預(yù)防量子計(jì)算威脅實(shí)用指南

來源：劉教鏈

隔夜BTC大幅回撤，破位30日均線98.7k，暫至96k附近。宏觀態(tài)勢方面的原因，關(guān)注教鏈近期文章和內(nèi)參的朋友應(yīng)該心如明鏡。一是前段時(shí)間借谷歌Willow量子計(jì)算機(jī)所渲染的恐慌。二是昨日凌晨美聯(lián)儲給出未來降息的負(fù)面預(yù)期。

關(guān)于量子計(jì)算威脅，教鏈在過去幾年都反復(fù)講過。最近谷歌Willow出來，教鏈也是第一時(shí)間就進(jìn)行了拆解。

總而言之一句話：不必恐慌。現(xiàn)在量子計(jì)算機(jī)的進(jìn)展距離實(shí)用還相當(dāng)遠(yuǎn)，即便實(shí)用也不會首先和立即威脅到BTC，我們會有充足的時(shí)間應(yīng)對。

不過，教鏈上述的結(jié)論是一個(gè)科學(xué)論斷，而不是一種精神信仰。因此，在拒絕盲目恐慌、杞人憂天的同時(shí)，也要拒絕盲目樂觀、亡羊補(bǔ)牢。

就像人類應(yīng)對自然災(zāi)害，比如洪水。既不能像古代人那般恐懼于洪水，做出童男童女祭祀河神那般的荒唐事，也不能心存僥幸，大搞豆腐渣工程。

量子計(jì)算之于BTC，星際采礦之于黃金，就如洪水猛獸之于居民。不要怕，也不要躲，而是要科學(xué)面對，積極預(yù)防。

每次量子恐慌的時(shí)候就有一些人會跳出來鼓吹黃金。其實(shí)未來科技進(jìn)步給黃金帶來對潛在威脅，要比量子恐慌之于BTC大得多。畢竟，黃金是死的，而BTC是活的——BTC可以升級代碼。

什么技術(shù)會摧毀黃金的價(jià)值？星際采礦。就在咱們太陽系內(nèi)，距離地球約3.4-5.4億公里左右的位于火星和木星的小行星帶中，有一顆直徑約226公里的小行星，它的名字叫做靈神星（16 Psyche）。這個(gè)靈神星上有大量貴金屬。其中僅黃金儲量據(jù)保守估計(jì)就有數(shù)千億噸。

人類過去幾千年總共從地球上開采了多少黃金呢？截至2024年，目前全球黃金存量大概也才20.8萬噸。

今天，我們已經(jīng)可以把祝融號送上火星了。你覺得距離我們能夠去火木之間的小行星上開采黃金還需要多少年？

想象一下，數(shù)千億噸的黃金被源源不斷地運(yùn)回地球，對現(xiàn)在少的可憐的20多萬噸存量的稀缺性，是不是毀滅性的打擊？

科技進(jìn)步是非線性的。它會加速前進(jìn)。

雖然我們估計(jì)，即便量子計(jì)算的水平能夠以指數(shù)級進(jìn)步，可能也需要10-20年才能具有實(shí)用性，從而對現(xiàn)存加密算法產(chǎn)生實(shí)質(zhì)性威脅，但是，我們也不可以裝作它不存在，曬太陽睡大覺白白浪費(fèi)20年。

生于憂患，死于安樂。

聽說Bitcoin core的一些開發(fā)者們已經(jīng)在討論量子威脅的現(xiàn)實(shí)性，以及可能的演進(jìn)路線和技術(shù)應(yīng)對了。

那么今天教鏈就抽點(diǎn)時(shí)間，和大家談?wù)劊鳛閭€(gè)人BTC持有者，可以做那些具體的事情，來提前防范未來可能到來的量子計(jì)算威脅。以下內(nèi)容可能有一點(diǎn)點(diǎn)技術(shù)，如果有看不懂的名詞術(shù)語啥的，請自行上網(wǎng)搜索、學(xué)習(xí)。

防量子要點(diǎn)一：囤BTC只用P2PKH地址或P2WPKH地址，不用P2PK地址或P2TR地址。

形式上，P2PKH地址是1開頭的BTC地址，P2WPKH地址是bc1q開頭的BTC地址。而P2PK地址是04開頭的地址，P2TR地址是bc1p開頭的地址。

概念上，P2PKH地址是正宗中本聰命名的標(biāo)準(zhǔn)地址，P2WPKH地址是原生隔離見證地址（native segwit地址）。而P2PK是支付到公鑰，P2TR則是taproot地址。

時(shí)間上，p2pk地址在2009年中本聰剛剛啟動BTC網(wǎng)絡(luò)的時(shí)候用過一段時(shí)間。后來大概到了2009年下半年，中本聰寫好了p2pkh的代碼，才全面切換到標(biāo)準(zhǔn)地址上去。而p2wpkh則是2017年8月24號BTC網(wǎng)絡(luò)完成segwit即隔離見證升級后上線的。p2tr地址則在2021年11月份taproot升級之后引入。

技術(shù)上，p2pkh地址是ECDSA公鑰外面套兩層哈希，一層SHA256，一層ripemd160；p2wpkH地址是ECDSA公鑰套SHA256套ripemd160后封裝為隔離見證腳本然后用bech32編碼生成。而p2pk地址是裸ECDSA公鑰，p2tr地址則是Schnorr公鑰的衍生公鑰封裝為taproot腳本然后用bech32m編碼生成。

原理上，教鏈講過，當(dāng)未來量子計(jì)算實(shí)用后，有兩個(gè)辦法去攻擊BTC持有人的所有權(quán)：第一個(gè)辦法是攻擊電子簽名算法，如ECDSA公鑰或Schnorr公鑰，反推出你的私鑰，從而偷走你的BTC；第二個(gè)辦法是攻擊哈希算法，如SHA256或ripemd160，反推出原像，從而偷走你的BTC。

攻擊電子簽名的量子算法叫做Shor算法。而攻擊哈希的量子算法叫做Grover算法。

如果Shor算法達(dá)到實(shí)用水平，那么就可能秒破ECDSA或Schnorr簽名。

而如果Grover算法達(dá)到實(shí)用水平，它卻只能把原本攻擊哈希的算力提升一個(gè)平方量級，也就是說，把攻擊難度減少為平方根難度。比如，攻擊一個(gè)足夠好的SHA256哈希，難度是2^256，使用Grover算法可以降低到2^128，雖然小了不少，但是仍然很大。

也就是說，密碼學(xué)哈希算法具有一定的量子抗性。

這就是教鏈防量子要點(diǎn)一的技術(shù)原因，確保自己只用不暴露公鑰的p2pkh或p2wpkh地址，不用暴露公鑰的p2pk或p2tr地址。

《比特幣史話》第四章“量子霸權(quán)”第13話“比特幣地址”寫道，「在 2010 年 7 月 25 日，有人在比特幣社區(qū)論壇上討論如果比特幣所用的加密算法被攻破的問題，中本聰回復(fù)，“為了讓比特幣地址更短，它們采用公鑰的哈希，而不是公鑰”，這樣一來，“支付到比特幣地址的交易的安全性就只和哈希的安全性一樣了”，“攻擊者只需要攻破哈希函數(shù)，而不是橢圓曲線數(shù)字簽名算法”。」

防量子要點(diǎn)二：避免地址重用，確保每個(gè)地址最多只使用（花費(fèi)）一次。

請注意，BTC地址和銀行賬戶不同，和很多主流公鏈（包括以太坊）的賬戶地址不同。以賬戶為中心的設(shè)計(jì)是圍繞一個(gè)賬戶（體現(xiàn)為銀行卡號或賬戶地址等），記錄進(jìn)賬和出賬。而BTC是以“幣”為中心的設(shè)計(jì)，記錄的是“幣”在地址之間的流轉(zhuǎn)。

具體什么UTXO之類的概念一說開篇幅太長，就不在這里展開了。

在BTC的這種設(shè)計(jì)下，“收款”，也就是用自己的地址接收別人轉(zhuǎn)入的BTC，這不叫“使用”該地址。這種情況，你是被動的，什么都不用做。如果使用的是p2pkh或p2wpkh地址，那么無論你收款多少次，都是不會導(dǎo)致公鑰暴露的。

而如果你要使用這個(gè)地址向外“付款”，也就是把地址里的BTC轉(zhuǎn)給別人，這時(shí)候你就要拿出私鑰、簽署交易、廣播上鏈，此時(shí)，你就是在“花費(fèi)”該地址里的BTC，也就是真正“使用”了該地址。此時(shí)，你要主動行為，動用私鑰。

而一旦你花費(fèi)過一個(gè)地址里的BTC，公鑰就對全世界暴露了，原本套在公鑰外的哈希外殼的保護(hù)效果，也就失去了。

根據(jù)教鏈防量子要點(diǎn)一介紹過的知識，面對未來可能實(shí)用化的量子計(jì)算，公鑰的脆弱性遠(yuǎn)大于哈希。因此，公鑰一旦暴露，就意味著你在該地址里的BTC資產(chǎn)的量子風(fēng)險(xiǎn)暴露大大提高了。

這就是教鏈防量子要點(diǎn)二所要說的，一個(gè)囤餅地址，要么永遠(yuǎn)不動，要?jiǎng)泳鸵淮涡赞D(zhuǎn)走所有的BTC，徹底清空地址，永不再用。

如此便可以極大降低你的BTC面對未來量子計(jì)算威脅時(shí)的風(fēng)險(xiǎn)，提高生存概率。

有個(gè)幽默的話說得是，當(dāng)熊追來時(shí)，你不用跑得比熊快，只要跑得比同伴快就夠了。

當(dāng)未來某一天，量子計(jì)算真的已經(jīng)威脅到那些比較脆弱的地址時(shí)，你還有充足的時(shí)間去把你的BTC資產(chǎn)安全地遷移到量子安全的新地址里。相信到那一天，BTC應(yīng)該已經(jīng)開發(fā)出新版本的抗量子地址了吧！

「為了獲得更好的隱私性，一個(gè)比特幣地址最好只用一次。」——中本聰，2009年11月25日。《比特幣史話》第十九章第95話。

防量子要點(diǎn)三：不要等到最后一天再行動。

雖然量子計(jì)算還遠(yuǎn)，但是我們可以從今天就開始行動，按照教鏈防量子要點(diǎn)一、二，檢查我們的囤餅地址，如果有不安全的地址類型，或者重用問題，那么就抓緊動手，把BTC遷移出來，把已經(jīng)有風(fēng)險(xiǎn)的地址廢棄掉吧。

有人根據(jù)目前的地址規(guī)模估計(jì)，如果每個(gè)人都把自己的BTC遷移到安全的地址，以目前BTC區(qū)塊吞吐量，可能至少需要6個(gè)月的時(shí)間什么其他交易都不干全力處理這些遷移需求，才能夠處理完成。

相信你不會想等到所有人都擠破頭去遷移BTC的那么一天才開始動手吧。

千軍萬馬過獨(dú)木橋。鏈上手續(xù)費(fèi)一定漲上天，令你酸爽得不要不要的。

趁著鏈上不擁堵的時(shí)候，未雨綢繆，防患未然，才是明智之舉。

防量子要點(diǎn)四：關(guān)注BTC抗量子進(jìn)展，并在適當(dāng)時(shí)候?qū)①Y產(chǎn)遷移至更安全的地址。

這一點(diǎn)就是面向未來的行動了。

講完了。

至于別的鏈、別的資產(chǎn)，也沒什么好講的，地址重用、賬戶復(fù)用那都是日常基操，公鑰暴露漫天飛舞，合約漏洞層出不窮，…… 還是算了。在長期價(jià)值存儲（SoV）賽道，它們和BTC沒有任何可以相提并論的地方。對于它們，與其擔(dān)心10年、20年后的量子威脅，還不如擔(dān)心一下眼前的rug pull或者釣魚之類的更為現(xiàn)實(shí)一些呢。