Bitcoin non aspetta l’emergenza quantistica: il protocollo si aggiorna in anticipo. Olaoluwa Osuntokun, co-fondatore di Lightning Labs, ha proposto sulla Bitcoin-Dev Mailing List un percorso per rendere BIP324 — la cifratura del trasporto peer-to-peer — resistente ai futuri computer quantistici. La proposta, discussa nel Bitcoin Optech Newsletter #408 del 5 giugno 2026, segna uno dei primi passi concreti verso un Bitcoin post-quantum.
Cos’è BIP324 e Perché la Cifratura P2P Conta
Quando due nodi Bitcoin si scambiano blocchi e transazioni, il traffico viaggiava un tempo in chiaro: chiunque intercettasse la comunicazione — un ISP, un attore malevolo sulla rete — poteva tracciare indirizzi IP, tempi di propagazione e pattern di connessione. BIP324, attivato nel 2023, ha risolto questo problema introducendo la cifratura del trasporto P2P.
Il risultato pratico è che il traffico tra nodi appare come una sequenza casuale di byte, indistinguibile da rumore: nessun handshake riconoscibile, nessun banner di protocollo che identifichi Bitcoin. Questo protegge la privacy dei nodi e rende più difficile la censura selettiva del traffico.
Il limite attuale: BIP324 utilizza ECDH (Elliptic Curve Diffie-Hellman) per lo scambio di chiavi. Un computer quantistico abbastanza potente — che esegua l’algoritmo di Shor — potrebbe rompere ECDH in tempo polinomiale, rendendo obsoleta la cifratura.
ML-KEM: Il Meccanismo Post-Quantum Proposto da Osuntokun
La proposta di Osuntokun ruota attorno a ML-KEM (Module-Lattice-based Key Encapsulation Mechanism), algoritmo post-quantum standardizzato dal NIST nel 2024. ML-KEM si basa su problemi matematici reticolari: trovare vettori corti in reticoli ad alta dimensione resta computazionalmente difficile anche per i quantum computer.
Osuntokun ha delineato due possibili design per integrare ML-KEM in BIP324:
- Approccio ibrido ECDH + ML-KEM: i due algoritmi lavorano in parallelo. Se ECDH venisse compromesso dai quantum computer, ML-KEM mantiene la sicurezza del canale — e viceversa. È l’opzione più prudente, perché ML-KEM non ha ancora il track record decennale di ECDH.
- Post-quantum puro ML-KEM: più semplice architetturalmente, ma dipende interamente da un algoritmo relativamente nuovo, la cui resistenza pratica resta da verificare nel tempo.
Resta aperta anche la questione del handshake iniziale: BIP324 è progettato per essere indistinguibile da byte casuali. Osuntokun ha proposto due soluzioni per mantenere questa proprietà con ML-KEM — un doppio canale sequenziale (ECDH prima, poi ML-KEM) e la tecnica OEINC (Outer Encrypts Inner Nested Combiner), che raggiunge la sicurezza post-quantum in un unico passaggio.
Lightning Network Post-Quantum: Layer per Layer
Lo stesso Osuntokun ha pubblicato su Delving Bitcoin un’analisi della Lightning Network post-quantum, mappando ogni primitiva crittografica del protocollo Lightning ai suoi equivalenti quantum-safe. Firme HTLC, onion routing, negoziazione di canale: ognuno di questi componenti usa crittografia che dovrebbe essere sostituita.
L’analisi considera tre famiglie di algoritmi post-quantum standardizzati dal NIST: ML-KEM per lo scambio di chiavi, ML-DSA per le firme digitali, SPHINCS+ come alternativa hash-based per le firme. La roadmap proposta è progressiva: partire dagli strati più facili da aggiornare (trasporto) e procedere verso i componenti di consensus.
Come aveva dimostrato il recente aggiornamento Eclair v0.14.0 con SwiftSync, l’ecosistema Lightning sa evolvere mantenendo la compatibilità con le implementazioni esistenti — un requisito essenziale per un aggiornamento che coinvolge migliaia di nodi.
QR Code per Wallet Miniscript: Firma Air-Gapped più Interoperabile
Il Newsletter #408 ha segnalato anche una seconda proposta tecnica rilevante: Pyth, sviluppatore attivo su Delving Bitcoin, ha proposto la standardizzazione dei payload QR per wallet che utilizzano miniscript — il linguaggio per esprimere policy di spesa Bitcoin complesse in modo sicuro.
I wallet hardware air-gapped comunicano con i coordinator tramite QR code. Il problema è che gli standard esistenti coprono solo il multisig classico m-of-n, non le policy variabili di miniscript (timelocks, percorsi di recovery multipli, multisig personalizzati). La proposta di Pyth definisce payload standardizzati per: recupero xpub, registrazione di descriptor, verifica indirizzi, firma.
L’impatto pratico è sull’interoperabilità: un utente con un Coldcard MK5 potrebbe firmare transazioni miniscript con qualsiasi coordinator compatibile, senza dipendere da formati proprietari.
Il Quadro Generale: Bitcoin si Prepara Prima dell’Emergenza
Secondo le stime attuali, i computer quantistici “Cryptographically Relevant” (CRQC) — capaci di rompere ECDH a 256 bit — non esisteranno prima del 2030 nelle previsioni più ottimistiche, e probabilmente non prima del 2035-2040 in scenari realistici. Ma preparare Bitcoin richiede tempo.
Un vantaggio cruciale dell’aggiornamento di BIP324: modifica il protocollo di trasporto P2P, non le regole di consensus della blockchain. Non richiede un hard fork né un soft fork — i nodi possono aggiornarsi in modo graduale e compatibile. È questo che rende BIP324 il candidato ideale per il primo aggiornamento quantum-safe di Bitcoin.
| Proposta | Autore | Layer | Algoritmo | Stato (giugno 2026) |
|---|---|---|---|---|
| BIP324 Post-Quantum | Olaoluwa Osuntokun | P2P Transport | ML-KEM (ibrido o puro) | Pre-BIP, discussione aperta |
| Lightning Post-Quantum | Olaoluwa Osuntokun | Lightning Network | ML-KEM, ML-DSA, SPHINCS+ | Analisi iniziale, Delving Bitcoin |
| QR Payload Miniscript | Pyth | Wallet / Firma | — | Proposta, feedback aperto |
| MCCV Vault (CTV) | Ademan | Script / Contratti | BIP119 (CTV) | Release v0.1.0 |
BitcoinLive24 monitora in tempo reale l’evoluzione del protocollo Bitcoin. Scarica l’app BitcoinLive24 per ricevere notifiche istantanee sulle novità dello sviluppo Bitcoin.
Conclusione
Le proposte emerse dal Bitcoin Optech Newsletter #408 tracciano una direzione chiara: la community di sviluppatori Bitcoin lavora proattivamente per rendere il protocollo resistente ai computer quantistici, iniziando dagli strati più aggiornabili — il trasporto P2P — senza aspettare i lunghi processi di consensus.
L’approccio ibrido ECDH + ML-KEM, se adottato, offrirebbe una protezione “belt and suspenders”: due algoritmi indipendenti, ognuno capace di garantire la sicurezza se l’altro venisse compromesso. Come ha dimostrato il caso Zcash Orchard, affidarsi a un unico sistema crittografico non ancora messo alla prova può rivelarsi rischioso. Bitcoin preferisce la cautela.
FAQ — Domande Frequenti
Cos’è BIP324 e perché è importante per Bitcoin?
BIP324 è il Bitcoin Improvement Proposal che ha introdotto la cifratura del traffico P2P tra nodi Bitcoin nel 2023. Rende il traffico di rete indistinguibile da byte casuali, proteggendo la privacy dei nodi e impedendo la censura selettiva del traffico Bitcoin. È attualmente implementato da tutte le principali versioni di Bitcoin Core.
Cos’è ML-KEM e perché è resistente ai computer quantistici?
ML-KEM (Module-Lattice-based Key Encapsulation Mechanism) è un algoritmo standardizzato dal NIST nel 2024. Si basa su problemi matematici reticolari — trovare vettori corti in reticoli multidimensionali — che restano computazionalmente difficili anche per computer quantistici. A differenza di ECDH, non è vulnerabile all’algoritmo di Shor.
L’aggiornamento post-quantum di BIP324 richiede un hard fork?
No. BIP324 modifica solo il protocollo di trasporto P2P tra nodi, non le regole di consensus della blockchain. I nodi possono aggiornare gradualmente e rimangono compatibili con le versioni precedenti. Questo lo rende uno dei cambiamenti più facili da implementare nell’ecosistema Bitcoin senza richiedere coordinazione globale della rete.
Quando i computer quantistici diventeranno un rischio reale per Bitcoin?
Le stime degli esperti variano. Le previsioni più ottimistiche indicano computer quantistici “Cryptographically Relevant” (CRQC) entro il 2030, quelle più conservative tra il 2035 e il 2040. La preparazione anticipata di Bitcoin — come la proposta BIP324 post-quantum — mira a completare gli aggiornamenti prima che la minaccia diventi concreta.
