研究人员称：无需分叉，也能让比特币免受量子威胁

简而言之

• 一份新提案概述了一种在不改变网络协议的情况下创建抗量子比特币交易的方法。
• 该设计将椭圆曲线假设替换为基于哈希的难题和 Lamport 签名。
• 这种方案将计算工作转移给交易创建者，并被描述为临时变通方案而非永久修复。

根据 StarkWare 研究员 Avihu Mordechai Levy 提出的提案，比特币交易可以在不更改网络核心协议的情况下对未来的量子攻击保持抵抗力。 在最近的一篇论文中，Levy 介绍了一种“Quantum-Safe Bitcoin（量子安全比特币）”交易方案，旨在确保即使量子计算机破解当今使用的椭圆曲线密码学，该方案仍然安全。该方法符合比特币现有的脚本规则，不需要软分叉或其他网络升级。 “我们提出 QSB，一种量子安全比特币交易方案，不需要对比特币协议做出任何更改，并且即使在 Shor 算法存在的情况下也能保持安全，”Levy 写道。

该提案用基于哈希的密码学和 Lamport 签名来替代椭圆曲线签名——一种早期签名方案，被认为能抵抗量子攻击。 “由于 Lamport 签名具有后量子安全性，并且会对交易进行加密强标识符的签名，因此无法在不产生新的 Lamport 签名的情况下修改交易——而攻击者无法伪造这份签名，即便具备量子计算能力，”Levy 写道。  该设计的核心是一道必须在交易广播之前解决的密码学难题。论文估计，找到一个有效解大约需要 70 万亿次尝试。

与比特币挖矿不同，这种计算发生在交易到达网络之前。用户在链下完成工作，并提交一笔已包含难题已被解决证明的交易。 Levy 估计，这道难题可以使用诸如 GPU 之类的商用硬件来解决，每笔交易成本约为几百美元。 该方案旨在运行于比特币脚本的限制之内：201 条操作码（opcodes）和 10,000 字节。论文指出，这些限制极其严格，因为即使操作码出现在未使用的脚本分支中，它也会计入总数。 为了适配这些限制，系统在分层的交易结构中将 Lamport 签名与基于哈希的难题结合起来。它还引入了“交易钉住（transaction pinning）”机制：要求任何试图修改交易的人再次解决该难题。 Levy 将该系统描述为“最后手段”措施，而不是可扩展的修复。论文称，链下计算成本和链上交易大小都无法扩展到比特币的目标吞吐量或大多数用户的需求。 交易创建的复杂度也高于标准比特币用法，并可能在当前的中继政策下被视为非标准，这意味着它们可能遇到传播问题，因而可能需要直接提交给矿池，而不是通过公开的内存池（mempool）广播。 该提案还带来安全性的权衡。尽管它避免了基于 Shor 算法的攻击（这些攻击威胁到椭圆曲线签名），但 Grover 算法仍可能为量子攻击者提供平方级的加速。 “只要人们认为量子威胁是真实的，就仍有必要继续开展持续的研究与实施工作，找到针对比特币的最佳可能解决方案——一种在协议层面的变更中实现最大效率、对用户友好，并回应比特币需求的方案，”Levy 写道。

Levy 的论文加入了数个已经出现的提案，这些提案概述了比特币如何过渡到抗量子密码学，包括 BIP-360。BIP-360 引入了一种 Pay-to-Merkle-Root 地址格式，旨在支持量子安全签名。 尽管对比特币的量子威胁仍停留在理论层面，但包括 Google 和 Cloudflare 在内的公司已经在为此做准备，并设定了 2029 年的期限，将其系统过渡到后量子方案。