【文/觀察者網(wǎng)專欄作者 徐令予】

在數(shù)字密碼世界，量子計(jì)算機(jī)是惡狼一樣的存在。狼來(lái)了！著實(shí)嚇到過(guò)不少人。

第一次“狼來(lái)了”發(fā)生在2019年，當(dāng)時(shí)谷歌宣布取得“量子霸權(quán)”之后，從10月26日開始，比特幣從9500美元左右一路下降到7500美元，短短幾天內(nèi)比特幣價(jià)格下跌超過(guò)20%，投資者總計(jì)損失超過(guò)150億美元。但市場(chǎng)還是把“量子霸權(quán)”拋于腦后，比特幣一路高歌猛進(jìn)，5年中價(jià)格幾乎翻了十倍。

今年谷歌故技重施，宣稱其最新量子芯片Willow取得了驚人成績(jī)，把量子比特從53位提升至105位。狼又來(lái)了？但這次市場(chǎng)反應(yīng)卻很淡定，新聞岀來(lái)后的12月10日，比特幣價(jià)格跌了大約3%，很快市場(chǎng)回復(fù)常態(tài)，價(jià)格繼續(xù)上漲，根本不把谷歌的“量子霸權(quán)”當(dāng)一回事。具體數(shù)據(jù)請(qǐng)看上圖。

“狼來(lái)了”，第一次嚇人一跳，第二次再喊效果甚微，以后再喊還會(huì)有誰(shuí)關(guān)心？量子計(jì)算機(jī)就是一頭紙糊的狼，它對(duì)比特幣安全并不構(gòu)成有效威脅，下面將從理論和實(shí)踐兩方面作些定性和定量分析。

比特幣安全嚴(yán)重依賴于兩種加密技術(shù)：一是橢圓曲線數(shù)字簽名算法（ECDSA），這是負(fù)責(zé)對(duì)數(shù)據(jù)加密解密的公鑰密碼；另一個(gè)是哈希算法（SHA-256）用來(lái)保障比特幣挖礦安全。

在理論上，量子計(jì)算機(jī)對(duì)公鑰密碼構(gòu)成威脅。破解比特幣使用的ECDSA公鑰密碼，就是從比特幣公鑰推算出相關(guān)聯(lián)的比特幣私鑰，從而獲取比特幣地址信息。這在傳統(tǒng)計(jì)算機(jī)上，需要大約2¹²⁸次基本操作才能得手，這個(gè)數(shù)字非常巨大，使用傳統(tǒng)計(jì)算機(jī)攻擊比特幣是完全不可行的，因而比特幣是安全的。然而可以確定的是，使用Shor算法，足夠大的量子計(jì)算機(jī)只需要大約128³次基本量子操作即可破解比特幣私鑰。因此量子計(jì)算機(jī)在理論上確實(shí)對(duì)比特幣安全構(gòu)成了威脅。

但是SHA-256不屬于公鑰密碼，量子計(jì)算機(jī)對(duì)它即使在理論上也不構(gòu)成有效的威脅。找到與特定SHA-256哈希值對(duì)應(yīng)的數(shù)據(jù)，在傳統(tǒng)計(jì)算機(jī)上需要2²⁵⁶次基本操作，而量子算法Grover需要2¹²⁸次基本量子操作。這兩者的操作次數(shù)都非常龐大。因此，量子計(jì)算機(jī)對(duì)于比特幣挖礦的威脅在理論上都并不存在。

量子計(jì)算機(jī)破解比特幣，理論上可行與工程實(shí)現(xiàn)完全不是一回事，這中間隔著四條鴻溝：

*量子比特?cái)?shù)量：Willow芯片只有105個(gè)量子比特，但要運(yùn)行Shor算法來(lái)破解比特幣的256位ECDSA密碼，需要數(shù)百萬(wàn)個(gè)邏輯量子比特，而構(gòu)建每一個(gè)邏輯量子比特又需要多個(gè)物理量子比特。單純依靠技術(shù)進(jìn)步是很難克服如此巨大的數(shù)量差距。

*量子比特糾錯(cuò)：Willow的主要成就是在增加量子比特?cái)?shù)量的同時(shí)實(shí)現(xiàn)指數(shù)級(jí)的誤差減少。這對(duì)于構(gòu)建更大的量子計(jì)算機(jī)至關(guān)重要，但它仍處于原型階段。破解比特幣需要長(zhǎng)時(shí)間計(jì)算，這對(duì)量子比特的穩(wěn)定性和精確性提出了更為嚴(yán)格的要求。

*量子邏輯門的速度：雖然Willow可以在5分鐘內(nèi)完成超級(jí)計(jì)算機(jī)需要十億億年才能完成的計(jì)算，但這些計(jì)算是高度特定的隨機(jī)電路采樣，而破解ECDSA是完全不同的邏輯門操作，目前它們的速度非常慢。

*Shor算法的可行性：運(yùn)行Shor算法破解256位密鑰需要一個(gè)比Willow大得多、穩(wěn)定得多的可編程量子計(jì)算機(jī)。這樣的大型通用量子計(jì)算機(jī)很可能永遠(yuǎn)也不會(huì)出現(xiàn)，Shor算法提出到現(xiàn)在已經(jīng)過(guò)去了三十年，目前連一臺(tái)可以驗(yàn)證的袖珍型樣機(jī)都造不出來(lái)，這背后一定有深層次的原因。

橫在量子計(jì)算機(jī)面前的四條鴻溝的背后都有深刻的物理原因，僅靠技術(shù)進(jìn)步是很難逾越的。持有這種悲觀態(tài)度的專家學(xué)者為數(shù)不少[1]。就在我撰寫此文時(shí)，《科學(xué)》雜志上又有重要論文發(fā)表，該論文從根基上對(duì)量子霸權(quán)提出了質(zhì)疑[2]，這些文章和觀點(diǎn)值得我們深思，對(duì)此我很可能會(huì)另有專文介紹。

對(duì)于量子計(jì)算機(jī)的威脅，比特幣的反應(yīng)是認(rèn)真和負(fù)責(zé)的，比特幣創(chuàng)建于2008年，而用來(lái)破解密碼的量子計(jì)算機(jī)Shor算法發(fā)生在1994年。所以比特幣開發(fā)人員從一開始就意識(shí)到潛在的量子計(jì)算機(jī)威脅，這段時(shí)間差一定會(huì)影響到比特幣的系統(tǒng)構(gòu)架設(shè)計(jì)。2010年，比特幣之父Satoshi Nakamoto對(duì)量子計(jì)算機(jī)威脅專門作出了反應(yīng)，并于2016年在比特幣網(wǎng)站上創(chuàng)建了應(yīng)對(duì)量子計(jì)算的頁(yè)面。由此可知，比特幣對(duì)于量子計(jì)算機(jī)威脅是有所準(zhǔn)備的。

而且比特幣已經(jīng)開始行動(dòng)。在比特幣錢包中，通常標(biāo)準(zhǔn)做法是地址只使用一次，這樣可以最大程度減少受到威脅的風(fēng)險(xiǎn)。公鑰和相關(guān)簽名只有在交易發(fā)送后但在確認(rèn)之前才會(huì)被展示，這給量子攻擊者只有一個(gè)短暫的窗口期來(lái)破解密鑰。通過(guò)軟分叉實(shí)現(xiàn)的新地址類型也討論了多年，全面實(shí)施可能只是時(shí)間問(wèn)題。

事實(shí)上，對(duì)抗量子計(jì)算機(jī)攻擊的新一代公鑰密碼（后量子密碼 PQC）已經(jīng)取得實(shí)質(zhì)性進(jìn)展。比特幣設(shè)計(jì)的總體框架內(nèi)，應(yīng)該己經(jīng)預(yù)留了PQC的位置，在必要的時(shí)候，公鑰密碼通過(guò)技術(shù)升級(jí)可以有效地應(yīng)對(duì)量子計(jì)算機(jī)的威脅。

但是有必要指出，公鑰密碼升級(jí)換代絕非易事，這是一個(gè)極其巨大艱辛的工程，費(fèi)時(shí)費(fèi)力當(dāng)然一定更費(fèi)錢。請(qǐng)問(wèn)受益的是誰(shuí)？就是密碼領(lǐng)域的數(shù)學(xué)專家和軟件工程師。賣盾的為矛做虛假?gòu)V告，目的還是要賣出更多更貴的盾，這是矛盾故事的現(xiàn)代升級(jí)版?！疤煜挛跷?，皆為利來(lái)；天下攘攘，皆為利往”，量子計(jì)算機(jī)鬧劇的背后其實(shí)還是一個(gè)錢字，千萬(wàn)別以為從事諸如量子計(jì)算等高大上事業(yè)的人也都是高大上。認(rèn)識(shí)到這一點(diǎn)后，就不難理解量子技術(shù)的炒作之風(fēng)為什么經(jīng)久不息了。

總而言之，量子計(jì)算機(jī)對(duì)于比特幣（包括其它各種加密貨幣和數(shù)字貨幣）的安全威脅微乎其微。你可以有一百個(gè)理由不喜歡比特幣，但是量子計(jì)算機(jī)不應(yīng)是理由之一。量子計(jì)算機(jī)的“狼來(lái)了”一定還會(huì)有人喊，但害怕的人會(huì)越來(lái)越少，誰(shuí)會(huì)怕一頭紙糊的狼呢？

注釋：

[1]數(shù)學(xué)家和計(jì)算機(jī)科學(xué)家 Gil Kalai 在谷歌 Willow 宣布當(dāng)天的一篇博文中，他敦促謹(jǐn)慎行事，他說(shuō)：“谷歌量子霸權(quán)的主張應(yīng)該謹(jǐn)慎對(duì)待，特別是對(duì)那些極端夸張的主張。這些說(shuō)法可能源于重大的方法錯(cuò)誤，它們可能更多地反映了研究人員的期望，而不是客觀的科學(xué)現(xiàn)實(shí)?！?

物理學(xué)家Sabine Hossenfelder批評(píng)谷歌的量子霸權(quán)聲明夸大其詞。她指出，發(fā)生在2019年類似的聲明中提及的是一塊50量子比特芯片，這項(xiàng)成果迅速遭到IBM質(zhì)疑。研究人員在差不多的時(shí)間框架內(nèi)，使用經(jīng)典方法獲得與量子芯片相同的計(jì)算結(jié)果。根據(jù)她的說(shuō)法，盡管關(guān)于 Willow 的聲明在科學(xué)上令人印象深刻，但“對(duì)日常生活的影響為零”。

[2] Sudden death of quantum advantage in correlation generations

本文系觀察者網(wǎng)獨(dú)家稿件，文章內(nèi)容純屬作者個(gè)人觀點(diǎn)，不代表平臺(tái)觀點(diǎn)，未經(jīng)授權(quán)，不得轉(zhuǎn)載，否則將追究法律責(zé)任。關(guān)注觀察者網(wǎng)微信guanchacn，每日閱讀趣味文章。