“量子”狼又来了?比特币不再害怕!

洞庭東山人

洞庭東山人
考槃在涧,硕人之宽。独寐寤言,永矢弗谖。考槃在阿,硕人之薖。独寐寤歌,永矢弗过。考槃在陸,硕人之轴。独寐寤宿,永矢弗告。
首页 文章页 文章列表 博文目录
给我悄悄话
打印 被阅读次数
“量子”狼又来了?比特币不再害怕!

   量子计算机的威胁纯属子虚乌有

徐令予  撰文

在数字密码世界,量子计算机是恶狼一样的存在。狼来了!着实吓到过不少人。

 
 
第一次“狼来了”发生在2019年,当时谷歌宣布取得“量子霸权”之后,从10月26日开始,比特币从9500美元左右一路下降到7500美元,短短几天内比特币价格下跌超过20%,投资者总计损失超过150亿美元。但是市场还是把“量子霸权”抛于脑后,比特币一路高歌猛进,5年中价格几乎翻了十倍。

今年谷歌故技重施,宣称其最新量子芯片Willow取得了惊人成绩,把量子比特从53位提升至105位。狼又来了?但这次市场反应却很淡定,新闻岀来后的12月10日,比特币价格跌了大约3%,很快市场回复常态,价格继续上涨,根本不把谷歌的“量子霸权”当一回事。具体数据请看上图。

“狼来了”,第一次吓人一跳,第二次再喊效果甚微,以后再喊还会有谁关心?量子计算机就是一头纸糊的狼,它对比特币安全并不构成有效威胁,下面将从理论和实践两方面作些定性和定量分析。

比特币安全严重依赖于两种加密技术:一是椭圆曲线数字签名算法(ECDSA),这是负责对数据加密解密的公钥密码;另一个是哈希算法(SHA-256)用来保障比特币挖矿安全。

在理论上,量子计算机对公钥密码构成威胁。破解比特币使用的ECDSA公钥密码,就是从比特币公钥推算出相关联的比特币私钥,从而获取比特币地址信息。这在传统计算机上,需要大约2128次基本操作才能得手,这个数字非常巨大,使用传统计算机攻击比特币是完全不可行的,因而比特币是安全的。然而可以确定的是,使用Shor算法,足够大的量子计算机只需要大约1283次基本量子操作即可破解比特币私钥。因此量子计算机在理论上确实对比特币安全构成了威胁。

但是SHA-256不属于公钥密码,量子计算机对它即使在理论上也不构成有效的威胁。找到与特定SHA-256哈希值对应的数据,在传统计算机上需要2256次基本操作,而量子算法Grover需要2128次基本量子操作。这两者的操作次数都非常庞大。因此,量子计算机对于比特币挖矿的威胁在理论上都并不存在。

量子计算机破解比特币,理论上可行与工程实现完全不是一回事,这中间隔着四条鸿沟:

  • 量子比特数量:Willow芯片只有105个量子比特,但要运行Shor算法来破解比特币的256位ECDSA密码,需要数百万个逻辑量子比特,而构建每一个逻辑量子比特又需要多个物理量子比特。单纯依靠技术进步是很难克服如此巨大的数量差距。
  • 量子比特纠错:Willow的主要成就是在增加量子比特数量的同时实现指数级的误差减少。这对于构建更大的量子计算机至关重要,但它仍处于原型阶段。破解比特币需要长时间计算,这对量子比特的稳定性和精确性提出了更为严格的要求。
  • 量子逻辑门的速度:虽然Willow可以在5分钟内完成超级计算机需要十亿亿年才能完成的计算,但这些计算是高度特定的随机电路采样,而破解ECDSA是完全不同的逻辑门操作,目前它们的速度非常慢。
  • Shor算法的可行性:运行Shor算法破解256位密钥需要一个比Willow大得多、稳定得多的可编程量子计算机。这样的大型通用量子计算机很可能永远也不会出现,Shor算法提出到现在已经过去了三十年,目前连一台可以验证的袖珍型样机都造不出来,这背后一定有深层次的原因。
横在量子计算机面前的四条鸿沟的背后都有深刻的物理原因,仅靠技术进步是很难逾越的。持有这种悲观态度的专家学者为数不少[1]。就在我撰写此文时,《科学》杂志上又有重要论文发表,该论文从根基上对量子霸权提出了质疑[2],这些文章和观点值得我们深思,对此我很可能会另有专文介绍。

对于量子计算机的威胁,比特币的反应是认真和负责的,比特币创建于2008年,而用来破解密码的量子计算机Shor算法发生在1994年。所以比特币开发人员从一开始就意识到潜在的量子计算机威胁,这段时间差一定会影响到比特币的系统构架设计。2010年,比特币之父Satoshi Nakamoto对量子计算机威胁专门作出了反应,并于2016年在比特币网站上创建了应对量子计算的页面。由此可知,比特币对于量子计算机威胁是有所准备的。

而且比特币已经开始行动。在比特币钱包中,通常标准做法是地址只使用一次,这样可以最大程度减少受到威胁的风险。公钥和相关签名只有在交易发送后但在确认之前才会被展示,这给量子攻击者只有一个短暂的窗口期来破解密钥。通过软分叉实现的新地址类型也讨论了多年,全面实施可能只是时间问题。

事实上,对抗量子计算机攻击的新一代公钥密码(后量子密码 PQC)已经取得实质性进展。比特币设计的总体框架内,应该己经预留了PQC的位置,在必要的时候,公钥密码通过技术升级可以有效地应对量子计算机的威胁[3]。

但是有必要指出,公钥密码升级换代绝非易事,这是一个极其巨大艰辛的工程,费时费力当然一定更费钱。请问受益的是谁?就是密码领域的数学专家和软件工程师。他们贩卖量子计算机焦虑比任何人还要起劲,甚至超过了量子计算机的从业人员,他们想在密码升级换代工程中赚大钱。卖盾的为矛做虚假广告,目的还是要卖出更多更贵的盾,这是矛盾故事的现代升级版。“天下熙熙,皆为利来;天下攘攘,皆为利往”,量子计算机闹剧的背后其实还是一个钱字,千万别以为从事诸如量子计算等高大上事业的人也都是高大上!认识到这一点后,就不难理解量子技术的炒作之风为什么经久不息了。

总而言之,量子计算机对于比特币(包括其它各种加密货币和数字货币)的安全威胁微乎其微。你可以有一百个理由不喜欢比特币,但是量子计算机不应是理由之一。量子计算机的“狼来了”一定还会有人喊,但害怕的人会越来越少,谁会怕一头纸糊的狼呢?

参考资料

[1]数学家和计算机科学家 Gil Kalai 在谷歌 Willow 宣布当天的一篇博文中,他敦促谨慎行事,他说:“谷歌量子霸权的主张应该谨慎对待,特别是对那些极端夸张的主张。这些说法可能源于重大的方法错误,它们可能更多地反映了研究人员的期望,而不是客观的科学现实。”

物理学家Sabine Hossenfelder批评谷歌的量子霸权声明夸大其词。她指出,发生在2019年类似的声明中提及的是一块50量子比特芯片,这项成果迅速遭到IBM质疑。研究人员在差不多的时间框架内,使用经典方法获得与量子芯片相同的计算结果。根据她的说法,尽管关于 Willow 的声明在科学上令人印象深刻,但“对日常生活的影响为零”。

[2]Sudden death of quantum advantage in correlation generations

[3]具体方法是,一旦量子计算有可能破解现在的加密方法,比特币可以从某个指定链块开始,用更强的新加密算法;同时对之前的所有链块打包,再用新的算法加密,以保护旧的链块不会被量子计算篡改, 保证了整个比特币链块的安全。

登录后才可评论.