“破解加密”的神话：为什么比特币面临的是对数量子挑战，而非立即的加密威胁

多年来，相关叙述一直充满危言耸听：“量子计算机将破解比特币的加密”。但这个流行的说法存在一个根本的概念性错误。比特币从未依赖加密来保护其资金。真正受到关注的是数字签名，特别是，量子机器能否比经典计算机更快地解决椭圆曲线离散对数问题。

术语混淆：加密 vs. 数字签名

比特币的区块链是一本完全公开的账本。链上没有存储秘密的加密信息，也没有需要通过加密保护的隐藏信息。每一笔交易、每一个地址、每一笔金额对所有人都是可见的。

比特币使用数字签名——特别是ECDSA和Schnorr——来证明对资金的控制权。当你进行交易时，并不是在解密什么；你是在生成一个数学签名，证明你拥有与该地址相关的私钥。这是许多评论者忽视的关键区别。

比特币开发者和Hashcash的发明者Adam Back对此表达得很清楚。他在社交媒体上警告：“比特币不使用加密。确保了解基础知识，否则就会明显不知道自己在说什么。”这种混淆源于人们将“密码学安全性”与“加密”混为一谈，而实际上它们指的是完全不同的数学问题。

真正的攻击向量：公开密钥的暴露

如果存在足够强大的量子计算机，其武器不会是解密消息，而是解决椭圆曲线的离散对数，从而使攻击者能够从链上暴露的公钥推导出私钥。

这里的关键细节是：并非所有比特币地址都以相同方式暴露其公钥。

许多比特币地址只用公钥的哈希值作为承诺。原始公钥在花费该输出之前不会被揭示。这就形成了一个有限的时间窗口，在此期间攻击者有机会计算出私钥并发布冲突交易。

然而，其他脚本格式会更早暴露公钥。如果你重复使用某个地址，这种暴露就变成了一个永久的目标。开源分析工具Project Eleven会识别并映射出哪些输出保持可见的公钥，哪些被哈希保护。

风险评估：潜在受影响的BTC约670万

虽然目前还不存在具有实际量子安全意义的量子计算机，但风险是完全可以衡量的。Project Eleven每周自动扫描，识别链上所有暴露公钥的比特币地址。

结果显示：大约670万比特币符合量子暴露的标准。这并不意味着这些资金今天就处于危险之中，而是如果量子技术足够发展，它们就会变得脆弱。

从计算需求角度来看：解决比特币中256位离散对数问题(，根据学术估算，大约需要2,330个逻辑量子比特。问题在于，将逻辑量子比特转化为能纠错、执行深层电路的量子比特，会引入巨大的物理比特需求。

不同架构的估算值不同：

• 10分钟：大约690万物理量子比特
• 1天：大约1300万物理量子比特
• 1小时：大约3.17亿物理量子比特

IBM最近公布了到2029年左右实现容错量子系统的路线图，但纠错组件仍是主要瓶颈。

Taproot改变了局面，但仅限未来

Taproot )P2TR(升级改变了默认的公钥暴露方式。Taproot输出直接在输出脚本中包含一段32字节的公钥，而不是哈希。

这在今天不会带来量子威胁，但如果基于量子离散对数的密钥恢复变得可行，就会改变暴露的格局。意味着“易受量子攻击”的地址群体会随着每次使用Taproot的交易自动增长，除非采取抗量子措施。

Grover算法：次要威胁

Shor算法主要针对离散对数)，是主要威胁(，而Grover算法提供了对哈希函数SHA-256的平方加速。

但由于量子比特的额外需求和纠错开销，用Grover算法攻击SHA-256的成本比解决椭圆曲线离散对数要高出几个数量级。这并不是一个同等优先级的威胁。

用户和协议层的杠杆

考虑到实际时间框架，量子威胁主要是迁移的挑战，而非紧急危机。可用的杠杆分布在多个层面：

在用户层面：

• 避免地址重用，减少永久暴露窗口
• 使用能最小化公钥暴露的钱包
• 在可用时迁移到抗量子脚本

在协议层面：

• BIP 360提出了“支付到抗量子哈希”新类型的输出
• qbip.org等提案建议废弃旧签名，推动迁移
• NIST的后量子密码原语标准化（如ML-KEM、FIPS 203）提供构建模块

在基础设施层面： 后量子签名通常比现有签名大数千字节，这会影响交易的经济性和手续费，但这是工程问题，不是根本的安全问题。

现实时间表：基础设施，而非危机

正确的认识是：比特币目前没有立即的量子威胁，但也不能无限期忽视风险。当前重要的元素包括：

1. 有多少UTXO的公钥已暴露 )可衡量：670万BTC(
2. 钱包行为的演变，应对这种暴露
3. 网络采用后量子标准的速度，不影响验证和手续费市场

将“量子计算机破解比特币加密”重新描述为“量子计算可能在发生时允许伪造签名，这需要协议迁移管理”，更为准确和有用。

比特币曾经历过协议变革。这将是一场计划中的技术迁移，而非突发的安全危机。而且，与其他系统不同，暴露情况是完全可追踪、可量化和可缓解的，即使在今天也是如此。