需要了解的情况:谷歌研究人员表示,一台足够强大的量子计算机可能在九分钟内破解比特币的核心密码学,这引发了人们对这种威胁可能在2029年出现的担忧。开发者正在探索多种防御措施,包括移除链上公钥(BIP 360),采用基于哈希的后量子签名,如SPHINCS+,以及使用承诺/揭示方案来保护内存池交易。其他提案,如Hourglass V2,将减缓约170万个已暴露的比特币的支出,包括中本聪的比特币,尽管任何变化都将在比特币的去中心化治理系统中面临辩论和缓慢采纳。
目前尚不存在能够破解比特币区块链的量子计算机。然而,开发者已经开始考虑一系列升级,以建立防御以应对潜在威胁,这也是理所当然的,因为这种威胁不再是假设。
本周,谷歌发布的研究表明,一台足够强大的量子计算机可能在不到九分钟内破解比特币的核心密码学——比平均的比特币区块确认时间快一分钟。一些分析师认为,这种威胁可能在2029年成为现实。
风险很高:约650万个比特币代币,价值数百亿美元,存放在量子计算机可以直接攻击的地址中。这些币中有一些属于比特币的匿名创建者中本聪。此外,潜在的妥协将损害比特币的核心原则——“信任代码”和“良好的货币”。
以下是这种威胁的具体情况,以及正在考虑的缓解提案。
量子计算机可能攻击比特币的两种方式
让我们首先了解这种脆弱性,然后再讨论提案。
比特币的安全性建立在单向数学关系上。当你创建一个钱包时,会生成一个私钥和一个秘密数字,从中衍生出公钥。
消费比特币代币需要证明你拥有私钥,而不是通过揭示它,而是通过使用它生成一个网络可以验证的加密签名。
这种系统是万无一失的,因为现代计算机需要数十亿年的时间才能破解椭圆曲线密码学——特别是椭圆曲线数字签名算法(ECDSA)——以从公钥逆向推出私钥。因此,有人说区块链在计算上是无法被破坏的。
但未来的量子计算机可以将这条单行道变成双向街道,通过从公钥推导出你的私钥并窃取你的币。
公钥通过两种方式暴露:一种是从闲置在链上的币(长期暴露攻击),另一种是正在流动或等待在内存池中的交易(短期暴露攻击)。
支付公钥(P2PK)地址(由中本聪和早期矿工使用)和在2021年激活的当前地址格式Taproot(P2TR)容易受到长期暴露攻击。这些地址中的币不需要移动就能揭示它们的公钥;曝光已经发生,任何人都可以阅读,包括未来的量子攻击者。约有170万个BTC在旧的P2PK地址中——包括中本聪的币。
短期暴露与内存池相关——未确认交易的候补区。当交易在这里等待包含在一个区块中时,你的公钥和签名对整个网络都是可见的。
量子计算机可以访问这些数据,但它只有一个短暂的窗口——在交易确认并被埋入额外区块之前——来推导出相应的私钥并采取行动。
倡议
BIP 360:移除公钥
如前所述,今天使用Taproot创建的每个新的比特币地址都会永久性地在链上暴露公钥,使未来的量子计算机有一个永不消失的目标。
比特币改进提案(BIP)360通过引入一种新的输出类型,即支付梅克尔根(P2MR),来移除永久嵌入链上的公钥,使其对所有人可见。
回想一下,量子计算机会研究公钥,逆向工程出私钥的确切形状并伪造一个可用的副本。如果我们移除公钥,则攻击没有任何依据。同时,包括闪电支付、多重签名设置和其他比特币功能在内的所有其他内容保持不变。
然而,如果实施此提案,它仅保护未来的新币。已经坐落在老旧暴露地址中的170万个BTC是一个单独的问题,下面的其他提案将解决。
SPHINCS+ / SLH-DSA:基于哈希的后量子签名
SPHINCS+是一种基于哈希函数的后量子签名方案,避免了比特币所用椭圆曲线密码学面临的量子风险。当肖尔算法威胁ECDSA时,基于哈希的设计如SPHINCS+被认为并不面临同样的脆弱性。
该方案在经历多年的公众审查后,于2024年8月被国家标准和技术研究所(NIST)标准化为FIPS 205(SLH-DSA)。
安全性与大小之间的权衡是:目前的比特币签名为64字节,SLH-DSA的大小为8千字节(KB)或更多。因此,采用SLH-DSA将大幅增加区块空间需求并提高交易费用。
因此,一些提案如SHRIMPS(另一种基于哈希的后量子签名方案)和SHRINCS已经被提出,旨在在不牺牲后量子安全性情况下减小签名大小。这两者建立在SHPINCS+的基础上,同时旨在保留其安全保障,以更实用、更高效的空间形式适合区块链使用。
Tadge Dryja的承诺/揭示方案:内存池的紧急制动器
该提案是Lightning Network的共同创始人Tadge Dryja建议的一个软分叉,旨在保护内存池中的交易不受未来量子攻击者的侵袭。它通过将交易执行分为两个阶段:承诺和揭示,来实现这一目标。
想象一下通知对方你会发邮件给他们,然后实际上发送邮件。前者是承诺阶段,后者是揭示阶段。
在区块链上,这意味着你首先发布一个封闭指纹,表明你的意图——只是一段哈希,不透露任何交易信息。区块链将该指纹永久标记时间戳。稍后,当你广播实际交易时,你的公钥变得可见——是的,正在观察网络的量子计算机可以从中推导出你的私钥,并伪造一个竞争交易来窃取你的资金。
但是,该伪造交易会立即被拒绝。网络检查:这笔支出是否在链上注册了先前的承诺?你的是有的,攻击者的是没有——他们刚刚创建的。你预先注册的指纹就是你的不在场证明。
然而,问题在于由于交易被分为两个阶段而导致的成本增加。因此,它被描述为一个过渡桥梁,适合在社区致力于构建量子防御时实施。
Hourglass V2:减缓旧币的支出
由开发者Hunter Beast提出,Hourglass V2针对着大约170万个BTC,这些比特币持有在较旧且已经暴露的地址中,面临的量子脆弱性。
该提案承认这些币可能在未来的量子攻击中被窃取,并试图通过将销售限制为每个区块一个比特币来减缓损失,以避免可能导致市场崩溃的灾难性大规模清算。
这个比喻就像银行挤兑:你无法阻止人们提款,但你可以限制提款的速度,以防止系统在一夜之间崩溃。该提案是有争议的,因为即使这种有限的限制在一些比特币社区成员看来也违反了“没有外部方可以干预你花费佣金的权利”的原则。
结论
这些提案尚未激活,而比特币的去中心化治理涉及开发者、矿工和节点运维者,这意味着任何升级都可能需要时间才能实现。
尽管如此,这周谷歌报告之前不断涌现的提案表明,开发人员早已关注这一问题,这可能有助于缓解市场担忧。
免责声明:本文章仅代表作者个人观点,不代表本平台的立场和观点。本文章仅供信息分享,不构成对任何人的任何投资建议。用户与作者之间的任何争议,与本平台无关。如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到support@aicoin.com,本平台相关工作人员将会进行核查。
