預防量子計算威脅實用指南

撰文：劉教鏈

來源：劉教鏈

隔夜 BTC 大幅回撤，破位 30 日均线 98.7k，暫至 96k 附近。宏觀態勢方面的原因，關注教鏈近期文章和內參的朋友應該心如明鏡。一是前段時間借谷歌 Willow 量子計算機所渲染的恐慌。二是昨日凌晨美聯儲給出未來降息的負面預期。

關於量子計算威脅，教鏈在過去幾年無論是文章還是 《史話》 裏都反復講過。最近谷歌 Willow 出來，教鏈也是第一時間就寫了 2024.2.10 文章 《量子恐慌》 進行了拆解。

總而言之一句話：不必恐慌。現在量子計算機的進展距離實用還相當遠，即便實用也不會首先和立即威脅到 BTC，我們會有充足的時間應對。

不過，教鏈上述的結論是一個科學論斷，而不是一種精神信仰。因此，在拒絕盲目恐慌、杞人憂天的同時，也要拒絕盲目樂觀、亡羊補牢。

就像人類應對自然災害，比如洪水。既不能像古代人那般恐懼於洪水，做出童男童女祭祀河神那般的荒唐事，也不能心存僥幸，大搞豆腐渣工程。

量子計算之於 BTC，星際採礦之於黃金，就如洪水猛獸之於居民。不要怕，也不要躲，而是要科學面對，積極預防。

每次量子恐慌的時候就有一些人會跳出來鼓吹黃金。其實未來科技進步給黃金帶來對潛在威脅，要比量子恐慌之於 BTC 大得多。畢竟，黃金是死的，而 BTC 是活的——BTC 可以升級代碼。

什么技術會摧毀黃金的價值？星際採礦。就在咱們太陽系內，距離地球約 3.4-5.4 億公裏左右的位於火星和木星的小行星帶中，有一顆直徑約 226 公裏的小行星，它的名字叫做靈神星（16 Psyche）。這個靈神星上有大量貴金屬。其中僅黃金儲量據保守估計就有數千億噸。

人類過去幾千年總共從地球上开採了多少黃金呢？截至 2024 年，目前全球黃金存量大概也才 20.8 萬噸。

今天，我們已經可以把祝融號送上火星了。你覺得距離我們能夠去火木之間的小行星上开採黃金還需要多少年？

想象一下，數千億噸的黃金被源源不斷地運回地球，對現在少的可憐的 20 多萬噸存量的稀缺性，是不是毀滅性的打擊？

科技進步是非线性的。它會加速前進。

雖然我們估計，即便量子計算的水平能夠以指數級進步，可能也需要 10-20 年才能具有實用性，從而對現存加密算法產生實質性威脅，但是，我們也不可以裝作它不存在，曬太陽睡大覺白白浪費 20 年。

生於憂患，死於安樂。

聽說 Bitcoin core 的一些开發者們已經在討論量子威脅的現實性，以及可能的演進路线和技術應對了。

那么今天教鏈就抽點時間，和大家談談，作為個人 BTC 持有者，可以做那些具體的事情，來提前防範未來可能到來的量子計算威脅。以下內容可能有一點點技術，如果有看不懂的名詞術語啥的，請自行上網搜索、學習。可以通過閱讀教鏈的 《比特幣史話》 或者參加教鏈的「 超級小白課 」來更多或更深入地了解有關 BTC 的技術知識。

防量子要點一：囤 BTC 只用 P2PKH 地址或 P2WPKH 地址，不用 P2PK 地址或 P2TR 地址。

形式上，P2PKH 地址是 1 开頭的 BTC 地址，P2WPKH 地址是 bc1q 开頭的 BTC 地址。而 P2PK 地址是 04 开頭的地址，P2TR 地址是 bc1p 开頭的地址。

概念上，P2PKH 地址是正宗中本聰命名的標准地址，P2WPKH 地址是原生隔離見證地址（native segwit 地址）。而 P2PK 是支付到公鑰，P2TR 則是 taproot 地址。

時間上，p2pk 地址在 2009 年中本聰剛剛啓動 BTC 網絡的時候用過一段時間。後來大概到了 2009 年下半年，中本聰寫好了 p2pkh 的代碼，才全面切換到標准地址上去。而 p2wpkh 則是 2017 年 8 月 24 號 BTC 網絡完成 segwit 即隔離見證升級後上线的。p2tr 地址則在 2021 年 11 月份 taproot 升級之後引入。

技術上，p2pkh 地址是 ECDSA 公鑰外面套兩層哈希，一層 SHA256，一層 ripemd160；p2wpkH 地址是 ECDSA 公鑰套 SHA256 套 ripemd160 後封裝為隔離見證腳本然後用 bech32 編碼生成。而 p2pk 地址是裸 ECDSA 公鑰，p2tr 地址則是 Schnorr 公鑰的衍生公鑰封裝為 taproot 腳本然後用 bech32m 編碼生成。

原理上，教鏈講過，當未來量子計算實用後，有兩個辦法去攻擊 BTC 持有人的所有權：第一個辦法是攻擊電子籤名算法，如 ECDSA 公鑰或 Schnorr 公鑰，反推出你的私鑰，從而偷走你的 BTC；第二個辦法是攻擊哈希算法，如 SHA256 或 ripemd160，反推出原像，從而偷走你的 BTC。

攻擊電子籤名的量子算法叫做 Shor 算法。而攻擊哈希的量子算法叫做 Grover 算法。

如果 Shor 算法達到實用水平，那么就可能秒破 ECDSA 或 Schnorr 籤名。

而如果 Grover 算法達到實用水平，它卻只能把原本攻擊哈希的算力提升一個平方量級，也就是說，把攻擊難度減少為平方根難度。比如，攻擊一個足夠好的 SHA256 哈希，難度是 2^256，使用 Grover 算法可以降低到 2^128，雖然小了不少，但是仍然很大。

也就是說，密碼學哈希算法具有一定的量子抗性。

這就是教鏈防量子要點一的技術原因，確保自己只用不暴露公鑰的 p2pkh 或 p2wpkh 地址，不用暴露公鑰的 p2pk 或 p2tr 地址。

《比特幣史話》 第四章「量子霸權」第 13 話「比特幣地址」寫道，「在 2010 年 7 月 25 日，有人在比特幣社區論壇上討論如果比特幣所用的加密算法被攻破的問題， 中本聰回復，『 為了讓比特幣地址更短，它們採用公鑰的哈希，而不是公鑰』，這樣一來，『支付到比特幣地址的交易的安全性就只和哈希的安全性一樣了』，『攻擊者只需要攻破哈希函數，而不是橢圓曲线數字籤名算法』。」

防量子要點二：避免地址重用，確保每個地址最多只使用（花費）一次。

請注意，BTC 地址和銀行账戶不同，和很多主流公鏈（包括以太坊）的账戶地址不同。以账戶為中心的設計是圍繞一個账戶（體現為銀行卡號或账戶地址等），記錄進账和出账。而 BTC 是以「幣」為中心的設計，記錄的是「幣」在地址之間的流轉。

具體什么 UTXO 之類的概念一說开篇幅太長，就不在這裏展开了。

在 BTC 的這種設計下，「收款」，也就是用自己的地址接收別人轉入的 BTC，這不叫「使用」該地址。這種情況，你是被動的，什么都不用做。如果使用的是 p2pkh 或 p2wpkh 地址，那么無論你收款多少次，都是不會導致公鑰暴露的。

而如果你要使用這個地址向外「付款」，也就是把地址裏的 BTC 轉給別人，這時候你就要拿出私鑰、籤署交易、廣播上鏈，此時，你就是在「花費」該地址裏的 BTC，也就是真正「使用」了該地址。此時，你要主動行為，動用私鑰。

而一旦你花費過一個地址裏的 BTC，公鑰就對全世界暴露了，原本套在公鑰外的哈希外殼的保護效果，也就失去了。

根據教鏈防量子要點一介紹過的知識，面對未來可能實用化的量子計算，公鑰的脆弱性遠大於哈希。因此，公鑰一旦暴露，就意味着你在該地址裏的 BTC 資產的量子風險暴露大大提高了。

這就是教鏈防量子要點二所要說的，一個囤餅地址，要么永遠不動，要動就一次性轉走所有的 BTC，徹底清空地址，永不再用。

如此便可以極大降低你的 BTC 面對未來量子計算威脅時的風險，提高生存概率。

有個幽默的話說得是，當熊追來時，你不用跑得比熊快，只要跑得比同伴快就夠了。

當未來某一天，量子計算真的已經威脅到那些比較脆弱的地址時，你還有充足的時間去把你的 BTC 資產安全地遷移到量子安全的新地址裏。相信到那一天，BTC 應該已經开發出新版本的抗量子地址了吧！

「為了獲得更好的隱私性，一個比特幣地址最好只用一次。」——中本聰，2009 年 11 月 25 日。 《比特幣史話》 第十九章第 95 話。

防量子要點三：不要等到最後一天再行動。

雖然量子計算還遠，但是我們可以從今天就开始行動，按照教鏈防量子要點一、二，檢查我們的囤餅地址，如果有不安全的地址類型，或者重用問題，那么就抓緊動手，把 BTC 遷移出來，把已經有風險的地址廢棄掉吧。

有人根據目前的地址規模估計，如果每個人都把自己的 BTC 遷移到安全的地址，以目前 BTC 區塊吞吐量，可能至少需要 6 個月的時間什么其他交易都不幹全力處理這些遷移需求，才能夠處理完成。

相信你不會想等到所有人都擠破頭去遷移 BTC 的那么一天才开始動手吧。

千軍萬馬過獨木橋。鏈上手續費一定漲上天，令你酸爽得不要不要的。

趁着鏈上不擁堵的時候，未雨綢繆，防患未然，才是明智之舉。

防量子要點四：關注 BTC 抗量子進展，並在適當時候將資產遷移至更安全的地址。

這一點就是面向未來的行動了。

你要是不知道怎么關注 Bitcoin core，你可以關注教鏈。：）

講完了。

至於別的鏈、別的資產，也沒什么好講的，地址重用、账戶復用那都是日常基操，公鑰暴露漫天飛舞，合約漏洞層出不窮，…… 還是算了。在長期價值存儲（SoV）賽道，它們和 BTC 沒有任何可以相提並論的地方。對於它們，與其擔心 10 年、20 年後的量子威脅，還不如擔心一下眼前的 rug pull 或者釣魚之類的更為現實一些呢。