綜編:Felix, PANews
本週兩篇新的研究論文(一篇來自谷歌,另一篇來自加州理工學院旗下新創公司Oratomic 的研究人員),重新引發了加密領域一個由來已久的問題:當量子計算強大到足以破解現代密碼學時,會發生什麼?
研究人員警告稱,該領域的進展可能會比預期更快地威脅到支撐加密貨幣和其他數位基礎設施的密碼系統。研究表明,未來的機器或能夠用比以往認為的更少的量子位元(qubits)和計算步驟來破解橢圓曲線密碼(ECC)。加州理工學院估計,所需的量子位元數量僅為1 萬到2 萬個。
這兩篇論文都表明,破解ECC 所需的資源可能低於先前的估計,縮短了許多人認為還很遙遠的期限。
針對這些發現,比特幣安全研究員Justin Drake 表示,到2032 年,至少有10% 的可能性會出現能夠破解密碼學的量子電腦。谷歌研究員Craig Gidney 也認為,到2030 年,能夠破解密碼的量子電腦被製造出來的機率為10%。
量子運算為什麼能破解錢包?
量子電腦的運作方式與傳統電腦不同。它們不使用只有0 或1 兩種狀態的比特,而是使用量子比特,量子比特可以同時存在於多種狀態。這項特性使得它們能夠運行某些演算法(最著名的是Shor 演算法),理論上,這些演算法可以比當今的電腦更有效率地解決支撐現代加密的數學難題。
這些數學問題構成了比特幣、以太坊和大部分網路的基礎。基於ECC 的系統被設計為易於驗證,但極難逆向推導。目前MetaMask 等主流錢包都是基於BIP32 標準,其優勢在於12/24 個助記詞即可派生所有金鑰;僅憑公鑰即可產生新位址,無需暴露私鑰。這種設計的數學基礎是ECC。
然而,一台足夠強大的量子電腦或能從公鑰推導出私鑰,從而可能暴露資金、身分和加密通訊。而這種情況成為現實的那一刻,通常被稱為「Q日(Q-Day)」。
Galaxy Digital 公司研究主管Alex Thorn 表示,量子電腦在未來五年內攻擊比特幣的機率很低,但「Google的這項研究表明,從今天到最終的『Q 日』之間的距離可能比之前想像的要近。」儘管如此,比特幣開發者們正在加緊研究緩解措施和新的後量子加密整合方案」。
不同網路挑戰不同,傳統金融會首當其中
Dynamic 聯合創始人兼首席執行官Itai Turbahn 表示,區塊鏈行業“現在必須採取行動”,但他同時提醒,並非所有區塊鏈都面臨相同的風險。
「如果地址不被重複使用,比特幣的UTXO 模型可以提供短期保護——以太坊的帳戶模型沒有類似的替代方案。但每個曾經進行過交易的帳戶,其公鑰都會永久保存在鏈上」。 「機構需要明白,這並非統一的風險,他們現在就需要著手應對」。
不同網路對此挑戰的評估各不相同,不同專家對特定項目的影響也有不同的看法。 Sygnum 數位資產生態系統研究主管Lucas Schweiger 認為,以太坊“透過帳戶抽象化和對量子問題的認真對待,處於有利地位”,而“比特幣的路徑更多的是一個治理和協調問題,而非技術問題,但它是可以應對的”。
Boundless 執行長Shiv Shankar 則不認為這是一個區塊鏈特有的問題。 「如果量子電腦真的在這個時間範圍內恢復了一組私鑰,那麼整個網路都將面臨風險」。
Lucas Schweiger 也認為, 「如果真的出現了具有密碼學意義的量子計算機,那麼對手的經濟動機首先會指向傳統的金融基礎設施:銀行、託管機構和支付網絡,它們在全球範圍內保障著約154 萬億美元的固定收益資產和128 萬億美元的股票資產」。 「相較之下,加密技術的影響微乎其微,而且在成為主要目標之前,加密生態會收到大量的預警」。
Project Eleven 曾經提出的兩套方案
值得一提的是,Project Eleven 實驗室的幾位科學家先前發表過一篇研究論文,提出兩套嘗試性解決方案。
方案一是使用美國國家標準與技術研究院(NIST)標準下的ML-DSA 錢包。 ML-DSA 錢包支援強化派生,這意味著用戶仍可以從父私鑰派生子密鑰,保持密鑰之間的不可關聯性(因此沒有人能分辨出兩個地址屬於同一個錢包),並實現可證明的不可偽造性(因此沒有人能偽造您的簽名)。
然而,其局限性在於不支持非強化派生。 ML-DSA 的公鑰是取整的,破壞了使用者所需的線性特性。因此,您將無法使用僅監視錢包,也無法僅使用公鑰產生新位址。
而方案二則使用Raccoon-G,這是Raccoon 簽章方案的修改版,使用高斯分佈的金鑰。 Raccoon-G 解決了兩個問題。首先,團隊修改了Raccoon-G,使其發布完整的、未取整的公鑰。這保留了子金鑰派生所需的線性結構。你仍然可以像使用ECC 一樣,向公鑰添加資訊並獲得另一個有效的公鑰。
其次,高斯分佈有一個優美的數學性質:兩個高斯分佈總和仍然是一個高斯分佈,但方差可預測且略大。因此,當您透過向父密鑰添加隨機性來匯出子密鑰時,子密鑰的秘密分佈仍然是高斯分佈。
當然,它的分佈範圍會更廣一些,但在統計上與新產生的密鑰無法區分,因此攻擊者無法察覺其中的差異。這就像混合兩杯溫度略有不同的水。結果仍然是水,只是溫度略有不同,沒有人能將其與新倒出的水區分開來。
不過,Raccoon-G 尚未標準化,但是證明了在不犧牲使用者體驗的情況下,實現抗量子遷移是有可能的。
那麼,量子風險究竟是近期的工程問題,還是長期的生存威脅? Schweiger 認為,這兩種說法都不能完全概括它。 「量子運算目前不會對現有的區塊鏈或公鑰密碼構成威脅,而且在量子電腦強大到足以破解現有簽章方案之前,這些方案幾乎肯定會被替換掉」。
Schweiger 樂觀的表示,雖然這使其成為一項“長期工程挑戰”,但並非生存威脅。 “密碼學界(包括NIST 的後量子標準)以及區塊鏈項目,已經在著手製定預防措施並測試遷移路徑。”
