当量子计算机出现时，比特币会发生什么？

量子计算领域的最新进展再次引发了人们对其将如何影响比特币的关注。在一份新发布的报告中，我们概述了量子计算的现状、比特币的威胁模型以及正在考虑的后续步骤。本文概述了我们的主要发现和建议。查看完整报告。

比特币准备量子计算的时间表

我们概述了比特币的双轨迁移策略，以应对量子计算的潜在出现。

• 长期路径：这种综合方法假设量子计算构成实际威胁之前仍有相当长的时间窗口。参考隔离见证 (SegWit) 和 Taproot 等先前协议升级的时间表，我们估计实现完全的量子安全过渡可能需要大约 7 年时间。
• 短期应急路径：此方案旨在应对量子计算领域突然取得突破时的紧急响应。其重点是快速部署防护措施，以保障比特币网络的安全，预计大约需要两年时间才能完成。

在这两种情况下，精心管理的资金（例如存储在 P2PKH 或 P2WPKH 等哈希地址类型中且不重复使用地址）已经受到保护，免受量子攻击。然而，以后量子时代安全的方式使用这些资金需要额外的基础设施，预计这些基础设施将在这两个时间线的第二阶段开发完成。

量子计算机：何时问世？有何功能？

如果量子计算能够大规模实现，它可以利用量子力学原理显著提升特定类型问题的处理速度。尤其值得关注的是密码相关量子计算机 (CRQC)，这类计算机能够破解现代密码学背后的数学假设。这其中就包括椭圆曲线密码学 (ECC) 等算法，而它是比特币安全的基础。

虽然量子计算几十年来一直是理论研究的活跃领域，但在构建大规模量子机器（尤其是 CRQC）方面仍然存在重大的工程挑战。迄今为止，还没有一台量子计算机在解决商业相关问题方面超越经典超级计算机，也没有展现出足以威胁现代密码学的能力。

CRQC 预计时间表

众所周知，技术进步难以预测，它很少遵循线性路径，历史上有很多突飞猛进的例子。为了预测密码学领域的潜在变化，一些组织已经提出了密码签名过渡的时间表。

其中最突出的努力之一来自美国国家标准与技术研究院（NIST），该机构一直引领着密码标准的制定。他们发布的建议突出了两个关键日期：

• 到2030年，传统的加密方法，例如ECDSA和RSA，应该被逐步淘汰。
• 到2035年，所有密码系统都应该完全过渡到后量子算法。

英国国家网络安全中心采取了类似的方法，采用三阶段迁移框架，旨在到 2035 年完成向后量子密码学的过渡。欧盟和中国等其他实体也在积极研究后量子密码学战略，尽管他们尚未公布正式的时间表。

在行业层面，包括Cloudflare、Signal和谷歌在内的多家领先公司已开始采用后量子密码学。他们正在实施混合签名方案，将传统加密方法与后量子算法相结合，攻击者需要破解这两种算法才能入侵系统。苹果公司也宣布了向后量子密码学过渡的计划。随着PQC成为新兴行业标准，预计会有更多公司效仿。

风险何在？

比特币面临的威胁将带来巨大的经济风险。图 2 分析显示，约有 651 万枚比特币（按当前估值超过 7000 亿美元，占当前供应量的 32.7%）存在量子漏洞。这包括地址重复使用的资金、由本质上易受量子攻击的脚本类型保护的资金，以及通过比特币分叉（例如比特币现金）上的公钥暴露而易受量子攻击的资金。

比特币威胁模型：我们应该担心什么？

量子计算预计将影响比特币的两个关键领域：矿业 和 交易签名在量子挖矿中，整合多台机器算力的难度使得大型量子矿工拥有不成比例的优势，从而威胁到去中心化。对于交易签名而言，风险更为直接，CRQC 可以从公钥中衍生出私钥，从而窃取资金。

重要的是，这两种威胁的时间表截然不同。构建一台性能超越现代 ASIC 矿机的量子计算机，其工程挑战远大于构建一台能够破解数字签名的量子计算机。部分原因在于量子处理器的时钟速度较低，远低于比特币挖矿中使用的高度优化和专用硬件，而且缺乏并行化。

签名

CRQC 可能会打破基于 ECC 方案的假设，即无法从对应的公钥推导出私钥，从而可能允许攻击者窃取资金。在比特币中，UTXO 的所有权是通过使用与给定公钥对应的私钥签署交易来证明的。如果 CRQC 能够从公钥推导出该私钥，它就可以伪造所有权并花费资金。

这导致了两种截然不同的量子攻击场景。使用哈希地址进行支付时，公钥会暂时暴露，这为攻击者提供了短暂的窗口期（通常几分钟到几小时）来获取私钥并窃取资金（可能通过链重组进行）。相比之下，某些输出类型（P2PK、P2MS、P2TR）从收到资金的那一刻起，公钥就会永久地暴露在链上，这为攻击者提供了无限的时间来发起量子攻击。地址重用将哈希地址的暂时漏洞转化为永久暴露，因为公钥在首次支付后仍然在链上可见。如图 3 所示，最易受攻击的目标是持有大量资金且公钥暴露的地址，例如实施地址重用的机构持有者。

矿业

比特币挖矿基于以下原理：找到有效区块的概率与计算量呈线性关系。Grover 算法是一种量子搜索技术，它为暴力搜索提供了二次方的加速。然而，与传统挖矿不同，Grover 算法不易并行化。这一限制可能会使拥有大规模中心化量子硬件的实体获得不成比例的优势，从而可能加剧挖矿的中心化，而不是扩大参与度。

除了对中心化问题的担忧之外，量子挖矿还可能改变矿工的最优策略，例如通过增加陈旧区块的比率来降低区块链质量。更高的陈旧区块比率可能会降低某些攻击（例如自私挖矿或双花攻击）的成本，使其更加可行。

如前所述，构建一台能够超越现代ASIC矿机的量子计算机被认为比开发CRQC（可重复量子计算）要遥远得多。因此，量子挖矿并非迫在眉睫的问题，并且在未来几十年内不太可能构成实际威胁。尽管如此，在未来量子环境下探索工作量证明机制仍然是一个值得研究的方向。更好地理解潜在风险和缓解策略将有助于生态系统为量子挖矿成为现实做好准备。

迁移到量子安全：主要挑战是什么？

量子安全签名

量子安全密码签名的研究已持续数十年，但近年来，人们对此的兴趣和进展均有所加速。这促成了 SPHINCS+、FALCON 等候选协议的开发。然而，作为一个相对年轻的领域，该领域已出现多个最初被认为是安全的方案，但后来被攻破（例如 SIKE），甚至被经典计算机攻破。尽管人们对现有候选方案的信任度与日俱增，但该领域仍然活跃且不断发展。

如表1所示，后量子签名方案的一个显著限制在于，与比特币目前使用的经典算法（例如ECDSA和Schnorr）相比，它们的密钥和签名大小显著增大，验证时间也显著增加。为了解决这个问题，一些提案建议利用隔离见证（SegWit）的见证人折扣机制来减少链上占用空间。然而，将量子安全签名集成到协议中的最佳方法仍是一个悬而未决的问题。除了性能方面的权衡之外，量子安全方案尚不支持经典签名提供的全部功能，例如闪电网络和其他应用程序中所依赖的签名。该领域仍然是密码学界研究的热点，预计未来几年将取得进一步的改进。

迁移路径

如果比特币社区选择将易受攻击的资金迁移到抗量子格式，则需要转移大量的 UTXO。目前有几种方案正在考虑中，每种方案都有不同的权衡。一些方案侧重于在不提前暴露公钥的情况下，实现哈希地址输出的安全使用。另一些方案则提出了一些机制，以限制或规范那些直接易受量子盗窃攻击的 UTXO 的使用。这些策略通常需要修改共识规则，例如软分叉，并且还必须考虑转移大量 UTXO 的实际挑战，即使在持续分配区块空间的情况下，转移过程也可能需要 4 到 18 个月的时间。

哲学困境：我们允许资金被盗吗？

比特币社区面临一个根本的哲学问题：应该将易受量子攻击的资金永久冻结（“销毁”），还是将其保留在量子计算机可访问的范围内（“窃取”）？这一抉择触及比特币的核心原则：产权、抗审查性和不可篡改性。销毁方案将量子脆弱性视为一个需要保守修复的协议漏洞，从而阻止财富重新分配给那些在 CRQC 竞赛中获胜的人。窃取方案则认为，销毁资金侵犯了其所有者的产权，实际上是没收了那些可能根本不知道威胁或无法及时迁移的人的资产。

其影响远不止于哲学层面，更关乎市场动态。协同销毁将永久地将数百万比特币从流通中移除，这可能会提升剩余比特币的价值，同时提供市场确定性。允许量子盗窃会导致巨额财富转移到拥有量子能力的实体，随着资金逐渐耗尽，可能会造成长期的市场不确定性和波动性。就此做出决定对于比特币的治理模式至关重要，它要求社区在安全要求与用户主权和不干预的基本原则之间取得平衡。

那么，下一步是什么？

CRQC 的到来将标志着数字领域的重大转变，使当今许多安全通信、身份验证和数字基础设施面临风险。尽管量子计算尚未实现，但相关准备工作正在进行中，以确保比特币能够抵御未来的发展。加密社区和比特币社区仍在继续研究，以评估潜在风险并探索切实可行的应对措施。我们的报告重点介绍了两个近期可能需要关注的领域：停止地址重复使用，以及评估围绕暴露资金的“销毁与窃取”讨论中的利弊权衡。

主动行动的窗口现已打开，尽管它可能不会永远开放。及时了解量子计算和密码学的进展至关重要，研究潜在的缓解策略及其对比特币生态系统的更广泛影响也同样重要。在后量子时代，确保比特币的长期安全需要我们从现在开始进行深思熟虑、审慎的工作，这样我们才能在时间尚存的情况下做出明智的决策。

本文由 Clara Shikkelman 和 Anthony Milton 客座撰写。文中观点仅代表其个人，并不一定反映 BTC Inc 或 Bitcoin Magazine 的观点。