假如量子盘算时期到来，我们的比特币平安吗？_数字货币

[2021-02-10 18:03:06] 来源：编辑：wangjia 点击量：

评论 点击收藏

导读： 近百区块链概念股涨停板块市值增逾千亿昨日，A股区块链概念股集体暴涨，近百只相关概念股涨停，区块链板块市值一天增加逾千亿元。每次有量子盘算的消息出现时，人们都要忧郁一次比特币。缘由很简朴，比

近百区块链概念股涨停板块市值增逾千亿

昨日，A股区块链概念股集体暴涨，近百只相关概念股涨停，区块链板块市值一天增加逾千亿元。

每次有量子盘算的消息出现时，人们都要忧郁一次比特币。缘由很简朴，比特币是基于暗码学的，而暗码学之所以能够建立，是基于某种盘算上的不大概性。如果量子盘算把底本不大概或难以完成的盘算变成能够盘算，那末这类暗码学的要领就会失效。

但这类忧郁是过剩的。缘由一样简朴：我们只需有量子盘算也没法完成的盘算，不就能够吗？以这类盘算为基础构建的暗码学要领（量子平安暗码学），量子盘算也就没法破解，然后把比特币升级到该暗码学要领之下即可。
「格难题问题」就是典范的代表，纵然关于量子盘算，它也保持着盘算上的不大概性。基于人类的「蒙昧」，我们很大程度上总能够找到要领生活在暗码学的庇护之下。
比特币中的暗码算法我们晓得比特币钱包地点对应一个公钥和一个私钥，只要具有私钥才动用该钱包中的比特币，但私钥是平安的，它没法经由历程钱包地点或公钥被盘算出来。
这是怎样完成的？让我们从台球厅入手下手。
你去台球厅打台球，把一个球放在台球桌底边的一个位置上，就叫它 A 点，然后你把这个球打出去，假定你击球的气力超等大，那末球从 A 点动身，总会撞到台球桌某条边上的一个点，然后又会从该点弹到台球桌另一条边上的另一个点……它大概如许弹了 B 次（比方一万次），末了停在了台球桌某条边的一个点上，就叫它 C 点。
这时候候你的朋侪来了，他能看见台球在 C 点的位置，你通知他这个球最初的位置 A 点和击球的角度，问他这个球中心弹了多少次，也就是 B 是多少？你的朋侪应当一时回覆不上来。
这就是一个简朴的公、私钥生成算法，C（位置）是公钥，B（次数）是私钥。在我们晓得 A 点和 B 次弹跳的状况下，是能获得 C 点的；但如果我们只晓得 A 点和 C 点，是很难算出弹跳次数 B 的。
在真正的暗码学中，台球桌的边被换成了椭圆曲线，A 是椭圆曲线（实际上是椭圆群）上一个牢固的点，它击打本身（球从该点的切线位置被击打出去），球在椭圆群里撞来撞去撞了 B 次，末了落在了椭圆群的一个点上，还要对该点再做一次映照，有了椭圆群上的一个点 C。C 是公钥，B 是私钥。
这就是有名的椭圆曲线算法，被用于生成公钥、私钥，是比特币体系中的第一个暗码学要领。
椭圆曲线算法难以被破解（基于「离散对数难题问题」），但并不是不能被破解，充足壮大的量子盘算能够找到多项式算法，经由历程 A 和 C 盘算出 B，也就是能够经由历程公钥算出私钥。所以，如果真的进入到量子盘算时期，椭圆曲线算法是须要被新的抗量子盘算的算法替代的。
量子盘算与椭圆曲线算法比特币采纳的椭圆曲线数字签名算法的平安性是 2^128（secp256-k1 曲线群的阶接近于 2^256，椭圆曲线进击算法的复杂度约莫都是 O(sqrt(N))，对 2^256 开平方，获得2^128 ）。这是个天文数字。
在量子盘算的状况下，运用 Peter Shor 提出的 Shor 算法，它进击椭圆曲线的复杂度大概是 O(log(N)^3) ，关于比特币而言，理论上的盘算量级是 128^3 次。
相干论文研讨显现，组织一个进击 secp256-k1 曲线的量子盘算机，假定该盘算机能把比特错误率降低到 10^-4，那末有愿望在运用 170 万个量子比特的状况下，在 7 天以内完成盘算。
在比特币体系中，另有另一个暗码学要领，哈希函数 SHA-256，它被用于生成与公钥对应的钱包地点。该算法很好明白，就是把一个输入以一种不可逆的体式格局转换成一个输出，它有异常强的单向性，想经由历程输出来盘算输入是不大概的。
因而，哈希函数只能经由历程暴力的体式格局破解，也就是变更输入值一次次去试，直到能够用某个输入值算出目的输出值。
相较于典范盘算机，量子盘算机在暴力搜刮上具有可观的上风，不过仍然是一种多项式级别的机能优化，我们能够经由历程更加平安位数，比方采纳 SHA-512 来保持平安性。
比特币钱包地点是公钥经由两次哈希盘算获得的，一次是 SHA-256，一次是RIPEMD-160（另一种哈希函数），量子盘算很难攻破两道哈希关隘，经由历程钱包地点「撞」出公钥。量子盘算与 SHA-256如今在量子算法里能够加快盘算SHA-256 的是Lov Grover 在1996年提出来的 Grover 算法，它能够将暴力搜刮的机能提高到平方倍。假定我们要在一个 N× N 的庞大方格里寻觅一根针，典范盘算机须要一一搜刮每个方格，最坏状况下须要搜刮N×N 次；但Grover 算法纵然是在最坏的状况下也只须要搜刮 N 次。总结一下：比特币中有两种基础暗码算法，一是椭圆曲线算法，一是哈希函数 SHA-256。如今能够找到前者的高效量子盘算要领，完成破解；但并没有找到后者的高效量子盘算要领。固然，破解的条件是量子盘算真的生长到充足壮大，要晓得，谷歌最新的量子芯片只要 54 个量子比特。
我们的比特币平安吗？如果进入到量子盘算时期，我们只须要用抗量子盘算的暗码学算法生成公钥、私钥、钱包地点即可。但如果用户未能升级公钥私钥，他们钱包中的比特币是不是就肯定会被盗取？答案是不是定的。
大抵有以下几种状况：
1. 如果钱包地点中的比特币从未被运用过，那末该地点的公钥是不被人晓得的，其他人所晓得的只要钱包地点（只要当我们消费某地点上的比特币时才须要给出公钥，不过哪怕只消费过一次，公钥就会被广播到全网）。如前文所述，SHA-256 是难以被量子盘算破解的，这意味着其他人是没法经由历程钱包地点算出公钥的。所以，纵然能够经由历程公钥算出私钥，那些没有暴露过公钥的钱包地点也是平安的。
2. 如果有好的比特币运用习气，一个钱包地点只运用一次，那末同理，新地点的公钥也是不被人晓得的，新地点中的比特币是平安的。
3. 如果用户重复运用一个钱包地点，那末该地点对应的公钥就处于暴露状况；如果量子盘算破解了椭圆曲线算法，那末该地点中的比特币就面对被盗取的风险。
据统计截止到当前，有快要 500 万个比特币是存放于公钥暴露的地点中的，另外另有快要 177 万个比特币运用的是 P2PK 地点，这是最初期的比特币账户花样，公钥是公然的，个中就包含被认为是中本聪的账户。如果这些比特币不替换地点，它们是在量子盘算进击范围内的。（数据泉源：安比实验室）
除了钱包地点，在比特币体系中另有一个主要的处所运用到了 SHA-256，那就是挖矿。挖矿就是暴力破解哈希函数的历程，经由历程调解输入值「撞」出落在目的区间的输出值。
如前文所述，从理论上讲，量子盘算机芯片在暴力搜刮时是能够「碾压」典范盘算机芯片的，但我们一样须要考虑到它的手艺生长水温和芯片制造工艺。另外，芯片本就是跟着手艺的生长不停升级的，量子盘算对挖矿的影响更多的是芯片升级的经济问题，而不是平安问题。
量子盘算下的平安：格暗码
在量子盘算生长的同时，量子平安暗码学也在飞速生长，这个中最具代表性的是「格暗码」，它是基于格的暗码体系体例（lattice-based cryptography）。「格」是一个系数为整数的向量空间，能够把它明白成一个高维度空间，它有两个基础的「格难题问题」，一是最短向量问题，一是近来向量问题，求解这类问题须要指数时候的复杂度，那末如果因子为多项式，这类问题就不存在多项式时候算法，关于量子盘算也是一种盘算上的不大概性。
这听起来有些笼统，或许能够这么去明白：用笔在一张 A4 纸上画出许多黑色的点，然后换支笔在纸上画下一个赤色的点，我们须要做的是找到间隔红点近来的斑点，这很轻易；如今从 A4 纸这个二维空间到一个三维空间，设想一下空间里漂泊着许多黑色的点，这时候放一个赤色的点进去，一样是去找间隔红点近来的斑点，这并不算很难，但相干于二维空间，其难题度已不在一个级别了。
如今，我们把三维空间变成一个三百维的空间，给定一个红点去找间隔它近来的斑点，这个斑点肯定存在，但想想看，找出它是不是险些不大概？这就是格难题问题。
格空间与椭圆曲线是相似的。在椭圆曲线上，能够有数学公式（椭圆曲线算法）把公钥和私钥放在一个等式的两端，在格空间里，也有数学公式（比方LLL算法）能够把相似斑点和红点的东西放在一个等式的两端，那末我们就能够应用这类公式来生成公钥和私钥。
在椭圆曲线算法中，由于「离散对数难题问题」，传统盘算机没法经由历程公钥盘算出私钥；在格暗码的算法中，由于「格难题问题」，量子盘算机也没法经由历程公钥算出私钥。
格暗码生长很快，基于格我们不仅有抗量子盘算的公钥和私钥，另有抗量子盘算的对应于典范暗码观点的一系列暗码学算法或协定，它们能够被用于数字签名、密钥交流、零学问证实等等应用领域。
比特币：www.btcmoney.cc 比特币； https://www.btcmoney.cc/detail/51839.html