Le 17 juillet 2025, Tim Ruffing, chercheur chez Blockstream Research, a publié un article de recherche intitulé The Post-Quantum Security of Bitcoin’s Taproot as a Commitment Scheme. Ce travail évalue la résistance de Taproot face aux menaces posées par l’informatique quantique.
Résumé des résultats
L’étude démontre que Taproot est sécurisé dans un monde post-quantique, tant qu’on se limite aux dépenses via script (script-path spends). Plus précisément :
- Un attaquant équipé d’un ordinateur quantique ne peut pas créer une sortie Taproot qui s’ouvre sur une racine de Merkle inattendue.
- Il ne peut pas non plus deviner ou extraire des informations sur la racine de Merkle tant qu’elle n’est pas révélée.
Ces garanties tiennent dans le modèle d’oracle aléatoire quantique (QROM), qui suppose que SHA256 reste une fonction de hachage sans vulnérabilité structurelle, même face à des requêtes quantiques (en superposition).
D’un point de vue quantitatif :
- Il faudrait au minimum 2⁸¹ évaluations de SHA256 pour qu’un attaquant ait une chance sur deux de forger un engagement Taproot falsifié.
- Si l’attaquant ne dispose que de machines quantiques capables de 2²⁰ évaluations chacune, il en faudrait 2⁹² en parallèle pour obtenir cette même probabilité.
Implications pour Bitcoin
Ce travail justifie une stratégie de migration post-quantique en deux temps, déjà évoquée dans la communauté :
- Ajout de signatures post-quantiques dans le langage de script (par exemple via un soft fork introduisant de nouvelles instructions).
- Désactivation des signatures Schnorr et ECDSA, avant l’arrivée d’ordinateurs quantiques à grande échelle, pour éviter que des fonds anciens ne deviennent vulnérables au vol.
Ce chemin d’évolution, proposé tout d’abord par Matt Corallo, serait donc cohérent du point de vue cryptographique.
Un niveau de sécurité suffisant ?
Certes, la cryptographie post-quantique vise en général une sécurité d’au moins 2¹²⁸, mais Ruffing soutient que 2⁸¹ est suffisant dans le contexte de Bitcoin. En effet :
- Le réseau Bitcoin exécute déjà environ 2⁹⁶ double SHA256 par an (à un taux de hachage de 1 ZH/s).
- Une attaque sur Taproot nécessiterait une puissance de calcul spécialisée et massivement parallèle, ce que les premiers ordinateurs quantiques ne seront pas en mesure d’offrir.
- En l’état actuel, les meilleures attaques connues contre Taproot reposent sur des machines classiques, ce qui rend les menaces quantiques moins urgentes à court terme.
Une première justification formelle
Jusqu’à présent, la sécurité des script-path spends était une hypothèse largement admise, mais non démontrée formellement. Ce document fournit une analyse rigoureuse et quantifiée.
En conclusion
Ce travail renforce la confiance dans la robustesse de Taproot face aux futures menaces cryptographiques, et valide des stratégies d’évolution du protocole pour intégrer progressivement des primitives post-quantiques. Il constitue ainsi une base solide pour les discussions techniques autour de la sécurité à long terme de Bitcoin.
L’article de Tim Ruffing : https://eprint.iacr.org/2025/1307.pdf
Un autre point de vue sur la « menace quantique » : Bitcoin face à l’ordinateur quantique : évaluation raisonnée d’un risque souvent exagéré par Nicolas Cantu
