量子计算机时代，比特币一文不值！ ？

量子计算和比特币

量子计算机是使用量子力学以比传统计算机快得多的速度执行某些计算的计算机。 一台足够大的量子计算机会给比特币带来一些问题，尽管它肯定不是无法克服的。

请注意，缩写 QC 可以代表量子计算机或量子密码学。

量子计算机攻击

针对量子计算机的最危险攻击是针对公钥密码学的。 在传统计算机上，大约需要 2128 次基本操作才能获得与比特币公钥关联的比特币私钥。 这个数字如此之大，以至于使用传统计算机进行任何攻击都是不切实际的。 然而，众所周知量子计算机挖比特币，一个数量级的计算机只需要 1283 次基本量子运算就能够使用 Shor 算法破解比特币密钥。 这可能需要一些时间，特别是因为第一台量子计算机可能非常慢，但它仍然非常实用。

对于对称密码术，存在量子攻击，但危险性较小。 使用 Grover 算法，攻击对称算法所需的操作数是平方根。 例如，找到一些散列为特定 SHA-256 散列的数据需要在经典计算机上进行 2256 次基本操作，但需要 2128 次基本量子操作。 两者都大得不切实际。 此外，由于量子计算机在其发明数十年后将比经典计算机慢得多且成本更高，因此针对对称密码学的量子攻击似乎不太常见。 例如，比特币挖矿通常会“攻击”（即挖矿）对称密码学（SHA），而挖矿可能永远不会被量子矿工控制，因为传统矿工永远会更快、更便宜。

时间表/合理

创建量子计算机是一项巨大的科学和工程挑战。 截至2016年，最大的通用量子计算机还不到10个量子位（目前IBM已经发布了50个量子位的芯片）。 攻击比特币密钥需要大约 1500 个量子比特。 人类目前没有必要的技术来创建足够大的量子计算机来攻击比特币密钥。 目前尚不清楚这项技术的发展速度有多快； 然而，像 ECRYPT II 这样的密码学标准倾向于说比特币的 256 位 ECDSA 密钥在 2030-2040 年之前都是安全的。

有一家名为 D-Wave 的公司声称能够生产超过 1000 个量子比特的量子计算机。 但这种说法并未得到普遍接受，即使属实，这也将是一台无法破解密码的专用量子计算机。

减轻

比特币已经具有一些内置的量子电阻。 如果您只使用一个比特币地址一次（这始终是推荐的做法），您的 ECDSA 公钥只会在您花费比特币发送到每个地址时显示。 量子计算机需要能够在您的交易首次发送和进入区块之间的短时间内破解您的密钥。 在比特币变得如此之快之前，量子计算机首先破解了比特币的密钥，这种情况可能会持续数十年。

所有常用的公钥算法都已被量子计算机破解。 这包括 RSA、DSA、DH 和所有形式的椭圆曲线密码术。 事实上，不存在可以抵抗量子攻击的公钥加密系统。 目前，比特币专家倾向于支持基于 Lamport 签名的密码系统。 Lamport 签名的计算速度非常快，但它们有两个主要缺点：

签名会非常大，大约 11 kB（比现在大 169 倍）。 这对比特币的整体可扩展性非常不利，因为带宽是比特币扩展的主要限制因素之一。 隔离见证（11kB 是见证的一部分）和闪电网络等可扩展性的进步将有所帮助。

创建每个密钥对时，您需要设置一些可以使用该密钥签名的最大次数。 超过此数量的签名是不安全的。 增加签名限制会使每个签名的大小增加到甚至超过 11kB。 使用比特币，每个接收地址只能使用一次量子计算机挖比特币，因此我们可以避免使用非常小的最大签名数（可能只有一个）进行破解。

还有一些正在进行的学术研究，旨在创建与当今公钥算法具有许多相同属性的量子安全公钥算法，但这是非常实验性的。 目前还不知道它最终是否会成为可能。

一种新的公钥算法可以作为软分叉添加到比特币中。 从最终用户的角度来看，这将表现为创建一种新的地址类型，每个人都需要将他们的比特币发送到该地址类型以实现量子安全。

原发布时间为：2017.12.21