作者:BitMEX Research
來源:https://www.bitmex.com/blog/Taproot%20Quantum%20Spend%20Paths?category=Research
摘要:本文要討論讓比特幣獲得量子計算韌性的話題,重點是 Taproot 。在將比特幣升級到量子安全的道路上,Taproot 實際上是一個非常有用的工具。我們將提倡 Taproot 的一個新的、量子安全的版本,以及相應的一種模式:錢包有能力通過一個量子安全的腳本樹葉子或一個量子脆弱的腳本樹葉子來花費同一筆資金。這樣一來,用戶可以一直使用量子脆弱的方法來花費比特幣、從更小的簽名獲益;而在臨近 “Qday”(量子計算機能夠分解橢圓曲線點)時,再換用量子安全的花費方式。給定 Qday 具體日期的不確定性,以及任何凍結錢幣的提議所需的長期安全性,這種特性可能不僅是有用的,甚至是必要的。
概述
本文是我們在 2025 年 7 月發佈的關於量子安全簽名的文章(中文譯本)的續篇。在本文中,我們將討論一種新的量子安全的花費方法,如何能夠跟 Taproot 形成絕妙搭配。再次強調,我們並非量子計算機的專家,並且據我們所知,量子計算機已經分解的最大數字是 15 !不過,我們認為,讓比特幣更具量子攻擊韌性,是一個實在的目標,也是值得我們努力和思考的東西。
一些人批評說,在重要問題(比如讓比特幣對量子計算機變得更加安全)上,近年來的比特幣的開發者們要麼做的不夠多,要麼不夠專注。開發者們也曾被指責在沒有意義的升級(比如 Taproot)上分心。然而,本文嘗試解釋的正是,在將比特幣升級到量子安全這件事情上,Taproot 升級是非常有用的。
密鑰花費路徑與 BIP-360
當然,Taproot 輸出今天已經存在了,並且與傳統的輸出類型 —— P2PKH、P2SH、P2WPKH 和 P2WSH —— 相比,在量子計算機面前更加脆弱,因為這些傳統的輸出類型都隱藏了公鑰,直到資金被花費時才會揭曉。因此,從量子安全的角度,Taproot 升級將比特幣帶回了 2010 年代,也就是 P2PK 輸出類型還流行的時候。P2PK 與 Taproot 一樣,會在收到資金時將公鑰暴露在區塊鏈上。
然而,這個弱點,只需要一個非常簡單的軟分叉升級就能補上。可以創造一種新的 Taproot 版本,一種量子安全的 Taproot 類型,完全移除密鑰路徑花費方法,只留下腳本路徑花費方法。這就是 BIP-360 ,也是我們贊同的提議。這一升級,將讓 Taproot 提升到與 P2PKH、P2SH、P2WPKH 和 P2WSH 同一水平(從量子安全角度看)。剩餘的量子計算風險在於,資金可能在交易廣播到網絡之後、被區塊確認之前,被量子計算機竊取。
Taproot 與量子安全升級的天作之合
從量子韌性的角度看,下一步就是要通過另一項軟分叉、添加一種量子安全的 taproot 花費方法,可能是通過 OP_CAT,又或者是添加一種基於哈希函數的量子安全簽名方案(這樣更加直接)。 然後,這種量子安全的贖回方案可以在新的 Taproot 類型中作為一個葉子腳本而啟用。
這就是 Taproot 具有巨大優勢的地方了。有了這兩項升級 —— 禁用密鑰花費路徑、添加一種量子安全的 tapleaf 花費系統 —— 就可以創造出給予用戶量子安全花費選項的地址。比如說,一個比特幣地址可以帶有兩個 taproot 腳本樹葉子,一個是量子安全的,另一個是量子脆弱的。這種地址讓用戶可以升級自己的錢包,確保自己的比特幣在量子計算機面前是安全的,但依然保留使用體積更小的量子脆弱簽名的能力,直至最後一刻。說得直白一些,這意味著用戶收款 時還是隻提供一個地址,但要花費時,卻既可以選擇用量子安全的花費方法,也可以選擇用量子脆弱的花費方法。
當然,一個地址具有多種花費方法,這在 Taproot 以前就有了,比如使用 P2SH 就能做到。然而,如果使用 P2SH,用戶要將完整的贖回腳本發佈出來;而使用 Taproot,未使用的花費方法會被量子安全的哈希函數隱藏起來。
多種花費方法的比特幣地址也可以在錢包軟件的圖形用戶界面中顯示出來。比如,Liana 錢包已經支持在多種定製化的腳本花費路徑中選擇一個來花費比特幣。因此,上述的量子安全錢包也可以採取同樣的邏輯:一個是 “量子安全花費” 按鈕,另一個是 “量子脆弱花費” 按鈕。
- 譯者注:在 Liana 錢包的界面中,不同的花費方法靠不同的按鈕來選擇:常規的花費方法是 “Send(發送)” 按鈕,緊急花費方法是 “Recovery(復原)” 按鈕 -
讓用戶升級到量子安全的錢包有一個關鍵問題,就是(量子安全的花費方法)高得多的手續費。而有了我們這裡的解決方案,這個問題就被大大緩解了,因為用戶既升級到了一種量子安全的錢包,又不會立即面臨手續費飆升。只有在 “Qday” 之後,用戶才會需要使用體積更大的量子安全簽名方案。給定量子計算機發展的速度是非常不確定的,這種選擇能力,在我們看來是非常有價值的。
關於凍結錢幣的討論
在最近一期的 Citadel Dispatch 播客中,Matt Odell 和 Matt Corallo 討論了在哪種情況下,為了應對來自量子計算機的潛在風險,應該實施錢幣凍結軟分叉。Odell 基本上反對錢包凍結,而 Corallo 則一定程度上支持,在某些情況下可以凍結錢幣。一些人不歡迎凍結錢幣的想法。常見的意見是將凍結與盜竊相提並論。類比可能是將凍結量子脆弱的錢幣與凍結屬於朝鮮的錢幣(或是犯罪分子的錢幣)相比,這是顯然幾乎所有人都會反對的事。我們不同意將凍結量子脆弱的錢幣與凍結朝鮮的錢幣相比,但這是另外一個話題,我們想說的僅僅是,這些論點正在吸引一些關注。因此,從我們的角度看,是不是真的會凍結錢幣,有相當大的不確定性。即使真的會發生凍結,計算出凍結的時機也是非常複雜的。
凍結時機表
| 因子 | 解釋 | 對時機的影響 |
|---|---|---|
| 一些人會反對凍結 | 凍結可能是有爭議的,因此,錢幣凍結軟分叉可能只能獲得少量共識,即使我們已臨近 Qday | 推遲凍結時間 |
| 避免人們因為來不及遷移而丟失錢幣 | 我們可能需要在凍結軟分叉激活與實際凍結之間設置足夠長的時延,以留出人們轉移錢幣的時間。人們可能會在很難訪問的冷存儲中保管密鑰,也可能沒有聽到與量子計算機有關的新聞,甚至,他們的錢包有時間鎖 | 推遲凍結時間 |
| 避免凍結在 Qday 之後激活因此部分錢幣依然因為量子計算攻擊而丟失 | 如果凍結日期太晚,價值幾百萬的錢幣可能被盜。因此,也許在預期的 Qday 和凍結激活日期之間,我們需要足夠大的安全餘量 | 讓凍結提早 |
除了有相反方向的考慮、讓時間壓力來回搖擺之外,我們可能還不僅僅要得出一個日期。可能要考慮四個日期,如下圖所示。
錢幣凍結時機圖示
給定 Qday 會不會到來、何時到來的不確定性,以及讓錢幣凍結能夠有實際意義所需要的長時間週期,同時,也為了儘可能尊重比特幣的抗審查屬性,最終錢幣凍結過早或太晚到來的風險相當大。也許早了好幾年,又也許 Qday 之後好幾年才凍結。
前述量子安全與量子脆弱花費方法並存的 Taproot 輸出的一個絕妙之處在於,這種新的量子安全的 Taproot 輸出永遠不會被凍結。至少,我們將反對與這種量子安全的 Taproot 輸出有關的凍結方案,甚至連禁用它的量子脆弱路徑都反對,直至 Qday 真的到來。其中的道理在於,這是一種為量子安全而設計的新的輸出類型,因此,遷移到這種輸出的用戶顯然已經為量子計算機做好了準備。
因此,人們可以繼續使用量子脆弱的簽名來花費自己的錢幣,直至 Qday 到來。使用這一方法,安全緩衝期會不會太長(過早凍結)(比如因為量子計算機的發展出人意料地停滯了數十年)也就沒那麼要緊了,因為人們會繼續使用高效的量子脆弱的腳本樹葉子來花費比特幣。一旦 Qday 到來,最終的轉變又是相對簡單的,因為人們只需要被錢幣軟件提醒使用量子安全的花費路徑。在 Qday 之後,錢包軟件也可以升級,將量子脆弱的花費選項從圖形使用界面移除。最終,可以有一次後 Qday 軟分叉,禁止使用量子安全的 Taproot 輸出類型下的量子脆弱的花費路徑。
(完)
