短期内我们还不用担心量子计算机对比特币等网络的威胁。

撰文：Jeffrey Hu

量子计算会摧毁比特币么？这个自带民科气质的话题总是每过一段时间就会引起一次广泛的讨论 /FUD。Google 新发布的 Willow 这次会不一样么？我们做了一个维小的调研。

tldr：

• Willow 确实有比较大的进步
• 但目前比特币用户们仍然不用担心

比特币协议如果我们进行特别的精简，可以分成两个部分：挖矿（基于 hash）、交易（基于椭圆曲线的签名）。这两部份确实潜在会受到量子计算的影响：Grover 算法、Shor 算法。

但目前 Willow 的「算力」还远远不够对这两部份都产生影响。要能在合理时间内来攻击比特币 hash 和签名，需要大约几千个逻辑 qubit（量子比特位）而根据工艺的不同，若干个（可能几千个）物理 qubit 编码成 1 个逻辑 qubit。

这样就意味着，想攻击比特币需要大概几百万个物理 qubit。而 Willow 的物理 qubit 是 105 个，所以仍然还有很长的距离。

但万一有一天算力足够了怎么办？对于挖矿，其实影响还相对比较有限。因为 Grover 算法也只是加速，并不是反向破解了 hash 的规律，仍然需要大量的计算才能找到挖矿所需要的 hash 值。可以简单的理解为，市面上有了一种新的强大的挖矿机器。

对于地址签名，有一部分地址确实需要小心！其中包括了最古老的 P2PK 和最新的 P2TR 这些基于公钥的方式。P2PKH、P2SH、P2WPKH、P2WSH 这些因为都是 hash 的形式，还相对比较安全。但要注意的是，重复使用这些地址也会让你的公钥暴露出来，导致存在风险。

Can devs do sth?当然！比特币是一直持续演进的，未来就可以引入例如基于 hash 的 Lamport 签名。社区里已经有很多的讨论，例如 https://blog.blockstream.com/script-state-from-lamport-signatures/ （虽然是用在状态方面的应用）

也可以引入抗量子的如基于格的密码等。而且这些都是可以通过软分叉来激活的。

除了开发者之外，良好的使用习惯也能有效防御量子的威胁。例如，每次更换接收地址（一次一密）而不是复用地址（每次说到这里都想吐槽现在很多的「比特币生态」钱包）。还例如在量子计算机能产生足够威胁前，将资产转移到相对更安全的隔离见证地址中等等。

其他的网络，例如以太坊，对于后量子密码学也有很多讨论。这些设计也可以通过硬分叉方式来引入。

但说到底，量子计算机的出现，能影响的显然也不只是比特币或其他的密码货币。传统金融系统、国防系统、机密信道等很多重要领域都会受其影响。

更多关于量子密码的内容，强烈推荐收听这一期的亿聪哲史。

所以总之：

• 短期内我们还不用担心量子计算机对比特币等网络的威胁
• 但平时也强烈建议养成良好的使用习惯，保持对量子进展的关注。

特别感谢 @kurtpan666 的讨论和提供的洞见！