從理論到倒數計時：Google 用零知識證明敲響區塊鏈抗量子警鐘

原文作者：Haotian，加密研究員

這幾天閒來無事，粗略研究了下量子計算機對區塊鏈生態的影響，涉及大量密碼學的背景知識，不說太多細節，分享幾個觀點：

1）過去學界普遍認知要破解 256 位的橢圓曲線加密算法大概需要數百萬個物理量子比特，邏輯量子比特 6000 個左右，但 Google 這次發表的新論文，並沒有推出什麼逆天的新硬件，而只是重新編譯了 Shor’s algorithm（肖爾算法）在量子電路上的執行方式，就把所需的邏輯量子比特壓縮到了 1200 個。

什麼概念？意味著算力成本直接縮減了近 20 倍。這是本次量子威脅論被熱議的根本，以前我們一直認為絕對不可能的事，到了今天，開始有了一個「倒計時」；

2）Google 給這個倒計時的時間節點是 2029 年，意味著這個時間點前包括互聯網的 HTTPS、SSL 銀行證書、SSH 遠程登錄等加密方式以及 BTC 和以太坊等公鏈的底層 ECDSA 簽名體系都必須完成一次「抗量子」換血，否則到時候可能會存在滅頂之災。

關於這一點，2029 年也就是 3 年的時間，我覺得過於誇張了，畢竟純理論落地到現實可執行落地還有很大的距離，但至少說明了一點，抗量子攻擊的加密算法升級時間窗口開始打開了，沒有迫在眉睫，但也絕不能掉以輕心；

3）如果說到此，很多人對量子威脅還是沒概念，那可以再細化說幾個攻擊面：

1、目前 BTC 鏈上大概有 25%-35% 的地址，公鑰已經處於暴露狀態，包括中本聰時代採用 P2PK 格式的早期地址，以及所有複用過、發生過轉帳的地址，這些地址都在攻擊範疇內；而其他沒有發生轉帳的地址，只要在量子計算機成熟後啟動轉帳，其在 Mempool 處理交易的 10 分鐘內，足以被量子破解搶先截胡攻擊，等於整個網絡都已癱瘓；

2、以太坊面臨的危機更直接，ETH 的 EOA 帳戶在第一次傳送交易時，公鑰就會通過簽名被暴露上鏈，加上 EIP-4844 之後的數據可用性採樣機制，以及本身依賴 POS 簽名驗證的共識網路。以太坊公鏈面臨的都不是私鑰能不能破解的問題，而是一旦簽名演算法得不到升級，整個網路都形同虛設了；

3、關鍵是，由於區塊鏈交易歷史都是可追溯且永久存儲在鏈上，別看現在量子計算機攻擊條件還不成熟，但過去和今天鏈上已經暴露公鑰的交易，都會被記錄起來，成為潛在攻擊的對象，就等量子機器慢慢就位。

4）當然，既然量子攻擊還存在技術突破 + 時間的窗口，同樣理論上，只要在接下來的數年內完成「抗量子攻擊」大換血，也可以實現一次自救。

以太坊早就在抗量子威脅上面做「工程化」優化佈局了，包括推進帳戶抽象允許 EOA 地址在應用層面直接切換簽名方案，驗證者簽名也在向抗量子攻擊的 PQC 加密演算法（Post-Quantum Cryptography，後量子密碼學，專門為抵抗量子攻擊設計的新一代加密標準）等都可以從底層結構上強化抗量子特性。本身以太坊最牛逼的就是「飛行狀態下加油」的動態升級特性，既然方向明確了，抗量子特性也只是時間問題了。

比特幣選擇了引入 BIP-360，這會引入 FALCON 或 CRYSTALS-Dilithium 這類後量子簽名演算法，技術上並不複雜，但是難在共識確立，要知道，比特幣社區曾為了一個區塊大小的分叉吵了幾年，指望他們在抗量子硬分叉上迅速妥協，實在難以樂觀。但一旦威脅進一步有了「確定性」，這個自救式的補丁再佛系的開發社區也會硬著頭皮上。

以上。

最後說一件有趣的是，Google 用零知識證明 ZK 披露了這個潛在的量子威脅，一開始就有意識的讓其「軟著陸」，畢竟一旦失控發生別說區塊鏈了，互聯網文明都是毀滅性的。另外 Google Quantum AI 團隊裡，有以太坊基金會的研究員參與，沒控抗量子攻擊會成為區塊鏈領域下來的一個主流敘事也未可知，畢竟天然基因就是密碼學技術，這樣全新的使命，很 Crypto！

原文連結

歡迎加入律動 BlockBeats 官方社群：

Telegram 訂閱群：https://t.me/theblockbeats

Telegram 交流群：https://t.me/BlockBeats_App

Twitter 官方帳號：https://twitter.com/BlockBeatsAsia