警惕抗量子骗局：深入了解量子计算与比特币的安全性

来源：刘教链公众号
BTC昨天刚刚作势拉升脱离30日均线，今天又回踩了一下30日均线（大约在104.9k附近）。

近日有多位读者朋友向教链转发关于量子计算以及比特币在未来几年内可能归零的FUD（币圈术语，意为让听众产生恐惧、怀疑、困惑的感觉，以制造恐慌）。

量子计算的FUD虽不是年年都有，但也每隔几年就会卷土重来。然而，几乎所有大众能看到的所谓“量子计算将导致比特币归零”的言论，几乎都是忽悠；如果后续再有人趁机推荐所谓的抗量子币，那基本可以认定是骗局。

但凡是看过教链有关量子计算的文章，或者认真读过《比特币史话》中有关量子计算的章节，应该很容易识破这类忽悠和骗局。

如果只是被忽悠而害怕比特币归零不敢持有，那不过是错过未来上涨的机会；但如果被骗去买所谓的抗量子币，那可就真的要遭受财产损失了。

以下是几个关键知识点：

第一，量子计算机达到实用水平还有多远？答案是：很远。至少比那些鼓吹“5到8年内量子计算就能颠覆一切”的人所说的要久得多。就像AI领域总有人宣称203X年前就能实现AGI（通用人工智能），但实际上，这可能只是为了吸引投资的话术而已。也许10年、20年、甚至50年后，量子计算都未必能对密码学构成威胁。

第二，如果量子计算机很快实用化，你首先应该担心的是传统银行账户的安全性。这些系统比比特币更容易被量子计算攻破。比特币的地址签名算法外层包裹了一层哈希，若遵循教链小白课上提到的“每个地址只用一次”原则，那么比特币本身天然具备抗量子攻击的特性。这是因为比特币使用的哈希算法具有强大的量子抗性。

第三，比特币在技术上完全可以将现有的签名算法更换为抗量子签名算法。技术人员也在积极研究抗量子算法的最新进展，并采取先发制人的策略确保随时做好升级准备。至于为何迟迟未升级？原因很简单：目前提出的抗量子算法虽然具备一定的抗量子能力，但它们的签名尺寸过大，难以满足比特币系统的工程需求。

毕竟，所有技术问题最终都要落实到工程可行性上。《比特币史话》第三章第9话曾提到，中本聪当年选择签名算法时重点考虑的就是尺寸因素。他在2010年的比特币社区论坛讨论中明确表示：“比特币使用椭圆曲线数字签名算法（EC-DSA）。这个算法只能用于数字签名，不能用于加密。RSA两者都能做，但我没有采用它，因为它大了一个数量级，这就不切实际了。”他还指出，“这里说的不是程序大小，而是数据大小。如果区块链、比特币地址、磁盘空间、带宽需求都大一个数量级，这就不太可行了。”

那么如今的抗量子算法尺寸如何呢？答案是比ECC或RSA大数百到近千倍。例如，SPHINCS+算法中较低安全级别的SLH-DSA-SHA2-128s签名大小约为8KB，而较高安全级别的SLH-DSA-SHA2-256f甚至达到50KB，比传统签名算法（如RSA或ECC，后者仅有64B）大得多，完全不适合对存储和带宽要求严格的场景。

试想一下，如果比特币账本尺寸从今天的不到1TB猛增一千倍到1EB会是什么后果？目前市面上任何鼓吹抗量子币的项目必然依赖现有抗量子算法，结果就是尺寸过大，在工程上完全不可行，无法承载高吞吐量，并因账本过大而严重削弱去中心化。

当年中本聪仅仅因为RSA签名尺寸比ECC大一个数量级就弃用了RSA，并直言不讳地指出，“这就不切实际了”。由此可见，今天所有抗量子算法的签名尺寸比现有算法大三四个数量级，任何宣称这种技术优于比特币的人，非蠢即坏。

前些天，密码学家、Blockstream公司创始人Adam Back（中本聪在比特币白皮书参考资料中引用过他）在推特上发表了一些观点，阐述了他对当前抗量子算法及量子计算FUD的看法。

他的核心观点是什么？

他表示：「FIPS 205: SLH-DSA。目前我认为最佳的后量子安全签名候选方案。签名尺寸稍大，但若想阻止过早的量子恐慌（FUD），可设计一种新地址格式：结合Schnorr Taproot和SLH-DSA Tapleaf。证毕（QED）。未来工作：利用STARKs实现SLH-DSA的签名聚合。」

作为密码学专家，他的表述中包含了许多专业术语，简单来说，他认为由美国国家标准局（NIST）标准化的SLH-DSA算法（编号为FIPS 205）是目前的最佳选择。SLH-DSA算法正是教链前面提到的SPHINCS+算法。

从技术角度看，SLH-DSA的优势在于其无状态设计和高安全性（仅依赖哈希函数），但签名尺寸显著大于传统方案（如RSA或ML-DSA）。

他还补充解释道：

「你可以在未来几年或几十年内逐步迁移到新的地址格式，这种格式既能使用Schnorr签名进行交易，又无需当下承担SLH-DSA签名带来的空间和费用开销。但若未来出现具备密码学威胁的量子计算机，你已做好应对准备。」

「我青睐SLH-DSA，因为它基于SPHINCS+——这一算法是对1982年Winternitz签名的改进，后者又源自1979年的Lamport签名，且依赖简单而稳健的数学假设。相比之下，其他多数NIST候选签名方案基于未经充分验证的新型数学假设，风险较高。」

「Taproot地址本质上是未哈希的Schnorr公钥，但可通过调整（tweak）来揭示一个Tapleaf（包含SLH-DSA或其他操作码）。Taproot在设计之初便前瞻性地将Tapleaf的调整机制设计为抗量子安全的，以此替代哈希公钥的方案，体现了更优的工程智慧。」

根据比特币BIP 341的设计标准，Tapleaf的调整（tagged_hash("TapLeaf", ...)）使用抗量子哈希（如SHA-256），确保即使量子计算机出现，脚本路径仍然安全。

他进一步解释：

「比特币应当为量子计算做好准备，这样我们就不会因为信息不对称的混乱——那些对早期量子计算物理和算法渐进式改进的过度报道——而导致价格波动，毕竟量子计算要达到密码学相关水平很可能还需要数十年时间。」

「在我看来最可能的结果是SLH-DSA永远不会被实际使用，因为在具备密码学意义的量子计算机建成之前很多年，它就会被更紧凑或支持签名聚合的方案所取代。但我们必须超越这种愚蠢的短期恐慌。而且这种准备本身就具有渐进式的实用价值。」

有网友问他，疑似属于中本聪的那些持有大量BTC的早期挖矿地址该如何处理。对此，他给出了个人的猜想：

「我猜我们终将知道中本聪是否还在，以及他是否会在抗量子地址启用后的数十年间、但在具备密码学威胁的量子超级计算机出现之前转移那些比特币。」

「如果最终真的出现了具备密码学威胁的量子计算机，我们就能知道中本聪是否还在世并转移这些币。我的猜测是：对于那些届时仍未移动的比特币，ECDSA和Schnorr签名方案将被弃用。」