最近(又)有人提出量子電腦的問題
据斯诺登透露的文件,美国国家安全局正在一个耗资$79.7M的项目中努力研制量子计算机。
加拿大公司D-Wave声称成功制造出了小型量子计算机,一旦量子计算机出现,比特币将会怎样?
简单的说:
1,挖矿用的SHA256算法是安全的。量子计算机用于挖矿,挖矿难度大幅提高。
2,比特币用的椭圆曲线签名算法(ECDSA)会被破解。通过量子计算机计算,通过公钥可以找到私钥。
一旦你的地址付过款,公钥就公开,此地址的钱就可能被盗。对于使用多地址钱包,每个地址只使用用一次的用户,钱还是安全的。
3,比特币的签名算法将要升级。
一旦量子计算机出现,现在电子商务、网银广泛使用的RSA 签名算法也会被破解,如果你去问银行,“量子计算机出现后,我的网银安全吗?”,银行会说你杞人忧天,但由于椭圆曲线签名算法的破解对比特币影响更为直接,所以比特币社区对量子计算机更为关注。
虽说量子计算机还在科研阶段,D-Wave的量子设备是否能运算真正的量子运算还受学术界质疑,一旦比特币用于存储大额财富,安全至关重要。
量子计算机出现,比特币会面临挑战,但依旧会前行。
建议:大额比特币不要重复使用地址。
本人對這題目了解有限, 不過據本人的理解, 以上所述基本上正確
Bitcoin主要涉及兩大類的密碼技術: 雜湊(Hash), 主要是SHA256及RIPEMD160; 以及ECDSA公鑰系統. 要破解挖礦, 就只需要破解SHA256; 要破解地址, 則要同時破解RIPEMD160, SHA256, 及ECDSA
假如量子電腦(QC)真的成功, 利用Grover's algorithm, 就可以大大縮短碰撞雜湊的時間, 例如160 bit的RIPEMD160, 就會被弱化為只有80 bit的安全性. 然而即使是80 bit的安全性, 仍然是十分安全, 令我們有足夠時間過渡至更強的雜湊算法. 只要把長度倍增至320 bit, 就可擁有和現在的160 bit相同的安全性, 代價只是地址會比現在長一倍. 因此基本上, QC對挖礦的影響基本可以不考慮
QC帶來真正的問題, 是Shor's algorithm容許以極快速度破解ECDSA; 用傳統電腦上萬年也不能從公鑰算出私鑰, 用QC可能以小時甚至分鐘就可以完成 (確實時間我不肯定, 反正是快得不能接受). 雖然如此, 因為Bitcoin地址並非公鑰本身, 而是公鑰的雜湊, 因此只有地址, 就算用QC也是不可能算出私鑰, 所以只作收款, 從未付款的地址仍然是安全的. 曾經付款的地址, 由於付款過程必須公開公鑰, 便會變得不安全了.
如果你真的擔心QC的問題, 從今天開始就不要重覆使用地址. Bitcoin的設計, 本來就不是要重覆使用地址的.
如果QC真的可以以極高速 (秒級) 破解ECDSA, 則單次使用地址也會有問題, 因為在沒確認前就可以被偷了. 這有兩個方法: 中心化的, 由"可信"的礦工處理交易 (
http://bitcoinmagazine.com/6021/bitcoin-is-not-quantum-safe-and-how-we-can-fix/), 及本人提出的去中心化的, 稱為Guy Fawkes簽名的方法 (
https://bitcointalk.org/index.php?topic=320634.0 ).
在ECDSA被破解後, 我們可改用一些QC也不能快速破解的公鑰系統, 例如基於雜湊技術的Lamport簽名. 我有時間會另文再述
(C) jl2012@bitcointalk 2014. CC BY-NC-SA 3.0
http://creativecommons.org/licenses/by-nc-sa/3.0/阅读了下pqcrypto.org下的PDF,已经有好几个算法可以抗QC攻击,将加密长度由256升到10^12等。只是基于有效性等的考虑未实现, 正如用高射炮打蚊子。
