量子安全比特币交易方案
根据StarkWare研究员Avihu Mordechai Levy的提议,比特币交易可以在不改变网络核心协议的情况下,抵御未来的量子攻击。在最近的一篇论文中,Levy描述了一种“量子安全比特币”交易方案,旨在确保即使在量子计算机能够破解当前使用的椭圆曲线密码学的情况下,仍然保持安全。该方法在比特币现有的脚本规则内运作,无需软分叉或其他网络升级。
Levy写道:“我们提出了QSB,一种量子安全比特币交易方案,不需要对比特币协议进行任何更改,并且在存在Shor算法的情况下仍然保持安全。”
该提案用基于哈希的密码学和Lamport签名替代了椭圆曲线签名,后者是一种被认为对量子攻击具有抵抗力的早期签名方案。
Levy指出:“由于Lamport签名是后量子安全的,并且它们对交易的加密强标识符进行签名,因此在不生成新的Lamport签名的情况下,无法修改交易,而攻击者即使具备量子计算能力也无法伪造。”
交易广播前的密码难题
该设计的核心是一个必须在交易广播之前解决的密码难题。论文估计,找到有效解决方案大约需要70万亿次尝试。与比特币挖矿不同,计算在交易到达网络之前进行。用户在链外完成工作,并提交已经包含解决难题证明的交易。
Levy估计,使用如GPU等商品硬件解决该难题的成本大约为每笔交易几百美元。该方案旨在在比特币的脚本限制内运作,限制为201个操作码和10,000字节。论文指出,这些限制非常严格,因为每个操作码都计入总数,即使它出现在未使用的脚本分支中。
系统设计与安全权衡
为了适应这些限制,该系统将Lamport签名与基于哈希的难题结合在一个分层交易结构中。它还引入了“交易固定”,要求任何试图修改交易的人再次解决难题。Levy将该系统描述为“最后的手段”,而不是可扩展的解决方案。论文指出,链外计算成本和链上交易大小都无法扩展到比特币的目标吞吐量或大多数用户的需求。
交易创建的复杂性也高于标准比特币使用,可能在当前的中继政策下被视为非标准,这意味着它们可能面临传播问题,并可能需要直接提交给矿池,而不是通过公共内存池广播。
该提案还存在安全权衡。虽然它避免了基于Shor算法的攻击,这些攻击威胁到椭圆曲线签名,但Grover算法仍可能为量子攻击者提供二次加速。
Levy写道:“在量子威胁被认为是真实的情况下,继续进行研究和实施最佳解决方案的努力仍然是必要的——一个在协议层面上最大限度地高效、用户友好,并满足比特币需求的解决方案。”
未来的量子抗性密码学
Levy的论文与几项提案一起出现,这些提案概述了比特币如何过渡到量子抗性密码学,包括BIP-360,该提案引入了一种旨在支持量子安全签名的支付至Merkle根地址格式。尽管对比特币的量子威胁仍然是理论上的,但包括谷歌和Cloudflare在内的公司已经在为此做准备,设定了2029年的最后期限,以将其系统过渡到后量子环境。
