在我前文寫過的人世間最佳投資裏提到了這個資產。人世間最佳投資組合。為了書寫方便,我們現在管這個資產為BTC,見下圖。現在B資產麵臨的風險不再是政府監管。而是量子計算。關於這個問題,在今年2025貝版投資俱樂部拉斯維加斯年會的時候,我們進行了深入的討論。
我們先說最主要的結論。1. 按照現在的量子計算發展趨勢,量子加密最終可以攻破現有的BTC的數字簽名。這是量子計算對B資產的唯一威脅。
2. BTC必須軟分叉或者硬分叉升級,采用哪種算法還沒有共識。新的加密算法目前理論上可以不被量子計算破解。實踐上還有大量複雜的工程問題要解決。不是那麽簡單的。
3. 到時候社區會形成共識,通過各種鬥爭,形成一種量子加密算法,並且升級,最多就是類似於當年BTC硬分叉一樣,一部分社區分裂出去。
4. BTC的地址在你花費過之後才暴露公鑰,沒花費過的是安全的。簡單的說,當你花費(spend)這筆錢的時候,需要提供一個合法的簽名。簽名過程需要用到原始公鑰。所以在交易的輸入(input)中,你必須提供公鑰,讓別人驗證簽名。這時你的公鑰首次暴露在區塊鏈上。
5. 但是舊的P2PK地址即使沒有花費過也不行,會直接暴露公鑰。所以黑洞地址不安全。黑洞地址,如果在升級前,沒有轉移到新的地址。最終社區共識把這些沒有及時升級的地址上的幣銷毀。
我們現在再看看量子計算機對B資產的影響情況。
挖礦
目前挖礦利用的是SHA-256 算法,量子算法Grover’s Algorithm 可以把複雜度從2^256 降到2^128,目前的算法隻是平方級非指數級,量子計算機比起ASICs 沒有明顯的優勢。量子計算機想要超過ASICs 礦機需要上百萬個穩定的,可靠的量子比特單元。
私鑰破解
私鑰利用ECDSA (橢圓算法)簽名。量子算法Shor's Algorithm對ECDSA加速了104個數量級。隻要原始公鑰暴露,量子計算機利用Shor's Algorithm 解出私鑰。目前的估算如果擁有上百萬物理量子比特算力,那麽隻需要17分鍾就可以破解現在的私鑰簽名。
抗量子簽名算法
BTC必須硬分叉到Post-Quantum Cryptography (PQC)算法。目前各個中央銀行都在升級PQC算法。美國國家標準局一共公布了三個算法。分別是Dilithium, SPHINCS+, 和Falcon。PQC算法不再依賴大數分解和橢圓曲線。這三種算法的優缺點如下:
- CRYSTALS-Dilithium(也稱 ML-DSA):基於格的數字簽名方案,簽名與公鑰大小過長,對區塊鏈的資源消耗過大。
- FALCON(也稱 FN-DSA):基於 NTRU 格的簽名方案,簽名尺寸更小、驗證快,但實現複雜度高。簽名速度雖不及 Dilithium,但驗證速度快約 3–3.9 倍。
- SPHINCS+(也稱 SLH-DSA):無狀態哈希簽名,安全假設簡單但簽名較長。
BTC需要新的地址類型或者混合簽名。由於區塊鏈字節數量的限製。目前看用Falcon算法可能性最大。Falcon有成功的先例。2022 年 Algorand 3.4.0 升級,每 256 個區塊用 FALCON 簽名壓縮證明鏈上狀態,由超級多數節點簽發,確保曆史賬本狀態不可量子篡改。
以太坊/Solana/Cardano都在嚐試用Falcon對抗量子計算。 新的地址模式至少需要軟分叉,地址的加密模式目前還在討論中。
時間表
目前各種技術下Qbit的發展趨勢如下,目前隻能到300-400個比特單位。
大部分的預測是到達百萬級比特的算力需要10-20年的時間。但是技術的進步不是穩定和線性的,隨時有可能有重大突破。各個公司量子計算的時間表如下。比如PsiQuantum的目標直接就是百萬級的Qubits算力。
我們看一下Hunter Beast 這封公開信。BTC的社區在積極努力的做PQC的工作。但是進展目前來看比較緩慢。 Hunter Beast是Post Quantum 加密簽名方案的加密開發者與工程師。
他是 BIP-360(也稱 P2QRH)提案的作者。P2QRH(Pay to Quantum Resistant Hash)BIP-360,目標是通過 SegWit 版本.3 (bc1r…) 新增一種數據結構,以 預防量子計算機攻擊。其核心在於“禁用 key-spend”,即輸出不再含公鑰,而隻哈希承諾 tapscript merkle 根,從而對抗長暴露攻擊。該提案設計為 軟分叉(Consensus upgrade),不需調整區塊大小,完全兼容 SegWit / Taproot 實現部署。
作者:Hunter Beast
發布時間:2025 年 2 月 19 日 09:57(PST)
致比特幣開發者社區,
自從提出 P2QRH(現稱為 BIP?360)提案至今已有 6 個月多,我在此匯報重大進展,並征求大家對這一路線圖的更多反饋。同時,還想介紹一個名為 P2TRH 的 Taproot 後量子緩解方案(Post Quantum mitigation)。
一、BIP 編號已分配
你們可以在此查看更新後的草案:P2QRH BIP 0360 草案
二、算法選擇變動
自最初發布以來,該 BIP 已經曆重大修訂,尤其是在算法選擇上。早前考慮的 SQIsign 驗證速度較 ECC 慢 15,000 倍【1】。若一個 ECC 區塊驗證耗時 1 秒,則 SQIsign 完全充塞區塊的情況下驗證將需要長達 4 小時,顯然存在 DDoS 攻擊隱患。
對此,我已將 SQIsign 從 BIP 中棄用。
此外,一類支持簽名聚合的新算法(如 Chipmunk、RACCOON)雖有潛力,但簽名尺寸仍不小,暫不列入當前清單。
三、候選算法安排
當前優先考慮 FALCON(具簽名聚合特性),其次是 SPHINCS+ 和 CRYSTALS?Dilithium。但多項技術挑戰尚待解決,尤其涉及多簽錢包、xpub/觀看錢包兼容性(如 conduition 郵件所述【4】)。
四、秉持 NIST/FIPS 標準
為確保兼容性和審計機製,目前計劃僅使用 NIST 官方批準算法。諸如 Securosys 的 HSM 已支持上述三種算法,對分布式 L2 金庫部署至關重要【5】。
五、多簽實現方式討論
當前提案采用 Merkle 樹結構提交多簽公鑰綁定輸出,這雖然高效但尚屬新構造,需更多審查。
一種可行替代方案是類似 P2SH 的方式,將 OP_CHECKMULTISIG 在 witness 腳本中轉換為對 “證明公鑰” 的引用。該方式仍有一些冗餘開銷,且多簽閾值/鎖定腳本尚不清晰。本人認為目前 BIP 中缺失最明顯的是支持 m/n 多簽的功能,目前僅支持 n/n;歡迎進一步建議。
六、可考慮的序列號方案
可在 SegWit v3 輸出哈希頂層附加 2 字節,標示 PQC 簽名所需比例與總數,並將其與 attestation 提交,從而支持在支出時提供簽名閾值語義。
七、P2TRH:Taproot 後量子過渡方案
在整合 Taproot key?path 支出之前,我們提出了替代方案 P2TRH(Pay To Taproot Hash),可在不泄露公鑰的情況下,以哈希方式提交,其特別適用於:
- MuSig2 Lightning 通道
- FROST 多方計算金庫
- 不泄漏區塊模板的高額私池交易
雖然我聚焦於 P2QRH 工作,但考慮在社區認為 P2TRH 是較佳臨時方案的情況下提出以供參考。權衡是:P2TRH 每輸入需額外約 8.25 vB,且可能影響 tweak 參數機製、無法防禦 BIP-360 中定義的短暫暴露型量子攻擊。
八、下一步進展
我仍需完成測試向量相關開發,正基於 rust?bitcoin fork 實現,參考 Steven Roose 針對 BIP-346 的工作。雖然這不是草案合並前的阻塞要素,但若到我完成時草案仍未合並,則可能為其整合提供推動力。
Murch 提出的一個擔憂是,引入四種全新算法會顯著增複雜度,需慎重評估——去除 SQIsign 後,大幅簡化清單有助審查流程更快推進。
從這封信中我們可以看出,即便實現軟分叉也有很多工程問題要解決。必如,2025年的一個研究表明,未經遮蔽(masking)保護的 Falcon 實現可能遭受 single-trace power 分析或電磁泄漏攻擊,攻擊僅需數千條測量就能完整還原私鑰。
如果最終需要硬分叉的共識,那麽多半會引起社區分裂和價格動蕩。尤其是對待黑洞錢包如何處理的問題,意見會非常不一致。量子計算機攻破B資產簽名的這個事件,不出意外的話,會在20年內必然發生。
對於普通投資人,首先第一件事,你不要把B資產放在暴露過原始公鑰的地址上。不要再使用P2PK類地址。第二件事,你需要有個對策預案,了解背後的原理,不然到時候會手忙腳亂。我傾向覺得B資產最終能夠熬過量子計算帶來的衝擊。這個衝擊比當年的BCH造成的社區分裂要再複雜一點。最終總是會有一個分叉鏈能夠活下來的。不過這個過程會非常動蕩,又會有一批不幸的人在稀裏糊塗中,慌亂下車。
致謝:本文部分內容來自俱樂部老戴和高小貓的年會討論,在此特別感謝。
