty. Váš klíč je trvale propojen se zůstatkem i se smart kontrakty a jste neustále na ráně. Papír upozorňuje i na riziko administrátorských klíčů: stovky miliard dolarů v aktivech, jako jsou stablecoiny USDC a USDT, jsou ovládány takovými klíči. Pokud by útočník jeden z nich prolomil, mohl by z ničeho natisknout miliardy dolarů — a byl by to okamžitý konec světa decentralizovaných financí. Pokud by útočník získal třetinu validátorských klíčů, mohl by zastavit síť; se dvěma třetinami by přepisoval historii.
Zvláštní kategorii představuje útok na KZG závazky, které Ethereum používá v sítích druhé vrstvy. Při inicializaci tohoto systému musel proběhnout kryptografický ceremoniál, při kterém někdo vygeneroval tajné číslo, jež se poté muselo zničit. Tomuto nežádoucímu pozůstatku se v komunitě říká „toxický odpad". Pokud by útočník dokázal tento odpad z veřejně dostupných dat rekonstruovat pomocí kvantového stroje, mohl by poté kvantový počítač vypnout — a zbytek života by falšoval kryptografické důkazy na běžném notebooku. Síť by přitom o ničem nevěděla. Kvantový stroj je v tomto scénáři potřeba jen jednou, na chvíli; exploit sám je pak čistě klasický a trvalý.
Politická past: jak krypto zachránit bez zrady jeho principů
Přechod na postkvantové šifrování se sice testuje, ale jde o operaci srdce za chodu — kryptoagilita, hybridní systémy, práce na roky. Blockchain má navíc jeden zásadní háček: aktivum lze ochránit jen tak, že ho sám majitel převede na novou, bezpečnou adresu. Miliony bitcoinů leží na adresách, ke kterým jejich původní majitelé klíče dávno nemají — jsou matematicky přibitá na místě a kvantový útočník by je technicky mohl jednoho dne sebrat.
Tady matematika končí a nastupuje politika. Existují čtyři základní scénáře. První je nečinnost — volný trh, vítěz bere vše, za cenu totálního kolapsu sítě a ovládnutí systému. Druhý je přístup spálené země: hardfork, který po určitém datu nezrealizované staré mince prostě smaže — s otázkami kolem vlastnického práva, které to otevírá. Třetí možností jsou přesýpací hodiny, tedy omezení rychlosti, jakou lze staré mince utratit, aby trh nedostal infarkt. A čtvrtou je vládní záchrana: státy se prostě nebudou dívat, jak nepřátelský režim získává stovky miliard dolarů, a vytvoří licencovaný kvantový úřad, který majetek zabaví a zdaní.
Základní dilema je přitom úplně jednoduché: systém postavený na principech volnosti a nekontrolovatelnosti čelí situaci, kdy buď zůstane věrný svým principům — a bude nebezpečně zranitelný — nebo svou volnost obětuje ve prospěch bezpečnosti. Jak velkou důvěru je rozumné dát systému, který si musí vybrat mezi těmito dvěma možnostmi?
Závěr
Google Quantum AI ve svém paperu nepřinesl pouze nová technická čísla. Přinesl signál, že čas, který kryptoprůmysl předpokládal jako svou bezpečnostní rezervu, se dramaticky zkrátil. Dvacetinásobné snížení hardwarových nároků, chytré odpovědné zveřejnění bez prozrazení útočného návodu a konkrétní pojmenování zranitelností od Taproot po KZG ceremonii — to vše dohromady přesouvá postkvantovou bezpečnost z kategorie vzdálených plánů do kategorie aktuálních rozhodnutí. Kryptokomunita teď musí odpovědět na otázku, na kterou dosud neexistuje dobrá odpověď.