可以用量子计算机挖比特币吗 量子计算机对加密货币密码学的冲击

量子计算机是一种特殊的机器，可以比现在的计算机更快地执行某些计算，并代表计算技术的下一个前沿。近年来，人们越来越担心这些高级计算机最终可能会被用于处理生成新块所需的加密货币挖掘计算。从理论上讲，那些使用量子计算机的人会比区块链网络中的所有其他矿工获得显着优势，从而赚取剩余区块奖励的绝大部分。如果量子计算机真的出现，还可能会危及加密货币本身的安全性。下面由鑫链财经（xinchaincaijing.com）的小编带我们一起来探讨量子计算机对加密货币的影响。

比特币的加密有多安全？

人类不仅不擅长随机，我们也很难想象大数字，主要是因为它对进化没有好处。这个弱点意味着你的头会因为猜测一个独特的256位私钥的几率而受伤，这个私钥与宇宙中的原子数相同。

你可能会认为，基于破解 256 个私钥的极不可能的机会，比特币的密码学是不可触及的，这是可以原谅的。破解加密的常用方法是通过模式识别和蛮力攻击——投入尽可能多的计算机处理能力来系统地循环猜测。

由于我们在创建随机字符串方面的弱点，我们经常使用的密码可能会被破解——我们恢复为宠物的名字、生日和经典的Password123。

但即使在应用随机性时，标准的计算机处理能力也可以在8.5小时内破解一个由八个小写字母组成且不包含特殊字符的密码，而每秒进行10亿次猜测的超级计算机可以立即做到这一点。 

令人印象深刻的是，传统计算机处理能力的提高受到摩尔定律的限制——预测微芯片上的晶体管数量将每两年翻一番。

在此基础上，从整个宇宙中猜测一个独特的原子将仍然超出超级计算机的能力。

然而，计算能力的整个基础和对SHA256等算法构成的威胁正在被不受二进制计算限制的新技术范式所破坏。它被称为量子计算，有人担心它可能会改变比特币密码学的安全性。

什么是量子计算？

要了解量子计算机的工作原理，您首先需要了解经典计算机（例如您在家中或工作中使用的计算机）将所有数据位表示为两种状态之一，即0或1。这是众所周知的作为二进制代码。

通过将0和1串在一起，可以运行更复杂的计算并存储更复杂的数据。但即使将0和1串在一起，经典计算机的处理能力仍然有限，一次只能进行一项计算。

另一方面，由于使用了量子位（也称为“量子位”），量子计算机可以同时运行计算。与以两种状态（0 或 1）表示数据不同，量子位可以以三种状态表示数据：0、1或两者。这就是所谓的“叠加”。

量子计算机和密码学

关于量子计算机如何对当前使用的非对称密码学构成生存威胁的话题，已经投入了大量的数字墨水。因此，我们不会对此进行详细讨论，而只会解释与本文分析相关的方面。

在非对称密码学中，私钥-公钥对的生成方式使得两个密钥之间具有数学关系。顾名思义，私钥是保密的，而公钥是公开的。这允许个人生成数字签名（使用他们的私钥），任何拥有相应公钥的人都可以验证该数字签名。这种方案在金融行业非常普遍，用于证明交易的真实性和完整性。

非对称加密的安全性基于称为“单向函数”的数学原理。该原则规定公钥可以很容易地从私钥中导出，但反之则不行。从公钥导出私钥的所有已知（经典）算法都需要天文数字的时间来执行此类计算，因此并不实用。然而，在 1994 年，数学家 Peter Shor 发表了一种量子算法，可以打破非对称密码学最常见算法的安全假设。这意味着任何拥有足够大的量子计算机的人都可以使用该算法从其对应的公钥中导出私钥，从而伪造任何数字签名。

量子计算如何破解比特币？

与比特币相关的量子计算机的恐惧在于，它们将蛮力攻击提升到一个全新的水平，攻击应用签名来花费比特币的方式。

请记住，您需要花费比特币的是一对有效的256位密钥，因此量子攻击只会尝试通过从已知公钥计算私钥来破解ECDSA算法。因此，这种特殊威胁适用于已知的公钥。

在早期，比特币使用公开公钥的 P2PK（支付公钥），但大多数未花费的比特币交易 (UTXO) 使用更新的哈希形式 (P2PKH)，这使得了解公钥变得更加困难。 

最近对比特币的Taproot升级恢复到暴露公钥信息，这表明负责其开发的比特币核心团队并不担心量子计算的威胁。

量子计算机对加密货币挖矿构成了哪些威胁？

最近在AVS Quantum Science上发表的一篇题为“硬件规格对在容错机制中实现量子优势的影响”的学术论文概述了量子计算对加密挖矿，特别是比特币 (BTC) 挖矿和更广泛的生态系统构成的两个主要威胁：对工作量证明共识机制的威胁和对数字签名的椭圆曲线加密的威胁。

量子计算机对工作量证明区块链的威胁

工作量证明共识机制是指某些区块链采用的特殊系统，用于选择诚实的参与者来执行提议要添加到区块链的新交易数据块的重要作用。由于没有单一的权威机构管理区块链，它必须依赖编码到协议中的自动化系统来过滤掉可能试图通过无效交易破坏区块链的不诚实用户。

与其他类型的专用机器相比，量子计算机具有执行更高计算能力的能力，因此显而易见的担忧是它们可能会主导基于采矿的竞争。然而，根据该论文的作者，这种威胁被认为是最小的，因为与专用集成电路 (ASIC) 矿工相比，量子计算机的时钟周期时间要慢得多

“在可预见的未来，算法加速不太可能弥补相对于最先进的经典计算而言相当慢的时钟周期时间，”该论文称。

但是，量子计算机如何能够拥有比经典计算机更慢的时钟周期时间但处理更多的计算呢？根据Quantum Computing UK创始人 Macauley Coggins 的说法，这与量子计算机同时处理计算的能力有关：

“量子计算的强大之处不在于它更快，即更快的时钟速度，而在于它可以利用量子并行性。这就是问题的每一个组合都可以并行[计算]的地方。”

事实上，计算机科学家在另一篇发表在 ScienceDirect 上的题为“区块链技术对量子攻击的脆弱性”的学术论文中表示，可能需要长达 2028 年的时间，量子计算机才能变得足够复杂，足以超越当前的 ASIC 芯片技术，并且对区块链网络执行多数攻击。这还没有考虑到那时 ASIC 芯片技术的任何未来改进。

“我们自己根据当前的 ASIC 技术以及其他作者的计算 [ 2、3 ] ，将此类攻击最早可能发生的日期定为2028年。但是，ASIC技术的进步可能会推迟这个日期要远得多，”根据 ScienceDirect上的研究。

使用量子计算机破解加密货币的公私密钥密码

两篇论文都认为，量子计算机对加密货币构成的最大威胁不是挖矿，而是通过破坏比特币和绝大多数其他领先加密货币所使用的“椭圆曲线数字签名算法”或 ECDSA 。

ECDSA 是用于生成数学链接的公私密钥的加密系统——发送和接收加密货币以及证明谁拥有加密钱包中的资产所需的数字工具。

打破这种形式的加密意味着一个人可以从那个人的公钥中确定某人的私钥，每次钱包进行交易时，公钥都会免费广播到整个网络。访问私钥就像识别一个人的密码，攻击者可以完全控制钱包地址中的任何资金。

“如果在公钥公开后，使用相同的公钥/私钥对来保存用户的比特币，那么由这对密钥保护的所有资金都将变得脆弱。然而，还必须考虑到比特币钱包往往不会重复使用相同的密钥对，”根据 AVS Quantum Science 的论文。

那么打破椭圆曲线算法需要多少个量子比特呢？根据 AVS Quantum Science论文，相当多：

“......需要317×106个物理量子位才能在一小时内破解加密，代码周期时间为1微秒。要在10分钟内以相同的代码周期时间破解它，需要1.9×109个物理量子位，而在1天内破解它，只需要13×106个物理量子位。”

量子计算技术面临的主要问题

虽然量子计算机已经成为现实，但该技术仍处于起步阶段。

IBM 的量子处理器被称为“Eagle”，被认为是迄今为止世界上最强大的量子计算系统——包含127个量子比特。与在10分钟内破解ECDSA所需的估计19亿个量子比特相去甚远。

添加更多的量子比特也绝不像听起来那么简单。这一切都归结为一个被称为“量子噪声”的巨大限制因素。该术语指的是可能影响量子位性能的任何类型的细微环境变化。事实上，温带波或电磁波中最微小的振动或波动都会导致所谓的“退相干”，使量子比特无法执行单一计算。涉及的量子位越多，问题就越持久。

正是这种对外部因素的敏感性显着阻碍了量子计算机的发展，这意味着在解决这个问题之前，它们不太可能成为加密货币挖掘或保护交易的底层密码学的主要威胁。

正在努力创建混合量子经典计算机以及创建软件以最小化由量子噪声引起的干扰。但这并没有解决量子计算机面临的另一个关键问题。

与经典计算机不同，由于量子计算的线性特性，在量子计算机上执行计算时消除错误非常困难。检查量子比特的错误可能会破坏它们的状态或叠加，从而扭曲结果。

然而，量子纠错方面已经取得了一些进展，即由物理学家克里斯托弗门罗和马里兰大学的一些研究人员开发的称为Bacon-Shor 代码的东西。但同样，这种类型的纠错估计需要一台拥有至少1,300个量子位的量子计算机——是IBM Eagle处理器中存在的量子位数量的10倍多。

就目前而言，虽然量子计算机有一天可能拥有严重破坏加密挖掘和基于区块链的网络完整性的能力，但目前的技术远未成熟到足以引起任何严重担忧的程度。

抗量子算法的发展

比特币开发者和数学家并没有捂着耳朵假装没有听到即将到来的量子计算威胁。多年来，他们一直在为比特币当前的协议开发不同的抗量子解决方案。

最明显的解决方案是将公钥/私钥对的大小从 256 位增加到超过 100 万位 - 2^20。这种方法的问题在于它会对比特币的使用和挖掘产生实际影响，无论是成本更高、处理能力更高还是网络流量更大。

COSIC 再次站在这个领域的最前沿，向为期四年的竞赛提交参赛作品，以寻找由美国国家标准与技术研究院（NIST - 美国商务部的一部分）运行的后量子密码学标准以及草案到 2024 年可用的标准。

伦敦帝国理工学院还提出了一个强大的解决方案，可以看到现有的公钥/私钥在量子计算威胁算法和额外的抗量子签名对相结合的情况下得到保护。此外，将使用灵活的提交和延迟方法，用户可以根据他们愿意在挖掘过程中对公钥的量子劫持承担更大的潜在风险来调整交易确认时间。

提交和延迟方法需要比特币协议的软分叉和个人用户的行动，帝国理工学院估计，由于使用未经哈希处理的公钥，大约 33% 的 BTC 将面临风险。

量子优势正在消失

在实践中，量子矿工遇到了一个特殊的问题：在测量结果之前他无法找到区块——因此停止了这个过程。所以他必须提前知道他将运行多少次迭代。

这个问题很棘手。因为太多和太少都有缺点。更多的迭代增加了找到正确解决方案的机会和另一个矿工更快的风险。另一方面，较少的迭代会降低有效结果的概率——从而降低量子优势。

如果量子计算机有无穷无尽的时间，它就可以充分利用量子优势。但这在挖矿中是不可能的。它必须在太少和太多的迭代之间找到折衷。

为了计算最佳权衡，研究人员构建了一个包含可能场景的马尔可夫链。马尔可夫链是可能的、主要是随机的或部分出乎意料的序列的数学公式。这样的链条表明通过概率丛林的哪些路径平均可以导致最佳结果：Grover算法的哪种设置是理想的。

令人惊讶的是，这将是16分钟。

未来可能会更省电

但是，如果量子矿工不构成威胁——他们至少更有效率吗？那么，至少可以逐步转向量子挖矿吗？在什么时候？

为了提高效率，Grover 迭代的能量成本最多应该是经典哈希成本的 3.49 x 105 倍。与每个散列的能量效率为 10-10 Jules 的经典矿工相比，量子计算机需要的效率优于3.49 x 105 x 10-10，或者每次Grover迭代大约10μJ。甚至每秒2240μJ。

这听起来非常低。但是量子计算机非常节能。一旦系统冷却到15毫开尔文，接近绝对零，量子比特就会变成超导体：它们几乎不需要电，也几乎不产生热量。目前，相对于功率的冷却仍然使量子计算机不经济。但这应该随着技术的进步而改变。

以上内容介绍了量子计算机对加密货币公钥私钥和挖矿的影响。总体来看，并没有想象中那样会对加密货币产生很大影响，因此我们可以安然入睡，更明智地梦想，而不必担心量子计算机的未来。