- 对比特币 ECDSA/Schnorr 签名的量子攻击仍然是一种理论上的、长期的风险,专家一致认为需要数十年的时间来进行谨慎、非破坏性的准备。
- 基于哈希的签名方案,包括 NIST 标准化的构造(如 SPHINCS+),在提供强大的后量子安全性的同时,在哲学和架构上与比特币保守的、以哈希为中心的理念保持一致。
- 尽管签名大小增加和状态管理复杂性等挑战依然存在,但分阶段迁移方法(通过软分叉、钱包级升级和混合签名模型)为后量子时代的韧性提供了一条现实且可控的途径。
比特币长期接触量子计算,凸显了基于哈希的签名(HBS)作为一种可信的后量子升级途径,因为其依赖于与比特币现有协议设计密切一致的哈希函数安全假设。
量子威胁
随着量子计算的进步,量子机器能否破解比特币的问题时不时地再次引起公众关注。大多数研究人员和行业分析师都认为,量子计算距离破解比特币的核心签名算法还很遥远,但理论上存在这种可能性。比特币的所有权模型依赖于ECDSA/Schnorr签名,而量子计算机可以利用Shor算法加速离散对数问题的求解。这意味着,理论上,足够强大的量子机器可以从暴露的公钥中导出私钥,并伪造签名来转移资金。这种长期风险促使整个生态系统积极规划后量子时代的防御措施,而不是坐等危机爆发。
Blockstream 首席执行官 Adam Back 指出,比特币可能还有二十多年的时间才会面临量子攻击的真正威胁,这比许多悲观的预测所暗示的准备时间要长得多。
图 1:比特币 ECDSA/Schnorr 签名中私钥量子漏洞的示意图
提案来源
此次讨论源于Blockstream研究员Mikhail Kudinov和Jonas Nick的一篇修订版论文,他们分析了比特币在后量子时代可能的几种安全路径。该论文特别关注基于哈希的签名,认为这些方案前景广阔,因为它们的安全性完全依赖于哈希函数的假设——而这些假设早已深深嵌入比特币的设计之中。他们认为,这种兼容性使得基于哈希的签名成为后量子时代一个可靠的选择。
基于哈希的签名
基于哈希的签名(HBS)是一类数字签名,它依赖于哈希函数的特性——单向性和抗碰撞性——而非椭圆曲线离散对数等数学假设。诸如SPHINCS+之类的方案(现已成为NIST后量子签名标准的一部分)经过了广泛的密码学审查,并被普遍认为具有坚实的抗量子设计的理论基础。
通过增加哈希输出长度并使用经过充分研究的构造,即使存在量子加速的暴力破解能力,这些方案也能保持强大的安全裕度。
兼容性争论
尽管HBS在概念上是一个清晰的后量子时代替代方案,但其与比特币的技术整合仍存在争议。研究和媒体讨论中提出的关键问题包括:
- 如何平衡签名大小和链上数据成本?
- 比特币应该支持多种HBS变体,还是标准化为一种?
- 是否需要进行历史核查或额外的状态跟踪?
这些问题仍然是目前讨论的热点领域,尚未达成工程共识。
核心优势
支持者强调了以下几个优点:
- 一致的安全假设——HBS 仅依赖于哈希函数,而哈希函数已经是比特币架构的基础。
- 广泛的密码分析——几种基于哈希的方案已经过 NIST 标准化和多年的审查,增强了人们对其长期韧性的信任。
- 协议兼容性——原则上,可以通过软分叉输出类型引入基于哈希的签名,而不会破坏现有的共识规则。
与引入复杂新数学假设和更大实现负担的格基方案相比,HBS 通常被认为在哲学上更符合比特币的极简主义、保守的设计原则。
公众误解
媒体标题经常夸大恐慌,声称“中本聪的钱包将成为量子攻击的首要目标”。虽然早期的公钥支付(P2PK)钱包确实会暴露公钥,因此理论上面临更高的量子攻击风险,但实际情况更为复杂。并非所有早期钱包都采用这种设计,而且这些风险可以通过迁移工具、重新签名机制以及协调一致的钱包级升级来降低。
这个问题很严重,但并非无法克服,当然也不会立即造成灾难。
实施挑战
在比特币中部署 HBS 面临着真正的工程挑战:
- 大型签名——基于哈希的签名比目前的 Schnorr 签名大得多,通常达到几千字节。这会影响区块传播、验证和用户费用。
- 状态管理——某些 HBS 方案需要跟踪密钥使用状态,这会使多设备和离线签名工作流程变得复杂。
这些问题是可以解决的,但需要精心设计、多年讨论和严格测试。
迁徙路径
媒体和开发者社区已经列出了几种可能的迁移路径:
- 协议级升级——通过软分叉引入支持后量子签名的新输出类型。
- 钱包级迁移——促使用户将资金从可能存在安全风险的旧地址转移到新的、抗量子攻击的地址。
- 混合机制——暂时需要经典和后量子特征来缩小过渡期间的脆弱性窗口。
这些路径仍在讨论和试验中,但它们表明了生态系统对长期量子风险的积极应对方式。
图 2:比特币签名系统迁移示意图(旧系统 → 新系统)
共识与时间表
比特币社区的设计本身就比较保守。任何协议升级——尤其是修改签名系统的升级——都需要经过长时间的公开审查、测试和社会共识。
相应地,大多数专家认为,能够破解比特币签名的量子计算机仍然是一个长期存在的问题,而非迫在眉睫的威胁。这种较长的准备期使得整个生态系统能够有条不紊地做好准备,而不是仓促地采用不确定或不成熟的解决方案。
结论
基于哈希的签名代表了一种后量子时代的发展方向,它与比特币现有的安全模型和设计理念高度契合。它们的出现标志着行业讨论的焦点发生了转变——从基于猜想和恐惧的论调转向了具体的工程和协议治理规划。
HBS 不是一个万能的解决方案,而是一个长期的发展路径,它将通过协议研究、迁移工具、社区协调和标准化而逐渐成熟。
面对量子计算的最终现实,比特币生态系统已经采取了审慎的、技术上稳妥的措施——这本身就是该网络长期韧性的一个标志。
阅读更多:
〈 基于哈希的签名与比特币的后量子路径〉这篇文章最早发布于《 CoinRank 》。
