加密货币应该害怕量子计算吗？

事情要知道

– 量子计算是一项尖端技术，具有无与伦比的计算能力，具有巨大的计算革命潜力。 – 尽管量子计算距离重大突破至少还有几年的时间，但由于其巨大的数据处理能力，它被认为是对密码学的重大威胁。 – 必须仔细考虑量子计算对密码学和安全系统（例如比特币的工作量证明）的潜在影响。 作为世界上最安全的加密网关，这些基本问题值得 Ledger 充分关注。

量子计算：下一个重大技术飞跃

我们日常使用的计算机基于“位”处理信息。 一位只能容纳以下值之一：0 或 1，并且可以串在一起创建一段二进制代码。 今天，我们用计算机所做的一切，从发送电子邮件、观看视频到分享音乐，都可以通过这种二进制数字串实现。 

传统计算机的二进制特性对其计算能力施加了限制。 这些计算机一次只能执行一个步骤，难以准确模拟现实世界的问题。 相比之下，物理世界是基于幅度而不是二进制数字运行的，这使得它变得更加复杂。 这就是量子计算机发挥作用的地方。

1981 年，理查德·费曼 (Richard Feynman) 说：“自然不是经典的，如果你想模拟自然，你最好把它变成量子力学的。” 量子计算不是操纵比特，而是使用“量子比特”或量子比特，使其能够以更有效的方式处理数据。 量子位可以是零、一，最重要的是，可以是零和一的组合。

量子计算站在物理学和计算机科学的十字路口。 换句话说，一台 500 量子比特的量子计算机需要的经典比特数要多于……整个宇宙中的原子数。

量子是对密码学的威胁吗？

公钥密码术，也称为非对称密码术，构成了加密货币安全的基础。 它涉及公钥（所有人都可以访问）和私钥的组合。 如果量子计算继续发展，量子位的快速计算能力会增加破解加密和破坏加密货币行业安全的可能性。

需要仔细考虑两种算法：Shor's 和 Grover's。 这两种算法都是理论上的，因为目前没有任何机器可以实现它们，但正如您将看到的，这些算法的潜在实现可能对密码学有害。

一方面，以 Peter Shor 命名的 Shor (1994) 量子算法能够在多项式时间内对大整数进行因式分解或求解离散对数问题。 该算法可以用足够强大的量子计算机破解公钥密码学。 Shor 算法将打破当今使用的绝大多数非对称密码学，因为它基于 RSA（依赖于整数分解问题）和椭圆曲线密码学（依赖于椭圆曲线群中的离散对数问题）。 

另一方面，Grover's (1996) 算法是 Lov Grover 于 1996 年设计的一种量子搜索算法，可用于解决非结构化搜索问题。 Grover 算法对对称原语的安全性造成了重大影响，但并非无法克服。 通常建议将密钥长度加倍以补偿此中断的平方根复杂性。 使用 AES256 而不是 AES128 被认为足够了，但需要注意的是这个经验法则 可能只是有时对所有密码都有效[5]. 至于散列函数，它是对称原语景观的一部分，人们认为它对抗碰撞性没有影响。 然而，研究人员发现了问题的实例 这是不真实的[6]（例如多目标原像搜索）。

从本质上讲，这两种算法都对密码学构成了潜在的危险。 Shor 的算法简化了大数因式分解的过程，从而更容易发现连接到公钥的私钥，而 Grover 的算法能够比当前的计算机更有效地破解加密散列。

破解加密的量子计算机何时会出现？

让我们来看看一些最新的实验，看看研究进展得有多快。 第一台真正的量子计算机还很遥远，但这并不妨碍全球竞赛达到“量子霸权”。 对于专注于量子的风险投资基金的执行合伙人 Ayal Itzkovitz 来说，“如果三年前我们不知道是否完全有可能建造这样的计算机，现在我们已经知道会有量子计算机能够做一些不同于传统计算机的事情。” 

每个人都可能听说过的一个事件是谷歌在 2019 年使用具有 54 个量子比特的设备进行的“量子霸权实验”。 2021年， 中国科技大学 使用 56 个量子位解决了一个更复杂的计算，后来达到 60 个量子位。 它的目标是执行不涉及 Shor 算法的计算，该算法将同样证明经典计算的量子加速。

根据定义，这些实验并未显示破解密码学的进展，因为它们旨在避免执行量子整数分解的大小和复杂性。 然而，他们表明，在量子计算机中构建更多的量子位不再困难，有不同的硬件解决方案可用， Google 的“Sycamore”芯片量子比特与 USTC 的光子有根本的不同。 获得加密破解计算机的下一个重要步骤通常被认为是构建容错计算和纠错量子位。 

BSI的量子计算机发展现状 [1] 显示了当前的量子计算机离打破 160 位离散对数（下图中最低的蓝线）还有多远。 横坐标显示通过纯硬件改进或容错计算降低错误率如何帮助达到这样的计算水平，而无需显着扩展可用量子位的数量（y 轴）。

以可扩展的方式实施 Shor 算法需要在几千个逻辑量子位上进行容错计算：至少 2124 个量子位才能打破像比特币的 secp256k256 这样的 1 位椭圆曲线， 止 椭圆曲线离散对数的改进量子电路[7]. 这种系统中的“逻辑”量子位由多个量子位组成，这些量子位被设计为用作单个量子位的纠错版本。

一千个逻辑量子比特大致可以转化为数百万个量子比特，覆盖了一个足球场的大小。 最近在中进行了这种容错计算的实际演示 纠错量子位的容错控制[2]，其中单个逻辑量子位的错误概率低于构成它的量子位的错误概率。 这方面的改进预计将很快跟进，因为它将成为焦点。 

在这个方向上取得的进展将直接转化为对公钥密码学的具体威胁。 最后，另一种快速进步的可能性可能来自纯粹的算法改进或纯硬件发现。 BSI的量子计算机发展现状[1] 解释说：“可能会出现颠覆性的发现，这些发现会极大地改变 [知识的当前状态]，主要是可以在近期的非纠错机器上运行的密码算法或错误率的巨大突破一些平台。” 换句话说，这不仅仅是一个能够构建具有大量量子比特的大型计算机的问题（实际上可靠地构建更多的量子比特并不是主要关注点，容错计算才是），而且还是一个算法问题，也可能是一个材料研究问题一。

在我们撰写本文时，IBM 发布了其在 127 量子位芯片上的结果，错误率为 0.001，并计划明年发布 433 量子位芯片，1121 年发布 2023 量子位芯片。 

总而言之，仍然很难预测量子计算机将以多快的速度问世。 尽管如此，我们仍然可以依靠专家对此事的意见： 针对密码函数的量子攻击的资源估计框架——最新进展[3]和 量子风险专家投票[4] 显示，许多专家一致认为，在 15 到 20 年内，我们应该拥有一台可用的量子计算机。

引用 针对密码函数的量子攻击的资源估计框架——最新进展 [3] 总结：

“目前部署的公钥方案，如RSA和ECC，完全被秀尔算法攻破。 相比之下，对称方法和散列函数的安全参数最多减少了已知攻击的两倍——通过使用 Grover 搜索算法的“强力”搜索。 所有这些算法都需要大规模、容错的量子机器，而这些机器目前还不可用。 大多数专家团体都认为它们可能会在 10 到 20 年内成为现实。”

现在我们已经研究了为什么量子算法会损害密码学，让我们分析一下加密和 Web3 领域隐含的重大风险。 

量子：加密货币有哪些风险？

比特币案例：

让我们从 Pieter Wuille 对比特币问题的分析开始，有时由于地址被认为是“量子安全的” 哈希 公钥，因此不会暴露它们。

不能基于哈希使它不可能的假设来破解比特币私钥还依赖于从不公开一个人的公钥，无论以何种方式，这对许多账户来说已经是错误的。

参考另一个话题，Pieter Wuille 给出了约 37% 的暴露资金（当时）被盗的影响。 比特币可能会下跌，甚至未曝光，其他所有人也会损失。

这里的关键点是提到构建量子计算机的进展将是 增量：数十亿美元被公开投资于该领域，任何改进都会在全球范围内引起共鸣，正如谷歌的量子霸权实验所表明的那样。

这意味着最终以风险资金结束需要时间，并且可以正确布置替代解决方案。 可以想象一下，一旦一个相当强大的量子计算机的消息似乎迫在眉睫，就可以使用后量子加密算法来建立一个链的分支来进行签名，并允许人们将他们的资金从旧链转移到新链上。

以太坊案例：

以太坊的案例很有趣，因为 ETH 2.0 包括一个针对灾难性故障的备份计划 EIP-2333.

如果 ETH2 的 BLS 签名被破坏，这将与 ECDSA 同时发生，因为它们在 Shor 算法面前同样脆弱，在怀疑算法被破坏之前，将执行区块链的硬分叉。 然后，用户显示只有合法所有者才能拥有的密钥原像。 这不包括通过破坏 BLS 签名检索到的密钥。 有了这个原像，他们签署了一个特定的交易，允许他们转移到硬分叉并使用新的后量子算法。

这还不是转向后量子链，但它提供了一个逃生通道。 更多信息 相关信息.

后量子签名：

关于切换到用于加密货币的后量子签名方案，可以改进一些事情。 当前的 NIST 决赛选手有相当大的内存要求。 当签名大小并非不合理地大于 ECDSA 时，公钥大小会增加块大小和相关费用。  

候选人名字	尺寸
彩虹	1342 KB
双锂	1342 KB
鹘	1342 KB
质谱仪	1342 KB
野餐	1342 KB
SPHINCS +	1342 KB

Falcon 算法旨在最小化公钥和签名的大小。 然而，它的 1563 字节与 ECDSA 目前达到的 65 字节相去甚远。

加密技术可以减小块大小，例如将多个签名聚合在一起。 这种用于 GeMSS 签名的[多重签名方案](https://eprint.iacr.org/2020/520) 正是这样做的，并将每个签名的存储成本降低到可接受的水平，尽管 GeMSS 签名的一次性费用很高.

对加密硬件的威胁：

签名大小也会影响内存高度受限的硬件钱包：Ledger Nano S 有 320 KB 的可用闪存和只有 10 KB 的 RAM。 如果我们突然需要使用 Rainbow 签名，以原生方式生成公钥是不可行的。

然而，由于整个密码社区都受到该问题的影响，包括构成安全芯片市场大部分的银行、电信和身份识别行业，我们希望硬件能够迅速适应后量子算法的需求——友好的硬件并及时删除该内存（或有时性能）。

这些中断的后果是当前银行系统、电信和身份系统（如护照）的垮台。 面对这样一个世界末日的未来该怎么办？ 不要害怕，或者一点点，因为密码学家已经涵盖了它。

有治疗方法吗，医生？

虽然我们目前的计算机需要数千年才能破解公钥密码，但完全开发的量子计算机可以在几分钟或几小时内完成。 不可避免地需要“量子安全”标准来应对这种威胁，并确保我们未来金融交易和在线通信的安全。

关于通常所说的“后量子密码学”的工作已经在进行中 那会 可能是 “与今天的计算机兼容，但将来也能抵御来自量子计算机的攻击。” 后量子密码学将算法和数学标准提升到一个新的水平，同时允许与当前的计算机兼容。

NIST 竞赛 专为此场合而创建的标准已经进入第三轮，并产生了一份潜在的标准化候选人名单。 这 后量子安全会议 早在 2006 年就已启动，旨在研究能够抵抗已知量子攻击的密码原语。

这项研究的基础源于专家警告，即加密数据已经面临被泄露的风险，因为第一台实用的量子计算机预计将在未来 15 年内出现。
这种攻击被称为“现在囤积数据，以后攻击”，大型组织存储来自它希望破解的其他方的加密信息，并等待足够强大的量子计算机允许它这样做。 这与这篇文章的担忧相同，例如，“美国担心黑客今天正在窃取数据，因此量子计算机可以在十年内破解它”，但它没有说明州级行为者可能会以同样的方式做些什么。 他们有更多可用的资源和存储空间。

关闭的思考

加密通信变得易受量子研究攻击的确切速度仍然难以确定。

有一件事是肯定的：尽管量子计算正在取得重大进展，但我们还远未具备使用这些机器破解密码的能力。 设计出这种计算机的突然突破的可能性很小，让我们有时间为它的到来做好准备。 如果它在一夜之间发生，后果将是灾难性的，不仅会影响加密货币，还会影响广泛的行业。 

幸运的是，包括后量子密码学在内的解决方案可用于应对威胁，但加密行业尚未看到投资这些措施的紧迫性。 

加密货币市场必须密切关注量子发展。 在硬件方面，没有什么值得担心的，因为我们预计会开发新的安全元件来满足需求。 了解这些算法的侧信道和防错版本的最新进展至关重要，以便为我们的用户提供可靠的实施。

参考资料:

[1]： BSI的量子计算机发展现状

[2]： 纠错量子位的容错控制

[3]： 针对密码函数的量子攻击的资源估计框架——最新进展

[4]： 量子风险专家投票

[5]： 超越对称方案量子攻击的二次加速

[6]： 一种高效的量子碰撞搜索算法及其对对称密码学的启示

[7]： 椭圆曲线离散对数的改进量子电路

• SEO 支持的内容和 PR 分发。 今天得到放大。
• 柏拉图区块链。 Web3 元宇宙智能。 知识放大。 访问这里。
• Sumber: https://www.ledger.com/blog/should-crypto-fear-quantum-computing