科学家称量子计算机将破坏比特币的安全性

（《麻省理工科技评论》APP中英文版现已上线，常年订阅者每周直播科技英语讲座，还有科技英语学习社区~）

2017年即将结束。 如果要盘点今年大放异彩的科技热点，量子计算和比特币绝对少不了。 但是，如果量子计算有可能在未来十年内“杀死”比特币呢？

这不是危言耸听。 据安全专家最新研究，量子计算机强大的计算能力将在10年内攻破比特币的安全性，而安全性是比特币作为虚拟货币的基础之一。 这一结论来自新加坡国立大学 Divesh Aggarwal 团队的工作。 在研究了量子计算机对比特币构成的威胁后，他们表示这种危险是真实而紧迫的。

图丨Divesh Aggarwal

比特币（Bitcoin）是一种受密码保护的去中心化数字货币。 比特币系统也被证明是一个极其成功和安全的系统。 它的诞生推动了目前价值1500亿元的其他加密货币和区块链技术。 的发展。

独立性是比特币如此受欢迎的原因之一。 比特币不受政府干预，由开放的 p2p 网络运营。 它不依赖于特定的货币发行机构，而是根据特定的算法通过大量计算产生的。 总数非常有限，所以也十分稀少。

比特币的一个重要特征是它的安全性。 比特币有两个重要的安全特性，可以防止它们被盗或复制。 这两个功能都基于难以破解的加密协议。

但根据 Daves Gavor 团队的研究，量子计算机可以轻松解决这些问题。 而且，全球各大科技巨头已经在紧锣密鼓地研发首批量子计算机。

图 | IBM 50Q 系统：IBM 的低温恒温器专为 50 个量子位而构建

具体来说，上述比特币的两个重要安全特性来自其协议中PoW（工作量证明）的两个特性和加密签名的不对称性。 所谓不对称，就是指一个方向操作容易，而另一个方向操作困难。

工作量证明的目的是防止单方操纵区块链进行双重支出。 工作量证明的基本原理是，客户端需要做一些困难的工作才能得到一个结果，但验证者可以很容易地通过结果检查客户端是否真的做了相应的工作。 其核心是不对称性：验证者验证的难度远低于请求者完成工作的难度。 目前，比特币系统使用的工作量证明函数是 Adam Back 发明的 Hashcash（哈希现金）。

在比特币系统中，矿工将未处理的交易打包成一个区块，通过做 PoW 任务获得一定数量的比特币奖励。 但是，如果比特币网络中的任何一个节点想要生成一个新的区块并将其写入区块链，就必须首先解决比特币网络的工作量证明问题。

验证区块语句的头文件是否满足PoW条件非常简单，只需要对Hash（散列）函数求值一次即可。 完成工作证明并不是那么容易。 比特币系统中使用的工作证明信是 SHA256。 也就是说，这个哈希函数有2^256个输出。

至于第二个特征，加密签名，它用于授权交易。 在广播交易但添加到区块链之前，它最容易受到攻击。 如果此时可以通过广播公钥破解密钥，就可以用这个密钥从原来的地址向自己的地址广播一笔新的交易，让这笔交易先进入区块链，就可以拿到所有的比特币在原来的地址。 目前，比特币使用椭圆曲线数字签名算法（ECDSA）并使用 secp256k1 生成密钥。

如果能在特定时间内完成以上两个问题的破解，那么比特币的安全体系也就被攻破了。 这以现在计算的计算能力是不可能的，但是对于远超普通计算机计算能力的量子计算机来说是完全不可能的。

那么，量子计算机对解决这两大难题又能产生怎样的影响呢？

我们知道量子计算比特币，比特币交易存储在一个分布式账本中，该账本会检查特定时间段（通常为 10 分钟）内发生的所有交易。 这个集合称为一个块量子计算比特币，它还包含前一个块的密码哈希，前一个块包含它之前的块的密码哈希，从而形成一条链。 因此，区块链这个词。 （散列是将一组任意长度的数据映射到固定长度的数学函数。）

新块还必须包含具有特殊属性的随机数。 在挖矿过程中，矿工想要在区块链上添加一个区块，需要找到一个随机数。 有时两个挖矿组会发现不同的nonce，宣布两个不同的区块。 针对这种情况，比特币协议规定，被处理较多的区块将被纳入区块链，其他区块将被作废。

这个过程有一个致命弱点，这个过程有一个问题，如果一个矿工集团控制了网络上超过 50% 的计算能力，它总是能够比控制剩余 49% 的矿工集团更快地处理区块，也就是说，可以有效地控制整个账本。

图丨比特币全网算力对比单台量子计算机算力

如果矿工是恶意的，它可以通过删除交易以比特币支付两次，这样它们就永远不会被纳入区块链。 其他 49% 的矿工不知道这件事，因为他们无法监督挖矿过程。

这为量子计算机的恶意所有者创造了一个机会，让他们可以充当比特币矿工。 如果它的计算能力超过了 50% 的阈值，它就可以为所欲为。

因此，Aggarwal 的团队专门研究了量子计算机在此类网络上变得如此强大的可能性。

最后的结论是，Nvidia 等公司制造的专用集成电路 (ASIC) 是挖矿最多的硬件，尽管量子计算机解决 PoW 问题的速度将比现在快 100 倍，但 ASIC 仍然能够解决 PoW 问题在未来10年左右。 保持相对于量子计算机的速度优势。 因此，在这个问题上，比特币系统的用户不必过于紧张。

图 | 估计量子计算机破解加密签名所需的时间。 单位：秒。 预计2027年达到十分钟（600秒）

在加密签名方面并不那么乐观。 目前用于生成密钥的椭圆曲线数字签名算法已被秀尔算法破解。 乐观地说，量子计算机将能够在 2027 年左右破解密钥。也就是说，围绕密码签名的威胁更令人担忧。

此外，需要紧张的不仅仅是比特币系统。 量子计算机对使用类似技术的网络和金融交易的所有加密系统构成类似的风险。 对量子计算机的攻击。

但这并非不可能。 研究人员表示，量子计算机算法的应用范围还比较有限。 通过改变比特币协议，选择对量子计算机没有明显优势的算法，或许能够填补这些安全漏洞。

一直饱受争议的比特币，在安全问题上经受过各种风浪，但谁也不能保证它以后会安然无恙。 有一点是肯定的：随着第一台强大的量子计算机在几年内上线，变革的压力将更大。