量子计算破解15位私钥？真相恰恰相反

BTC继续小幅回落，来到77k。每当这种时候，总会有一些消息出来推波助澜。这一次，又是量子计算。

cointelegraph报道了一则新闻：研究员Giancarlo Lelli使用量子计算机成功破解了一个15位的椭圆曲线密钥，而比特币使用的正是同类型加密算法。[1] 消息一出，网络上立刻像炸了锅。有人惊呼比特币要归零，有人开始推销所谓的抗量子币，更有甚者直接断言留给BTC的时间不多了。

教链看到这类消息，第一反应是此中有诈。

每隔一两年，量子计算就会出来刷一波存在感。每次都是同样的配方、熟悉的味道。只不过这次被搬上舞台的，是一台破解了15位密钥的量子计算机。听起来很唬人，但仔细一看，里面藏着好几个陷阱。

陷阱一：15位 vs 256位

报道的核心卖点在于强调了同类型加密。言下之意，量子计算机已经能破解比特币所用的算法了。

但这里藏着一个关键的细节：被破解的密钥是15位的，而比特币用的是256位的。这个差距有多大？教链给你一个直观的概念。

15位的密钥空间大约是3.2万种可能（哈哈哈）。你用目前手边任何一台笔记本电脑，甚至是一部手机，都能在不到一毫秒的时间里暴力穷举出来。这不是一个技术难题，而是一个初中生都能完成的作业。

而256位的密钥空间有多大？是2的256次方。这个数字大到什么程度？它比宇宙中所有原子的总数还要多出好几个数量级。用地球上所有传统计算机一起去暴力破解，从宇宙诞生算到毁灭，也猜不出一个正确的私钥。

报道把破解15位和威胁256位混为一谈，就像有人宣称自己打破了百米世界纪录，结果你一看，他跑的距离只有一米。原理上没错，都是跑步，但实际意义天差地别。

陷阱二：量子优势的代价被隐藏了

也许有人会辩解说，量子计算机不是靠暴力穷举，而是靠Shor算法的数学巧劲。即便现在只能破解15位，未来总能扩展到256位，而且时间只会线性增长。

这个说法在数学上没错，但在物理和工程上忽略了一个致命问题：成本爆炸。

教链在之前文章里反复强调过一个观点：没有免费的午餐。传统计算机破解加密，代价是时间指数级增长；量子计算机要破解加密，代价不是时间，而是物理资源的指数级增长。[2]

要破解15位密钥，可能需要几十个物理量子比特。但要破解256位密钥，研究机构估计需要数百万个高质量、低错误的物理量子比特。[3] 从几十个到数百万个，这不是线性增长，而是四个数量级的跨越。

更要命的是，量子比特极其脆弱，需要极低温环境、复杂的纠错机制和近乎完美的控制。每增加一个数量级的量子比特，工程难度和成本不是翻倍，而是爆炸式上升。目前最先进的Google Willow量子计算机也不过105个物理量子比特。[4] 从105个到数百万个，这中间隔着的不是几年时间，而是一个技术上的天堑。

报道对此只字不提，仿佛从15位到256位只是一步之遥。这种省略，恰恰是制造恐慌的关键手法。

陷阱三：比特币不是裸奔的

即便退一万步讲，假设未来某一天量子计算机真的发展到了那个地步，比特币也不是毫无防备地裸奔。

中本聪在设计比特币时就已经考虑过这个问题。比特币地址存储的不是公钥本身，而是公钥的哈希值。哈希函数对量子计算有天然的抵抗力。Grover算法只能把攻击哈希的难度从2的256次方降低到2的128次方，这依然是一个天文数字。[5]

只要你的比特币存在P2PKH地址（1开头）或P2WPKH地址（bc1q开头），并且从未动用过（即未暴露公钥），那么量子计算机面对的就是这层哈希外壳，而不是脆弱的椭圆曲线签名。正如中本聪在2010年所说：支付到比特币地址的交易，安全性只和哈希的安全性一样。[6]

这是一个容易被忽略但极其重要的技术细节。报道里没有提，因为提了就不够惊悚了。

陷阱四：比特币是活的

最后，也是最重要的一点：比特币不是死的。它可以升级。

量子计算的威胁不是今天才被发现，比特币社区早在很多年前就开始研究应对方案。2021年激活的Taproot升级，已经为未来更换签名算法铺好了技术道路。[7] 抗量子签名的研究也在进行中，只是目前方案还不够成熟——主要问题是签名尺寸太大，会让比特币区块膨胀数百甚至上千倍，这违背了中本聪当初选择ECC而非RSA的根本原因。

等到哪天量子计算真的逼近了威胁阈值，比特币社区完全可以发起一次软分叉，将签名算法更换为抗量子版本。这个过程不会比2021年的Taproot升级更复杂。

相比之下，传统的银行系统、互联网安全体系、军事通信系统，它们面临的量子威胁更加直接、更加严重，而且升级起来更加困难。如果有一天量子计算机真的实用化了，首先头疼的绝对不是比特币持有者，而是各国的央行、五角大楼和全球的网络安全工程师。

恐慌的背后

既然逻辑如此清晰，为什么每隔一段时间就会有一波量子恐慌？

教链观察，背后大概有三类推手。

第一类是媒体。量子计算破解加密这个标题天然具有传播力。至于破解的是15位还是256位，实验室条件还是真实环境，这些细节太枯燥了，放不进标题里。点击率是第一位的，真相可以排在后面。

第二类是利用恐慌推销产品的人。每次量子恐慌来袭，总会有一些项目方跳出来，兜售所谓的抗量子币。教链在去年6月就专门写过一篇文章，标题就叫警惕抗量子骗局。[8] 这类项目通常技术上一塌糊涂，但概念包装得天花乱坠，专门收割恐慌中的散户。遇到这种情况，直接拉黑，大概率不是蠢就是坏。

第三类是被情绪裹挟的普通投资者。他们看到新闻标题就慌了，来不及细看正文，更不会去查证技术细节。恐慌情绪在市场下跌时尤其容易被放大，形成自我强化的负向循环。

未雨绸缪，而非杞人忧天

教链写这篇文章，不是为了否定量子计算的威胁。量子威胁是真实存在的长期风险，我们不能装作看不见。但对待风险，正确的态度是未雨绸缪，而不是被恐慌牵着鼻子走。

对于普通比特币持有者，现在就可以做几件简单的事情来降低未来的量子风险。

第一，检查自己的地址类型。尽量使用P2PKH（1开头）或P2WPKH（bc1q开头）地址，避免使用P2PK（直接暴露公钥的早期地址）或P2TR（bc1p开头的Taproot地址，也会暴露公钥变体）。[5]

第二，避免地址重用。每个地址最好只使用一次。如果要动用某个地址里的比特币，就一次性全部转走，清空地址后永不再用。这样可以最大限度缩短公钥暴露的时间窗口。

第三，不要等到最后一天再行动。如果未来某天真的大量用户开始迁移，链上手续费一定会涨上天。趁着现在网络平静，未雨绸缪才是明智之举。

至于那些天天用量子恐慌吓唬人、然后推销各种乱七八糟项目的人，请记住一句话：量子计算机还没来，但他们的镰刀已经露出来了。

比特币经历了无数次的死亡威胁。从政府封杀到矿难崩盘，从51%攻击到分叉大战，每一次都有人预言比特币要归零。但每一次，比特币都走过来了。

量子计算不会是比特币的终结者。它只是漫长历史中的又一次考验。而比特币的设计，从一开始就在为这样的考验做准备。

与其被恐慌裹挟，不如静下心来，理解技术，看清逻辑，做出理性的判断。

来源：金色财经