2020 年代初期,量子计算作为对比特币的潜在威胁而受到公众关注。比特币的价值取决于计算能力,其工作量证明网络共识依靠 SHA-256 加密哈希函数。
如果有一种技术可以绕过信息单元的 0 和 1 的传统二进制系统,那么就有可能颠覆我们所知的密码学。但这种危险是否被夸大了?
有一天,量子计算能否将比特币变成一段毫无价值的代码?让我们首先了解为什么比特币依赖于密码学。
比特币的比特和哈希
当我们说图像大小为 1 MB 时,我们说它包含 1,000,000 字节。由于每个字节包含 8 位,这意味着图像包含 8,388,608 位。作为二进制数字(位),这是最小的信息单位(0 或 1),构建了我们数字时代的整个大厦。
就图像而言,1MB 文件中的位将为每个像素分配一种颜色,使其易于人眼读取。对于由 NSA 开发的 SHA-256(安全哈希算法 256 位)等加密函数,它将根据任意大小的输入生成 256 位(32 字节)作为固定长度的哈希值。
哈希函数的主要目的是将任何字母或数字字符串转换为固定长度的输出。这种混淆混合使其成为紧凑存储和匿名签名的理想选择。由于哈希过程是单向的,因此哈希数据实际上是不可逆的。
因此,当我们说 SHA-256 提供 256 位安全性时,我们的意思是说有 2256 种可能的哈希值需要考虑进行逆转。当进行比特币支付时,每个比特币区块都有自己独特的由 SHA-256 生成的交易哈希值。区块内的每笔交易在形成区块时都会对这个独特的哈希值做出贡献 默克尔根,加上时间戳、随机数值和其他元数据。
潜在的区块链攻击者必须重新计算哈希值并 提取必要的数据 不仅适用于包含交易的区块,还适用于链接到该区块的所有后续区块。可以说,2256 种可能性的负载实际上是一项不切实际的计算工作,需要花费大量的精力和时间,而这两者的成本都极其高昂。
但量子计算会不会再出现这种情况呢?
新的量子计算范式
量子计算不再是 0 和 1 的位,而是引入了量子位。利用观察到的叠加性质,这些信息单位不仅可以是 0 或 1,而且可以同时是 0 或 1。换句话说,我们正在从确定性计算转向非确定性计算。
由于量子位可以以纠缠和叠加状态存在,因此在被观察到之前,计算就变成了概率性的。而且由于状态的数量总是多于 0 或 1,因此量子计算机具有并行计算的能力,因为它可以同时处理 2n 个状态。
经典的二进制计算机必须为每个可能的 2n 状态运行一个函数,量子计算机可以同时评估该函数。 1994 年,数学家 Peter Shor 考虑到这一点开发了一种算法。
肖尔算法 结合了量子傅立叶变换 (QFT) 和量子相位估计 (QPE) 技术 加速模式发现 理论上打破所有密码系统,而不仅仅是比特币。
然而,有一个巨大的问题。如果量子计算是概率性的,那么它的可靠性如何?
稳定量子计算中的相干性
当说量子比特是叠加的时,这类似于可视化抛硬币。在空中时,人们可以想象硬币有两种状态——正面或反面。但一旦它落地,国家就决定了一种结果。
同样,当量子位被解析时,它们的状态就会崩溃到经典状态。问题在于,像肖尔这样的突破性算法需要许多量子位来长时间保持它们的叠加状态,以便彼此交互。否则,必要的、有用的计算就无法真正完成。
在量子计算中,这指的是量子退相干(QD)和量子纠错(QEC)。此外,这些问题需要跨多个量子位来解决以进行复杂的计算。
根据 超导量子位中的毫秒相干性 纸 于 2023 年 6 月发布,量子位的最长相干时间为 1.48 毫秒,平均门保真度为 99.991%。后者百分比指的是 QPU(量子处理单元)的整体可靠性。
目前,最可用、最强大的量子计算机似乎来自 IBM,被称为 量子系统二。 Quantum System Two 是一个可扩展的模块化系统,到 2024 年底,它应该在单个电路中使用三个 Heron QPU 执行 5,000 次操作。到 2033 年底,这一数字应该增加到 1 亿次操作。
问题是,这足以实现 Shar 的算法并打破比特币吗?
QC 威胁生存能力
由于退相干问题和容错性,量子计算机尚未对密码学构成严重风险。当需要如此高水平的环境纯度时,尚不清楚是否有可能大规模实现容错量子系统。
这包括 电子声子散射、光子发射甚至电子间的相互作用。此外,肖尔算法所需的量子位数量越多,退相干性就越大。
然而,尽管这些似乎是量子计算固有的棘手问题,但 QEC 方法已经取得了巨大进展。举个例子, Riverlane 的 Deltaflow 2 方法对多达 250 个量子位执行实时 QEC。到 2026 年,这种方法应该会产生第一个具有百万次实时量子操作的可行量子应用 (MegaQuOp)。
根据 AVS Quantum Science 的说法,要在一天内破解 SHA-256,需要 1300 万个量子比特 文章 于 2022 年 1 月发布。虽然这会威胁比特币钱包,但实际执行一个任务还需要更多的量子比特(大约 10 亿个) 51%攻击 拥有比特币声誉。
在实现 Grover 算法时,该算法旨在利用 QC 搜索非结构化数据库(唯一的哈希值), 研究论文 2018 年发表的论文表明,在 2028 年之前没有量子计算机能够实现它。
图片来源:Ledger Journal
当然,自那时以来,比特币网络的算力已经大大增加,QC 必须解决退相干这一主要障碍。但如果 QEC 路线图最终实现为可靠的量子系统,那么可以采取什么措施来抵消 QC 对比特币的威胁呢?
量子计算阻力
有多种建议可以保护比特币持有者免受量子计算机的侵害。由于 51% QC 攻击的可能性极小,因此重点主要放在钱包的强化上。毕竟,如果人们不能依靠自己持有的比特币来保证安全,这将导致人们逃离比特币。
反过来,BTC 价格将暴跌,网络算力将急剧下降,使其比之前估计的更容易受到 QC 的影响。其中一种强化措施是实施 Lamport 签名。
和 兰波特签名,私钥将从 256 位输出生成成对的 512 位串。将对 512 个位串中的每一个使用加密函数生成公钥。每笔 BTC 交易都需要一次性 Lamport 签名。
由于 Lamport 签名不依赖于比特币使用的椭圆曲线数字签名算法(ECDSA)中有限域上的椭圆曲线,并且可以被 Shar 算法利用,而是依赖于哈希函数,这使得它们成为可行的抗量子替代方案。
Lamport 签名的缺点是尺寸增大(高达 16KB)并且是一次性使用。当然,仅仅通过转移地址并将BTC冷存,从而避免私钥暴露,也可以阻止QC发挥作用。
另一种混淆潜在 QC 攻击的方法是实施基于格的密码学 (LBC)。与 ECDSA 不同,LBC 通过依赖在所有方向上无限延伸的 n 维晶格(网格)空间中的离散点来避免有限模式。由于这一特性,目前尚未开发出一种可以破解 LBC 的量子算法。
然而,为了实施新型密码学,比特币必须经历硬分叉。在这种情况下,可能需要有许多信号表明量子计算的重大突破即将到来,特别是在量子比特计数和容错方面。
底线
可以肯定地说,无论在不久的将来还是遥远的将来,比特币主网本身都不会受到量子计算的威胁。然而,如果 QC 破坏比特币的加密——使 SHA-256 和 ECDSA 过时——这将严重影响人们对加密货币的信心。
这种信心至关重要,微软和 PayPal 等大公司就已经采用了比特币支付,吸引了最多 与银行卡交易相比节省 80%,零退款,完全掌控资金。比特币在全球拥有超过 3 亿持有者,作为一种安全资产和具有成本效益的支付选择,其吸引力仍然强劲。
最终,比特币的价值是由其背后的资本和信心来维持的。它是 历史波动率 显示事件如何发生——范围从 埃隆·马斯克的推文 PayPal 与 ETF 的整合以及 FTX 的崩溃影响了市场情绪。对比特币加密的根本性威胁可能会导致恐慌性抛售、矿工撤资和挖矿难度降低,从而可能为使用更少量子比特的 51% QC 攻击打开大门。
为了防止这种情况发生,比特币持有者和开发者最好跟上 QC 的发展。
这是肖恩·尼格尔 (Shane Neagle) 的客座文章。所表达的观点完全是他们自己的,并不一定反映 BTC Inc 或比特币杂志的观点。
