量子计算领域的最新进展再次引发了人们对其将如何影响比特币的关注。在一份新发布的报告中,我们概述了量子计算的现状、比特币的威胁模型以及正在考虑的后续步骤。本文概述了我们的主要发现和建议
比特币准备量子计算的时间表
我们概述了比特币的双轨迁移策略,以应对量子计算的潜在出现。
长期路径:这种综合方法假设量子运算构成实际威胁之前仍有相当长的时间视窗。参考隔离见证(SegWit) 和Taproot 等先前协议升级的时间表,我们估计实现完全的量子安全过渡可能需要大约7 年时间。短期应急路径:此路径用于应对量子计算技术突然突破时的紧急应变。它优先考虑快速部署防护措施,以保障比特币网路的安全,预计大约需要两年才能完成。在这两种情况下,精心管理的资金(例如储存在P2PKH 或P2WPKH 等哈希地址类型中且不重复使用地址)已经受到保护,免受量子攻击。然而,以后量子时代安全的方式使用这些资金需要额外的基础设施,预计这些基础设施将在这两个时间线的第二阶段开发完成。
量子电脑:何时问世?有何功能?
如果量子运算能够大规模实现,它可以利用量子力学原理显着提升特定类型问题的处理速度。尤其值得关注的是密码相关量子电脑(CRQC),它们能够破解现代密码学背后的数学假设。这其中就包括椭圆曲线密码学(ECC) 等演算法,而这些演算法是比特币安全的基础。
虽然量子计算几十年来一直是理论研究的活跃领域,但在建造大规模量子机器(尤其是CRQC)方面仍然存在重大的工程挑战。迄今为止,还没有一台量子计算机在解决商业相关问题方面超越经典超级计算机,也没有展现出足以威胁现代密码学的能力。
CRQC 预计时间表
众所周知,技术进步难以预测,它很少遵循线性路径,历史上有许多突飞猛进的例子。为了预测密码学领域的潜在变化,一些组织已经提出了密码签名过渡的时间表。
其中最突出的努力之一来自美国国家标准与技术研究院(NIST),该研究院一直引领着密码标准的制定。他们发布的建议突出了两个关键日期:
到2030 年,ECDSA 和RSA 等传统加密方法应该会被淘汰。到2035年,所有加密系统都应完全过渡到后量子演算法。英国国家网路安全中心采取了类似的方法,采用三阶段迁移框架,旨在到2035 年完成向后量子密码学的过渡。欧盟和中国等其他实体也在积极研究后量子密码学策略,尽管他们尚未公布正式的时间表。
在产业层面,包括Cloudflare、Signal和Google在内的多家领先公司已开始采用后量子密码学。他们正在实施混合签章方案,将传统加密方法与后量子演算法结合,攻击者需要破解这两种演算法才能入侵系统。苹果也宣布了向后量子密码学过渡的计画。随着PQC成为新兴行业标准,预计会有更多公司效仿。
有何风险?
比特币面临的威胁将带来巨大的经济风险。图2 分析显示,约有651 万枚比特币(目前估值超过7,000 亿美元,占目前供应量的32.7%)存在量子漏洞。这包括地址重复使用的资金、本质上易受量子攻击的脚本类型保护的资金,以及透过比特币分叉(例如比特币现金)上的公钥暴露而易受量子攻击的资金。
比特币威胁模型:我们该担心什么?
量子计算预计将影响比特币的两个关键领域:挖矿和交易签名。在量子挖矿中,整合多台机器的运算能力的难度使得大型量子矿工拥有不成比例的优势,从而威胁到去中心化。对于交易签章而言,风险更为直接,CRQC 可以从公钥衍生出私钥,从而窃取资金。
重要的是,这两种威胁的时间表截然不同。建造一台性能超越现代ASIC 矿机的量子计算机,其工程挑战远大于建造一台能够破解数位签章的量子计算机。部分原因在于量子处理器的时脉速度较低,远低于比特币挖矿中使用的高度最佳化和专用硬件,而且缺乏并行化。
CRQC 可能会打破基于ECC 方案的假设,即无法从对应的公钥推导出私钥,从而可能允许攻击者窃取资金。在比特币中,UTXO 的所有权是透过使用与给定公钥对应的私钥签署交易来证明的。如果CRQC 能够从公钥推导出该私钥,它可以伪造所有权并花费资金。
这导致了两种截然不同的量子攻击场景。使用哈希地址进行付款时,公钥会暂时暴露,这为攻击者提供了短暂的窗口期(通常几分钟到几小时)来获取私钥并窃取资金(可能透过链重组进行)。相较之下,某些输出类型(P2PK、P2MS、P2TR)从收到资金的那一刻起,公钥就会永久地暴露在链上,这为攻击者提供了无限的时间来发动量子攻击。地址重复使用将哈希地址的暂时漏洞转化为永久暴露,因为公钥在首次支付后仍然在链上可见。如图3 所示,最易受攻击的目标是持有大量资金且公钥暴露的地址,例如实施地址重用的机构持有者。
矿业
比特币挖矿基于以下原理:找到有效区块的机率与所花费的计算量呈线性关系。 Grover 演算法是一种量子搜寻技术,它为暴力搜寻提供了二次方的加速。然而,与传统挖矿不同,Grover 演算法不易并行化。这项限制可能会使拥有大规模中心化量子硬体的实体获得不成比例的优势,从而可能加剧挖矿的中心化,而不是扩大参与度。
除了对中心化问题的担忧之外,量子挖矿还可能改变矿工的最优策略,例如增加陈旧区块的比率来降低区块链品质。更高的陈旧区块比率可能会降低某些攻击(例如自私挖矿或双花攻击)的成本,使其更加可行。
如前所述,建造一台能够超越现代ASIC矿机的量子电脑被认为比开发CRQC(可重复量子计算)要遥远得多。因此,量子挖矿并非迫在眉睫的问题,在未来几十年内不太可能构成实际威胁。尽管如此,在未来量子环境下探索工作量证明机制仍是一个值得研究的方向。更好地理解潜在风险和缓解策略将有助于生态系统为量子挖矿成为现实做好准备。
迁移到量子安全:主要挑战是什么?
量子安全签名
量子安全密码签章的研究已持续数十年,但近年来,人们对此的兴趣和进展都有所加速。这促成了SPHINCS+、FALCON 等候选协议的开发。然而,作为一个相对年轻的领域,该领域已出现多个最初被认为是安全的方案,但后来被攻破(例如SIKE),甚至被经典电脑攻破。尽管人们对现有候选方案的信任度与日俱增,但该领域仍活跃且不断发展。
签名算法年份密码学类型公钥长度公钥长度与 Schnorr 算法对比签名长度签名长度与 Schnorr 算法对比签名成本与 Schnorr 算法对比验签成本与 Schnorr 算法对比Schnorr1989椭圆曲线密码学(ECC)32 字节1.0 倍64 字节1.0 倍1.0 倍1.0 倍ECDSA1992椭圆曲线密码学(ECC)23 - 33 字节1.0 倍70 - 72 字节1.1 倍1.05 倍1.05 倍SPHINCS+ 128s2015哈希密码学(Hash)32 字节1.0 倍7856 字节122 倍约 111000 倍约 37 倍SPHINCS+ 128f2015哈希密码学(Hash)32 字节1.0 倍17088 字节267 倍约 5700 倍约 99 倍CRYSTALS - Dilithium 442017格密码学(Lattice)1312 字节41 倍2420 字节38 倍约 8 倍约 0.9 倍FALCON 5122017格密码学(Lattice)897 字节28 倍666 字节10 倍约 24 倍约 0.6 倍SQIsign I2023同源密码学(Isogeny)64 字节2 倍177 字节2.8 倍约 135000 倍约 830 倍如上所示,后量子签章方案的一个显着限制在于,与比特币目前使用的经典演算法(例如ECDSA和Schnorr)相比,它们的金钥和签名大小显着增大,验证时间也显着增加。为了解决这个问题,一些提案建议利用隔离见证(SegWit)的见证人折扣机制来减少链上占用空间。然而,将量子安全签名整合到协议中的最佳方法仍是一个悬而未决的问题。除了效能方面的权衡之外,量子安全方案尚不支援经典签章提供的全部功能,例如闪电网路和其他应用程式中所依赖的签章。该领域仍然是密码学界研究的热点,预计未来几年将取得进一步的进展。
迁移路径
如果比特币社群选择将易受攻击的资金迁移到抗量子格式,则需要转移大量的UTXO。目前有几种方案正在考虑中,每种方案都有不同的权衡。有些方案着重于在不提前暴露公钥的情况下,实现哈希位址输出的安全使用。另一些方案则提出了一些机制,以限制或规范那些直接易受量子窃盗攻击的UTXO 的使用。这些策略通常需要修改共识规则,例如软分叉,并且还必须考虑转移大量UTXO 的实际挑战,即使在持续分配区块空间的情况下,转移过程也可能需要4 到18 个月的时间。
哲学困境:我们允许资金被偷走吗?
比特币社群面临一个根本的哲学问题:应该将易受量子攻击的资金永久冻结(「销毁」),还是将其保留在量子电脑可访问的范围内(「窃取」)?这项抉择触及比特币的核心原则:产权、抗审查性和不可窜改性。销毁方案将量子脆弱性视为一个需要保守修复的协议漏洞,阻止财富重新分配给在CRQC 竞赛中获胜的人。窃取方案则认为,销毁资金侵犯了其所有者的产权,实际上是没收了那些可能根本不知道威胁或无法及时迁移的人的资产。
其影响远不止于哲学层面,更关乎市场动态。协同销毁将永久地将数百万比特币从流通中移除,这可能会提升剩余比特币的价值,同时提供市场确定性。允许量子窃盗会导致巨额财富转移到拥有量子能力的实体,随着资金逐渐耗尽,可能会造成长期的市场不确定性和波动性。就此做出决定对于比特币的治理模式至关重要,它要求社群在安全要求与使用者主 权和不干预的基本原则之间取得平衡。
那么,下一步是什么?
CRQC 的到来将标志着数位领域的重大转变,使当今许多安全通讯、身份验证和数位基础设施面临风险。尽管量子计算尚未实现,但相关准备工作正在进行中,以确保比特币能够抵御未来的发展。加密社群和比特币社群仍在继续研究,以评估潜在风险并探索切实可行的应对措施。我们的报告重点介绍了两个近期可能需要关注的领域:停止地址重复使用,以及评估围绕暴露资金的「销毁与窃取」讨论中的利弊权衡。
主动行动的窗口现已打开,尽管它可能不会永远开放。随时了解量子计算和密码学的进展至关重要,研究潜在的缓解策略及其对比特币生态系统的更广泛影响也同样重要。在后量子时代,确保比特币的长期安全需要从现在开始进行深思熟虑、谨慎的工作,这样我们才能在时间尚存的情况下做出明智的决策。
到此这篇关于量子计算什么时候到来?当量子电脑出现时,比特币会发生什么?的文章就介绍到这了,更多相关比特币未来分析内容请搜索(Alibtc.com)以前的文章或继续浏览下面的相关文章,希望大家以后多多支持(Alibtc.com)!
