科学家声称量子计算机强大的计算能力将打破比特币的安全性

（麻省理工科技评论APP中英文版现已上线，面向年度订阅用户的科技英语讲座年度直播，以及科技英语学习社区~）

2017年即将结束比特币矿机对网络的要求，盘点今年大放异彩的技术热点，量子计算和比特币绝对少不了。但是，如果量子计算有可能在未来十年内“杀死”比特币呢？

这不是危言耸听。根据安全专家的最新研究，量子计算机强大的计算能力将在10年内打破比特币的安全性，而安全性是比特币作为虚拟代币的基础之一。这一结论来自新加坡国立大学 Divesh Aggarwal 团队的工作。在研究了量子计算机对比特币构成的威胁后，他们说危险是真实而紧迫的。

图丨Divesh Aggarwal

比特币（Bitcoin）是一种受密码保护的去中心化数字货币，比特币系统也被证明是一个极其成功和安全的系统，它的诞生带动了其他加密货币和区块链技术的后续发展，目前价值1500亿元人民币.

独立性是比特币如此受欢迎的原因之一。比特币不受政府干预，由开放的 p2p 网络运营。它不依赖于特定的货币发行者，而是根据特定的算法通过大量计算生成的，其总数非常有限，因此也具有很强的稀缺性。

比特币的一个重要特征是它的安全性。比特币有两个重要的安全功能，可以防止它们被盗或复制。这两个属性都基于难以破解的加密协议。

但根据 Daves Garvor 的团队比特币矿机对网络的要求，量子计算机可以轻松解决这些问题。而且，世界各大科技巨头已经在紧锣密鼓地研发第一批子计算机。

图 | IBM 50Q 系统：为 50 个量子比特制造 IBM 的低温恒温器

具体来说，上面提到的比特币的两个重要的安全特性来自其协议中的两个特性，PoW（工作量证明，工作量证明）和加密签名的不对称性。所谓不对称，是指从一个方向执行操作很容易，但从另一个方向执行操作很困难。

工作量证明的目的是防止一方独立操纵区块链造成双重支出。工作量证明的基本原理是客户端需要做一些困难的工作才能得到一个结果，验证者可以通过结果轻松检查客户端是否真的做了相应的工作。其核心是不对称性：验证者验证的难度远低于请求者完成工作的难度。目前，比特币系统使用的工作量证明功能是由 Adam Back 发明的 Hashcash。

在比特币系统中，矿工将未处理的交易打包成一个区块，并通过完成 PoW 任务获得一定数量的比特币奖励。对于比特币网络中的任何节点，如果要生成一个新的区块并写入区块链，首先要解决比特币网络的工作量证明问题。

验证区块声明的头文件是否满足PoW条件很简单，只需要对Hash（哈希）函数进行一次求值即可。完成工作量证明并不是那么容易。比特币系统中使用的工作证明信是 SHA256。也就是说，这个哈希函数有 2^256 个输出。

至于第二个特征，加密签名，用于授权交易。在交易被广播但添加到区块链之前，它最容易受到攻击。如果此时可以通过广播公钥破解密钥，则可以使用该密钥将新的交易从原来的地址广播到自己的地址，并让这笔交易先进入区块链，然后就可以拿到全部的原始地址中的比特币。目前，比特币使用椭圆曲线数字签名算法（ECDSA）使用secp256k1生成密钥。

如果以上两个问题能在特定时间内解决，比特币的安全系统就会被打破。这以当前计算的计算能力是不可能的，但对于远超普通计算机计算能力的量子计算机来说，完全不可能。

好的，量子计算机在解决这两个主要问题方面能产生什么影响？

众所周知，比特币交易存储在一个分布式账本中，该账本对特定时期（通常 10 分钟）内发生的所有交易进行核对。这个集合称为一个块，它还包含了前一个块的密码散列，前一个块包含了它之前的块的密码散列，从而形成了一条链。因此，术语区块链。 （哈希是一种数学函数，可以将一组任意长度的数据映射到固定长度。）

新块还必须包含具有特殊属性的随机数。在挖矿过程中，矿工想要在区块链上添加一个区块，需要找到一个随机数。有时两个矿组会发现不同的随机数，并宣布两个不同的区块。针对这种情况，比特币协议规定处理较多的区块会合并到区块链中，其他区块会失效。

这个过程有一个致命弱点，这个过程有一个问题，如果一个矿组控制了网络上超过50%的算力，它总是比控制剩余49%的矿组快处理区块，可以有效控制整个账本。

图丨比特币全网算力对比单台量子计算机算力

如果这个挖矿组是恶意的，它可以通过删除交易以比特币进行两次支付，这样它们就不会被纳入区块链。另有 49% 的矿工对此一无所知，因为他们无法监督采矿过程。

这为量子计算机的恶意主人创造了作为比特币矿工工作的机会。如果它的计算能力超过 50% 的门槛，它就可以为所欲为。

因此，Aggarwal 团队专门研究了量子计算机在此类网络上变得如此强大的可能性。

最后的结论是，英伟达等公司制造的专用集成电路（ASIC）是挖矿硬件最多的，虽然量子计算机在十年内解决 PoW 问题的速度将比现在快 100 倍，但 ASIC 的在接下来的 10 年左右，仍然可以保持相对于量子计算机的速度优势。因此，比特币系统的用户不必在这个问题上过于紧张。

图 |估计量子计算机破解加密签名所需的时间。单位：秒。预计 2027 年为十分钟（600 秒）

在加密签名方面并不那么乐观。目前用于生成密钥的椭圆曲线数字签名算法已经被 Shor 算法破解。如果乐观估计，量子计算机将能够在 2027 年左右破解密钥。也就是说，加密签名的威胁更加令人担忧。

此外，需要紧张的不仅仅是比特币系统。量子计算机对使用相同技术的所有网络和金融交易加密系统构成类似的风险，包括许多普通形式的加密，当然还有一些。公钥方案仍然可以抵抗量子计算机的攻击。<​​/p>

但这并非不可能。研究人员表示，量子计算机算法的应用范围还比较有限，通过改变比特币协议，选择对量子计算机没有明显优势的算法，或许能够填补这些安全漏洞。

一直备受争议的比特币在安全性方面经受住了风暴，但不能保证它在未来是安全的。有一点是肯定的：随着第一台强大的量子计算机在几年内上线，变革的压力将会更大。