在我前文写过的人世间最佳投资里提到了这个资产。人世间最佳投资组合。为了书写方便,我们现在管这个资产为BTC,见下图。现在B资产面临的风险不再是政府监管。而是量子计算。关于这个问题,在今年2025贝版投资俱乐部拉斯维加斯年会的时候,我们进行了深入的讨论。
我们先说最主要的结论。1. 按照现在的量子计算发展趋势,量子加密最终可以攻破现有的BTC的数字签名。这是量子计算对B资产的唯一威胁。
2. BTC必须软分叉或者硬分叉升级,采用哪种算法还没有共识。新的加密算法目前理论上可以不被量子计算破解。实践上还有大量复杂的工程问题要解决。不是那么简单的。
3. 到时候社区会形成共识,通过各种斗争,形成一种量子加密算法,并且升级,最多就是类似于当年BTC硬分叉一样,一部分社区分裂出去。
4. BTC的地址在你花费过之后才暴露公钥,没花费过的是安全的。简单的说,当你花费(spend)这笔钱的时候,需要提供一个合法的签名。签名过程需要用到原始公钥。所以在交易的输入(input)中,你必须提供公钥,让别人验证签名。这时你的公钥首次暴露在区块链上。
5. 但是旧的P2PK地址即使没有花费过也不行,会直接暴露公钥。所以黑洞地址不安全。黑洞地址,如果在升级前,没有转移到新的地址。最终社区共识把这些没有及时升级的地址上的币销毁。
我们现在再看看量子计算机对B资产的影响情况。
挖矿
目前挖矿利用的是SHA-256 算法,量子算法Grover’s Algorithm 可以把复杂度从2^256 降到2^128,目前的算法只是平方级非指数级,量子计算机比起ASICs 没有明显的优势。量子计算机想要超过ASICs 矿机需要上百万个稳定的,可靠的量子比特单元。
私钥破解
私钥利用ECDSA (椭圆算法)签名。量子算法Shor's Algorithm对ECDSA加速了104个数量级。只要原始公钥暴露,量子计算机利用Shor's Algorithm 解出私钥。目前的估算如果拥有上百万物理量子比特算力,那么只需要17分钟就可以破解现在的私钥签名。
抗量子签名算法
BTC必须硬分叉到Post-Quantum Cryptography (PQC)算法。目前各个中央银行都在升级PQC算法。美国国家标准局一共公布了三个算法。分别是Dilithium, SPHINCS+, 和Falcon。PQC算法不再依赖大数分解和椭圆曲线。这三种算法的优缺点如下:
- CRYSTALS-Dilithium(也称 ML-DSA):基于格的数字签名方案,签名与公钥大小过长,对区块链的资源消耗过大。
- FALCON(也称 FN-DSA):基于 NTRU 格的签名方案,签名尺寸更小、验证快,但实现复杂度高。签名速度虽不及 Dilithium,但验证速度快约 3–3.9 倍。
- SPHINCS+(也称 SLH-DSA):无状态哈希签名,安全假设简单但签名较长。
BTC需要新的地址类型或者混合签名。由于区块链字节数量的限制。目前看用Falcon算法可能性最大。Falcon有成功的先例。2022 年 Algorand 3.4.0 升级,每 256 个区块用 FALCON 签名压缩证明链上状态,由超级多数节点签发,确保历史账本状态不可量子篡改。
以太坊/Solana/Cardano都在尝试用Falcon对抗量子计算。 新的地址模式至少需要软分叉,地址的加密模式目前还在讨论中。
时间表
目前各种技术下Qbit的发展趋势如下,目前只能到300-400个比特单位。
大部分的预测是到达百万级比特的算力需要10-20年的时间。但是技术的进步不是稳定和线性的,随时有可能有重大突破。各个公司量子计算的时间表如下。比如PsiQuantum的目标直接就是百万级的Qubits算力。
我们看一下Hunter Beast 这封公开信。BTC的社区在积极努力的做PQC的工作。但是进展目前来看比较缓慢。 Hunter Beast是Post Quantum 加密签名方案的加密开发者与工程师。
他是 BIP-360(也称 P2QRH)提案的作者。P2QRH(Pay to Quantum Resistant Hash)BIP-360,目标是通过 SegWit 版本.3 (bc1r…) 新增一种数据结构,以 预防量子计算机攻击。其核心在于“禁用 key-spend”,即输出不再含公钥,而只哈希承诺 tapscript merkle 根,从而对抗长暴露攻击。该提案设计为 软分叉(Consensus upgrade),不需调整区块大小,完全兼容 SegWit / Taproot 实现部署。
作者:Hunter Beast
发布时间:2025 年 2 月 19 日 09:57(PST)
致比特币开发者社区,
自从提出 P2QRH(现称为 BIP?360)提案至今已有 6 个月多,我在此汇报重大进展,并征求大家对这一路线图的更多反馈。同时,还想介绍一个名为 P2TRH 的 Taproot 后量子缓解方案(Post Quantum mitigation)。
一、BIP 编号已分配
你们可以在此查看更新后的草案:P2QRH BIP 0360 草案
二、算法选择变动
自最初发布以来,该 BIP 已经历重大修订,尤其是在算法选择上。早前考虑的 SQIsign 验证速度较 ECC 慢 15,000 倍【1】。若一个 ECC 区块验证耗时 1 秒,则 SQIsign 完全充塞区块的情况下验证将需要长达 4 小时,显然存在 DDoS 攻击隐患。
对此,我已将 SQIsign 从 BIP 中弃用。
此外,一类支持签名聚合的新算法(如 Chipmunk、RACCOON)虽有潜力,但签名尺寸仍不小,暂不列入当前清单。
三、候选算法安排
当前优先考虑 FALCON(具签名聚合特性),其次是 SPHINCS+ 和 CRYSTALS?Dilithium。但多项技术挑战尚待解决,尤其涉及多签钱包、xpub/观看钱包兼容性(如 conduition 邮件所述【4】)。
四、秉持 NIST/FIPS 标准
为确保兼容性和审计机制,目前计划仅使用 NIST 官方批准算法。诸如 Securosys 的 HSM 已支持上述三种算法,对分布式 L2 金库部署至关重要【5】。
五、多签实现方式讨论
当前提案采用 Merkle 树结构提交多签公钥绑定输出,这虽然高效但尚属新构造,需更多审查。
一种可行替代方案是类似 P2SH 的方式,将 OP_CHECKMULTISIG 在 witness 脚本中转换为对 “证明公钥” 的引用。该方式仍有一些冗余开销,且多签阈值/锁定脚本尚不清晰。本人认为目前 BIP 中缺失最明显的是支持 m/n 多签的功能,目前仅支持 n/n;欢迎进一步建议。
六、可考虑的序列号方案
可在 SegWit v3 输出哈希顶层附加 2 字节,标示 PQC 签名所需比例与总数,并将其与 attestation 提交,从而支持在支出时提供签名阈值语义。
七、P2TRH:Taproot 后量子过渡方案
在整合 Taproot key?path 支出之前,我们提出了替代方案 P2TRH(Pay To Taproot Hash),可在不泄露公钥的情况下,以哈希方式提交,其特别适用于:
- MuSig2 Lightning 通道
- FROST 多方计算金库
- 不泄漏区块模板的高额私池交易
若你感兴趣,可查看本草案: P2TRH BIP 草案
虽然我聚焦于 P2QRH 工作,但考虑在社区认为 P2TRH 是较佳临时方案的情况下提出以供参考。权衡是:P2TRH 每输入需额外约 8.25 vB,且可能影响 tweak 参数机制、无法防御 BIP-360 中定义的短暂暴露型量子攻击。
八、下一步进展
我仍需完成测试向量相关开发,正基于 rust?bitcoin fork 实现,参考 Steven Roose 针对 BIP-346 的工作。虽然这不是草案合并前的阻塞要素,但若到我完成时草案仍未合并,则可能为其整合提供推动力。
Murch 提出的一个担忧是,引入四种全新算法会显著增复杂度,需慎重评估——去除 SQIsign 后,大幅简化清单有助审查流程更快推进。
从这封信中我们可以看出,即便实现软分叉也有很多工程问题要解决。必如,2025年的一个研究表明,未经遮蔽(masking)保护的 Falcon 实现可能遭受 single-trace power 分析或电磁泄漏攻击,攻击仅需数千条测量就能完整还原私钥。
如果最终需要硬分叉的共识,那么多半会引起社区分裂和价格动荡。尤其是对待黑洞钱包如何处理的问题,意见会非常不一致。量子计算机攻破B资产签名的这个事件,不出意外的话,会在20年内必然发生。
对于普通投资人,首先第一件事,你不要把B资产放在暴露过原始公钥的地址上。不要再使用P2PK类地址。第二件事,你需要有个对策预案,了解背后的原理,不然到时候会手忙脚乱。我倾向觉得B资产最终能够熬过量子计算带来的冲击。这个冲击比当年的BCH造成的社区分裂要再复杂一点。最终总是会有一个分叉链能够活下来的。不过这个过程会非常动荡,又会有一批不幸的人在稀里糊涂中,慌乱下车。
致谢:本文部分内容来自俱乐部老戴和高小猫的年会讨论,在此特别感谢。
更多我的博客文章>>>
