科学家称，量子计算机强大的计算能力将打破比特币的安全性

（麻省理工科技评论APP中英文版现已上线，面向年度订阅用户的科技英语讲座年度直播，以及科技英语学习社区~）

2017年即将结束。如果盘点今年大放异彩的技术热点，量子计算和比特币绝对是缺一不可。但是，如果量子计算有可能在未来十年内“杀死”比特币呢？

这并非危言耸听。根据安全专家的最新研究，量子计算机强大的计算能力将在10年内打破比特币的安全性，而安全性是比特币作为虚拟代币的基础之一。这一结论来自新加坡国立大学 Divesh Aggarwal 团队的工作。在研究了量子计算机对比特币构成的威胁后，他们说危险是真实而紧迫的。

图丨Divesh Aggarwal

比特币（Bitcoin）是一种受密码学保护的去中心化数字货币。比特币系统也被证明是一个非常成功和安全的系统。它的诞生推动了目前价值1500亿元人民币的其他加密货币和区块链技术。的发展。

独立性是比特币如此受欢迎的原因之一。比特币不受政府干预，由开放的 p2p 网络运营。它不依赖于特定的货币发行者，而是根据特定算法通过大量计算生成的，其总数非常有限，因此也具有很强的稀缺性。

比特币的一个重要特征是它的安全性。比特币有两个重要的安全功能，可以防止它们被盗或复制。这两个属性都基于难以破解的加密协议。

但根据 Daves Garvor 的团队，量子计算机可以轻松解决这些问题。而且，世界各大科技巨头已经在紧锣密鼓地研发第一批子计算机。

图 | IBM 50Q 系统：IBM 为 50 个量子比特构建的低温恒温器

具体来说，上面提到的比特币的两个重要安全特性来自其协议中的两个特性，PoW（工作量证明，工作量证明）和加密签名的不对称性。所谓不对称，我们的意思是从一个方向可以很容易地执行操作，但从另一个方向可以很困难。

工作量证明的目的是防止一方单独操纵区块链造成双重支出。工作量证明的基本原理是客户端需要做一些困难的工作才能得到一个结果，验证者可以很容易地通过结果检查客户端是否真的做了相应的工作。其核心是不对称性：验证者验证的难度远低于请求者完成工作的难度。目前，比特币系统使用的工作量证明功能是由 Adam Back 发明的 Hashcash。

在比特币系统中，矿工将未处理的交易捆绑到一个区块中，并因完成 PoW 任务而获得一定数量的比特币奖励。对于比特币网络中的任何节点量子计算机对比特币的影响，如果要生成一个新的区块并写入区块链，首先要解决比特币网络的工作量证明问题。

验证区块声明的头文件是否满足 PoW 条件非常简单，只需要对 Hash（散列）函数求值一次。完成工作量证明并不是那么容易。比特币系统中使用的工作证明信是 SHA256。也就是说，这个哈希函数有 2^256 个输出。

至于第二个特征，加密签名，它用于授权交易。在交易被广播但添加到区块链之前，它最容易受到攻击。如果此时可以通过广播公钥破解密钥，则可以使用该密钥将新的交易从原来的地址广播到自己的地址，并让这笔交易先进入区块链，然后就可以拿到全部的原始地址中的比特币。目前比特币使用椭圆曲线数字签名算法（ECDSA）并使用 secp256k1 生成密钥。

如果上述两个问题能在特定时间内解决，比特币的安全系统就会被打破。这以当前计算的计算能力是不可能的，但对于一台远超普通计算机计算能力的量子计算机来说，这是完全不可能的。

那么，量子计算机对解决这两个主要问题有什么影响呢？

我们知道，比特币交易存储在一个分布式账本中，该账本协调了在特定时期（通常是 10 分钟）内发生的所有交易。这个聚合体称为一个块，它还包含了前一个块的密码散列，前一个块包含了它之前的块的密码散列，从而形成了一条链。因此，术语区块链。（散列是一种数学函数，可将一组任意长度的数据映射到固定长度。）

新块还必须包含具有特殊属性的随机数。在挖矿过程中，矿工想要在区块链上添加一个区块，需要找到一个随机数。有时两个矿组会发现不同的随机数，并宣布两个不同的区块。针对这种情况，比特币协议规定处理较多的区块将被并入区块链，其他区块将作废。

这个过程有一个致命弱点量子计算机对比特币的影响，这个过程有个问题，如果一个矿组控制了网络上超过 50% 的算力，它总是能够比控制剩余 49 个的矿组更快地处理区块%，所以可以有效控制整个账簿。

图丨比特币全网算力对比单台量子计算机算力

如果这组矿工是恶意的，它可以通过删除交易以比特币进行两次支付，因此它们永远不会被纳入区块链。另有 49% 的矿工对此一无所知，因为他们无法监督采矿过程。

这为量子计算机的恶意主人创造了作为比特币矿工工作的机会。如果它的计算能力超过 50% 的门槛，它就可以为所欲为。

因此，Aggarwal 的团队专门研究了量子计算机在此类网络上变得如此强大的可能性。

最终的结论是，英伟达等公司制造的专用集成电路（ASIC）是开采量最大的硬件，虽然量子计算机解决 PoW 问题的速度比现在快 100 倍，但未来 10 年 ASIC 仍然可以开采或者。保持相对于量子计算机的速度优势。因此，比特币系统的用户不必在这个问题上过于紧张。

图 | 量子计算机破解加密签名所需的估计时间。单位：秒。预计2027年达到十分钟（600秒）

在加密签名方面并不那么乐观。目前用于生成密钥的椭圆曲线数字签名算法已经被 Shor 算法破解。根据乐观估计，量子计算机将能够在 2027 年左右破解密钥。也就是说，加密签名的威胁更加令人担忧。

此外，需要紧张的不仅仅是比特币系统。量子计算机对使用相同技术、金融交易加密系统（包括许多常见形式的加密）的所有网络构成类似的风险。当然，一些公钥方案仍然可以抵抗量子计算机的攻击。

但这并非不可能。研究人员表示，量子计算机算法的应用范围还比较有限，通过改变比特币协议，选择对量子计算机没有明显优势的算法，或许能够填补这些安全漏洞。

备受争议的比特币经受住了各种安全风暴，但不能保证它在未来是安全的。有一件事是肯定的：随着第一台强大的量子计算机在几年内上线，变革的压力将更大。