# 抗量子区块链和加密货币全分析Part 3

By [abcmint.eth](https://paragraph.com/@abcmint) · 2021-12-28

---

抗量子区块链

1.不能篡改在区块链上注册的任何事实，这是区块链成功的重要原因之一。 但是，如果规则发生变化，并且有可能打破区块链的防线之一，该怎么办？ 最终，量子计算机将能够打破保护区块链安全的某些数学原理。 展望未来，人们越来越意识到区块链生态系统中的量子计算机可能会导致需要对区块链所使用的密码学进行一些更改，以防止黑客伪造交易。

2.量子计算机将如何对区块链构成威胁？ 首先，让我们要避免误解。 当谈论量子计算机可能给区块链带来的风险时，有人想到量子计算机超越传统计算机的风险。 但是，当时间到来时，预计这不会构成真正的威胁。

3.本文解释了原因： "在本节中，我们研究了量子计算机在执行比特币使用的hashcash PoW方面的优势。 我们的发现可以归纳如下：使用Grover搜索，量子计算机可以通过执行比传统计算机所需数量少二次的哈希来执行hashcash PoW。 但是，用于执行hashcash PoW的当前专用ASIC硬件的极高速度，再加上当前量子体系结构较慢的门速度，在目前的难度水平上，基本上无法实现这种二次加速，因此量子计算机没有任何优势。 量子技术的未来改进允许门速度达到100GHz，这将使量子计算机解决PoW的速度比当前技术快约100倍。

4.然而，在接下来的十年中，这样的发展不太可能，这时经典的硬件可能会更快，并且量子技术可能是如此广泛，以至于没有单一的量子计算机能主导PoW问题。

5.真正的脆弱点是：对签名的攻击，其中私钥是从公钥派生的。 这意味着，如果有人拥有您的公钥，他们还可以计算您的私钥，即使使用当今功能最强大的经典计算机，这也是不可想象的。 但是在量子计算机时代，公私钥对将是薄弱的一环。 量子计算机具有比任何普通计算机显著更快地执行特定类型的计算的潜力。 除此之外，量子计算机可以利用诸如量子纠缠和量子叠加之类的量子现象，运行只需较少步骤即可得出结果的算法。 因此，量子计算机可以运行这些特定算法，这些算法可用于进行计算，从而破解当今使用的加密技术。 （Wiki： Elliptic-curve cryptography）和（Quantum Resource Estimates for Computing Elliptic Curve Discrete Logarithms）查看参考。

6.大多数区块链使用椭圆曲线数字签名算法（ECDSA）密码学。 使用量子计算机，可以使用Shor算法破解ECDSA。 （见参考：和PDF版本。 ）总之：一个能得到公众的私钥。 再说一遍：如果某人拥有您的公钥（和一台量子计算机），那么他拥有您的私钥并可以创建交易并清空您的钱包。

1.  RSA具有相同的漏洞，而与ECDSA相比，RSA需要更强大的量子计算机才能被破坏。
    

8.此时，已经可以在量子计算机上运行Shor算法。 但是，现在可用的量子位数量使其应用受到限制。 甚至有人认为，由于其发展的幼稚状态，迄今已开发的量子计算机不应该被称为实际的量子计算机。 这可能并不会让您感到惊讶，但是IBM并不认同这种观点，而是推出了它的第一台商用量子计算机。 宣传视频，文章。 无论如何您都可以给设备贴上标签，Shor已经证明可以在量子设备上工作，而我们已经脱离了纯理论时代，进入了实际应用时代：

2001年：在IBM的Almaden研究中心和斯坦福大学首次执行Shor算法。 此处的文章：（）

2009年：还有纸。

Shor 上的 IBM 在

9.到目前为止，Shor算法具有最大的潜力，但可能会出现更有效的新算法。 算法是发展中的另一个领域，它推动了进步并推动了量子计算机的发展。 举个例子：正在开发一种名为变分量子因式分解的新算法，它看起来很有前途。 "这种新方法的优势在于，它对错误的敏感度要低得多，不需要大量的错误纠正，并且所消耗的资源比Shor算法所需的少得多。 因此，它可能更适合与近期和中期可用的当前NISQ（噪声中级量子）计算机一起使用。 "查看更多信息。 然而，它仍在开发中，在撰写本文时仅适用于18个二进制位，但它显示了新的发展，这可能意味着，而不是加速量子计算开发，从而对RSA和ECDSA构成了最迫在眉睫的威胁。 取而代之的是数学发展的加速甚至更加重要。 有关VQF的论文，请参见。

10.一切都归结为这一点：当公开密钥（这是进行交易必不可少的工具）公开时，您将来在某个时候容易受到量子攻击。 （BTC和其他区块链也是如此，它们使用公钥的哈希而不是完整的原始公钥作为地址，但是在该系列的以下部分中对此进行了更多介绍。 ）但是，如果您将基于在后量子密码学上，您不必担心此问题，因为在那种情况下，甚至量子计算机也无法从您的公钥中逆推出您的私钥。

11.结论是，使用后量子密码学，未来的区块链应具有抗量子性。 重要的是要认识到，后量子加密技术不只是在标准签名方案中添加了一些额外的字符。 数学概念使签名方案具有量子抗性。 为了变得抗量子化，需要更改算法。 "目前流行的算法存在的问题是它们的安全性取决于三个硬数学问题之一：整数分解问题，离散对数问题或椭圆曲线离散对数问题。 所有这些问题都可以在运行Shor算法的功能强大的量子计算机上解决。 即使当前众所周知的实验量子计算机没有能力破坏任何真正的密码算法，但许多密码学家仍在设计新的算法，为量子计算成为威胁的时刻做准备。 。

量子计算机发展领域的期望。

12.让您了解从事量子计算机工作的公司对量子计算机发展的期望是什么：

13.（请注意，这些文章中未指定所提到的量子比特的类型和错误率。 这并不是说足以破坏ECDSA或RSA，也不是说这些不足以解决这些问题。 这些文章确实表明，预计将大大加快开发速度。 ）

（英特尔Quantum硬件总监吉姆·克拉克。 （）

（这就是Google量子计算工作的Harmut Neven）

（指的是研究实验室以外的地方，但不一定在普通Joe的客厅里。 尽管如此，也没有提到量子比特的数量）

微软公司的霍尔姆达尔说：

\*于2019年6月19日编辑并添加：量子计算能力的前进速度可能比摩尔定律快：内文定律（Neven's law），双指数加速可能适用于量子计算开发。

这些只是商业公司。 他们不会像 Google 一样对自己的发展持开放态度。 开始在区块链中寻找解决方案和新机会并不是一个坏主意。

估计，ECDSA最早将在2027年面临风险。

14.最大的问题是：何时ECDSA会面临风险？ 估计值只是估计值，有几种估计值可以找到，有些估计值比其他估计值更好，而且受教育程度更高，但是没有固定的日期，因此很难真正分辨出来。

15.美国国家科学院（NAS）就量子计算的发展做了非常详尽的报告。 该报告于2018年底发布。 他们汇聚了来自量子计算不同互连领域的70多位科学家，作为一个整体，他们提出了近200页的有关发展，资金，影响和研究的报告。 量子计算发展的即将到来的挑战。 但是，即使此报告是最新的最详尽的报告之一，也无法估计ECDSA或RSA的风险何时发生。 他们承认，由于存在许多未知因素，而且必须仅根据公开信息来做出任何发现，因此很难进行估算，显然不包括商业公司无法获得的任何预付款以及将其预付款（部分）保密的国家努力。 因此，如果这组专业科学家无法做出估计，那么谁可以做出该估计呢？ 是否有可靠的来源可以做出准确的预测？

16.目前的结论只能是，我们不知道对"何时"这个大问题的答案。

17.现在，如果我们对"何时"问题没有答案，那么为什么要采取行动？ 为什么选择抗量子密码技术？ 如果我们谈论的是安全性，那么大多数人都会对不确定性持肯定态度。 要在威胁发生时找到问题的答案，我们仍然需要猜测。 无论您是很快猜到，还是在接下来的三十年里都没有猜到，这两者都是猜测。 采取某些措施意味着您必须为最坏的事情做计划，为最好的事情做希望。 不管您有多怀疑，准备好某种计划都是一件负责任的事情。 显然，如果您只是运行有关编织的博客，则不会发生什么事情。 但是对于承载大量重要，私人和宝贵信息的系统，那么预防措施就要从今天开始实施。 NAS有一个非常明确的建议：

18."即使可以解密当前密码的量子计算机已经使用了十多年，但这种机器的危险性仍然很高，而且过渡到新的安全协议的时间框架也足够长且不确定，因此需要优先考虑后量子密码技术的开发，标准化和部署对于最大限度地减少潜在的安全和隐私灾难的可能性至关重要。 ”

19.另一个有前瞻性的组织是国家安全局（NSA），他们在2015年进行了威胁评估。 2015年8月，NSA宣布计划"在不远的将来"（2015年声明）过渡到抵御量子攻击的新密码套件。 "不幸的是，椭圆曲线使用量的增长已经与量子计算研究的持续发展相抵触，这需要重新评估我们的密码策略。" NSA建议：

20.这些组织都建议采取行动。 他们没有说"现在实现这种类型的量子抗性密码学"。 他们什么都不说。 如前所述，"何时"问题很难确定。 这取决于您拥有的系统，数据的价值以及推迟安全升级的后果。 您只是经营博客，银行或加密货币？ 这是一项个人风险评估，对于每个组织和系统而言都是不同的。 现在确实需要进行评估。 组织在更改密码时应该要考虑在什么时间范围呢？ 从当前的安全级别到完全抗量子的安全需要多长时间？ 处理更大的签名需要进行哪些更改？ 是否可以使用某些需要保持状态的加密类型？ 您的用户需要采取行动，还是可以在用户界面后完成任何工作？ 这些是应该开始提出的重要问题。 在下一篇文章中，我将详细介绍针对加密货币的这些挑战。

21.除了关于"何时"的悬而未决的问题之外，关于使用哪种类型的量子抗性密码学的问题也没有悬而未决。 这也取决于您使用的系统类型。 美国国家安全局（NASA）和美国国家航空航天局（NASA）都将NIST视为开发和抵抗量子加密技术标准化的权威。 自2016年以来，

22."广泛使用的公共密钥密码系统保护电子银行数据和许多其他种类的信息，它使用成对的非常大的数字作为解密消息的密钥。 这些数字可以通过将它们相乘以隐藏起来而产生，从而产生更大的数字，而这是常规计算机无法轻易分解的。 但是，量子计算机将能够迅速找到最初的两个数字，从而打破了加密技术。 ”

1.  2016年《联邦公报》（美国政府日报）：
    

24."特别是，量子计算机将完全破坏许多公共密钥密码系统，包括在FIPS 186-4中标准化的系统"

1.  ECDSA被BTC用作签名方案。 ECDSA是FIPS 186-4标准：NIST;
    

穆迪在谈到FIPS 186-4，NIST SP 800-56A和NIST SP 800-56B时说：取代最容易受量子计算机攻击的三个NIST密码标准和指南。"

1.  竞赛处理的标准应滤除适用于多种系统的量子抗性密码学类型。 不过，这需要时间。 提交了一些新算法，必须对它们进行彻底评估。 他们打算在2022年至2024年间完成所有工作。 穆迪表示，审查期将持续大约一年，此后NIST将发布最后期限。 NIST计划在2022年发布抗量子密码技术的初始标准。
    

28.目前，NIST PQC标准化算法已经进行了三轮，其中数字签名（Digital Signature） NIST Finalist 入选的有Rainbow ， CRYSTALS-DILITHIUM， FALCON。 比特币所用的椭圆曲线数字签名算法（ECDSA- Elliptic Curve Digital Signature Algorithm）就是在2000年入选NIST的。 当然其中有些算法可能不适宜用来做数字货币。

29."抗量子"仅用于描述可抵御任何规模的量子计算机的任何攻击的网络和加密，因为没有已知算法，可以使量子计算机破解所应用的加密，也没这样的系统。 因此，如果仅使用量子抗性签名方案，则区块链将被视为具有量子抗性。

30.关于量子抗性区块链和向量子抗性的过渡存在很多挑战和误解。 我将在以下各章中讨论这些问题，但首先，我将详细介绍与集中式系统相比，分布式区块链的特殊漏洞。

为什么更改集中式系统（如银行和网站）的密码体制比更改区块链的密码体制容易？

31.人们听到这个话题时常说的一句话是："如果ECDSA加密技术破裂，整个互联网将被破坏。 为什么还要担心区块链。 " 要做出的重要区别是大多数系统是集中式的。 虽然区块链是去中心化的。 这就产生了三个问题：

1.  集中式系统的开发人员可以从一天到另一天决定他们进行更改和更新系统，而无需运行节点的人员达成共识。 中央开发人员负责，他们可以决定系统的未来。 但是像区块链这样的去中心化系统将需要在节点之间达成共识以进行更新。 这意味着大多数节点将需要升级，从而迫使区块链仅具有有效的新签名。 在新的抗量子签名方案旁边，我们不能使旧的签名方案有效。 因为那将意味着区块链仍将允许使用易受攻击的旧公共密钥和私钥，从而允许使用易受攻击的旧签名进行交易。 因此，至少大多数节点都需要升级，以确保网络拒绝使用旧规则（使用旧的签名方案容易受到攻击）构造的块。 这最终将导致完全升级的网络，该网络仅接受交易中的新的后量子签名方案。 因此，需要达成共识。 没有中央力量可以做出艰难的决定。 达成共识的需求完全是像区块链这样的去中心化系统将面临的问题。
    
2.  去中心化系统在想要更改其签名方案时面临的另一个问题是，去中心化区块链的用户将必须手动将他们的硬币/代币转移/迁移到量子安全地址。 升级后的区块链只会影响新生成地址的密钥对。 旧地址显然已经存在，并且是由旧区块链生成的。 因此，只有新生成的地址才是抗量子密钥对。 旧地址将保持不变，因此仍然是易受攻击的密钥对。 因此，仅将资金从旧地址迁移到新的抗量子地址将使您的资金受到升级区块链的新抗量子性能的保护。 请记住，不是量子抗性的硬币或代币。 这是私钥-公钥对，您存储硬币或代币的地址，这是量子抗性的。 因此，在分散系统中，所有用户都需要手动生成一个新地址并将其硬币移动到该新地址。 另一方面，集中式网络的用户不需要执行任何操作，因为集中式管理系统将负责该操作。 如您所知，例如，如果您忘记了在线银行账户或某个网站的密码，他们总是可以向您发送链接或机密问题，或者在最坏的情况下，他们可以通过邮寄给您的住所地址向您发送邮件这样您就会重新营业。 因此，在集中式系统中，有一个中央实体，可以访问所有数据，包括所有私有访问数据（如公用密钥和私有密钥）。 因此，该实体可以拉出所有字符串。 所有这些都可以在用户界面后完成，并且您可能不会注意到任何事情。 您甚至都不需要更改密码。 在分布式系统中，没有拥有您的密钥的集中式实体。 只有钥匙，只有您才能拥有钥匙。 因此，与集中式系统相比，分散系统的所有用户都需要采取行动，充分使整个系统具有量子抗性。 这意味着，作为用户，要确保自己的价值，您需要依靠所有其他用户的行动。 在安全方面，您取决于其他人关注发展，了解其必要性，了解BTC本身已经升级为具有量子抗性，表现负责，主动和快速之后的个人行动的需要。 这是人为因素。 用户需要采取行动是像区块链这样的去中心化系统将面临的第二个排他性问题。
    
3.  第三个问题将是"丢失的地址"。 由于除了您之外，没有人可以使用您的资金，因此一旦丢失私钥，您的资金将变得无法访问。 从那时起，地址丢失了，并且该地址上的资金永远都无法转移。 因此，升级后，这些资金将永远不会转移到抗量子地址，因此始终容易受到量子黑客的攻击。 在接下来的部分中，我将更深入地探讨这个问题，但总之，它是将达摩克利斯的剑悬在区块链上，直到发生真正的黑客攻击为止。 这造成的问题是由于黑客窃取了一个或多个这些丢失的地址而造成的价值转储。 没有解决此问题的方法。 区块链不了解其用户，无法与他们交流，也无法区分丢失地址上的资金和仍然具有访问权限但在经过量子抗性更新后仍未迁移其代币的用户地址上的资金。 因此，燃烧"丢失的硬币"在法律上将是一个大问题。 问题将是"他们是否真的迷路了，还是所有者还没有迁移它们？ " 由于集中式系统可以访问所有需要的数据，因此它们将不会遇到此问题。 地址丢失是像区块链这样的去中心化系统将面临的第三个独家问题。
    

32.总结：银行和网站是集中式系统。 他们将面临挑战，但是像区块链这样的去中心化系统将面临一些不适用于集中式系统的额外挑战。

从在实现抗量子签名方案之后所有节点都需要更新的意义上说，更新签名方案需要达成共识。

区块链用户个人需要将其资金从旧地址转移到新的抗量子地址。 您无需转移银行资金。

人们无法使用自己的资金而失去的地址将永远不会被转移，并容易受到量子黑客的攻击。

33.这些都是针对区块链的问题，而不是针对银行或网站或任何其他集中式系统的问题。

34.大公司已经在尝试量子抗性密码学。 以谷歌为例，他们已经与量子密码术抗性试验自2016年对他们的实验与新希望系统在其Chrome浏览器。 在这里，。

致力于抗量子安全性。 （他们将不是唯一一个进行研究和准备的人）

结论

35.比特币和所有当前运行的传统区块链并未被排除在这些问题和挑战之外。 实际上，这对于确保它们在未来几十年中继续存在至关重要。 从现在到将来，所有加密货币都将需要更改其签名方案。 这将不是一个容易的转移。 有一些严峻的挑战需要克服，这不是一朝一夕就能完成的。

---

*Originally published on [abcmint.eth](https://paragraph.com/@abcmint/part-3)*