今天具备能够破解比特币区块链能力的量子计算机并不存在。然而,开发者已经在考虑一波升级,以构建针对潜在威胁的防御,而且这样做是有道理的,因为这一威胁不再是纯粹的假设。
本周,谷歌发布了研究,表明一台足够强大的量子计算机可能在不到九分钟内破解比特币的核心密码学——比平均的比特币区块结算时间快一分钟。部分分析师认为,这样的威胁可能在2029年成为现实。
风险很高:大约6.5百万枚比特币代币、价值数千亿美元,存放在一台量子计算机可能直接对其下手的地址中。其中一些币属于比特币化名创作者中本聪(Satoshi Nakamoto)。此外,潜在的被攻破还会损害比特币的核心理念——“信任代码(trust the code)”和“健全货币(sound money)”。
下面是这一威胁的样子,以及正在考虑用来缓解它的提案。
在讨论这些提案之前,让我们先理解这一漏洞。
比特币的安全性建立在一种单向的数学关系之上。当你创建一个钱包时,会生成一把私钥和一个秘密数字,由此推导出一把公钥。
要花费比特币代币,你需要证明自己拥有私钥——不是通过泄露它,而是通过使用它来生成网络可验证的加密签名。
这种系统是“无懈可击的”,因为现代计算机需要数十亿年才能破解椭圆曲线密码学——具体而言是椭圆曲线数字签名算法(ECDSA)——以从公钥反向推导出私钥。因此,区块链被认为在计算上不可能被攻破。
但未来的量子计算机可以把这条单向通道变成双向通道:从公钥推导出你的私钥,然后掏空你的币。
公钥有两种暴露方式:从闲置在链上的币(长暴露攻击)或从处于流动状态、在内存池中等待确认的币或交易(短暴露攻击)。
支付给公钥(P2PK)地址(中本聪和早期矿工使用)以及 Taproot(P2TR,2021年启用的当前地址格式)容易受到长暴露攻击。存放在这些地址里的币不需要移动来揭示它们的公钥;暴露已经发生过,并且任何地球上的人都能读取,包括未来的量子攻击者。大约有170万BTC存放在旧的P2PK地址中——其中包括中本聪的币。
短暴露与内存池(mempool)有关——未确认交易的等待室。在交易等待被纳入区块的期间,你的公钥和签名对整个网络都是可见的。
量子计算机可以访问这些数据,但它只有一个很短的窗口——在交易被确认并被额外的区块掩埋之前——来推导相应的私钥并对其采取行动。
如前所述,当下每一个使用 Taproot 创建的新的比特币地址都会在链上永久公开一个公钥,从而给未来的量子计算机提供一个永远不会消失的目标。
比特币改进提案(BIP)360 移除链上永久嵌入且对所有人可见的公钥,通过引入一种名为“支付给默克尔根(Pay-to-Merkle-Root,P2MR)”的新输出类型实现这一点。
回想一下,量子计算机会研究公钥,反向工程出私钥的精确形状,并伪造出一份可用的拷贝。如果我们移除公钥,攻击就没有任何东西可依赖。与此同时,其他一切仍保持不变,包括 Lightning 支付、多重签名设置以及其他比特币特性。
不过,如果该提案被实施,它只会保护面向未来的新币。已经存放在旧的已暴露地址中的170万BTC是一个独立的问题,下面还有其他提案来处理。
SPHINCS+ 是一种建立在哈希函数之上的后量子签名方案,因而避免了比特币所使用的椭圆曲线密码学所面临的量子风险。尽管 Shor 算法威胁 ECDSA,但像 SPHINCS+ 这样的基于哈希的设计并不被认为存在类似的脆弱性。
该方案已在2024年8月经过多年的公开审查后,由美国国家标准与技术研究院(NIST)标准化为 FIPS 205(SLH-DSA)。
安全性的代价是体积。虽然当前比特币的签名是64字节,但 SLH-DSA 的大小是8千字节(KB)或更大。因此,采用 SLH-DSA 将大幅增加区块空间需求,并提高交易费用。
因此,诸如 SHRIMPS(另一种基于哈希的后量子签名方案)和 SHRINCS 之类的提案已经被提出,用以在不牺牲后量子安全性的情况下减小签名大小。它们都建立在 SHPINCS+ 的基础上,并力求以更实际、对空间更高效的形式保留其安全保证,适用于区块链使用。
这一提案由 Lightning Network 联合创始人 Tadge Dryja 提出,旨在保护内存池中的交易不受未来量子攻击者的侵害。它通过将交易执行拆分为两个阶段来实现:Commit(承诺)和 Reveal(揭示)。
想象一下,你告知对方你要给他发邮件,然后你再真的发送邮件。前者是承诺阶段,后者是揭示。
在区块链上,这意味着你首先发布一份封存的意图指纹——只是一个哈希,它对交易内容一无所知。区块链会把该指纹永久加上时间戳。稍后,当你广播实际交易时,你的公钥就会变得可见——是的,任何在网络上监视的量子计算机都可能从中推导出你的私钥,并伪造一笔竞争交易来窃取你的资金。
但那笔伪造的交易会立刻被拒绝。网络会检查:这次花费是否在链上登记过先前的承诺?你的有。攻击者的没有——他们是在几分钟前刚刚创建的。你预先登记的指纹就是你的不在场证明(alibi)。
然而,问题在于交易被拆成两个阶段后会增加成本。因此,它被描述为一座临时桥梁——在社区着手构建量子防御时,适合用来进行部署。
该方案由开发者 Hunter Beast 提出,针对的是与大约170万BTC相关的量子漏洞——这些币被持有在更早期、已经暴露的地址中。
该提案接受在未来的量子攻击中这些币可能会被盗走,并希望通过把每个区块的出售限制为一枚比特币来放慢“失血”,以避免发生可能使市场崩塌的灾难性“隔夜大规模清算”。
这个类比是银行挤兑:你无法阻止人们提取资金,但你可以限制提款的速度,避免系统在一夜之间崩溃。该提案存在争议,因为即使这种有限的限制,也被比特币社区中的一些人视为违反了“任何外部方都不得干预你花费自己币的权利”的原则。
这些提案目前尚未被激活,而比特币的去中心化治理覆盖了开发者、矿工和节点运营商,这意味着任何升级都可能需要时间才能落地。
不过,尽管谷歌这周的报告引发关注,仍源源不断的提案流表明:这个问题很早就已经在开发者的视野里,这或许有助于缓和市场担忧。
