簡評Google Willow：會破解比特幣？

短期內我們還不用擔心量子電腦對比特幣等網路的威脅。

撰文：Jeffrey Hu

量子計算會摧毀比特幣麼？這個自帶民科氣質的話題總是每過一段時間就會引起一次廣泛的討論/FUD。 Google 新發布的Willow 這次會不一樣？我們做了一個維小的研究。

tldr：

• Willow 確實有比較大的進步
• 但目前比特幣用戶仍不用擔心

比特幣協議如果我們進行特別的精簡，可以分成兩個部分：挖礦（基於hash）、交易（基於橢圓曲線的簽名）。這兩份確實潛在會受到量子計算的影響：Grover 演算法、Shor 演算法。

但目前Willow 的「算力」還遠遠不夠對這兩份都產生影響。要能在合理時間內來攻擊比特幣hash 和簽名，需要大約幾千個邏輯qubit（量子比特位）而根據工藝的不同，若干個（可能幾千個）物理qubit 編碼成1 個邏輯qubit。

這樣就意味著，想攻擊比特幣需要大概幾百萬個實體qubit。而Willow 的物理qubit 是105 個，所以還是還有很長的距離。

但萬一有一天算力夠了怎麼辦？對於挖礦，其實影響還相對比較有限。因為Grover 演算法也只是加速，並不是反向破解了hash 的規律，仍然需要大量的計算才能找到挖礦所需的hash 值。可以簡單的理解為，市面上有了一種新的強大的挖礦機器。

對於地址簽名，有一部分地址確實需要小心！其中包括了最古老的P2PK 和最新的P2TR 這些基於公鑰的方式。 P2PKH、P2SH、P2WPKH、P2WSH 這些因為都是hash 的形式，還相對比較安全。但要注意的是，重複使用這些位址也會讓你的公鑰暴露出來，導致有風險。

Can devs do sth?當然！比特幣是一直持續演進的，未來就可以引入例如基於hash 的Lamport 簽名。社群裡已經有很多的討論，例如https://blog.blockstream.com/script-state-from-lamport-signatures/ （雖然是用在狀態上的應用）

也可以引入抗量子的如基於格的密碼等。而且這些都是可以透過軟分叉來啟動的。

除了開發者之外，良好的使用習慣也能有效防禦量子的威脅。例如，每次更換接收地址（一次一密）而不是複用地址（每次說到這裡都想吐槽現在很多的“比特幣生態”錢包）。也例如在量子電腦能產生足夠威脅前，將資產轉移到相對更安全的隔離見證位址中等等。

其他的網絡，例如以太坊，對於後量子密碼學也有很多討論。這些設計也可以透過硬分叉方式來引入。

但說到底，量子電腦的出現，能影響的顯然也不只是比特幣或其他的密碼貨幣。傳統金融體系、國防系統、機密頻道等許多重要領域都會受其影響。

更多關於量子密碼的內容，強烈建議收聽這一期的億聰哲史。

所以總之：

• 短期內我們還不用擔心量子電腦對比特幣等網路的威脅
• 但平時也強烈建議養成良好的使用習慣，保持對量子進展的關注。