Lunedì 6 ottobre, il famoso sviluppatore di Bitcoin Peter Todd ha affermato che la National Security Agency (NSA) degli Stati Uniti sta "cercando di nuovo di sfruttare le criptovalute" tramite l'implementazione dei cosiddetti algoritmi quantistici sicuri, questa volta promuovendo implementazioni che escludono la crittografia classica collaudata.
"In breve: la NSA sta chiaramente cercando di sfruttare di nuovo la crittografia con l'implementazione di algoritmi di " sicurezza quantistica ". Il modo più ovvio per implementarli è AND: tradizionale AND quantum secure. Quindi è necessario violare entrambi. La NSA sta cercando di rimuovere quella cintura di sicurezza: solo quantum", ha scritto Todd.
La NSA sta progettando una backdoor quantistica per accedere a Bitcoin?
I commenti di Todd sono arrivati mentre il crittografo Daniel J. Bernstein (DJB) pubblicava un paio di post sul blog, il 4 e il 5 ottobre, in cui criticava gli attuali processi dell'Internet Engineering Task Force (IETF) e avvertiva che la "crittografia indebolita" potrebbe essere standardizzata attraverso modifiche procedurali che sopprimono il dissenso.
In "MODPOD: The collapse of IETF's protections for dissent", Bernstein sostiene che un nuovo framework di moderazione consente la censura delle obiezioni basata sui contenuti, comprese quelle all'eliminazione di implementazioni "ibride" che combinano schemi classici e post-quantistici. Aggiunge che ci sono "azioni utili" che le parti interessate possono intraprendere entro martedì 7 ottobre per opporsi a queste modifiche.
Al centro della controversia c'è se le migrazioni alla crittografia post-quantistica (PQC) debbano favorire combinazioni ibride, ad esempio l'ECDH classico e l'incapsulamento delle chiavi PQ, piuttosto che switch esclusivamente quantistici. Gli ibridi proteggono dalle incognite della PQC recentemente standardizzata, richiedendo a un aggressore di violare entrambi i componenti per compromettere una sessione o una firma. L'IETF ha formalizzato il termine "ibrido" nel giugno 2025 (RFC 9794), e le linee guida e le FAQ del NIST descrivono e consentono analogamente modalità di definizione delle chiavi ibride durante la transizione. Questo contesto supporta l'affermazione di Todd secondo cui spingere per l'adozione di "solo quantistici" è una pericolosa deviazione dalle migliori pratiche.
Il post di Bernstein del 4 ottobre descrive in dettaglio implementazioni ibride reali – gli esperimenti CECPQ1/2 di Google (ECC+NewHope, ECC+NTRU, ECC+SIKE), il supporto SSH multi-vendor per ECC+sntrup761 e l'attuale utilizzo dei browser dominato da ECC+ML-KEM (Kyber) – come prova del fatto che l'ibridazione è già diffusa e fattibile a livello operativo su scala Internet. Il post sostiene che l'eliminazione degli ibridi ridurrebbe i margini di sicurezza proprio quando il nuovo PQC è ancora in fase di maturazione.
Il NIST, da parte sua, ha guidato il programma PQC globale dal 2016 e nell'agosto 2024 ha finalizzato gli standard per ML-KEM (Kyber) e due schemi di firma (ML-DSA/Dilithium e SLH-DSA/SPHINCS+), con algoritmi aggiuntivi come HQC selezionati nel 2025. In tutti i suoi materiali, il NIST riconosce le modalità ibride come meccanismi di transizione legittimi e ha ospitato workshop dedicati sulle linee guida KEM, posizioni che contrastano con un mandato generale "solo quantistico".
Il motivo per cui questo è importante per Bitcoin e per le criptovalute in generale è duplice. In primo luogo, l'ecosistema di Bitcoin si basa fortemente su primitive e protocolli di rete standardizzati – hash, firme, handshake – la cui evoluzione è plasmata dagli output di NIST e IETF anche quando l'implementazione avviene in basi di codice open source. In secondo luogo, Todd fonda il suo avvertimento sulla storia: il presunto ruolo della NSA nel fiasco del Dual_EC_DRBG di due decenni fa, quando un generatore di numeri casuali approvato dal NIST fu successivamente ritirato a causa di credibili preoccupazioni relative a backdoor, tra cui segnalazioni secondo cui RSA lo avrebbe reso predefinito nel suo toolkit a seguito di un pagamento segreto. "L'approvazione di criptovalute con backdoor è già avvenuta su richiesta della NSA", ha scritto Todd, aggiungendo: "Non è un rischio teorico. Si stanno chiaramente preparando a farlo di nuovo".
Tuttavia, non esiste alcuna prova pubblica che la NSA stia attualmente inserendo una backdoor specifica negli standard PQC del NIST o nelle bozze IETF. Il NIST continua a pubblicare linee guida aperte, workshop e processi di commento pubblico in merito al PQC, inclusa la documentazione esplicita degli approcci ibridi. Lo sviluppatore Fudmottin (@Fudmottin) ha obiettato a Todd: "Se gli algoritmi crittografici approvati dal NIST come SHA-256 dovessero rivelarsi dotati di backdoor o di una vulnerabilità, allora il NIST è spacciato. Nessuno gli chiederà nemmeno l'ora del giorno (sì, il NIST mantiene quello standard per gli Stati Uniti)".
L'appello immediato all'azione arriva dai post di Bernstein che esortano le parti interessate a coinvolgere i meccanismi IETF entro martedì 7 ottobre (in qualsiasi fuso orario) per opporsi alla moderazione in stile MODPOD e difendere la crittografia ibrida come percorso di transizione predefinito. L'intervento di Todd nella comunità Bitcoin sottolinea una sfiducia di lunga data nelle politiche crittografiche basate sull'intelligence – plasmata da Dual_EC e altri episodi – e il desiderio di mantenere i sistemi critici per il consenso isolati da standard che potrebbero indebolire la difesa in profondità.
Al momento della stampa, il Bitcoin veniva scambiato a 134.545 $.
