Las firmas postcuánticas «amenazan la capacidad de Bitcoin»: Thomas Coratger

Thomas Coratger, criptógrafo y líder del equipo postcuántico de la Fundación Ethereum (EF), publicó ayer 21 de abril un hilo en X en el que analiza y valida las propuestas SHRINCS y SHRIMPS de Blockstream, dos esquemas de firmas postcuánticas diseñados específicamente para Bitcoin.

El problema que Coratger plantea al inicio del hilo es que «las firmas postcuánticas son enormes, lo que amenaza la capacidad de transacciones de Bitcoin». Los estándares aprobados por el Instituto Nacional de Estándares y Tecnología (NIST) de Estados Unidos, como SLH-DSA, producen firmas de hasta 8.000 bytes.

Adoptarlos directamente en Bitcoin implicaría una reducción drástica del número de transacciones por bloque, dado que los bloques tienen un tamaño fijo.

Actualmente, el formato de firma usado en las transacciones de Bitcoin, llamado ECDSA y perteneciente a la familia de los esquemas de curva elíptica (ECC), genera firmas de entre 70 y 72 bytes.

¿Qué proponen los esquemas de Blockstream?

Conforme a Coratger, SHRINCS resuelve el problema del tamaño de las firmas combinando dos enfoques criptográficos distintos bajo una misma clave pública.

El primero, explica el investigador de Ethereum, es un esquema «con estado», que significa que el dispositivo de firma (una wallet) debe recordar cuántas veces firmó y qué firma usó en cada oportunidad.

Este registro interno es lo que permite generar firmas extremadamente pequeñas, pero también es el punto débil del modelo: si el dispositivo se pierde o se corrompe y reutiliza una firma ya usada, la seguridad queda comprometida. Para construir ese esquema, SHRINCS se apoya en una estructura matemática llamada árbol XMSS, que organiza las firmas disponibles de forma eficiente.

El segundo enfoque, en cambio, es «sin estado». No requiere que el dispositivo recuerde nada, lo que elimina el riesgo de reutilización, pero produce firmas significativamente más grandes.

SHRINCS se apoya en ese modelo como respaldo, usando el estándar SPHINCS+, ya validado por la comunidad criptográfica internacional. La combinación es el corazón de la propuesta. «Un dispositivo principal, como una wallet de hardware, usa la ruta con estado altamente eficiente, produciendo firmas de apenas 324 bytes», describe Coratger.

Si el usuario pierde el dispositivo y restaura su wallet desde una semilla de respaldo, el nuevo dispositivo detecta automáticamente que el estado se perdió y recurre a la ruta sin estado, con firmas de entre 3.000 y 8.000 bytes. Ese mecanismo evita que un error de restauración comprometa la seguridad del usuario.

SHRIMPS: la propuesta para múltiples dispositivos

La segunda propuesta que Coratger analiza es SHRIMPS, que, como ya lo explicó CriptoNoticias, extiende el modelo de SHRINCS hacia escenarios con múltiples dispositivos de respaldo simultáneos.

«SHRIMPS vincula dos instancias de SPHINCS+ bajo una misma clave pública: una instancia compacta con un presupuesto pequeño de firmas y una instancia más grande como respaldo», señala Coratger.

Los dispositivos secundarios usan la ruta compacta, generando firmas de aproximadamente 2.500 bytes en lugar de los 8.000 bytes del respaldo completo.

Así, combinando ambas propuestas, según el investigador de la EF, el dispositivo principal firma con 324 bytes vía SHRINCS, los dispositivos secundarios con 2.500 bytes vía SHRIMPS, y solo escenarios extremos alcanzan los 8.000 bytes.

«SHRINCS y SHRIMPS localizan los riesgos del manejo de estado al nivel del dispositivo, reduciendo drásticamente el tamaño de las firmas en cadena sin requerir suposiciones matemáticas exóticas», concluye el investigador.

Las soluciones de Blockstream aún no están formalizadas

Los esquemas SHRINCS y SHRIMPS son desarrollos propios de Blockstream que no han completado auditoría de seguridad independiente, a diferencia de los estándares del NIST.

Adicionalmente, su adopción en Bitcoin requeriría una propuesta formal de mejora (BIP) y un proceso de consenso entre desarrolladores, mineros y operadores de nodos, sin horizonte temporal definido hasta ahora.

No obstante, la validación de Coratger se inscribe en un contexto de acelerado debate postcuántico. Como lo notificó CriptoNoticias, en las últimas semanas emergieron varias propuestas para blindar a Bitcoin frente a la amenaza de la computación cuántica y parte de la industria, que durante años trató el tema como una preocupación de largo plazo, comenzó a tratarlo como urgente.