Bitcoin(BTC) için yeni 양자 güvenliği adımı: BIP-360 ve P2MR taslağı resmi depoya girdi

비tcoin(Bitcoin)의 ‘양자(퀀텀) güvenliği’ tartışması, artık sadece teorik bir endişe olmaktan çıkıp somut *kod* ve *standart* aşamasına geçti. ‘양자 bilgisayarların ileride özel anahtarları ele geçirebileceği’ kaygısına karşı geliştirilen, yeni bir çıktı tipi tanımlayan Bitcoin İyileştirme Önerisi ‘BIP-360’un son taslağı resmi depoya eklendi. Öneri, *Taproot*’un avantajlarını korurken, 양자 tehdit modeli içinde en zayıf halka olarak görülen ‘key-path spend’ mekanizmasını tamamen ortadan kaldıracak şekilde tasarlandı.

Araştırma odaklı platform *Anduro*, Marathon Digital(MARA) çatısı altında kuluçkaya alınan bir proje. Anduro, X üzerinden yaptığı açıklamada “Bu güncelleme, ‘Pay-to-Merkle-Root(P2MR)’ adında yeni bir çıktı tipi getiriyor” diyerek, “Taproot’ta 양자 zafiyet noktası olarak gösterilen key-path spend’i kaldırırken, Tapscript ve script tree ile uyumluluğu koruduğunu” belirtti. Özetle P2MR, Taproot’a benzer özellikler sunarken, 양자 saldırılarına açık olan tek yolu bilinçli olarak devre dışı bırakıyor.

BIP-360, Bitcoin iyileştirme sürecinde ‘konsensüs (soft fork)’ kategorisine giren bir teklif olarak sınıflandırıldı. Teklife göre P2MR, yeni bir SegWit v2 çıktı tipi olarak tanımlanıyor. Mevcut Pay-to-Taproot(P2TR), ‘tweak edilmiş bir açık anahtara’ commit yaparken, P2MR doğrudan script tree’nin merkle root’una commit ediyor. Pratik fark net: P2MR çıktıları yalnızca script path üzerinden harcanabiliyor, Taproot’un sunduğu ‘key-path spend’ seçeneği tamamen ortadan kalkıyor.

Teklif özetinde hedef, “Değişiklik kapsamını minimumda tutarken, ek koruma isteyen kullanıcıya isteğe bağlı bir seçenek sunmak” şeklinde ifade ediliyor. Belgede, “Bu doküman, soft fork yoluyla yeni çıktı tipi P2MR(Pay-to-Merkle-Root) öneriyor. P2MR çıktıları, key-path spend’in kaldırılmış olması dışında P2TR(Pay-to-Taproot) çıktılarıyla neredeyse aynı işlevi sunar” deniliyor. Yani mevcut Taproot’un script tree esnekliği korunurken, uzun süre maruz kalmaya açık anahtar tabanlı yol kaldırılarak 양자 saldırı yüzeyi daraltılıyor.

BIP-360, koruma sağlamak istediği tehdidi daha somut biçimde tanımlıyor. Belge, P2MR’ın ana hedefini ‘kriptografik açıdan anlamlı 양자 bilgisayar(CRQC)’ kaynaklı ‘long exposure attack (uzun maruziyet saldırısı)’ olarak ortaya koyuyor. Burada amaç, açık anahtarın zincir üzerinde uzun süre görünür olduğu senaryolara karşı dayanıklılık sağlamak. Aynı zamanda gelecekte ortaya çıkabilecek yeni kriptanaliz yöntemlerinin, Bitcoin’de kullanılan eliptik eğri kriptografisini(ECC) zayıflatma ihtimali de hesaba katılıyor. 양자 bilgisayarlar tam anlamıyla ticarileşmemiş olsa bile, riskleri şimdiden mimari düzeyde azaltan ‘hazır (opt-in) bir seçenek’ sunulması hedefleniyor.

Bu kapsamda belge, ‘long exposure(uzun maruziyet)’ ile ‘short exposure(kısa maruziyet)’ kavramlarını ayırıyor. Uzun maruziyet saldırıları, adreslerde olduğu gibi açık anahtarın blok zincir üzerinde uzun süre açıkta kaldığı durumları hedefliyor. Kısa maruziyet saldırıları ise henüz bloğa girmemiş, mempool’da kısa süreli görünen açık anahtarları hedefleyen senaryolar. BIP-360, “P2MR yalnızca uzun maruziyet saldırılarına direnç sunar” diyerek çizgiyi net çekiyor. Yani P2MR hayata geçse bile tüm 양자 tehditlerinin çözüldüğü iddia edilmiyor.

Dokümanda, “Önerilen P2MR çıktıları, işlemin bloğa dahil olması için gereken süreden daha uzun süre açıkta kalan anahtarları hedefleyen uzun maruziyet saldırılarına karşı dayanıklıdır” deniliyor. Devamında, “Mempool’da kısa süreli görünen bir açık anahtardan özel anahtarın geri kazanılmasına dayanan, daha sofistike 양자 saldırılarını (kısa maruziyet saldırıları) engellemek için Bitcoin’e ‘post-quantum imza’ mekanizmaları eklemek gerekebilir” ifadesi yer alıyor. BIP-360 yazarları, bu konuda “Ek araştırmalar yapıldıktan sonra ayrı bir teklif sunmayı planladıklarını” belirtiyor. Böylece bu önerinin 양자 risklerine karşı ‘ilk adım’ niteliğinde olduğu özellikle vurgulanıyor.

Bu iki aşamalı ‘양자 güvenliği’ perspektifi nedeniyle P2MR, Tapscript ile uyumluluğa özel önem veriyor. Teklif, P2MR’ı gelecekteki genişlemeler için bir ‘script-tree çıktı tipi’ olarak konumlandırıyor. Eğer Bitcoin ileride post-quantum imza odaklı yeni opcode’lar eklerse, Tapscripte dayalı P2MR’ın eski script’lere kıyasla çok daha sorunsuz bir yükseltme yolu sunabileceği savunuluyor. Yani P2MR, tek başına kusursuz bir kalkan olmaktan çok, ileride gelecek güvenlik yükseltmeleri için bir zemin oluşturacak şekilde tasarlanmış durumda.

Anduro, değişikliğin bir ‘soft fork’ olarak tasarlandığını ve mevcut Taproot çıktılarının bu süreçten etkilenmeyeceğini tekrar hatırlatıyor. P2MR, bc1p ile başlayan Taproot UTXO’larını dönüştürmek yerine, tamamen yeni bir çıktı tipi olarak ekleniyor. Teklife göre P2MR adresleri, bech32m formatında ‘bc1z’ ile başlayacak. Böylece kullanıcılar Taproot ve P2MR varlıklarını net biçimde ayırt edebilecek, cüzdan ve hizmet sağlayıcılar da bunu isteğe bağlı olarak destekleyip kademeli geçiş yapabilecek.

Bunun bir bedeli de var. Taproot, key-path spend sayesinde ‘en kompakt witness’ yolunu sunuyordu. BIP-360, minimum P2MR harcama (spend) tanığının, Taproot key-path spend’e kıyasla 37 byte daha büyük olacağını hesaplıyor. Ancak aynı koşullardaki script-path spend ile kıyaslandığında, P2MR kontrol bloğunda internal public key’i atlayabildiği için, boyutu azaltma imkanı oluşabiliyor. Özetle P2MR, ‘en ekonomik seçenek’ olan key-path’i bırakırken, script-path tarafında verimlilik optimize etmeye çalışan bir uzlaşma gibi duruyor.

Gizlilik tarafındaki değişim de dikkat çekici. Taproot’un güçlü yönlerinden biri, key-path spend kullanılırsa, kullanıcının script tree kullanıp kullanmadığının zincir üzerinde görünmemesiydi. P2MR’da ise tüm harcamalar script path üzerinden gerçekleştiği için, ilgili çıktının ‘script tree tabanlı’ olduğu bilgisi baştan itibaren zincire yazılıyor. Bu durum, belirli seviyede meta veriyi gizli tutmak isteyen kullanıcılar için dezavantaj sayılabilir. 양자 güvenliği ile gizlilik ve verimlilik arasında nasıl bir denge kurulacağı, topluluk içinde ciddi tartışma başlığı olmaya aday.

Anduro, güncellemenin, “Bitcoin geliştiricileri 양자 tehditlerini ciddiye almıyor” eleştirilerine bir yanıt niteliği taşıdığını da belirtiyor. Ayrıca, teknik BIP metinlerini geliştirici olmayanlar için anlaşılır kılmak amacıyla, bu sürümden itibaren Isabel Foxen Duke’un ortak yazar olarak ekibe katıldığı açıklandı. Böylece bugüne kadar geliştirici topluluk içinde yürüyen 양자 risk tartışmalarının, genel kullanıcı ve yatırımcı kitlesinin de anlayabileceği bir dile çekilmesi amaçlanıyor.

Şu anda BIP-360 hâlâ ‘taslak(Draft)’ aşamasında. Buna rağmen, Bitcoin’in resmi BIP deposuna dahil edilmiş olması, süreç açısından önemli bir kilometre taşı olarak görülüyor. 양자 güvenliği tartışmaları, mailing list’ler ve forumlardaki soyut tartışmalar seviyesini aşıp, somut bir konsensüs değişikliği teklifi haline geldi. Artık cüzdan, kütüphane ve node yazılımı geliştiricileri, satır satır kod inceleyip riskleri ve maliyetleri değerlendirme aşamasına geçmiş durumda.

Önümüzdeki tartışmaların, “P2MR gibi isteğe bağlı(opt-in) bir seçenek yeterli mi?” sorusunda yoğunlaşması bekleniyor. Yalnızca 양자 risklerine karşı birkaç ek opsiyon tanımlamak, Bitcoin’in güvenlik mimarisini geleceğe hazırlamak için yeterli mi; yoksa er ya da geç post-quantum imzaların benimsenmesi ve devasa ölçekli varlık taşımaları gibi çok daha karmaşık bir sürece mi girilecek, bunu zaman gösterecek. Özellikle yüzbinlerce BTC’nin yeni bir sisteme taşınması sırasında ortaya çıkabilecek operasyonel risklerin, teknik bir problem olmanın ötesinde yönetişim krizine dönüşebileceği ihtimali, piyasalar tarafından dikkatle izleniyor.

Haberin yazıldığı an itibariyle Bitcoin(BTC), 66 bin 558 dolar (yaklaşık 9,606 milyar won) seviyesinde işlem görüyor. Kısa vadeli fiyat hareketlerinden bağımsız olarak, BIP-360 gibi teklifler, Bitcoin’in ‘dijital altın’ söylemini sürdürebilmesi için gerekli uzun vadeli teknoloji güncellemelerinin artık ciddiye alındığını gösteriyor. 양자 bilgisayarların tam anlamıyla ticarileşeceği tarih konusunda görüşler farklılaşsa da, Bitcoin ekosisteminde ağırlığın “korkmak yerine hazırlanmak (Prepared, not scared)” yönüne kaydığı netleşiyor.