根据 StarkWare 研究员 Avihu Mordechai Levy 的提议,无需改变网络的核心协议,就可以使比特币交易免受未来的量子 攻击。
在最近发表的一篇论文中,莱维描述了一种“量子安全比特币”交易方案,该方案旨在即使量子计算机破解了当前使用的椭圆曲线密码学,也能保持安全。该方法在比特币现有的脚本规则框架内运行,无需软分叉或其他网络升级。
“我们提出了 QSB,一种量子安全比特币交易方案,它不需要对比特币协议进行任何更改,即使存在 Shor 算法,它仍然安全,”Levy 写道。
该提案用基于哈希的密码学和 Lamport 签名(一种早期的签名方案,被认为能够抵抗量子攻击)取代椭圆曲线签名。
“由于Lamport 签名是后量子时代的安全签名,并且它们对交易进行加密强度高的标识符签名,因此如果不生成新的 Lamport 签名,就不可能修改交易——即使攻击者拥有量子计算能力,也无法伪造新的 Lamport 签名,”Levy 写道。
该设计的核心是一个密码学难题,必须在交易广播之前解决。论文估计,找到一个有效的解决方案大约需要70万亿次尝试。
与比特币挖矿不同,计算在交易到达网络之前就已经完成。用户在链下完成计算,并提交一笔交易,该交易已包含谜题已解决的证明。
莱维估计,使用 GPU 等通用硬件可以解决这个难题,每次交易的成本为几百美元。
该方案旨在比特币的脚本限制(201 个操作码和 10,000 字节)内运行。论文指出,这些限制非常严格,因为每个操作码都会计入总数,即使它出现在未使用的脚本分支中。
为了符合这些限制,该系统将 Lamport 签名与基于哈希的谜题相结合,并采用分层交易结构。它还引入了“交易锁定”机制,要求任何试图修改交易的人重新解决谜题。
莱维将该系统描述为一种“最后的手段”,而非可扩展的解决方案。该报告指出,链下计算成本和链上交易规模都无法扩展到比特币的目标吞吐量或满足大多数用户的需求。
创建交易也比标准的比特币使用更复杂,并且根据当前的转发策略可能被视为非标准交易,这意味着它们可能会面临传播问题,并且可能需要直接提交给矿池,而不是通过公共内存池广播。
该方案也存在安全方面的权衡。虽然它避免了基于 Shor 算法的、威胁椭圆曲线签名的攻击,但 Grover 算法仍然可能为量子攻击者提供二次方级的加速。
“如果量子威胁被认为是真实存在的,那么仍然有必要继续努力研究和实施比特币的最佳解决方案——一个最高效、最用户友好,并通过协议层面的改变来满足比特币需求的解决方案,”莱维写道。
莱维的论文与一些已经出现的提案一起,概述了比特币如何过渡到抗量子密码学,其中包括BIP-360 ,它引入了一种名为“支付到默克尔根地址”的格式,旨在支持量子安全签名。
尽管量子技术对比特币的威胁仍停留在理论层面,但包括谷歌和Cloudflare在内的公司已经开始为此做准备,并将 2029 年定为系统向后量子技术过渡的最后期限。
