“量子”狼又來了？比特幣不再害怕！

   量子計算機的威脅純屬子虛烏有

徐令予  撰文

在數字密碼世界，量子計算機是惡狼一樣的存在。狼來了！著實嚇到過不少人。

第一次“狼來了”發生在2019年，當時穀歌宣布取得“量子霸權”之後，從10月26日開始，比特幣從9500美元左右一路下降到7500美元，短短幾天內比特幣價格下跌超過20%，投資者總計損失超過150億美元。但是市場還是把“量子霸權”拋於腦後，比特幣一路高歌猛進，5年中價格幾乎翻了十倍。

今年穀歌故技重施，宣稱其最新量子芯片Willow取得了驚人成績，把量子比特從53位提升至105位。狼又來了？但這次市場反應卻很淡定，新聞岀來後的12月10日，比特幣價格跌了大約3%，很快市場回複常態，價格繼續上漲，根本不把穀歌的“量子霸權”當一回事。具體數據請看上圖。

“狼來了”，第一次嚇人一跳，第二次再喊效果甚微，以後再喊還會有誰關心？量子計算機就是一頭紙糊的狼，它對比特幣安全並不構成有效威脅，下麵將從理論和實踐兩方麵作些定性和定量分析。

比特幣安全嚴重依賴於兩種加密技術：一是橢圓曲線數字簽名算法（ECDSA），這是負責對數據加密解密的公鑰密碼；另一個是哈希算法（SHA-256）用來保障比特幣挖礦安全。

在理論上，量子計算機對公鑰密碼構成威脅。破解比特幣使用的ECDSA公鑰密碼，就是從比特幣公鑰推算出相關聯的比特幣私鑰，從而獲取比特幣地址信息。這在傳統計算機上，需要大約2¹²⁸次基本操作才能得手，這個數字非常巨大，使用傳統計算機攻擊比特幣是完全不可行的，因而比特幣是安全的。然而可以確定的是，使用Shor算法，足夠大的量子計算機隻需要大約128³次基本量子操作即可破解比特幣私鑰。因此量子計算機在理論上確實對比特幣安全構成了威脅。

但是SHA-256不屬於公鑰密碼，量子計算機對它即使在理論上也不構成有效的威脅。找到與特定SHA-256哈希值對應的數據，在傳統計算機上需要2²⁵⁶次基本操作，而量子算法Grover需要2¹²⁸次基本量子操作。這兩者的操作次數都非常龐大。因此，量子計算機對於比特幣挖礦的威脅在理論上都並不存在。

量子計算機破解比特幣，理論上可行與工程實現完全不是一回事，這中間隔著四條鴻溝：

• 量子比特數量：Willow芯片隻有105個量子比特，但要運行Shor算法來破解比特幣的256位ECDSA密碼，需要數百萬個邏輯量子比特，而構建每一個邏輯量子比特又需要多個物理量子比特。單純依靠技術進步是很難克服如此巨大的數量差距。
• 量子比特糾錯：Willow的主要成就是在增加量子比特數量的同時實現指數級的誤差減少。這對於構建更大的量子計算機至關重要，但它仍處於原型階段。破解比特幣需要長時間計算，這對量子比特的穩定性和精確性提出了更為嚴格的要求。
• 量子邏輯門的速度：雖然Willow可以在5分鍾內完成超級計算機需要十億億年才能完成的計算，但這些計算是高度特定的隨機電路采樣，而破解ECDSA是完全不同的邏輯門操作，目前它們的速度非常慢。
• Shor算法的可行性：運行Shor算法破解256位密鑰需要一個比Willow大得多、穩定得多的可編程量子計算機。這樣的大型通用量子計算機很可能永遠也不會出現，Shor算法提出到現在已經過去了三十年，目前連一台可以驗證的袖珍型樣機都造不出來，這背後一定有深層次的原因。

橫在量子計算機麵前的四條鴻溝的背後都有深刻的物理原因，僅靠技術進步是很難逾越的。持有這種悲觀態度的專家學者為數不少[1]。就在我撰寫此文時，《科學》雜誌上又有重要論文發表，該論文從根基上對量子霸權提出了質疑[2]，這些文章和觀點值得我們深思，對此我很可能會另有專文介紹。

對於量子計算機的威脅，比特幣的反應是認真和負責的，比特幣創建於2008年，而用來破解密碼的量子計算機Shor算法發生在1994年。所以比特幣開發人員從一開始就意識到潛在的量子計算機威脅，這段時間差一定會影響到比特幣的係統構架設計。2010年，比特幣之父Satoshi Nakamoto對量子計算機威脅專門作出了反應，並於2016年在比特幣網站上創建了應對量子計算的頁麵。由此可知，比特幣對於量子計算機威脅是有所準備的。

而且比特幣已經開始行動。在比特幣錢包中，通常標準做法是地址隻使用一次，這樣可以最大程度減少受到威脅的風險。公鑰和相關簽名隻有在交易發送後但在確認之前才會被展示，這給量子攻擊者隻有一個短暫的窗口期來破解密鑰。通過軟分叉實現的新地址類型也討論了多年，全麵實施可能隻是時間問題。

事實上，對抗量子計算機攻擊的新一代公鑰密碼（後量子密碼 PQC）已經取得實質性進展。比特幣設計的總體框架內，應該己經預留了PQC的位置，在必要的時候，公鑰密碼通過技術升級可以有效地應對量子計算機的威脅。

但是有必要指出，公鑰密碼升級換代絕非易事，這是一個極其巨大艱辛的工程，費時費力當然一定更費錢。請問受益的是誰？就是密碼領域的數學專家和軟件工程師。他們販賣量子計算機焦慮比任何人還要起勁，甚至超過了量子計算機的從業人員，他們想在密碼升級換代工程中賺大錢。賣盾的為矛做虛假廣告，目的還是要賣出更多更貴的盾，這是矛盾故事的現代升級版。“天下熙熙，皆為利來；天下攘攘，皆為利往”，量子計算機鬧劇的背後其實還是一個錢字，千萬別以為從事諸如量子計算等高大上事業的人也都是高大上！認識到這一點後，就不難理解量子技術的炒作之風為什麽經久不息了。

總而言之，量子計算機對於比特幣（包括其它各種加密貨幣和數字貨幣）的安全威脅微乎其微。你可以有一百個理由不喜歡比特幣，但是量子計算機不應是理由之一。量子計算機的“狼來了”一定還會有人喊，但害怕的人會越來越少，誰會怕一頭紙糊的狼呢？

[1]數學家和計算機科學家 Gil Kalai 在穀歌 Willow 宣布當天的一篇博文中，他敦促謹慎行事，他說：“穀歌量子霸權的主張應該謹慎對待，特別是對那些極端誇張的主張。這些說法可能源於重大的方法錯誤，它們可能更多地反映了研究人員的期望，而不是客觀的科學現實。”

物理學家Sabine Hossenfelder批評穀歌的量子霸權聲明誇大其詞。她指出，發生在2019年類似的聲明中提及的是一塊50量子比特芯片，這項成果迅速遭到IBM質疑。研究人員在差不多的時間框架內，使用經典方法獲得與量子芯片相同的計算結果。根據她的說法，盡管關於 Willow 的聲明在科學上令人印象深刻，但“對日常生活的影響為零”。

[2]Sudden death of quantum advantage in correlation generations