量子计算和比特币安全

分析量子计算机可能对比特币区块链产生的影响

量子计算机最著名的应用之一是破解当今使用的大多数密码学的加密算法。 自从谷歌宣布实现量子霸权以来，网络上越来越多的文章预测密码学的消亡比特币计算的到底是什么，尤其是比特币。 本文的目的是对量子计算机对比特币构成的风险进行客观评估。

本文将主要回答以下问题：

量子计算机和密码学

关于量子计算机如何对当前使用的非对称密码术（公钥密码术）构成威胁的讨论很多。 因此，我们不会详细讨论这个问题，而只是解释与本文相关的方面。

在非对称密码学（公钥密码学）中，私钥-公钥对的生成方式是两个密钥之间存在数学关系。 顾名思义，私钥保密，而公钥公开。 个人使用他们的私钥生成数字签名，任何人都可以使用相应的公钥进行验证。 这种方案在金融行业非常普遍，用于证明交易的真实性和完整性。

非对称加密的安全性基于称为“单向函数”的数学原理。 这个原理决定了公钥很容易从私钥推导出来，反之则不然。 所有已知的（经典的）算法，从公钥导出私钥，计算时间长得惊人，因此不实用。 然而，在 1994 年，数学家 Peter Shor 发表了一种量子算法，可以打破非对称密码学中最常见算法的安全假设。 这意味着任何拥有足够强大的量子计算机的人都可以使用该算法从其对应的公钥中推导出私钥，从而伪造任何数字签名。

比特币 101

要了解量子计算机对比特币的影响，我们将从简要介绍比特币交易的工作原理开始。 比特币是一种去中心化的价值转移系统。 与银行负责为客户提供银行账户的银行系统不同，比特币用户负责生成他们自己的（随机）地址。 通过一个简单的程序，用户的计算机计算出一个随机的比特币地址（与公钥相关）和一个秘密（私钥），这是从该地址进行交易所必需的。

将比特币从一个地址转移到另一个地址称为交易。 此交易类似于从一个银行账户向另一个银行账户汇款。 在比特币中，发件人必须通过提供数字签名来授权他们的交易，证明他们拥有存储资金的地址。 请记住：拥有工作量子计算机和您的公钥的人可以伪造此签名，从而可能花费任何人的比特币。

在比特币网络中，哪些交易被接受到网络中的决定最终留给了所谓的矿工。 矿工们竞相处理下一批交易，也称为区块。 谁赢得了比赛，谁就获得了下一个区块的簿记权，并被允许建造下一个区块，并且在他们这样做的同时，他们将获得新的硬币。 比特币的区块以顺序方式相互连接。 它们一起形成一条称为“区块链”的链。

获得记账权的矿工创建一个新区块，并可以自由包含他们希望的任何交易。 其他矿工通过在他们同意的区块上建造来表达他们的同意。 如果出现分歧，他们将建立在最近接受的区块上。 换句话说，如果流氓矿工试图构建一个无效区块，诚实矿工将忽略该无效区块，而是在最近的有效区块之上构建。

比特币地址类型

比特币地址可以分为两类，每一类都受到量子计算机的不同影响。

第一类，公钥直接充当收款人的比特币地址。 出于显而易见的原因，对此类地址的交易称为“对公钥的支付”（p2pk）。 在比特币的早期，即 2009 年，这是占主导地位的地址类型。 很多中本聪自己挖出来的比特币，现在还保存在这样的地址中。 这些地址的一个问题是缺乏一种机制来检测地址的错误输入（例如，最后一个校验位，如信用卡号中使用的那样）。 另一个问题是这些地址很长，这导致交易文件更大，处理时间更长。

由于所有比特币交易都是公开的，任何人都可以从任何 p2pk 地址获取公钥。 然后，运行 Shor 算法的量子计算机可以从该地址导出私钥。 这将允许任何拥有量子计算机的人使用该地址的所有比特币。

在第二种类型的交易中，收件人的地址由公钥的哈希值组成。 由于散列是一种单向加密函数，因此地址不会直接显示公钥。 第一个也是最流行的实现称为“pay to public key hash”（p2pkh），旨在解决上述两个问题（校验和和地址长度，更详细的解释，我们参考这个页面。如上所述，公钥无法从地址中取回。公钥只有在所有者希望发起交易时才会显示。这意味着只要资金从未从p2pkh地址转移过，即账户从未被使用过，公钥未知，私钥无法用量子计算机计算。但是有一个例外，如果资金曾经从特定的p2pkh地址转移（无论金额如何），公钥将被泄露。从在那一刻，这个地址被标记为“已使用”，最好不要用于接收新硬币。事实上，许多钱包都被编程为尽可能避免地址重用。避免地址重用被认为是比特币 u 的最佳实践 sers，但你会惊讶有多少人没有把这个建议放在心上。 下一章将详细介绍这一点。

如果有一台足够大的量子计算机，今天可以窃取多少比特币？

想象一下，今天有人设法建造了一台量子计算机，从而能够推导出私钥。 多少比特币将面临风险？

为了回答这个问题，我们分析了整个比特币区块链以确定哪些硬币容易受到量子计算机的攻击。 上一节提到，p2pk地址和重复使用的p2pkh地址中的所有比特币都容易受到量子攻击。 我们的分析结果如下图所示。

它显示了比特币如何分布在各种地址类型中。 从图中可以清楚地看出比特币计算的到底是什么，p2pk 地址在比特币区块链的第一年占据主导地位。 有趣的是，p2pk 地址中的数量几乎保持不变（约 200 万比特币）。 一个合理的假设是，这些硬币是被开采出来的，并且从未离开过它们的原始地址。

随着 2010 年 p2pkh 的推出，它迅速占据主导地位。 从那以后，大多数比特币都存储在这种类型的地址中。 在图中我们看到 p2pkh 中存储和重复使用的比特币数量从 2010 年到 2014 年有所增加，然后慢慢下降到目前的 250 万比特币。 这表明人们普遍遵循不使用 p2pk 地址和不重复使用 p2pkh 地址的最佳实践。 尽管如此，仍有超过 400 万比特币（约占所有比特币的 25%）面临量子攻击的风险。 按照目前的价格，这相当于超过 400 亿美元！

图 1：存储在易受量子攻击的地址中的比特币分布。 该图显示，大约 25% 的比特币容易受到量子攻击，易受攻击的 p2pk 硬币和 p2pkh 硬币数量相同。 请注意，重复使用的 Segwit 硬币出现在图表中，但在文章中未提及。 如何降低比特币被拥有量子计算机的人窃取的风险？

在上一节中，我们解释了 p2pk 和重复使用的 p2pkh 比特币地址容易受到量子攻击。 那些从未花费过比特币的 p2pkh 地址是安全的，因为它们的公钥没有公开。 这意味着如果您将比特币转移到一个新的 p2pkh 地址，它们应该不会受到量子攻击。

这种方法的问题是许多比特币所有者丢失了他们的私钥。 这些硬币无法转移，等待被操作第一台足够强大的量子计算机的人拿走。 解决这个问题的方法是在比特币社区内达成共识，并提供最后警告，将他们的比特币转移到安全地址。 在预定的时间段后，不安全地址中的比特币将变得不可用（从技术上讲，这意味着矿工将忽略来自这些地址的交易）。 如此激进的措施在实施之前需要仔细考虑，更不用说就这样一个敏感问题达成共识的可行性。

比特币区块链现在和将来是否天生就可以抵抗量子攻击？

让我们暂时假设所有易受攻击的比特币的所有者都将他们的资金转移到安全地址（意味着每个丢失私钥的人都“神奇地”找到了它）。 这是否意味着比特币区块链不再容易受到量子攻击？ 这个问题的答案其实并不那么简单。 “量子安全”的先决条件是与地址关联的公钥不公开。 但正如我们上面所解释的，当你想从这样一个“安全”的地址转移比特币时，你已经暴露了公钥，从而使该地址容易受到攻击。 从那一刻起，直到你的交易被发现，拥有量子计算机的攻击者才有机会窃取你的比特币。 在这样的攻击中，攻击者会先从公钥中推导出你的私钥，然后向自己的地址发起竞争交易。 他们将尝试通过提供更高的挖矿费用来优先于原始交易。

在比特币区块链中，目前挖掘一笔交易大约需要 10 分钟（除非网络拥塞，这在过去经常发生）。 只要量子计算机需要更长的时间来导出特定公钥的私钥，网络就应该能够抵御量子攻击。 目前的科学估计预测，量子计算机破解 RSA 密钥大约需要 8 小时，而一些具体计算预测比特币签名被破解需要 30 分钟。 这意味着比特币原则上应该能够抵抗量子攻击（只要你不重复使用地址）。 然而，由于量子计算机领域仍处于起步阶段，因此尚不清楚未来此类量子计算机的速度有多快。 如果有一天量子计算机能够在将近 10 分钟内从公钥中导出私钥，那么比特币区块链将很快被破解。

结论

量子计算机对比特币区块链的安全性构成了严峻挑战。 目前，大约 25% 的流通比特币容易受到量子攻击。 如果您的比特币位于易受攻击的地址，并且相信量子计算的进步比众所周知的更先进，那么您应该将您的硬币转移到一个新的 p2pkh 地址（不要忘记提供您的私钥作为安全备份）。

如果您自己的比特币在新的 p2pkh 地址中是安全的，如果许多人不（或不能）采取相同的保护措施，您仍然可能会受到影响。 在大量比特币被盗的情况下，价格很可能暴跌，对技术的信心也会丧失。

即使每个人都采取相同的保护措施，量子计算机最终也可能会速度如此之快，以至于破坏比特币交易过程。 在这种情况下，比特币区块链的安全性将从根本上受到损害。 在这种情况下，唯一的解决方案是过渡到一种被称为“后量子密码学”的新型密码学，人们认为这种密码学具有固有的抗量子攻击能力。 这些类型的算法对区块链的可用性提出了额外的挑战，并且正在被世界各地的密码学家研究。 我们预计未来对后量子密码学的研究将最终带来必要的变化，以构建稳健的、面向未来的区块链应用程序。