跳转到主要内容

量子计算与加密货币:威胁与解决方案

量子计算代表了对加密货币最重要的长期密码学威胁。尽管当今的量子计算机规模仍然太小、错误率太高,无法破解保护 Bitcoin 和其他区块链的密码学机制,但这项技术正在快速进步。对于任何做长期加密货币存储决策的人来说,理解这种威胁的本质、现实时间线以及正在开发的防御措施都至关重要。

本指南基于技术事实,评估量子计算对加密货币安全的影响:真正有风险的是什么、没风险的是什么,以及你今天可以采取哪些措施。

量子计算基础

经典计算 vs. 量子计算

经典计算机以比特处理信息,每个比特只能是 0 或 1。量子计算机使用量子比特(qubit),它可以同时处于 0 和 1 的叠加态。当量子比特发生纠缠时,对一个量子比特的操作会影响其他量子比特,从而使某些计算能够比任何经典方法快出指数级。

重要细节: 量子计算机并不是在所有场景下都比经典计算机更快。它只会在存在量子算法的特定问题上带来加速。很多计算任务并不会从量子计算中受益。

对加密货币重要的问题

有两个量子算法与加密货币相关:

  1. Shor 算法 — 可高效求解整数分解和离散对数问题。这直接威胁用于加密货币交易签名的椭圆曲线密码学(ECDSA、Schnorr)。

  2. Grover 算法 — 可为无结构数据库搜索提供平方级加速。这会影响哈希函数(SHA-256、RIPEMD-160)和对称加密,相当于将其比特安全性减半。

量子计算机会威胁什么

椭圆曲线数字签名(ECDSA)

Bitcoin、Ethereum 以及大多数其他加密货币都使用 secp256k1 曲线上的 ECDSA 进行交易签名。ECDSA 的安全性建立在椭圆曲线离散对数问题(ECDLP)之上:给定公钥(曲线上的一个点),在计算上几乎不可能推导出私钥(标量乘数)。

在足够大的量子计算机上,Shor 算法可以高效求解 ECDLP。 这意味着:

  • 给定公钥,量子计算机可以推导出私钥。
  • 拿到私钥后,攻击者可以伪造交易签名并盗取资金。

这是加密货币面临的主要量子威胁。

公钥何时暴露?

Shor 算法带来的威胁只在攻击者知道公钥时才成立。在 Bitcoin 中,公钥会在不同的地址类型下于不同时间暴露:

Address TypePublic Key ExposureQuantum Risk
P2PKH (Legacy, 1...)Exposed when spendingAt risk after first spend
P2SH (3...)Exposed when spendingAt risk after first spend
P2WPKH (bc1q...)Exposed when spendingAt risk after first spend
P2TR (Taproot, bc1p...)Exposed in the address itselfAt risk immediately
Pay-to-Public-Key (P2PK)Public key is the addressAt risk immediately

关键点: 使用 pay-to-public-key-hash(P2PKH、P2SH、P2WPKH)的 Bitcoin 地址,在该地址发起签名前不会暴露公钥。在此之前,区块链上只可见公钥哈希,而 Shor 算法不能反推出哈希原像。

但一旦你从某个地址花费(在交易中暴露公钥),该公钥就会永久写入区块链。拥有量子计算机的攻击者随后就可以推导私钥,并盗取该地址上剩余的任何资金。

Taproot(P2TR)地址会直接暴露公钥(地址编码的是 tweak 后的公钥,而不是哈希)。这意味着在理论上,Taproot 地址比基于哈希的地址类型更容易受到量子攻击,尽管 key tweaking 会增加一点点复杂度。

风险最高的地址

  1. Satoshi 的币 — 早期 Bitcoin 使用 Pay-to-Public-Key(P2PK)格式,此时公钥就是地址。推测属于 Satoshi 的约 110 万 BTC 在 P2PK 格式中,直接暴露风险。

  2. 复用地址 — 任何曾用于发送交易的地址,其公钥都已暴露。之后再转入该地址的资金都会有风险。

  3. Taproot 地址 — 公钥在地址中可见。

  4. 长时间待确认交易 — 如果一笔交易在 mempool 中长时间未确认,量子攻击者可从交易中提取公钥,并抢先构造一笔冲突交易,使用推导出的私钥签名。

不受威胁(或较少受威胁)的部分

哈希算法(SHA-256、RIPEMD-160)

Grover 算法可为哈希原像搜索提供平方级加速,相当于将比特安全性减半:

  • SHA-256:256 位安全性降为 128 位(对量子攻击)。
  • RIPEMD-160:160 位安全性降为 80 位(对量子攻击)。

128 位安全性仍被认为很强(需要 2^128 次操作),当前基于哈希的防护并不会立刻因量子计算而失效。

Bitcoin 挖矿(Proof of Work)

理论上 Grover 算法可以加速挖矿(寻找使哈希低于目标值的 nonce),但优势只有平方级(开方级),而量子硬件成本巨大,当前经济上并不划算。难度调整机制也会对任何挖矿加速进行补偿。

对称加密(AES)

Grover 算法会将对称密码的有效密钥长度减半(AES-256 约等价为 AES-128 的安全性)。具有 128 位量子安全性的 AES-256 仍然很强。

时间线:量子计算机何时会构成威胁?

量子计算现状(2025)

截至 2025 年,最大的量子计算机约有 1,000-1,500 个物理量子比特。但这些都是高错误率的“噪声”量子比特。若要对 secp256k1 运行 Shor 算法:

  • 估算需求: 约 2,500 个逻辑量子比特。
  • 所需物理量子比特: 由于纠错开销,约需 100 万到 2,000 万个物理量子比特(取决于量子比特质量与纠错方案)。
  • 当前差距: 与“足够数量且质量足够”的物理量子比特相比,仍差约 3-4 个数量级。

专家时间线估计

SourceEstimate for Cryptographically Relevant QCYear
NIST"Not in the next decade, possibly in the next two"2035-2045
IBM Quantum Roadmap100K+ qubits by 2033 (not sufficient alone)N/A
Google Quantum AISignificant milestones in error correction by 2030N/A
Various academic estimates15-30 years for ECDSA-breaking capability2040-2055
Pessimistic scenarioUnexpected breakthrough accelerates timeline2030-2035

密码学界的共识是:威胁真实存在,但并不迫在眉睫。 多数估计认为还需 15-30 年量子计算机才可能破解 ECDSA。不过量子计算进展有时会超预期,因此不能掉以轻心。

“现在存储,日后解密”威胁

即使今天的量子计算机还不能破解 ECDSA,攻击者也可能现在就记录全部区块链数据,等具备量子能力后再利用。对 Bitcoin 来说,所有历史上暴露过的公钥(来自交易)都永久记录在区块链上,无法事后补救。

这种“先收集,后解密”策略意味着今天暴露的公钥在 15-30 年后可能变得脆弱。对于长期持仓,这是一个现实威胁。

后量子密码学(PQC)

NIST 后量子标准

NIST 已主导多年流程来标准化后量子密码算法。首批标准于 2024 年定稿:

ML-KEM(原 CRYSTALS-Kyber)

一种基于格的密钥封装机制(用于加密/密钥交换):

  • 基于 Module Learning With Errors(MLWE)问题。
  • 目前没有已知高效量子算法可解该问题。
  • 密钥尺寸相对较小,运算速度快。

ML-DSA(原 CRYSTALS-Dilithium)

一种基于格的数字签名方案:

  • 基于 Module Learning With Errors 与 Short Integer Solution 问题。
  • 可能成为加密货币中 ECDSA 的替代方案。
  • 签名大小明显大于 ECDSA(约 2,400 字节 vs. 约 72 字节)。

SLH-DSA(原 SPHINCS+)

一种基于哈希的数字签名方案:

  • 安全性完全基于哈希函数性质。
  • 不依赖可能受量子威胁的数学结构。
  • 签名非常大(约 17,000-49,000 字节),但安全假设极其保守。
  • 若基于格的假设被攻破,可作为备选方案。

后量子签名 vs. ECDSA

PropertyECDSA (secp256k1)ML-DSA (Dilithium)SLH-DSA (SPHINCS+)
Quantum resistantNoYesYes
Public key size33 bytes~1,312 bytes~32-64 bytes
Signature size~72 bytes~2,420 bytes~17,000-49,000 bytes
Verification speedFastFastSlower
Key generation speedFastFastModerate
Mathematical basisElliptic curve DLPLattice problemsHash functions

签名尺寸显著增大是区块链采用 PQC 的主要挑战。Bitcoin 区块大小受限,签名变大意味着每个区块可容纳的交易更少。

对不同加密货币的影响

Bitcoin

Bitcoin 对量子计算的应对可能包括:

  1. 新地址类型 — 通过软分叉引入使用后量子签名的新地址类型(类似 SegWit 或 Taproot 升级)。
  2. 迁移期 — 用户需要将资金从旧的(易受量子攻击)地址迁移到新的(抗量子)地址。
  3. 签名聚合 — 研究如何聚合后量子签名以减少链上占用。
  4. 基于哈希的地址仍有价值 — 未使用过的 P2PKH 地址(公钥从未暴露)可通过哈希保护提供量子抗性。

Bitcoin 社区正在积极讨论后量子提案,但尚未设定明确实施时间表。

Ethereum

Ethereum 面临类似挑战:

  • Ethereum 账户在首笔交易后总会暴露公钥(可通过 ecrecover 从 ECDSA 签名恢复公钥)。
  • Ethereum 的账户模型与地址复用模式意味着多数活跃账户公钥已暴露。
  • Ethereum 更灵活的升级机制(硬分叉)可能允许更快采用后量子签名。
  • 由于区块结构与 gas 模型不同,PQC 较大签名在 Ethereum 上受限程度较低。

Vitalik Buterin 曾将量子抗性视为 Ethereum 的长期优先事项,账户抽象(ERC-4337)也为支持任意签名方案提供了路径。

其他区块链

一些区块链已主动推进量子抗性:

  • QRL (Quantum Resistant Ledger) — 从底层设计上采用基于哈希的签名(XMSS)。
  • Algorand — 已发布后量子签名集成研究。
  • IOTA — 使用 Winternitz 一次性签名(基于哈希、抗量子),但存在实际限制。

你今天可以做什么

1. 使用哈希保护型地址

对 Bitcoin 而言,如果量子抗性是优先级,优先使用 P2PKH、P2SH 或 P2WPKH(只暴露公钥哈希),而非 P2TR(Taproot)。但无论何种地址,一旦花费,该地址公钥都会暴露。

2. 绝不复用地址

每笔交易都使用新地址。一旦某地址发生花费,就把剩余资金转到一个新的未使用地址。这可将公钥暴露时间压到最低。HD Wallet(BIP-44)可通过自动生成新地址来实现这一点。

3. 尽量缩短公钥暴露时间

对于大额冷存储,可考虑以下流程:

  1. 资金先接收至一个从未暴露公钥的地址。
  2. 需要花费时,用一笔交易转出全部资金(不在已暴露地址留余额)。
  3. 找零发送至一个全新的未暴露地址。

这样可最小化攻击者利用已知公钥的时间窗口。

4. 跟踪后量子进展

持续关注:

  • NIST 后量子标准化进展。
  • Bitcoin 与 Ethereum 与量子抗性相关的协议升级提案。
  • 量子硬件与纠错技术进展。
  • 可能引入抗量子地址类型的软分叉或硬分叉。

一旦抗量子地址类型可用,尽快迁移持仓。

5. 关注抗量子的助记词安全性

你的助记词本身受 PBKDF2 和 SHA-512 哈希保护,量子计算机无法高效破解(Grover 算法对哈希仅提供平方级加速)。256 位助记词在量子攻击下仍有 128 位安全性,通常被认为足够。

SafeSeed Tool

SafeSeed Seed Phrase Generator 生成 256 位熵的助记词,即使面对未来针对哈希的量子威胁也能保持强安全性。结合正确的地址管理(避免复用、使用哈希保护地址),你的基于助记词的冷存储可以为量子时代做好准备。

常见误解

“量子计算机会一夜之间破解 Bitcoin”

错误。即使量子计算机强大到足以对 ECDSA 运行 Shor 算法,对每个公钥的攻击仍需显著计算时间,且只能针对特定脆弱地址。由于量子计算里程碑是公开可追踪的,Bitcoin 网络会提前预警,并在威胁真正到来前推进后量子升级。

“所有加密货币同样脆弱”

错误。脆弱性取决于公钥是否暴露。未使用的 P2PKH 地址中的资金受哈希函数保护,能抵抗量子攻击。已发生交易(公钥可见)的地址中资金更脆弱。

“我们现在就必须切换到抗量子加密”

不必急于立刻切换。多数估计显示威胁还在 15-30 年后。后量子密码标准仍在成熟,过早采用可能引入新漏洞(算法分析不足)。但现在就开始认知和规划是必要的。

“量子计算会让加密货币变得一文不值”

错误。量子计算是密码学挑战,不是生存性威胁。将来保护银行、军事通信和互联网安全的同类量子安全算法,也会保护加密货币。区块链会升级签名方案,就像过去升级地址类型和脚本能力一样。

“128 位量子安全不够”

在可预见未来,128 位安全性被密码学界认为完全足够。NIST 的后量子标准也是围绕 128 位安全等级设计。破解 128 位安全需要 2^128 次操作,仍远超任何可预期计算能力。

迁移挑战

最重要的实际挑战不是密码算法本身,而是迁移过程:

  1. 不活跃钱包 — 那些所有者丢失密钥、去世或放弃币的钱包中的资金(估计 300-400 万 BTC)无法迁移。量子计算成熟后,这些资金会变得脆弱。

  2. Satoshi 的币 — 推测属于 Satoshi 的约 110 万 BTC 位于 P2PK 地址,除非 Satoshi(无论其身份)仍然活跃,否则无法迁移到抗量子地址。

  3. 协调难题 — 通过软分叉或硬分叉要求所有用户迁移到新地址类型,是极其庞大的协同工程。

  4. 时间压力 — 如果量子计算进展快于预期,可用于迁移的窗口可能会非常紧张。

一些提案建议实施“隔离期”:在某个区块高度之后,来自易受量子攻击地址类型的交易将被限制,或需提供额外所有权证明。这一做法争议很大,可能遭遇社区强烈反对。

研究与未来方向

PQC 的签名聚合

一个活跃研究方向是将多个后量子签名聚合,降低链上体积。类似 Schnorr 签名支持密钥聚合(MuSig2)的思路,也在基于格签名上进行探索。

量子密钥分发(QKD)

部分研究者提出将量子密钥分发用于加密货币,但普遍认为这对去中心化网络不现实(QKD 需要参与方之间有直接光学信道)。

混合方案

将 ECDSA 与后量子算法结合的混合签名方案,可同时抵御经典与量子攻击。只要其中任一算法仍安全,混合方案就安全。这使得过渡可循序渐进,而不必把安全性完全押注于较新的后量子算法。

零知识证明

依赖哈希函数而非椭圆曲线密码学的零知识证明系统(如 STARKs)天然具备量子抗性。它们在区块链扩容(zkRollups)中的广泛应用,也有助于提升量子韧性。

FAQ

量子计算机能破解 Bitcoin 吗?

现在不能。当前量子计算机规模太小且噪声太高,无法运行破解 Bitcoin 密码学所需算法。最乐观估计也认为具备密码学实际意义的量子计算机还要 15-30 年。等它们出现时,Bitcoin 很可能已升级到抗量子签名方案。

破解 Bitcoin 需要多少量子比特?

估计不一,但破解 secp256k1 ECDSA 约需 2,500 个逻辑量子比特,按当前纠错技术折算约为 100 万到 2,000 万个物理量子比特。2025 年最大的量子计算机约有 1,000-1,500 个物理量子比特。

我的加密货币能防住量子计算机吗?

在可预见未来(10-20+ 年)基本可以。只要遵循最佳实践:使用哈希保护地址类型、避免地址复用、妥善保管助记词,你的资金就有很强保护。待抗量子地址类型可用后,及时迁移持仓。

什么是后量子密码学?

后量子密码学是指可同时抵御经典计算机和量子计算机攻击的密码算法。NIST 已标准化多个 PQC 算法(ML-KEM、ML-DSA、SLH-DSA),它们基于量子计算机无法高效求解的数学问题,例如格问题与哈希函数性质。

因量子风险我应停止使用 Taproot 地址吗?

Taproot 的量子风险是理论上的,且在几十年后。对当前使用而言,Taproot 的现实收益(更低手续费、更好隐私、更强脚本能力)通常大于量子风险。但对超长期冷存储(20+ 年),哈希保护型地址(P2WPKH)可额外增加一层量子抗性。

Ethereum 会受量子计算影响吗?

会。Ethereum 与 Bitcoin 一样使用 ECDSA,并面临类似量子威胁。Ethereum 的账户模型意味着多数活跃账户公钥已暴露。不过其升级机制(硬分叉、账户抽象)为采用后量子签名提供了路径。Ethereum Foundation 也已将量子抗性视为长期优先事项。

SHA-256 是量子安全吗?

相较 ECDSA,SHA-256 对量子攻击的抗性强得多。Grover 算法会将 SHA-256 的有效安全性从 256 位降到 128 位,但这仍然非常强。就可预见未来而言,SHA-256 被认为是量子安全的。

量子计算机出现后,丢失/废弃的 Bitcoin 会怎样?

那些公钥已暴露(来自历史交易)且所有者无法迁移的地址中的资金,会变得容易遭受量子攻击。这包括推测 Satoshi 的约 110 万 BTC,以及估计 300-400 万 BTC 的丢失钱包。Bitcoin 社区将如何处理这些币(如果会处理)仍是一个开放且有争议的问题。

相关指南