关于比特币和量子计算机的混乱：我们真正应该担心的是什么

普遍观点认为，量子计算机对比特币的加密构成直接威胁。事实并非如此。问题出在术语和对网络安全机制的误解上。因为比特币并不在区块链上存储加密的秘密——这是关键的区别。

真实的危险在哪里

比特币的所有权通过数字签名 (ECDSA 和 Schnorr) 以及基于哈希函数的承诺来执行，而不是通过加密。如果量子计算机能够运行 Shor 算法破解比特币的椭圆曲线密码学，它能做的只有一件事：从区块链上公开的公钥中导出私钥。

这意味着潜在的伪造授权者——这才是真正的威胁。攻击者并不会“解密”任何东西。相反，他会利用 Shor 算法，从公钥推导出私钥，然后用它生成有效的签名，用于未授权的支出。

多年来比特币开发者和 Hashcash 的创造者 Adam Back 生动总结道：“比特币不使用加密。每个人都可以看到公共账本上的每一笔交易——没有任何东西被加密。”

公钥暴露：安全的瓶颈

比特币的安全性归结为一件事：公钥是否在区块链上可见？许多地址格式在提交交易时会对公钥进行哈希——只有在资金被花费时，原始公钥才会出现在网络上。这缩小了潜在攻击者的时间窗口。

然而，其他类型的脚本会提前暴露公钥。重复使用地址可能会将一次性暴露变成永久的目标。Project Eleven 通过其“Bitcoin Risq List”详细映射了哪些公钥已经对拥有 Shor 算法的人可用。

数据显示，大约有 670 万比特币符合公钥暴露的条件。这是一个可以立即追踪的可衡量的数字。

关键数字

在计算方面，关键差异在于逻辑量子比特和物理量子比特。理论上，计算 256 位 ECC 离散对数需要大约 2330 个逻辑量子比特。

将其转化为带有纠错的量子计算机，成本就会爆炸。2023 年的估算显示：

• 约690 万个物理量子比特用于在 10 分钟内恢复密钥
• 约1300 万个物理量子比特用于在 1 天内恢复
• 约3.17 亿个物理量子比特用于瞄准小时级窗口

这些数字表明，我们谈论的不是昨日的技术，而是仍在逐步实现的基础设施。

Taproot 改变未来的游戏规则

Taproot (P2TR) 输出中直接包含 32 字节的修改后公钥，而不是其哈希。这目前不会带来漏洞，但会改变在未来密钥恢复变得可行时默认暴露的内容。

Taproot 改变了暴露模式，但这可以通过钱包和协议的架构选择来管理。

挑战在于迁移，而非灾难

NIST 已经标准化了后量子原语，如 ML-KEM (FIPS 203)。在比特币中，BIP 360 提出了“Pay to Quantum Resistant Hash”，而 qbip.org 则主张废弃旧签名，以激励迁移。

IBM 最近宣布在纠错组件和抗错误系统路径方面取得了进展，预计到 2029 年左右实现。这表明，发展中的量子系统伴随着不断完善的防御网络。

真正的挑战在于吞吐量、存储、费用和迁移协调。后量子签名的大小为几千字节，而非几十字节，这改变了交易的经济性。这是一个基础设施项目，而非突发事件。

因此：比特币并未受到加密崩溃的威胁，因为它本就从未真正依赖加密。可衡量的因素包括暴露公钥的 UTXO 比例、后量子支出路径的采用速度，以及网络适应变化的速度。