與普遍的看法相反,量子電腦不會「破解」比特幣加密;相反,任何現實的威脅都將集中在利用與暴露的公鑰綁定的數位簽章上。
量子電腦無法Decrypt比特幣,因為它鏈上不儲存任何加密資訊。
所有權是透過數位簽章和基於哈希的承諾來強制執行的,而不是透過密文。
真正重要的量子風險是授權偽造的風險。
如果一台具有密碼學意義的量子電腦能夠運行 Shor 演算法來對抗比特幣的橢圓曲線密碼學,它就可以從鏈上的公鑰推導出私鑰,然後為競爭性支出產生有效的簽章。
很多關於「量子技術突破比特幣加密」的說法都存在著術語錯誤。比特幣資深開發者、Hashcash發明者亞當·巴克在X網站上對此進行了總結:
“給那些散佈量子恐慌情緒的人提個醒:比特幣不使用加密技術。搞清楚基本概念,否則很容易被識破。”
另一篇文章更明確地闡述了同樣的區別,指出量子攻擊者不會「Decrypt」任何東西,而是會使用 Shor 演算法從暴露的公鑰中推導出私鑰:
「加密是指隱藏訊息,使只有擁有金鑰的人才能讀取資訊。比特幣並沒有這樣做。區塊鏈是一個公共帳本;因此任何人都可以看到每一筆交易、每一筆金額和每一個地址。沒有任何資訊是加密的。」
為什麼公鑰洩漏而非加密才是比特幣真正的安全瓶頸
比特幣的簽名系統 ECDSA 和 Schnorr 用於證明對金鑰對的控制權。
在這種模式下,用戶透過產生網路可接受的簽名來獲取代幣。
這就是為什麼公開公鑰是關鍵。
輸出是否公開取決於鏈上顯示的內容。
許多地址格式都使用公鑰的哈希值,因此在交易完成之前,原始公鑰不會被洩露。
這縮小了攻擊者計算私鑰並發布衝突交易的時間視窗。
其他腳本類型會更早暴露公鑰,位址重複使用可以將一次性洩漏變成持久攻擊目標。
Project Eleven 的開源「比特幣風險清單」查詢定義了腳本和重複使用層級的風險敞口。
它可以定位潛在的 Shor 攻擊者已經能夠取得的公鑰。
為什麼量子風險如今是可以衡量的,即使它並非迫在眉睫
Taproot 改變了暴露模式,而這種改變只有在大型容錯機器出現時才會產生影響。
Taproot 輸出 (P2TR) 的輸出程式包含一個 32 個位元組的調整後的公鑰,而不是 BIP 341 中所述的公鑰雜湊。
Project Eleven 的查詢文件將 P2TR 與 pay-to-pubkey 和一些多重簽章形式一起列為輸出中可見公鑰的類別。
這不會在今天造成新的漏洞。
但是,如果密鑰恢復成為可能,那麼預設會暴露哪些內容。
因為風險敞口是可以衡量的,所以今天就可以追蹤易受攻擊的人群,而無需確定一個特定的時間線。
Project Eleven 表示,它每週都會進行自動掃描,並發布「比特幣風險清單」概念,旨在涵蓋每個存在量子漏洞的地址及其餘額,詳情請參閱其方法論貼文。
其公開追蹤器顯示,符合其風險敞口標準的比特BTC數量約為 670 萬枚。
| 數量 | 數量級 | 來源 |
|---|---|---|
| BTC在「量子漏洞」地址中(公鑰已洩露) | 約 670 萬個BTC | 十一號計劃 |
| 256 位元素數域 ECC 離散對數邏輯量子位元(上限) | 約2330個邏輯量子比特 | Roetteler等人 |
| 一個與10分鐘密鑰恢復裝置相關的實體量子位元規模範例 | 約690萬個實體量子比特 | 利廷斯基 |
| 與 1 天密鑰恢復設定相關的物理量子位元尺度參考 | 約1300萬個實體量子比特 | 施奈爾談安全 |
在計算方面,關鍵區別在於邏輯量子位元和物理量子位元。
在論文「計算橢圓曲線離散對數的量子資源估計」中,Roetteler 及其合作者給出了在 n 位元素數域上計算橢圓曲線離散對數的上限為 9n + 2⌈log2(n)⌉ + 10 個邏輯量子位元。
對於 n = 256,這大約相當於 2,330 個邏輯量子位元。
將其轉化為能夠以低故障率運行深度電路的糾錯機器,物理量子位元的開銷和時間因素才是關鍵所在。
架構選擇決定了運行時的範圍。
Litinski 2023 年的估計表明,256 位元橢圓曲線私鑰計算大約需要 5000 萬個 Toffoli 閘。
根據其假設,模組化方法可以使用大約 690 萬個實體量子位元在大約 10 分鐘內計算出一個金鑰。
在 Schneier on Security 對相關工作的總結中,估計一天之內大約有 1300 萬個實體量子位元會被破解。
同樣的估算也指出,根據時間和錯誤率的假設,要在一個小時的窗口期內實現目標,大約需要 3.17 億個實體量子位元。
對比特幣的運作而言,最直接的影響因素是行為層面和協議層面。
地址重複使用會增加風險,而錢包設計可以降低這種風險。
Project Eleven 的錢包分析指出,一旦公鑰上鍊,未來發送到同一地址的收據就會暴露出來。
如果金鑰恢復能夠在區塊間隔內完成,攻擊者將與暴露的輸出爭奪資金,而不是重寫共識歷史。
哈希運算通常被納入敘述中,但其中的關鍵槓桿是格羅弗演算法。
Grover 提供的是暴力搜尋的平方根加速,而不是 Shor 提供的離散對數突破。
NIST 對 Grover 式攻擊的實際成本的研究強調,開銷和糾正決定了系統級成本。
在理想化的模型中,對於 SHA-256 原像,在 Grover 之後,目標工作量仍然在 2^128 量級。
這與 ECC 離散對數斷點不具可比性。
這就引出了簽章遷移的問題,其限制包括頻寬、儲存、費用和協調。
後量子簽章通常以千位元組為單位,而不是使用者習慣的幾十字節。
這會改變交易權重經濟學和錢包用戶體驗。
為什麼量子風險是遷移挑戰,而非迫在眉睫的威脅?
除了比特幣之外,NIST 還制定了後量子原語(如 ML-KEM (FIPS 203))的標準化標準,作為更廣泛的遷移計劃的一部分。
在比特幣內部,BIP 360 提出了一種「支付到抗量子哈希」的輸出類型。
同時,qbip.org 主張逐步淘汰傳統簽名,以強制推行遷移激勵措施,並減少暴露金鑰的數量。
近期企業發展路線圖進一步解釋了為何議題被定義為基礎建設而非緊急情況。
路透社最近的一篇報導中,IBM 討論了糾錯組件的進展,並重申了在 2029 年左右實現容錯系統的目標。
路透社在另一篇報導中也報導了 IBM 的說法,即一項關鍵的量子糾錯演算法可以在傳統的 AMD 晶片上運作。
在這種框架下,「量子技術破解比特幣加密」的說法在術語和機制上都站不住腳。
可衡量的指標包括:UTXO 集合中有多少公鑰已暴露,錢包行為如何因這種暴露而改變,以及網路在保持驗證和費用市場約束不變的情況下,能夠多快地採用抗量子攻擊的支出路徑。
