- 對比特幣 ECDSA/Schnorr 簽名的量子攻擊仍然是一種理論上的、長期的風險,專家一致認為需要數十年的時間來進行謹慎、非破壞性的準備。
- 基於哈希的簽名方案,包括 NIST 標準化的構造(如 SPHINCS+),在提供強大的後量子安全性的同時,在哲學和架構上與比特幣保守的、以哈希為中心的理念保持一致。
- 儘管簽名大小增加和狀態管理複雜性等挑戰依然存在,但分階段遷移方法(通過軟分叉、錢包級升級和混合簽名模型)為後量子時代的韌性提供了一條現實且可控的途徑。
比特幣長期接觸量子計算,凸顯了基於哈希的簽名(HBS)作為一種可信的後量子升級途徑,因為其依賴於與比特幣現有協議設計密切一致的哈希函數安全假設。
量子威脅
隨著量子計算的進步,量子機器能否破解比特幣的問題時不時地再次引起公眾關注。大多數研究人員和行業分析師都認為,量子計算距離破解比特幣的核心簽名算法還很遙遠,但理論上存在這種可能性。比特幣的所有權模型依賴於ECDSA/Schnorr簽名,而量子計算機可以利用Shor算法加速離散對數問題的求解。這意味著,理論上,足夠強大的量子機器可以從暴露的公鑰中導出私鑰,並偽造簽名來轉移資金。這種長期風險促使整個生態系統積極規劃後量子時代的防禦措施,而不是坐等危機爆發。
Blockstream 首席執行官 Adam Back 指出,比特幣可能還有二十多年的時間才會面臨量子攻擊的真正威脅,這比許多悲觀的預測所暗示的準備時間要長得多。
圖 1:比特幣 ECDSA/Schnorr 簽名中私鑰量子漏洞的示意圖
提案來源
此次討論源於Blockstream研究員Mikhail Kudinov和Jonas Nick的一篇修訂版論文,他們分析了比特幣在後量子時代可能的幾種安全路徑。該論文特別關注基於哈希的簽名,認為這些方案前景廣闊,因為它們的安全性完全依賴於哈希函數的假設——而這些假設早已深深嵌入比特幣的設計之中。他們認為,這種兼容性使得基於哈希的簽名成為後量子時代一個可靠的選擇。
基於哈希的簽名
基於哈希的簽名(HBS)是一類數字簽名,它依賴於哈希函數的特性——單向性和抗碰撞性——而非橢圓曲線離散對數等數學假設。諸如SPHINCS+之類的方案(現已成為NIST後量子簽名標準的一部分)經過了廣泛的密碼學審查,並被普遍認為具有堅實的抗量子設計的理論基礎。
通過增加哈希輸出長度並使用經過充分研究的構造,即使存在量子加速的暴力破解能力,這些方案也能保持強大的安全裕度。
兼容性爭論
儘管HBS在概念上是一個清晰的後量子時代替代方案,但其與比特幣的技術整合仍存在爭議。研究和媒體討論中提出的關鍵問題包括:
- 如何平衡簽名大小和鏈上數據成本?
- 比特幣應該支持多種HBS變體,還是標準化為一種?
- 是否需要進行歷史核查或額外的狀態跟蹤?
這些問題仍然是目前討論的熱點領域,尚未達成工程共識。
核心優勢
支持者強調了以下幾個優點:
- 一致的安全假設——HBS 僅依賴於哈希函數,而哈希函數已經是比特幣架構的基礎。
- 廣泛的密碼分析——幾種基於哈希的方案已經過 NIST 標準化和多年的審查,增強了人們對其長期韌性的信任。
- 協議兼容性——原則上,可以通過軟分叉輸出類型引入基於哈希的簽名,而不會破壞現有的共識規則。
與引入複雜新數學假設和更大實現負擔的格基方案相比,HBS 通常被認為在哲學上更符合比特幣的極簡主義、保守的設計原則。
公眾誤解
媒體標題經常誇大恐慌,聲稱“中本聰的錢包將成為量子攻擊的首要目標”。雖然早期的公鑰支付(P2PK)錢包確實會暴露公鑰,因此理論上面臨更高的量子攻擊風險,但實際情況更為複雜。並非所有早期錢包都採用這種設計,而且這些風險可以通過遷移工具、重新簽名機制以及協調一致的錢包級升級來降低。
這個問題很嚴重,但並非無法克服,當然也不會立即造成災難。
實施挑戰
在比特幣中部署 HBS 面臨著真正的工程挑戰:
- 大型簽名——基於哈希的簽名比目前的 Schnorr 簽名大得多,通常達到幾千字節。這會影響區塊傳播、驗證和用戶費用。
- 狀態管理——某些 HBS 方案需要跟蹤密鑰使用狀態,這會使多設備和離線簽名工作流程變得複雜。
這些問題是可以解決的,但需要精心設計、多年討論和嚴格測試。
遷徙路徑
媒體和開發者社區已經列出了幾種可能的遷移路徑:
- 協議級升級——通過軟分叉引入支持後量子簽名的新輸出類型。
- 錢包級遷移——促使用戶將資金從可能存在安全風險的舊地址轉移到新的、抗量子攻擊的地址。
- 混合機制——暫時需要經典和後量子特徵來縮小過渡期間的脆弱性窗口。
這些路徑仍在討論和試驗中,但它們表明了生態系統對長期量子風險的積極應對方式。
圖 2:比特幣簽名系統遷移示意圖(舊系統 → 新系統)
共識與時間表
比特幣社區的設計本身就比較保守。任何協議升級——尤其是修改簽名系統的升級——都需要經過長時間的公開審查、測試和社會共識。
相應地,大多數專家認為,能夠破解比特幣簽名的量子計算機仍然是一個長期存在的問題,而非迫在眉睫的威脅。這種較長的準備期使得整個生態系統能夠有條不紊地做好準備,而不是倉促地採用不確定或不成熟的解決方案。
結論
基於哈希的簽名代表了一種後量子時代的發展方向,它與比特幣現有的安全模型和設計理念高度契合。它們的出現標誌著行業討論的焦點發生了轉變——從基於猜想和恐懼的論調轉向了具體的工程和協議治理規劃。
HBS 不是一個萬能的解決方案,而是一個長期的發展路徑,它將通過協議研究、遷移工具、社區協調和標準化而逐漸成熟。
面對量子計算的最終現實,比特幣生態系統已經採取了審慎的、技術上穩妥的措施——這本身就是該網絡長期韌性的一個標誌。
閱讀更多:
〈 基於哈希的簽名與比特幣的後量子路徑〉這篇文章最早發佈於《 CoinRank 》。
