量子計算機時代，比特币一文不值！？

量子計算和比特币

量子計算機是利用量子力學來進行某些計算的計算機，比傳統的計算機要快得多。 一個足夠大的量子計算機會給比特币帶來一些麻煩，盡管它肯定不會是不可逾越的。

請注意，縮寫QC可以代表量子計算機或量子密碼學。

量子計算機攻擊

量子計算機最危險的攻擊是針對公鑰密碼學的。在傳統的計算機上，大約需要2128個基本操作才能獲得與比特币公鑰相關的比特币私鑰。這個數字如此之大，以至于任何使用傳統計算機的攻擊都是不切實際的。然而，衆所周知，隻需要1283個基本量子操作，量級計算機就能夠使用Shor算法來打破比特币密鑰。這可能需要一些時間，特别是因為第一台量子計算機可能非常慢，但它仍然是非常實用的。

對于對稱密碼學，量子攻擊存在，但危險性較小。使用Grover算法，攻擊對稱算法所需的操作數量是平方根的。例如，查找散列到特定SHA-256散列的某些資料需要在傳統計算機上執行2256個基本操作，但是需要2128個基本量子操作。這兩個都是不切實際的大。另外，由于量子計算機在發明數十年之後會比傳統計算機慢得多而且昂貴，是以針對對稱密碼的量子攻擊似乎不太常見。比如說，比特币挖掘通常“攻擊”（也就是挖掘）的是對稱密碼（SHA），挖掘可能永遠不會被量子礦工控制，因為傳統的礦工總是會更快，更便宜。

時間表/合理性

建立量子計算機是一項巨大的科學和工程挑戰。 截至2016年，最大的通用量子計算機的量子比特不足10個（目前IBM已經釋出了50個量子bit的晶片）。 攻擊比特币密鑰需要大約1500個量子比特。 人類目前沒有必要的技術來建立足夠大的量子計算機來攻擊比特币密鑰。 目前還不知道這項技術能夠多快地推進; 然而，像ECRYPT II這樣的密碼學标準傾向于說比特币的256位ECDSA密鑰是安全的，直到2030-2040年。

有一家名為D-Wave的公司，聲稱可以生産超過1000個量子位的量子計算機。 但是這個說法還沒有被普遍接受，即使是真的，這也是一種不能攻擊密碼的專用量子計算機。

緩解措施

比特币已經有一些内置的量子抵抗能力。如果您隻使用比特币位址一次（這一直是推薦的做法），那麼您的ECDSA公鑰隻有在您花費比特币發送到每個位址時才會顯示。量子計算機将需要能夠在您的交易首次發送和進入一個塊之間的短時間内破解您的密鑰。在量子計算機變得如此之快之前，量子計算機首次打破比特币的關鍵之後，這可能會持續數十載。

所有常用的公鑰算法都被量子計算機破解了。這包括RSA，DSA，DH和所有形式的橢圓曲線密碼術。事實上，能夠對抗量子攻擊的公鑰加密體系就不存在。目前，比特币專家傾向于支援基于Lamport簽名的密碼系統。 Lamport簽名的計算速度非常快，但是它們有兩個主要缺點：

簽名會相當大，大約11 kB（比現在大169倍）。這對于比特币的整體可擴充性将會非常糟糕，因為帶寬是比特币擴大的主要限制因素之一。在可擴充性方面的進展，例如隔離見證（11kB是證人的一部分）和閃電會有所幫助。

在建立每個密鑰對時，您需要設定一些有限的最大次數，您可以用這個密鑰進行簽名。超過這個次數的簽名是不安全的。增加簽名限制将每個簽名的大小增加到甚至超過11kB。使用比特币，你隻能使用每個接收位址一次，是以我們也許可以用一個非常小的最大數量的簽名（也許隻有一個）規避破解。

目前還有一些正在進行的關于建立具有許多與當今公鑰算法相同的屬性的量子安全公鑰算法的學術研究，但這是非常實驗性的。目前還不知道它是否會最終成為可能。

一個新的公開密鑰算法可以被添加到比特币作為softfork。從最終使用者的角度來看，這将表現為建立新的位址類型，每個人都需要将他們的比特币發送到這個新的位址類型來實作量子安全。

原文釋出時間為：2017.12.21

本文作者：嶺南雲昊

本文來源：

簡書

，如需轉載請聯系原作者。