徐令予：“量子”狼不再吓崩比特币

liukang20242天前166吃瓜414

【文/观察者网专栏作者徐令予】

在数字暗码国际，量子核算机是恶狼相同的存在。狼来了！着实吓到过不少人。

第一次“狼来了”发生在2019年，其时谷歌宣告获得“量子霸权”之后，从10月26日开端，比特币从9500美元左右一路下降到7500美元，短短几天内比特币价格跌落超越20%，投资者总计丢失超越150亿美元。但商场仍是把“量子霸权”抛于脑后，比特币一路高歌猛进，5年中价格简直翻了十倍。

本年谷歌故技重施，声称其最新量子芯片Willow获得了惊人效果，把量子比特从53位提升至105位。狼又来了？但这次商场反响却很淡定，新闻岀来后的12月10日，比特币价格跌了大约3%，很快商场回复常态，价格持续上涨，底子不把谷歌的“量子霸权”当一回事。详细数据请看上图。

“狼来了”，第一次吓人一跳，第2次再喊作用甚微，今后再喊还会有谁关怀？量子核算机便是一头纸糊的狼，它对比特币安全并不构成有用要挟，下面将从理论和实践两方面作些定性和定量分析。

比特币安全严峻依赖于两种加密技能：一是椭圆曲线数字签名算法（ECDSA），这是担任对数据加密解密的公钥暗码；另一个是哈希算法（SHA-256）用来保证比特币挖矿安全。

在理论上，量子核算机对公钥暗码构成要挟。破解比特币运用的ECDSA公钥暗码，便是从比特币公钥推算出相关联的比特币私钥，然后获取比特币地址信息。这在传统核算机上，需求大约2128次根本操作才干得手，这个数字十分巨大，运用传统核算机进犯比特币是彻底不可行的，因而比特币是安全的。可是能够承认的是，运用Shor算法，足够大的量子核算机只需求大约1283次根本量子操作即可破解比特币私钥。因而量子核算机在理论上的确对比特币安全构成了要挟。

可是SHA-256不属于公钥暗码，量子核算机对它即便在理论上也不构成有用的要挟。找到与特定SHA-256哈希值对应的数据，在传统核算机上需求2256次根本操作，而量子算法Grover需求2128次根本量子操作。这两者的操作次数都十分巨大。因而，量子核算机关于比特币挖矿的要挟在理论上都并不存在。

量子核算机破解比特币，理论上可行与工程完结彻底不是一回事，这中心隔着四条距离：

*量子比特数量：Willow芯片只要105个量子比特，但要运转Shor算法来破解比特币的256位ECDSA暗码，需求数百万个逻辑量子比特，而构建每一个逻辑量子比特又需求多个物理量子比特。单纯依托技能进步是很难战胜如此巨大的数量距离。 *量子比特纠错：Willow的首要成便是在添加量子比特数量的一起完结指数级的差错削减。这关于构建更大的量子核算机至关重要，但它仍处于原型阶段。破解比特币需求长期核算，这对量子比特的安稳性和精确性提出了更为严厉的要求。 *量子逻辑门的速度：虽然Willow能够在5分钟内完结超级核算机需求十亿亿年才干完结的核算，但这些核算是高度特定的随机电路采样，而破解ECDSA是彻底不同的逻辑门操作，现在它们的速度十分慢。 *Shor算法的可行性：运转Shor算法破解256位密钥需求一个比Willow大得多、安稳得多的可编程量子核算机。这样的大型通用量子核算机很或许永久也不会呈现，Shor算法提出到现在现已过去了三十年，现在连一台能够验证的袖珍型样机都造不出来，这背面必定有深层次的原因。

横在量子核算机面前的四条距离的背面都有深入的物理原因，仅靠技能进步是很难跨越的。持有这种失望情绪的专家学者为数不少[1]。就在我编撰此文时，《科学》杂志上又有重要论文宣告，该论文从根基上对量子霸权提出了质疑[2]，这些文章和观念值得咱们沉思，对此我很或许会还有专文介绍。

关于量子核算机的要挟，比特币的反响是仔细和担任的，比特币创建于2008年，而用来破解暗码的量子核算机Shor算法发生在1994年。所以比特币开发人员从一开端就意识到潜在的量子核算机要挟，这段时刻差必定会影响到比特币的体系构架规划。2010年，比特币之父Satoshi Nakamoto对量子核算机要挟专门作出了反响，并于2016年在比特币网站上创建了应对量子核算的页面。由此可知，比特币关于量子核算机要挟是有所准备的。

并且比特币现已开端举动。在比特币钱包中，一般规范做法是地址只运用一次，这样能够最大程度削减遭到要挟的危险。公钥和相关签名只要在买卖发送后但在承认之前才会被展现，这给量子进犯者只要一个时刻短的窗口期来破解密钥。经过软分叉完结的新地址类型也评论了多年，全面实施或许仅仅时刻问题。

事实上，对立量子核算机进犯的新一代公钥暗码（后量子暗码 PQC）现已获得实质性发展。比特币规划的整体结构内，应该己经预留了PQC的方位，在必要的时分，公钥暗码经过技能晋级能够有用地应对量子核算机的要挟。

可是有必要指出，公钥暗码晋级换代绝非易事，这是一个极点巨大艰苦的工程，费时吃力当然必定更费钱。请问获益的是谁？便是暗码范畴的数学专家和软件工程师。卖盾的为矛做虚伪广告，意图仍是要卖出更多更贵的盾，这是对立故事的现代晋级版。“全国熙熙，皆为利来；全国攘攘，皆为利往”，量子核算机闹剧的背面其实仍是一个钱字，千万别以为从事比如量子核算等巨大上工作的人也都是巨大上。认识到这一点后，就不难理解量子技能的炒作之风为什么经年累月了。

总而言之，量子核算机关于比特币（包含其它各种加密钱银和数字钱银）的安全要挟微乎其微。你能够有一百个理由不喜欢比特币，可是量子核算机不应是理由之一。量子核算机的“狼来了”必定还会有人喊，但惧怕的人会越来越少，谁会怕一头纸糊的狼呢？

注释：

[1]数学家和核算机科学家 Gil Kalai 在谷歌 Willow 宣告当天的一篇博文中，他敦促慎重行事，他说：“谷歌量子霸权的建议应该慎重对待，特别是对那些极点夸大的建议。这些说法或许源于严重的办法过错，它们或许更多地反映了研究人员的希望，而不是客观的科学实际。”

物理学家Sabine Hossenfelder批判谷歌的量子霸权声明言过其实。她指出，发生在2019年类似的声明中提及的是一块50量子比特芯片，这项效果敏捷遭到IBM质疑。研究人员在差不多的时刻结构内，运用经典办法获得与量子芯片相同的核算结果。依据她的说法，虽然关于 Willow 的声明在科学上令人形象深入，但“对日常日子的影响为零”。

[2] Sudden death of quantum advantage in correlation generations

告发/反应