คำตอบสั้น ๆ คือ: เป็นไปได้ในทางทฤษฎี แต่ยังไม่ควรมองปี 2033 เป็นเส้นตายที่แน่นอน. ควอนตัมคอมพิวเตอร์ขนาดใหญ่ที่แก้ข้อผิดพลาดได้จริง หรือที่มักเรียกว่า fault-tolerant quantum computer อาจคุกคามลายเซ็นของ Bitcoin ที่อิงเส้นโค้งวงรี secp256k1 ได้ แต่หลักฐานสาธารณะในตอนนี้ยังไม่พอจะสรุปว่าเครื่องระดับนั้นจะมีอยู่แน่ ๆ ภายในปี 2033 ^[1][4][7]

ความหมายเชิงปฏิบัติคือ Bitcoin ยังไม่ได้ “จบ” เพราะปี 2033 แต่ก็ไม่ควรรอให้ภัยอยู่หน้าประตูแล้วค่อยย้ายระบบ เพราะการเปลี่ยนโครงสร้างคริปโตกราฟีระดับเครือข่ายเป็นงานใหญ่ที่กินเวลาหลายปี ^[4]

ภัยควอนตัมของ Bitcoin อยู่ตรงไหนกันแน่

ความเข้าใจผิดที่พบบ่อยคือ ควอนตัมจะต้อง “ทำลาย SHA-256” หรือระบบขุดของ Bitcoin ก่อน แต่ความเสี่ยงที่ถูกพูดถึงจริงจังกว่าคือ ลายเซ็นดิจิทัล: หาก public key ของผู้ใช้ถูกเปิดเผยบนเชน ควอนตัมคอมพิวเตอร์ที่ทรงพออาจคำนวณย้อนกลับเพื่อหา private key แล้วปลอมธุรกรรมใช้จ่ายเหรียญก่อนที่ธุรกรรมจริงจะได้รับการยืนยัน ^[7]

ใน Bitcoin public key มักถูกเปิดเผยตอนใช้จ่ายเหรียญ ไม่ใช่แค่ตอนรับเหรียญเสมอไป ดังนั้นช่วงที่ธุรกรรมถูกกระจายอยู่ใน mempool—พื้นที่รอคิวก่อนถูกบรรจุลงบล็อก—จึงเป็นหน้าต่างโจมตีที่ต้องคิดล่วงหน้า หากวันหนึ่งควอนตัมคอมพิวเตอร์ระดับนั้นเกิดขึ้นจริง ^[7]

งานวิชาการล่าสุดให้ประมาณการทรัพยากรใหม่สำหรับการโจมตีปัญหา discrete logarithm บนเส้นโค้ง secp256k1 ซึ่งเป็นแกนของระบบลายเซ็นในหลายบล็อกเชน ^[7] ตัวเลขเหล่านี้ทำให้ประเด็นควอนตัม “จริงจังขึ้น” สำหรับการวางแผน แต่ยังไม่เท่ากับบอกว่าเครื่องใช้งานจริงจะพร้อมในปีใดปีหนึ่งอย่างแน่นอน ^[1][4]

ทำไมปี 2033 จึง “น่าเตรียม” แต่ไม่ใช่ “น่าตื่นตระหนก”

ปี 2033 ควรมองเป็นฉากทัศน์สำหรับการบริหารความเสี่ยงมากกว่าคำพยากรณ์ เพราะสิ่งที่ต้องมีไม่ใช่แค่จำนวน qubit บนข่าวประชาสัมพันธ์ แต่ต้องมี logical qubit ที่เชื่อถือได้ อัตราข้อผิดพลาดต่ำ ระบบ error correction ที่ใช้งานจริง ความลึกของวงจรควอนตัม และการสาธิตอัลกอริทึมแบบ fault-tolerant ที่เกี่ยวข้อง ^[1][7]

อีกด้านหนึ่ง การย้ายไปสู่ post-quantum cryptography หรือ PQC ไม่ใช่การอัปเดตซอฟต์แวร์เล็ก ๆ หน่วยงานด้านความมั่นคงไซเบอร์ของสหราชอาณาจักรระบุว่าการย้ายระดับประเทศเป็นการเปลี่ยนเทคโนโลยีขนาดใหญ่ที่ใช้เวลาหลายปี ^[4] เมื่อเอาข้อนี้มาวางคู่กับวัฏจักรการอัปเกรด wallet, exchange, custody, smart contract, bridge และกฎฉันทามติของบล็อกเชน การเริ่มตอนนี้จึงสมเหตุสมผล แม้ยังไม่มีเครื่องควอนตัมที่โจมตี Bitcoin ได้ในวันนี้

เหรียญและ wallet แบบไหนเสี่ยงก่อน

ไม่ใช่ Bitcoin ทุกก้อนมีความเสี่ยงเท่ากัน กลุ่มที่ควรถูกจัดลำดับความสำคัญสูงกว่าในการประเมินความพร้อมต่อควอนตัม ได้แก่:

• เหรียญใน address ที่ public key ถูกเปิดเผยบนเชนแล้ว ^[7]
• การใช้ address ซ้ำ ซึ่งเพิ่มโอกาสให้ public key ถูกเปิดเผยและถูกติดตาม ^[7]
• เอาต์พุตเก่าแบบ pay-to-public-key ที่เผย public key โดยตรง ^[7]
• UTXO หรือเอาต์พุตที่ยังไม่ได้ใช้จ่าย ซึ่ง public key เคยถูกเผยแล้ว ^[7]
• ธุรกรรมที่ถูก broadcast เข้า mempool ระหว่างรอ confirmation เพราะเป็นช่วงที่ผู้โจมตีอาจพยายามแย่งใช้จ่ายหากมีควอนตัมคอมพิวเตอร์ที่เร็วพอ ^[7]

มาตรฐาน post-quantum เริ่มมาแล้ว

ข่าวดีคือโลกคริปโตกราฟีไม่ได้เริ่มจากศูนย์ NIST หรือสถาบันมาตรฐานและเทคโนโลยีแห่งชาติของสหรัฐฯ ได้ออกมาตรฐาน post-quantum ชุดแรก 3 รายการในปี 2024 โดยครอบคลุมทั้งกลไกแลกเปลี่ยนกุญแจและลายเซ็นดิจิทัลที่ออกแบบมาให้ทนต่อการโจมตีจากควอนตัมคอมพิวเตอร์ในอนาคต ^[3][8]

อย่างไรก็ตาม มาตรฐานทั่วไปไม่ได้แปลว่าจะใส่ลง Bitcoin หรือเชนอื่นได้ทันทีโดยไม่มีต้นทุน เพราะลายเซ็น post-quantum อาจมีขนาดใหญ่ขึ้น ตรวจสอบยากขึ้น ใช้แบนด์วิดท์มากขึ้น กระทบค่าธรรมเนียม และทำให้ประสบการณ์ผู้ใช้ซับซ้อนขึ้น ^[2][8] นี่คือเหตุผลที่ควรเริ่มทดสอบตั้งแต่ยังไม่มีวิกฤต

สิ่งที่อุตสาหกรรมคริปโตควรทำตั้งแต่ตอนนี้

1. ทำบัญชีความเสี่ยงคริปโตกราฟี

โครงการบล็อกเชน, exchange, custodian, bridge, ผู้ออก stablecoin, ระบบ layer-2 และผู้ให้บริการ wallet ควรสำรวจว่า asset, contract, hot wallet, ระบบลงนาม และระบบสำรองกุญแจใดบ้างที่พึ่งพา ECDSA, Schnorr, RSA หรือกลไก public-key อื่นที่เปราะบางต่อควอนตัม ^[1][2]

สำหรับ Bitcoin โดยเฉพาะ ควรแยก address ที่ถูกใช้ซ้ำและ UTXO ที่ public key ถูกเปิดเผยแล้วออกมาเป็นกลุ่มเสี่ยงสูงกว่ากลุ่มอื่น ^[7]

2. หยุดเพิ่มพื้นผิวโจมตี

แนวปฏิบัติง่ายที่สุดคือเลิกสนับสนุนการใช้ address ซ้ำ และออกแบบ wallet ให้เปิดเผย public key เฉพาะเท่าที่จำเป็นเมื่อมีการใช้จ่าย ^[7] เมื่อความเสี่ยงควอนตัมเข้าใกล้ขึ้น เครือข่ายยังควรปรับปรุงความเป็นส่วนตัวของ mempool และวิธีการกระจายธุรกรรม เพื่อลดหน้าต่างเวลาที่ผู้โจมตีอาจใช้คำนวณและปลอมธุรกรรม ^[7]

3. วิจัยทางเลือกธุรกรรมแบบ post-quantum อย่างจริงจัง

Bitcoin และเชนอื่นควรศึกษาเส้นทาง soft fork หรือ hard fork สำหรับลายเซ็น post-quantum โดยไม่ควรรอให้ “Q-day” หรือวันที่ควอนตัมคอมพิวเตอร์ที่เกี่ยวข้องเชิงคริปโตเกิดขึ้นจริงก่อน ^[2][7]

ตัวเลือกที่นำมาทดสอบควรถูกประเมินจากขนาดลายเซ็น ต้นทุนการตรวจสอบ ผลต่อแบนด์วิดท์ ผลต่อค่าธรรมเนียม ความง่ายต่อผู้ใช้ wallet และความมั่นใจระยะยาวว่ากลไกนั้นทนการวิเคราะห์ทางคริปโตกราฟีได้ ^[2][8]

4. ใช้แนวทาง hybrid ในช่วงเปลี่ยนผ่าน

เส้นทางที่เป็นไปได้คือใช้ลายเซ็นแบบ hybrid: ให้ธุรกรรมต้องมีทั้งลายเซ็นแบบเดิม เช่น ECDSA หรือ Schnorr และลายเซ็น post-quantum ระหว่างช่วงเปลี่ยนผ่าน ^[2][4] วิธีนี้ช่วยลดความเสี่ยงจากการฝากความปลอดภัยทั้งหมดไว้กับอัลกอริทึม PQC ที่ยังใหม่ ขณะเดียวกันก็เริ่มสร้างความพร้อมต่อภัยควอนตัม ^[2][4]

5. ให้ custody และโครงสร้างพื้นฐานมาก่อน

ผู้ให้บริการที่ถือสินทรัพย์แทนผู้อื่นควรเริ่มก่อนเสมอ ไม่ว่าจะเป็น exchange, custodian, ผู้ออกกองทุน ETF, bridge, ผู้ออก stablecoin หรือผู้ให้บริการ layer-2 เพราะการย้ายไป PQC เป็นการเปลี่ยนเทคโนโลยีขนาดใหญ่ที่อาจต้องใช้เวลาหลายปี ^[4]

สิ่งที่ควรทดสอบตั้งแต่ตอนนี้รวมถึงโมดูลลงนาม การรองรับของ HSM หรืออุปกรณ์เก็บกุญแจความปลอดภัยสูง การหมุนเวียนกุญแจ รูปแบบ backup และขั้นตอน recovery เมื่อเกิดเหตุฉุกเฉิน ^[2][4]

6. ตกลงนโยบายย้ายก่อนเกิดวิกฤต

คำถามยากที่สุดอาจไม่ใช่คณิตศาสตร์ แต่เป็นธรรมาภิบาล: ถ้าเหรียญบางกลุ่มเสี่ยงมากกว่าเดิม จะเตือนผู้ใช้อย่างไร จะจัดการกุญแจที่หายไปอย่างไร จะย้ายเหรียญที่เปราะบางอย่างไร และจะมีกรณี freeze หรือ quarantine เอาต์พุตที่เปิดเผย public key มานานหรือไม่ ^[4][7]

ประเด็นเหล่านี้ต้องอาศัยฉันทามติทางสังคมและกฎของเครือข่ายพอ ๆ กับเทคโนโลยีลายเซ็น ^[4][7]

7. ติดตามตัวชี้วัดที่ถูกต้อง

อย่าดูแค่พาดหัวว่าเครื่องควอนตัมมี physical qubit กี่ตัว ตัวชี้วัดที่สำคัญกว่าคือจำนวน logical qubit ที่ใช้งานได้จริง อัตราความผิดพลาด ภาระของ error correction ความลึกของวงจร และการสาธิตอัลกอริทึมแบบ fault-tolerant ที่เกี่ยวข้องกับการโจมตีคริปโตกราฟีจริง ^[1][7]

สรุป: ไม่ต้องตื่น แต่ต้องเริ่ม

คำตอบที่สมดุลที่สุดคือ ควอนตัมอาจทำลายลายเซ็น Bitcoin ได้ในอนาคต แต่ยังไม่มีเหตุผลพอจะบอกว่า Bitcoin จะถูกทำลายในปี 2033 แน่นอน ^[1][4][7]

ในทางกลับกัน การรอจนคอมพิวเตอร์ควอนตัม “เกือบทำได้แล้ว” จะสายเกินไปสำหรับมาตรฐานใหม่ การอัปเกรด wallet การรองรับของ exchange การย้ายผู้ใช้ และการเปลี่ยนฉันทามติของเครือข่าย ^[2][4] อุตสาหกรรมคริปโตจึงควรถือปี 2033 ไม่ใช่วันสิ้นโลก แต่เป็นสัญญาณเตือนให้เริ่มทำงานยาก ๆ ตั้งแต่วันนี้