与普遍的看法相反,量子电脑不会「破解」比特币加密;相反,任何现实的威胁都将集中在利用与暴露的公钥绑定的数位签章上。
量子电脑无法Decrypt比特币,因为它链上不储存任何加密资讯。
所有权是透过数位签章和基于哈希的承诺来强制执行的,而不是透过密文。
真正重要的量子风险是授权伪造的风险。
如果一台具有密码学意义的量子电脑能够运行 Shor 演算法来对抗比特币的椭圆曲线密码学,它就可以从链上的公钥推导出私钥,然后为竞争性支出产生有效的签章。
很多关于「量子技术突破比特币加密」的说法都存在著术语错误。比特币资深开发者、Hashcash发明者亚当·巴克在X网站上对此进行了总结:
“给那些散布量子恐慌情绪的人提个醒:比特币不使用加密技术。搞清楚基本概念,否则很容易被识破。”
另一篇文章更明确地阐述了同样的区别,指出量子攻击者不会「Decrypt」任何东西,而是会使用 Shor 演算法从暴露的公钥中推导出私钥:
「加密是指隐藏讯息,使只有拥有金钥的人才能读取资讯。比特币并没有这样做。区块链是一个公共帐本;因此任何人都可以看到每一笔交易、每一笔金额和每一个地址。没有任何资讯是加密的。」
为什么公钥泄漏而非加密才是比特币真正的安全瓶颈
比特币的签名系统 ECDSA 和 Schnorr 用于证明对金钥对的控制权。
在这种模式下,用户透过产生网路可接受的签名来获取代币。
这就是为什么公开公钥是关键。
输出是否公开取决于链上显示的内容。
许多地址格式都使用公钥的哈希值,因此在交易完成之前,原始公钥不会被泄露。
这缩小了攻击者计算私钥并发布冲突交易的时间视窗。
其他脚本类型会更早暴露公钥,位址重复使用可以将一次性泄漏变成持久攻击目标。
Project Eleven 的开源「比特币风险清单」查询定义了脚本和重复使用层级的风险敞口。
它可以定位潜在的 Shor 攻击者已经能够取得的公钥。
为什么量子风险如今是可以衡量的,即使它并非迫在眉睫
Taproot 改变了暴露模式,而这种改变只有在大型容错机器出现时才会产生影响。
Taproot 输出 (P2TR) 的输出程式包含一个 32 个位元组的调整后的公钥,而不是 BIP 341 中所述的公钥杂凑。
Project Eleven 的查询文件将 P2TR 与 pay-to-pubkey 和一些多重签章形式一起列为输出中可见公钥的类别。
这不会在今天造成新的漏洞。
但是,如果密钥恢复成为可能,那么预设会暴露哪些内容。
因为风险敞口是可以衡量的,所以今天就可以追踪易受攻击的人群,而无需确定一个特定的时间线。
Project Eleven 表示,它每周都会进行自动扫描,并发布「比特币风险清单」概念,旨在涵盖每个存在量子漏洞的地址及其余额,详情请参阅其方法论贴文。
其公开追踪器显示,符合其风险敞口标准的比特BTC数量约为 670 万枚。
| 数量 | 数量级 | 来源 |
|---|---|---|
| BTC在「量子漏洞」地址中(公钥已泄露) | 约 670 万个BTC | 十一号计划 |
| 256 位元素数域 ECC 离散对数逻辑量子位元(上限) | 约2330个逻辑量子比特 | Roetteler等人 |
| 一个与10分钟密钥恢复装置相关的实体量子位元规模范例 | 约690万个实体量子比特 | 利廷斯基 |
| 与 1 天密钥恢复设定相关的物理量子位元尺度参考 | 约1300万个实体量子比特 | 施奈尔谈安全 |
在计算方面,关键区别在于逻辑量子位元和物理量子位元。
在论文「计算椭圆曲线离散对数的量子资源估计」中,Roetteler 及其合作者给出了在 n 位元素数域上计算椭圆曲线离散对数的上限为 9n + 2⌈log2(n)⌉ + 10 个逻辑量子位元。
对于 n = 256,这大约相当于 2,330 个逻辑量子位元。
将其转化为能够以低故障率运行深度电路的纠错机器,物理量子位元的开销和时间因素才是关键所在。
架构选择决定了运行时的范围。
Litinski 2023 年的估计表明,256 位元椭圆曲线私钥计算大约需要 5000 万个 Toffoli 闸。
根据其假设,模组化方法可以使用大约 690 万个实体量子位元在大约 10 分钟内计算出一个金钥。
在 Schneier on Security 对相关工作的总结中,估计一天之内大约有 1300 万个实体量子位元会被破解。
同样的估算也指出,根据时间和错误率的假设,要在一个小时的窗口期内实现目标,大约需要 3.17 亿个实体量子位元。
对比特币的运作而言,最直接的影响因素是行为层面和协议层面。
地址重复使用会增加风险,而钱包设计可以降低这种风险。
Project Eleven 的钱包分析指出,一旦公钥上链,未来发送到同一地址的收据就会暴露出来。
如果金钥恢复能够在区块间隔内完成,攻击者将与暴露的输出争夺资金,而不是重写共识历史。
哈希运算通常被纳入叙述中,但其中的关键杠杆是格罗弗演算法。
Grover 提供的是暴力搜寻的平方根加速,而不是 Shor 提供的离散对数突破。
NIST 对 Grover 式攻击的实际成本的研究强调,开销和纠正决定了系统级成本。
在理想化的模型中,对于 SHA-256 原像,在 Grover 之后,目标工作量仍然在 2^128 量级。
这与 ECC 离散对数断点不具可比性。
这就引出了签章迁移的问题,其限制包括频宽、储存、费用和协调。
后量子签章通常以千位元组为单位,而不是使用者习惯的几十字节。
这会改变交易权重经济学和钱包用户体验。
为什么量子风险是迁移挑战,而非迫在眉睫的威胁?
除了比特币之外,NIST 还制定了后量子原语(如 ML-KEM (FIPS 203))的标准化标准,作为更广泛的迁移计划的一部分。
在比特币内部,BIP 360 提出了一种「支付到抗量子哈希」的输出类型。
同时,qbip.org 主张逐步淘汰传统签名,以强制推行迁移激励措施,并减少暴露金钥的数量。
近期企业发展路线图进一步解释了为何议题被定义为基础建设而非紧急情况。
路透社最近的一篇报导中,IBM 讨论了纠错组件的进展,并重申了在 2029 年左右实现容错系统的目标。
路透社在另一篇报导中也报导了 IBM 的说法,即一项关键的量子纠错演算法可以在传统的 AMD 晶片上运作。
在这种框架下,「量子技术破解比特币加密」的说法在术语和机制上都站不住脚。
可衡量的指标包括:UTXO 集合中有多少公钥已暴露,钱包行为如何因这种暴露而改变,以及网路在保持验证和费用市场约束不变的情况下,能够多快地采用抗量子攻击的支出路径。
