比特币用户应该如何看待量子计算？

2020 年代初，量子计算作为对比特币的潜在威胁而受到公众关注。比特币依靠 SHA-256 加密哈希函数作为工作量证明网络共识，其价值取决于计算能力。

如果有一种技术可以绕过传统的二进制 0 和 1 作为信息单位，那么就有可能颠覆我们所知的密码学。但这种危险是否被夸大了？

量子计算有一天会把比特币变成毫无价值的代码吗？让我们先了解一下比特币为何依赖加密技术。

比特币的比特和哈希

当我们说一幅图像的大小为 1 MB 时，我们说它包含 1,000,000 字节。由于每个字节包含 8 位，这意味着一幅图像包含 8,388,608 位。作为二进制数字（位），这是最小的信息单位，无论是 0 还是 1，它构成了我们整个数字时代的大厦。

对于图像，1MB 文件中的位会为每个像素分配一种颜色，使其可以被人眼识别。对于 NSA 开发的加密函数（如 SHA-256（256 位安全哈希算法）），它会从任意大小的输入中生成 256 位（32 字节）作为哈希的固定长度。

哈希函数的主要目的是将任何字母或数字字符串转换为固定长度的输出。这种混淆混合使其成为紧凑存储和匿名签名的理想选择。而且由于哈希过程是单向的，因此哈希数据实际上是不可逆的。

因此，当我们说 SHA-256 提供 256 位安全性时，我们的意思是说有 2256 个可能的哈希值可供考虑用于逆转。进行比特币支付时，每个比特币区块都有由 SHA-256 生成的唯一交易哈希。区块内的每个交易都会为这个唯一哈希做出贡献，因为它们构成了Merkle 根，加上时间戳、随机数值和其他元数据。

潜在的区块链攻击者必须重新计算哈希值并提取必要的数据，不仅要计算包含交易的区块，还要计算链接到该区块的所有后续区块。可以说，2256 的可能性负载几乎不切实际，需要花费大量的能源和时间，而这两者都非常昂贵。

但量子计算会不会不再出现这种情况呢？

计算的新量子范式

量子计算不再以 0 和 1 作为比特，而是引入了量子比特。利用观察到的叠加特性，这些信息单位不仅可以是 0 或 1，还可以同时是 0 或 1。换句话说，我们正在从确定性计算转向非确定性计算。

由于量子比特可以处于纠缠和叠加状态，因此在被观察到之前，计算都是概率性的。由于状态不止 0 或 1，量子计算机具有并行计算能力，因为它可以同时处理 2n 个状态。

传统的二进制计算机必须针对每个可能的 2n 种状态运行一个函数，而量子计算机可以同时评估这些状态。1994 年，数学家 Peter Shor 开发了一种算法。

Shor 的算法结合了量子傅里叶变换 (QFT) 和量子相位估计 (QPE) 技术，以加速模式查找并理论上破解所有加密系统，而不仅仅是比特币。

然而，有一个很大的问题：如果量子计算是概率性的，那么它的可靠性如何？

稳定量子计算中的相干性

当说量子比特是叠加的，这类似于想象硬币翻转。在空中时，我们可以想象硬币有两种状态——正面或反面。但一旦它落地，状态就会分解为一个结果。

同样，当量子比特被解析时，它们的状态会坍缩为经典状态。问题在于，像 Shor 这样的突破性算法需要许多量子比特长时间保持叠加状态才能相互作用。否则，必要的、有用的计算实际上就无法完成。

在量子计算中，这指的是量子退相干（QD）和量子误差校正（QEC）。而且，对于复杂的计算，这些问题需要跨许多量子比特来解决。

根据2023 年 6 月发表的《超导量子比特中的毫秒相干性》 论文，量子比特的最长相干时间为 1.48 毫秒，平均门保真度为 99.991%。后一个百分比指的是 QPU（量子处理单元）的整体可靠性。

目前，最实用、最强大的量子计算机似乎来自 IBM，被称为Quantum System Two。Quantum System Two 是一个可扩展的模块化系统，到 2024 年底，它将在单个电路中使用三个 Heron QPU 执行 5,000 次操作。到 2033 年底，这一数字将增加到 1 亿次操作。

问题是，这足以实现 Shar 的算法并打破比特币吗？

QC威胁可行性

由于退相干问题和容错性，量子计算机尚未对密码学构成严重威胁。当需要如此高水平的环境纯度时，尚不清楚是否有可能大规模实现容错量子系统。

这包括电子-声子散射、光子发射，甚至电子与电子之间的相互作用。此外，Shor 算法所需的量子比特数越多，退相干性就越大。

然而，尽管这些似乎是量子计算固有的棘手问题，但 QEC 方法已经取得了巨大进展。例如，Riverlane 的 Deltaflow 2方法对多达 250 个量子比特执行实时 QEC。到 2026 年，这种方法应该会产生第一个可行的量子应用，具有百万次实时量子操作 (MegaQuOp)。

根据 2022 年 1 月发表的 AVS Quantum Science文章，要在一天之内破解 SHA-256，需要 1300 万个量子比特。虽然这会威胁到比特币钱包，但实际上要对比特币主网发起51% 的攻击，还需要更多的量子比特（大约 10 亿个）。

在实现 Grover 算法（旨在利用 QC 搜索非结构化数据库（唯一哈希值））时，2018 年发表的一篇研究论文指出，直到 2028 年，量子计算机才能够实现该算法。

当然，自那时以来，比特币网络的哈希率已大大提高，而量子计算必须解决的主要障碍是退相干问题。但如果量子计算路线图最终实现为可靠的量子系统，那么可以采取哪些措施来抵消量子计算对比特币的威胁呢？

量子计算阻力

有多个提案旨在保护比特币持有者免受量子计算机的攻击。由于 51% QC 攻击的可能性极小，因此重点主要放在强化钱包上。毕竟，如果人们不能依靠 BTC 持有量来保证安全，这将导致大量比特币投资者外流。

反过来，BTC 价格将暴跌，网络哈希率将大幅下降，使其比之前估计的更容易受到 QC 攻击。实施 Lamport 签名就是其中一种强化方法。

使用Lamport 签名，私钥将生成成对的 512 位字符串，这些字符串来自 256 位输出。公钥将使用加密函数对 512 位字符串中的每一个生成。每笔 BTC 交易都需要一次性 Lamport 签名。

由于 Lamport 签名不依赖于比特币使用的、可被 Shar 算法利用的椭圆曲线数字签名算法 (ECDSA) 中的有限域上的椭圆曲线，而是依赖于哈希函数，这使得它们成为一种可行的抗量子替代方案。

Lamport 签名的缺点是其体积较大（高达 16KB），并且只能使用一次。当然，仅仅通过转移地址并将 BTC 保存在冷存储中，从而避免私钥暴露，也可以阻止 QC 生效。

另一种阻止潜在 QC 攻击的方法是实施基于格的加密 (LBC)。与 ECDSA 不同，LBC 依靠在 n 维格（网格）空间中向所有方向无限延伸的离散点来避免有限模式。由于这一特性，目前尚未开发出可以破解 LBC 的量子算法。

然而，要实现一种新型加密技术，比特币必须经历一次硬分叉。在这种情况下，可能需要出现许多信号表明量子计算即将取得重大突破，特别是在量子比特数和容错方面。

结论

可以肯定地说，无论是近期还是远期，比特币主网本身都不会受到量子计算的威胁。然而，如果量子计算破坏了比特币的加密技术（导致 SHA-256 和 ECDSA 过时），这将严重影响人们对加密货币的信心。

这种信心至关重要，微软和 PayPal 等大公司都已采用比特币支付，这得益于与信用卡交易相比，比特币可节省高达 80% 的费用，零退款，以及对资金的完全控制。比特币在全球拥有超过 3 亿持有者，作为一种安全资产和经济高效的支付方式，其吸引力依然强劲。